欧美,精品,综合,亚洲,好吊妞视频免新费观看,免费观看三级吃奶,一级a片女人自慰免费看

您當(dāng)前的位置是:  首頁 > 資訊 > 國(guó)內(nèi) >
 首頁 > 資訊 > 國(guó)內(nèi) >

深信服六問云安全

2019-06-12 10:07:57   作者:   來源:CTI論壇   評(píng)論:0  點(diǎn)擊:


  在全球數(shù)字化轉(zhuǎn)型的浪潮席卷下,越來越多的企業(yè)開始應(yīng)用云計(jì)算技術(shù)。然而,資源集中使云平臺(tái)更容易成為黑客攻擊的目標(biāo),云上安全問題也更加突出。IDC調(diào)研顯示,云計(jì)算所面臨的挑戰(zhàn)中,安全問題排在首位。且2019年RSA大會(huì)上,云安全已躍居熱詞榜首。
  那么云計(jì)算究竟面臨著哪些安全挑戰(zhàn)?今天借此文,一起來探討下云安全問題以及如何去應(yīng)對(duì)。
  一問:云安全究竟面臨著哪些威脅?
  針對(duì)這個(gè)問題,CSA云安全聯(lián)盟對(duì)行業(yè)專家進(jìn)行了一次調(diào)查,根據(jù)調(diào)查問卷結(jié)果從20個(gè)concerns中選出最嚴(yán)重的12個(gè):
  云安全面臨的威脅
 。ò凑照{(diào)查結(jié)果的嚴(yán)重程度排序)
  從這些威脅可以看到,除了第10點(diǎn)濫用和惡意使用云服務(wù)是云計(jì)算環(huán)境特有的安全威脅外,其余的都屬于通用安全威脅,比如拒絕服務(wù)、數(shù)據(jù)泄露等,無論是否在云環(huán)境都有存在的可能。因此,不妨把云上的安全威脅分為兩大類,云計(jì)算特有安全威脅,以及通用的安全威脅。
  二問:通用的安全威脅大家一般也都比較了解,那么云計(jì)算“專屬”威脅有哪些?
  要了解云計(jì)算特有安全威脅,需要先了解云架構(gòu)。以一個(gè)典型的虛擬化架構(gòu)為例,底層由硬件層,網(wǎng)絡(luò)、存儲(chǔ)、計(jì)算資源組成,往上一層是宿主機(jī)和Hypervisor,再往上運(yùn)行虛擬機(jī)。除去物理安全之外,虛擬化帶來的安全威脅包括:
  1. hypervisor層的安全威脅
  hypervisor是CPU指令和物理硬件的中介,負(fù)責(zé)協(xié)調(diào)資源分配,一旦hypervisor被攻擊,就可以威脅所有頂層的虛擬機(jī)甚至是底層的物理機(jī)。
  2. 虛擬資源的隔離機(jī)制變化
  包括計(jì)算資源隔離、存儲(chǔ)資源隔離、網(wǎng)絡(luò)資源隔離等等。在網(wǎng)絡(luò)安全里一般只談網(wǎng)絡(luò)資源的隔離,在物理形態(tài)的時(shí)候,通過防火墻進(jìn)行訪問控制就可以對(duì)物理機(jī)進(jìn)行隔離。但在虛擬化數(shù)據(jù)中心里,虛擬機(jī)之間如何做到有效的隔離,尤其是在東西向流量遠(yuǎn)遠(yuǎn)超過南北向流量的時(shí)候,東西向流量的安全問題成為云安全的一大重點(diǎn)。
  3. 虛擬機(jī)的安全威脅
  虛擬機(jī)被創(chuàng)建、遷移,需要相對(duì)應(yīng)的安全措施,虛擬機(jī)本身也是操作系統(tǒng),也需要做到操作系統(tǒng)級(jí)的安全,否則可能會(huì)產(chǎn)生虛擬機(jī)逃逸等安全問題。
  三問:前面提到這么多威脅,哪些最受關(guān)注呢?
  云本身承載著企業(yè)的數(shù)據(jù)及業(yè)務(wù),因此用戶一般關(guān)注對(duì)數(shù)據(jù)和業(yè)務(wù)會(huì)造成比較大影響的威脅。尤其云數(shù)據(jù)中心數(shù)據(jù)、算力集中,諸如數(shù)據(jù)被勒索、數(shù)據(jù)丟失、數(shù)據(jù)泄露等數(shù)據(jù)安全威脅,成為了云上安全威脅的關(guān)注重點(diǎn)。
  四問:針對(duì)這些云安全威脅,應(yīng)該如何去應(yīng)對(duì)?
  首先要確保云架構(gòu)是安全的,其次再通過技術(shù)手段來抵御通用的安全威脅。
  那么,怎么確定云架構(gòu)是安全的呢?
  首先,可以建立可信的基礎(chǔ),通過一系列的硬件+可信應(yīng)用+隔離機(jī)制的使用,實(shí)現(xiàn)整個(gè)云架構(gòu)安全可信,比如使用TPM管理方法。其次,建立基于SOA的分層安全,通過組合不同的service來開發(fā)應(yīng)用,這個(gè)接口可以是Http Service, Corba Service, Cloud Service 等等。 最后,實(shí)現(xiàn)資源、網(wǎng)絡(luò)、主機(jī)隔離。通過設(shè)置資源隔離,使得終端用戶使用虛擬機(jī)時(shí),僅能訪問屬于自己的虛擬機(jī)的資源(如硬件、軟件和數(shù)據(jù)),不能訪問其他虛擬機(jī)的資源,避免虛擬機(jī)之間的數(shù)據(jù)竊取或惡意攻擊。網(wǎng)絡(luò)隔離主要涵蓋三個(gè)方面: 通信平面的隔離、虛擬網(wǎng)絡(luò)隔離以及東西向、南北向隔離。
  主機(jī)隔離則可通過EDR以及微隔離技術(shù)來實(shí)現(xiàn)主機(jī)東西向流量的訪問控制,確保業(yè)務(wù)安全域內(nèi)部主機(jī)安全。
  對(duì)于通用安全威脅的抵御,需要先了解目前安全威脅的發(fā)展形勢(shì)。隨著黑色產(chǎn)業(yè)的不斷壯大,攻擊手段層出不窮,在防御過程中往往需要面對(duì)的是未知類型的惡意威脅。在這種情況下,僅僅靠傳統(tǒng)的防御手段很難全部防御住,威脅可能通過釣魚郵件、或者跳板等方式繞過防御體系進(jìn)入到數(shù)據(jù)中。因此組織單位需要以網(wǎng)絡(luò)、平臺(tái)、主機(jī)、應(yīng)用、管理、數(shù)據(jù)為主要防護(hù)對(duì)象,應(yīng)用人工智能、威脅情報(bào)等新興技術(shù),構(gòu)建預(yù)防、防御、的動(dòng)態(tài)安全體系,真正有效應(yīng)對(duì)未知威脅。
  與此同時(shí),針對(duì)核心關(guān)注的數(shù)據(jù)安全,構(gòu)建全生命周期的數(shù)據(jù)安全體系,而非僅僅依賴DLP。比如在數(shù)據(jù)產(chǎn)生過程中,確保數(shù)據(jù)源真實(shí)性,可追溯性。在數(shù)據(jù)傳輸過程中通過VPN技術(shù)確保數(shù)據(jù)傳輸完整性,保密性。數(shù)據(jù)存儲(chǔ)過程,關(guān)注存儲(chǔ)平臺(tái)本身存在的漏洞或者安全配置缺陷等,及時(shí)進(jìn)行脆弱性檢測(cè)。數(shù)據(jù)使用過程關(guān)注數(shù)據(jù)使用的規(guī)范,進(jìn)行全量審計(jì)及細(xì)粒度權(quán)限控制。在數(shù)據(jù)轉(zhuǎn)移共享過程,確保數(shù)據(jù)脫敏不外泄。
  五問:云安全的建設(shè)能否一蹴而就?
  安全的環(huán)境一直在變化,今天爆發(fā)了勒索,企業(yè)可能希望做勒索防御,明天爆發(fā)了數(shù)據(jù)泄漏,企業(yè)開始重視數(shù)據(jù)安全,可以說幾乎找不到完美的框架。因此,一套持續(xù)成長(zhǎng)的安全機(jī)制,要遠(yuǎn)比完美的安全架構(gòu)來得實(shí)用。建議用戶使用風(fēng)險(xiǎn)評(píng)估,對(duì)云計(jì)算和云服務(wù)進(jìn)行評(píng)估后識(shí)別出風(fēng)險(xiǎn)在哪里,進(jìn)而通過降低、規(guī)避、轉(zhuǎn)嫁、接受以及相應(yīng)的安全解決方案,進(jìn)行風(fēng)險(xiǎn)削減。當(dāng)然, 不同的企業(yè)對(duì)風(fēng)險(xiǎn)的接受程度是不同的,根據(jù)自身對(duì)風(fēng)險(xiǎn)的接受程度,來對(duì)那些被接受的風(fēng)險(xiǎn)進(jìn)行監(jiān)控和應(yīng)急響應(yīng)服務(wù)等措施來進(jìn)行兜底。
  此后,需要定期檢查云安全的薄弱環(huán)節(jié),進(jìn)而對(duì)方案進(jìn)行優(yōu)化整改,實(shí)現(xiàn)更加適用自身環(huán)境的安全方案。
  六問:等保2.0擴(kuò)展了云計(jì)算安全要求,云等保成為了很多云用戶的關(guān)注重點(diǎn),那么云等保應(yīng)該怎么建設(shè)?
  等保2.0已經(jīng)發(fā)布,云等保合規(guī)也成為了企業(yè)上云必須完成的基本要求。
  而云等保合規(guī)建設(shè)過程中,目前最大的難點(diǎn)在于平臺(tái)方、租戶方用戶權(quán)責(zé)問題,在云等保的要求里,不僅僅是對(duì)平臺(tái)建設(shè)方提出了要求,對(duì)于租戶方同樣提出了要求。但傳統(tǒng)云平臺(tái)安全架構(gòu)僅能夠?qū)τ脩籼峁┩ㄓ玫陌踩呗,不能適用于所有用戶。用戶因而不能根據(jù)自身業(yè)務(wù)需求選擇和管理安全組件,這將放大用戶業(yè)務(wù)系統(tǒng)“上云”后安全責(zé)任難以界定等風(fēng)險(xiǎn),從而對(duì)“上云”產(chǎn)生顧慮。
  因此,針對(duì)云安全建設(shè)這個(gè)問題,深信服基于用戶在等保建設(shè)中的實(shí)際需求,提供基于安全資源池的軟件定義、輕量級(jí)、快速交付的等保合規(guī)套餐,不僅能夠幫助用戶快速有效地完成云上等級(jí)保護(hù)建設(shè)、通過等保測(cè)評(píng),同時(shí)通過豐富的安全能力,可幫助用戶為各項(xiàng)業(yè)務(wù)按需提供個(gè)性化的安全增值服務(wù)。此外,為了實(shí)現(xiàn)“安全權(quán)責(zé)明晰、安全責(zé)任共擔(dān)”,深信服采用安全共擔(dān)的方案模型,將責(zé)任方大致分為以下三類,并分別提供安全界面,以滿足各方需求。
  • 云服務(wù)商:重點(diǎn)保障基礎(chǔ)設(shè)施(云平臺(tái))整體安全穩(wěn)定的運(yùn)行。
  • 安全廠商:作為云服務(wù)商的延伸,提供專業(yè)的安全增值服務(wù),比如租戶VPC邊界安全、VPC內(nèi)部的虛擬網(wǎng)絡(luò)安全,虛擬主機(jī)的安全加固及安全防御、業(yè)務(wù)數(shù)據(jù)安全保護(hù)、安全態(tài)勢(shì)展示等服務(wù)資源。同時(shí)提供云服務(wù)商安全運(yùn)營(yíng)管理平臺(tái)和租戶安全管理平臺(tái)用于運(yùn)維管理。
  • 租戶:利用云服務(wù)商、安全廠商提供的安全資源和服務(wù),對(duì)租用的VPC網(wǎng)絡(luò)、虛擬機(jī)、應(yīng)用系統(tǒng)、業(yè)務(wù)數(shù)據(jù)進(jìn)行安全策略配置;對(duì)業(yè)務(wù)系統(tǒng)進(jìn)行組織結(jié)構(gòu)設(shè)定、權(quán)限分配和日常運(yùn)維,并對(duì)其業(yè)務(wù)安全負(fù)責(zé)
  秉持面向未來,有效保護(hù)的安全理念,深信服自適應(yīng)的軟件定義云安全方案,通過旁路部署策略引流,與現(xiàn)有平臺(tái)實(shí)現(xiàn)了解耦,與需要進(jìn)行差異化安全保護(hù)的租戶VPC網(wǎng)絡(luò)打通,為租戶提供豐富的、可編排的、精細(xì)化的安全服務(wù),租戶通過簡(jiǎn)單的自助服務(wù)申請(qǐng)、開通流程,即快速獲得對(duì)應(yīng)的安全服務(wù)。云運(yùn)營(yíng)方可以像交付計(jì)算、存儲(chǔ)資源一樣進(jìn)行安全服務(wù)交付,實(shí)現(xiàn)更簡(jiǎn)單、更高效的安全運(yùn)維與保障,為用戶提供更優(yōu)質(zhì)的安全交付體驗(yàn)。
【免責(zé)聲明】本文僅代表作者本人觀點(diǎn),與CTI論壇無關(guān)。CTI論壇對(duì)文中陳述、觀點(diǎn)判斷保持中立,不對(duì)所包含內(nèi)容的準(zhǔn)確性、可靠性或完整性提供任何明示或暗示的保證。請(qǐng)讀者僅作參考,并請(qǐng)自行承擔(dān)全部責(zé)任。

專題

CTI論壇會(huì)員企業(yè)