pk10滚雪球计划网|pk10外围挂机软件
返回頂部
隱藏或顯示

新聞動態

News

六問云安全

/ 2019-04-04

在全球數字化轉型的浪潮席卷下,越來越多的企業開始開始應用云計算技術。然而,資源集中使云平臺更容易成為黑客攻擊的目標,云上安全問題也更加突出。IDC調研顯示,云計算所面臨的挑戰匯中,安全問題排在首位。且2019年RSA大會上,云安全已躍居熱詞榜首。



那么云計算究竟面臨著哪些安全挑戰?今天借此文,我們一起來探討下云安全問題以及如何去應對。



一問:云安全究竟面臨著哪些威脅?


針對這個問題,CSA云安全聯盟對行業專家進行了一次調查,根據調查問卷結果從20個concerns中選出最嚴重的12個:


圖:云安全面臨的威脅(按照調查結果的嚴重程度排序)

從這些威脅可以看到,除了第10點濫用和惡意使用云服務是云計算環境特有的安全威脅外,其余的都屬于通用安全威脅,比如拒絕服務、數據泄露等,無論是否在云環境都有存在的可能。因此,不妨把云上的安全威脅分為兩大類,云計算特有安全威脅,以及通用的安全威脅。


二問:通用的安全威脅大家一般也都比較了解,那么云計算“專屬”威脅有哪些?


要了解云計算特有安全威脅,需要先了解云架構。以一個典型的虛擬化架構為例,底層由硬件層,網絡、存儲、計算資源組成,往上一層是宿主機和Hypervisor,再往上運行虛擬機。除去物理安全之外,虛擬化帶來的安全威脅包括:


? hypervisor層的安全威脅,hypervisor是CPU指令和物理硬件的中介,負責協調資源分配,一旦hypervisor被攻擊,就可以威脅所有頂層的虛擬機甚至是底層的物理機。


? 虛擬資源的隔離機制變化,包括計算資源隔離、存儲資源隔離、網絡資源隔離等等。在網絡安全里一般只談網絡資源的隔離,在物理形態的時候,通過防火墻進行訪問控制就可以對物理機進行隔離。但在虛擬化數據中心里,虛擬機之間如何做到有效的隔離,尤其是在東西向流量遠遠超過南北向流量的時候,東西向流量的安全問題成為云安全的一大重點


? 虛擬機的安全威脅,虛擬機被創建、遷移,需要相對應的安全措施,虛擬機本身也是操作系統,也需要做到操作系統級的安全,否則可能會產生虛擬機逃逸等安全問題。



三問:前面提到這么多威脅,哪些最受關注呢?


云本身承載著企業的數據及業務,因此用戶一般關注對數據和業務會造成比較大影響的威脅。尤其云數據中心數據、算力集中,諸如數據被勒索、數據丟失、數據泄露等數據安全威脅,成為了云上安全威脅的關注重點。

四問:針對這些云安全威脅,應該如何去應對?


首先要確保云架構是安全的,其次再通過技術手段來抵御通用的安全威脅。


那么,怎么確定云架構是安全的呢?



首先,可以建立可信的基礎,通過一系列的硬件+可信應用+隔離機制的使用,實現整個云架構安全可信,比如使用TPM管理方法。其次,建立基于SOA的分層安全,通過組合不同的service來開發應用,這個接口可以是Http Service, Corba Service, Cloud Service 等等。 最后,實現資源、網絡、主機隔離。通過設置資源隔離,使得終端用戶使用虛擬機時,僅能訪問屬于自己的虛擬機的資源(如硬件、軟件和數據),不能訪問其他虛擬機的資源,避免虛擬機之間的數據竊取或惡意攻擊。網絡隔離主要涵蓋三個方面: 通信平面的隔離、虛擬網絡隔離以及東西向、南北向隔離。



主機隔離則可通過EDR以及微隔離技術來實現主機東西向流量的訪問控制,確保業務安全域內部主機安全。

對于通用安全威脅的抵御,需要先了解目前安全威脅的發展形勢。隨著黑色產業的不斷壯大,攻擊手段層出不窮,在防御過程中往往需要面對的是未知類型的惡意威脅。在這種情況下,僅僅靠傳統的防御手段很難全部防御住,它可能通過釣魚郵件、或者跳板等方式繞過防御體系進入到數據中。因此組織單位需要以網絡、平臺、主機、應用、管理、數據為主要防護對象,應用人工智能、威脅情報等新興技術,構建預防、防御、的動態安全體系,真正有效應對未知威脅。



與此同時,針對核心關注的數據安全,構建全生命周期的數據安全體系,而非僅僅依賴DLP。比如在數據產生過程中,確保數據源真實性,可追溯性。在數據傳輸過程中通過VPN技術確保數據傳輸完整性,保密性。數據存儲過程,關注存儲平臺本身存在的漏洞或者安全配置缺陷等,及時進行脆弱性檢測。數據使用過程關注數據使用的規范,進行全量審計及細粒度權限控制。在數據轉移共享過程,確保數據脫敏不外泄。



五問:云安全的建設能否一蹴而就?

安全的環境一直在變化,今天爆發了勒索,企業可能希望做勒索防御,明天爆發了數據泄漏,企業開始重視數據安全,可以說幾乎找不到完美的框架。因此,一套持續成長的安全機制,要遠比比完美的安全架構來得實用。建議用戶使用風險評估,對云計算和云服務進行評估后識別出風險在哪里,進而通過降低、規避、轉嫁、接受以及相應的安全解決方案,進行風險削減。當然, 不同的企業對風險的接受程度是不同的,根據自身對風險的接受程度,來對那些被接受的風險進行監控和應急響應服務等措施來進行兜底。



此后,需要定期檢查云安全的薄弱環節,進而對方案進行優化整改,實現更加適用自身環境的安全方案。

六問:等保2.0擴展了云計算安全要求,云等保成為了很多云用戶的關注重點,那么云等保應該怎么建設?


等保2.0即將發布,云等保合規也成為了企業上云必須完成的基本要求。而云等保合規建設過程中,目前最大的難點在于平臺方、租戶方用戶權責問題,在云等保的要求里,不僅僅是對平臺建設方提出了要求,對于租戶方同樣提出了要求。但傳統云平臺安全架構僅能夠對用戶提供通用的安全策略,不能適用于所有用戶。用戶因而不能根據自身業務需求選擇和管理安全組件,這將放大用戶業務系統“上云“后安全責任難以界定等風險,從而對”上云“產生顧慮。



因此,針對云安全建設這個問題,深信服基于用戶在等保建設中的實際需求,提供軟件定義、輕量級、快速交付的等保合規套餐,不僅能夠幫助用戶快速有效地完成云上等級保護建設、通過等保測評,同時通過豐富的安全能力,可幫助用戶為各項業務按需提供個性化的安全增值服務。此外,為了實現“安全權責明晰、安全責任共擔”,深信服采用安全共擔的方案模型,將責任方大致分為以下三類,并分別提供安全界面,以滿足各方需求。


云服務商:重點保障基礎設施(云平臺)整體安全穩定的運行。


安全廠商:作為云服務商的延伸,提供專業的安全增值服務,比如租戶VPC邊界安全、VPC內部的虛擬網絡安全,虛擬主機的安全加固及安全防御、業務數據安全保護、安全態勢展示等服務資源。同時提供云服務商安全運營管理平臺和租戶安全管理平臺用于運維管理。


租戶:利用云服務商、安全廠商提供的安全資源和服務,對租用的VPC網絡、虛擬機、應用系統、業務數據進行安全策略配置;對業務系統進行組織結構設定、權限分配和日常運維,并對其業務安全負責。


秉持面向未來,有效保護的安全理念,深信服自適應的軟件定義云安全方案,通過旁路部署策略引流,與現有平臺實現了解耦,與需要進行差異化安全保護的租戶VPC網絡打通,為租戶提供豐富的、可編排的、精細化的安全服務,租戶通過簡單的自助服務申請、開通流程,即快速獲得對應的安全服務。云運營方可以像交付計算、存儲資源一樣進行安全服務交付,實現更簡單、更高效的安全運維與保障,為用戶提供更優質的安全交付體驗。



©2000-2019    深信服科技股份有限公司    版權所有    粵ICP備08126214號-5

粵公網安備

粵公網安備44030502002384號

pk10滚雪球计划网