云計算、大數(shù)據(jù)、人工智能的飛速發(fā)展,給從云到端的安全及個人信息等方面帶來極大挑戰(zhàn)。數(shù)字化時代,由于云計算風險集中,導致大規(guī)模安全風險的出現(xiàn),讓網(wǎng)絡安全形勢更加嚴峻,企業(yè)對云安全也越來越重視。華云數(shù)據(jù)本期“智匯華云”專欄將為您解讀云安全運營管理架構(gòu)及實踐。
云安全是信息化建設(shè)中的大型工程,一個可管理、可運營的服務平臺是保障云系統(tǒng)安全、持續(xù)、有序運轉(zhuǎn)的基石。同時,安全服務能力需要考慮云計算環(huán)境的攻擊特點,構(gòu)建網(wǎng)絡、主機、應用和數(shù)據(jù)等立體化的防護手段。
那么,如何構(gòu)建一個穩(wěn)定可運營的云安全平臺,為企業(yè)業(yè)務保駕護航?本期華云大咖說將與您分享華云數(shù)據(jù)云安全運營管理解決方案。
精彩言論
1、不同的組織對云安全有相應的定義,但邏輯上是一致的,是一脈相承的。
云安全聯(lián)盟CSA標準根據(jù)ISO/IEC(國際電工委員會)17789:2014定義的云計算層次框架(資源層、服務層、訪問層、用戶層和跨層功能),并結(jié)合安全業(yè)務特點,定義云計算安全技術(shù)要求框架。用戶層是用戶接口。通過該接口,云服務客戶和云服務提供者及其云服務進行交互,執(zhí)行與客戶相關(guān)的管理活動,監(jiān)控云服務。訪問層提供對服務層能力進行手動和自動訪問的通用接口。這些能力既包含服務能力,也包含管理能力和業(yè)務能力。物理層分為物理資源和資源抽象與控制兩部分。服務層是對云服務提供者所提供服務的實現(xiàn),包含和控制實現(xiàn)服務所需的軟件組件,并安排通過訪問層為用戶提供云服務。安全服務即以服務的方式提供的安全能力,云服務提供者可通過提供安全服務協(xié)助客戶做好客戶安全責任范圍內(nèi)的安全防護。
云等保2.0對云計算安全防護的定義是用戶通過安全的通信網(wǎng)絡以網(wǎng)絡直接訪問、API接口訪問和Web服務訪問等方式安全地訪問云服務商提供的安全計算環(huán)境。安全計算環(huán)境包括資源層安全和服務層安全。資源層分為物理資源和虛擬資源,需要明確物理資源安全設(shè)計技術(shù)要求和虛擬資源安全設(shè)計要求。服務層是對云服務商所提供服務的實現(xiàn),包含實現(xiàn)服務所需的軟件組件,根據(jù)服務模式不同,云服務商和云服務客戶承擔的安全責任不同。服務層安全設(shè)計需要明確云服務商控制的資源范圍內(nèi)的安全設(shè)計技術(shù)要求,并且云服務商可以通過提供安全接口和安全服務為云服務客戶提供安全技術(shù)和安全防護能力。云計算環(huán)境的系統(tǒng)管理、安全管理和安全審計由安全管理中心統(tǒng)一管控。結(jié)合本框架對不同等級的云計算環(huán)境進行安全技術(shù)設(shè)計,同時通過服務層安全支持對不同等級云服務客戶端(業(yè)務系統(tǒng))的安全設(shè)計。
2、華云數(shù)據(jù)云安全設(shè)計思路遵循了提升風險預測能力、提升縱深防御能力、提升持續(xù)檢測能力和提升快速響應能力四大部分。其中,風險預測包含了制定應急預案、安全應急演練、滲透測試與攻防演練、業(yè)務/平臺安全評估四部分。全面防御包括 按照等保要求設(shè)計云平臺內(nèi)部云化防御手段,云平臺邊界、通信網(wǎng)絡防御手段,針對業(yè)務與數(shù)據(jù)提供配套防御手段,以及提供配置權(quán)限防御手段??焖傧鄳▽Π踩录信?、對安全事件處置,進行事件分析總結(jié)與改進。而持續(xù)檢測包括按等保要求提供多種實時告警方式,進行安全監(jiān)測信息與審計集中管理,以及分層、分權(quán)、分級進行安全審計。
3、華云數(shù)據(jù)進行了多層面縱深安全防護:華云云平臺底層采用安全的操作系統(tǒng)、中間件和數(shù)據(jù)庫系統(tǒng),同時對系統(tǒng)內(nèi)核進行加固。華云云平臺底層操作系統(tǒng),根據(jù)系統(tǒng)功能最小化原則進行優(yōu)化,只安裝所需的組件,不安裝其它無關(guān)組件,降低被攻擊風險。配置底層操作系統(tǒng)的服務和端口,禁用不必要的服務,修改必要服務的端口。對系統(tǒng)文件進行有效的保護,防止被篡改和替換。設(shè)置操作系統(tǒng)的賬號密碼策略,配置賬號密碼強度、賬號鎖定策略。修改操作系統(tǒng)默認權(quán)限值。 開啟操作系統(tǒng)安全審計,設(shè)置操作系統(tǒng)安全審計策略。集成第三方漏洞掃描和防病毒等技術(shù)。
4、在保證平臺高可用方面需要很多辦法:首先要保證故障自動恢復。計算節(jié)點宕機,運行在該節(jié)點上的VM會在其他計算節(jié)點重新啟動;重啟系統(tǒng)大約在3分鐘以內(nèi),服務啟動取決于服務本身;所有需要高可用保護的業(yè)務云主機。在線遷移是一個內(nèi)存同步的過程;內(nèi)存切換過程所產(chǎn)生的延時微小,對用戶無感知;適用于計算節(jié)點需要維護、或者負載過高,需要將VM遷移至其他計算節(jié)點位置的場景。之后,需要豐富的數(shù)據(jù)可靠技術(shù),包括多副本技術(shù)、端到端校驗、數(shù)據(jù)重建恢復以及全冗余架構(gòu)。此外,還需要保證組件的高可用。
5、在安全防護領(lǐng)域,安全的區(qū)域邊界的保護非常重要,包括了身份認證、基于角色的訪問控制、密鑰對訪問、Https傳輸協(xié)議。
6、云上租戶安全包含了數(shù)據(jù)安全、應用安全、主機安全和網(wǎng)絡安全四部分。其中網(wǎng)絡安全是用戶非常重視的。為了保障網(wǎng)絡安全,可以采用多種方式。租戶隔離:確保不同的租戶只能訪問自身的資源,不可訪問其他租戶的資源。針對不同租戶可以設(shè)定資源配額,有效在租戶間控制資源使用。安全組:允許或禁止安全組內(nèi)的云主機對公網(wǎng)或私網(wǎng)的訪問。安全組是重要的網(wǎng)絡安全隔離手段,用于在云端劃分安全域。云防火墻:云防火墻可以統(tǒng)一管理互聯(lián)網(wǎng)到業(yè)務的訪問控制策略(南北向)和業(yè)務與業(yè)務之間的微隔離策略(東西向)。流量隔離:生產(chǎn)網(wǎng)絡與非生產(chǎn)網(wǎng)絡進行安全隔離,從非生產(chǎn)網(wǎng)絡不能直接訪問生產(chǎn)網(wǎng)絡的任何服務器和網(wǎng)絡設(shè)備,確保云服務網(wǎng)絡無法法訪問物理網(wǎng)絡。
7、主機安全提供一種全方位服務器安全平臺,旨在保護數(shù)據(jù)中心和云平臺免遭數(shù)據(jù)泄露和業(yè)務中斷,提供防惡意軟件、Web信譽、防火墻、入侵阻止、完整性監(jiān)控和日志檢查,以確保物理、虛擬和云環(huán)境中服務器的應用程序以及數(shù)據(jù)的安全。
8、在保證應用安全方面,會采用系統(tǒng)漏洞掃描、WEB安全漏洞監(jiān)控,并采用云Web應用防火墻的部署、網(wǎng)頁防篡改等方式來進行。
9、保證數(shù)據(jù)安全,需要進行鏡像加固、剩余信息保護、數(shù)據(jù)保密性、數(shù)據(jù)備份恢復。運維安全要注重日志記錄、平臺監(jiān)控、三權(quán)分立以及操作安全管理。
10、隨著混合云的廣泛應用,法律風險增高,管理更復雜、故障定位難、而且安全新隱患會層出不窮,如云計算的開放性對接口安全提出新的要求;基于云的業(yè)務模式,給數(shù)據(jù)安全的保護提出了更高的要求;傳統(tǒng)基于物理安全邊界的防護機制在云計算的環(huán)境難以得到有效的應用。
11、華云數(shù)據(jù)混合云平臺擁有完備的云安全管理架構(gòu),華云數(shù)據(jù)新一代云平臺CloudUltra®4為客戶提供對私有云資源和公有云資源的統(tǒng)一管理能力,例如,資源配額統(tǒng)一劃分,統(tǒng)一計量,統(tǒng)一Web界面。支持納管的華云公有云服務包括:云主機、云硬盤、私有網(wǎng)絡、路由器、公網(wǎng)IP、防火墻、鏡像、密鑰對。華云云安全平臺關(guān)注運營、關(guān)注資產(chǎn),采用立體防護的方式,誤報率極低,能夠做到提升效率,關(guān)注外部風險的同事對內(nèi)部違規(guī)事件進行審計。
關(guān)于華云數(shù)據(jù):
華云數(shù)據(jù)集團專注于為客戶提供 “自主、安全、可控”的云計算服務,以幫助用戶采用云計算提升IT能力,實現(xiàn)業(yè)務變革。華云數(shù)據(jù)主要面向企業(yè)級用戶提供定制化私有云、混合云解決方案,同時還可以提供大數(shù)據(jù)服務、超融合產(chǎn)品、公有云、IDC轉(zhuǎn)云等服務。自2010年成立以來,華云數(shù)據(jù)不斷深入了解企業(yè)用戶需求和行業(yè)特性,是一家追求卓越的云計算服務提供商。
成立八年來,華云數(shù)據(jù)堅持自主研發(fā),獲得了512項知識產(chǎn)權(quán),在私有云、混合云、公有云和超融合領(lǐng)域均通過了相關(guān)可信云認證,獲得了軟件能力成熟度模型集成CMMI5證書,是國家課題承接單位、中國十大云計算解決方案提供商。2016年起,華云數(shù)據(jù)集團連續(xù)三年被評為中國獨角獸企業(yè); 2018年5月,進入 “中國大數(shù)據(jù)獨角獸企業(yè)TOP20榜”, 2018年7月,榮膺“2018中國互聯(lián)網(wǎng)百強企業(yè)”稱號,2018年8月,入圍“中國大數(shù)據(jù)企業(yè)50強”。2018年11月,權(quán)威咨詢機構(gòu)發(fā)布《2018年私有云市場各品牌競爭力分析》,華云數(shù)據(jù)躍入領(lǐng)導者象限,成為中國私有云廠商前三甲。2019年3月,華云數(shù)據(jù)宣布對國際領(lǐng)先超融合軟件廠商Maxta, Inc.全部資產(chǎn)完成了合法合規(guī)收購。
申請創(chuàng)業(yè)報道,分享創(chuàng)業(yè)好點子。點擊此處,共同探討創(chuàng)業(yè)新機遇!