云計算安全解決方案與應(yīng)用

1、 云計算安全解決方案與應(yīng)用 云計算技術(shù)正在不斷改變組織使用、存儲和共享數(shù)據(jù)、應(yīng)用程序以及工作負(fù)載的方式。但是與此同時，它也引發(fā)了一系列新的安全威脅和挑戰(zhàn)。云安全聯(lián)盟（CSA）提出12大安全風(fēng)險為了讓企業(yè)了解云安全問題，以便他們能夠就云安全策略做出明智的決策，云安全聯(lián)盟(CSA)于2018年1月發(fā)布了最新版本的12大頂級云安全威脅：行業(yè)見解報告，該報告重點(diǎn)聚焦了12個最嚴(yán)重的涉及云計算共享和按需特性方面的威脅。云計算建設(shè)以及使用過程中的安全風(fēng)險在云計算的建設(shè)以及使用過程中，每個環(huán)節(jié)都可能導(dǎo)致安全風(fēng)險，諸如云計算平臺安全、管理平臺的安全等，可能導(dǎo)致的安全風(fēng)險可以歸結(jié)為傳統(tǒng)信息安全風(fēng)險、云計算安全平

2、臺風(fēng)險、用戶訪問安全風(fēng)險以及管理安全風(fēng)險。 傳統(tǒng)信息安全風(fēng)險雖然云計算給用戶提供了一種新型的計算、網(wǎng)絡(luò)、存儲環(huán)境，但是傳統(tǒng)的信息安全風(fēng)險仍是不可忽視的，包括合規(guī)安全風(fēng)險、數(shù)據(jù)安全風(fēng)險以及安全管理風(fēng)險等。云計算平臺安全風(fēng)險虛擬化是目前云計算供應(yīng)商使用最廣泛的技術(shù)之一，服務(wù)器、存儲、網(wǎng)絡(luò)等虛擬化技術(shù)為云計算服務(wù)提供了基礎(chǔ)技術(shù)支持，解決了資源利用率、資源提供的自動擴(kuò)展等問題，虛擬化技術(shù)在提供便利的同時也帶來了大量安全風(fēng)險，比如虛擬化自身的安全漏洞、虛擬機(jī)間流量交換等問題。目前，在主流虛擬化技術(shù)(KVM、Xen、VMware等)中虛擬化漏洞廣泛存在。Hypervisor（虛擬化管理軟件）作為虛擬機(jī)的底

3、層一旦存在漏洞，將危及運(yùn)行其上的所有虛擬機(jī)本身，甚至將影響虛擬化以下的宿主機(jī)本身的安全。同時，在云計算環(huán)境中，有多種不同的虛擬化管理組件，比如虛擬機(jī)監(jiān)視器、網(wǎng)絡(luò)策略控制器，存儲控制器等等，這些都是實現(xiàn)多租戶共享硬件并隔離業(yè)務(wù)和數(shù)據(jù)的核心組件，一旦這些虛擬化管理軟件類的漏洞被惡意人員所利用，那么租戶的安全就無法得到有效保障。在虛擬化環(huán)境下，單臺物理服務(wù)器上的各虛擬機(jī)之間可能存在二層流量交換，而這部分流量對于管理員來說是不可見的。在這種情況下，管理員需要判斷虛擬機(jī)之間的訪問是否符合預(yù)定的安全策略，或者需要考慮如何設(shè)置策略以便實現(xiàn)對虛擬機(jī)之間流量的訪問控制。服務(wù)提供商通過接口或者API讓客戶與云平臺

4、進(jìn)行交互，一些第三方組織基于這些接口為客戶提供增值服務(wù)，遠(yuǎn)程訪問機(jī)制以及Web瀏覽器的使用也增加了這些接口的漏洞存在并被利用的可能性。用戶訪問安全風(fēng)險云環(huán)境中，各個云應(yīng)用屬于不同的安全管理域，每個安全域都管理著本地的資源和用戶。攻擊者可能會假冒合法用戶進(jìn)行一些非法活動，例如竊取用戶數(shù)據(jù)、篡改用戶數(shù)據(jù)等等。安全管理體系風(fēng)險客戶把大部分?jǐn)?shù)據(jù)控制權(quán)交給了提供商，但服務(wù)水平協(xié)議中不可能面面俱到地詳細(xì)指明提供商對各安全問題的承諾。更進(jìn)一步的，云提供商可能把服務(wù)外包給第三方，而后者可能不提供在服務(wù)水平協(xié)議中指出的問題保證。由于云中存儲大量的用戶業(yè)務(wù)數(shù)據(jù)、隱私信息或其他有價值信息，因此很容易受到攻擊，這些攻

5、擊可能來自于竊取服務(wù)或數(shù)據(jù)的惡意攻擊者、濫用資源的合法云計算用戶或者云計算運(yùn)營商內(nèi)部人員，當(dāng)遇到嚴(yán)重攻擊時，云計算系統(tǒng)將可能面臨崩潰的危險，無法提供高可靠性的服務(wù)。云計算安全防護(hù)理念啟明星辰的安全防護(hù)理念從結(jié)構(gòu)上保障云系統(tǒng)及租戶的安全，將云計算安全分為云平臺安全和云租戶安全，云服務(wù)商主要負(fù)責(zé)云平臺安全保障，云安全服務(wù)商主要負(fù)責(zé)云租戶安全保障，同時云安全服務(wù)商協(xié)助租戶對云服務(wù)商進(jìn)行監(jiān)督和審計，該異構(gòu)模式可以保障租戶的安全能力最大化。啟明星辰針對云安全風(fēng)險提供六大云安全能力抵御各類風(fēng)險與威脅，云安全交付模式滿足云平臺安全和租戶個性化安全，同時滿足合規(guī)要求； 云架構(gòu)安全即云自身物理環(huán)境安全及虛擬環(huán)境

6、安全，云架構(gòu)安全能力是云平臺整體解決方案基礎(chǔ)； 云邊界安全包括物理網(wǎng)絡(luò)邊界與云內(nèi)區(qū)域邊界；云租戶安全幫助保障云內(nèi)業(yè)務(wù)安全運(yùn)行，對租戶云上業(yè)務(wù)系統(tǒng)提供有效防護(hù)； 數(shù)據(jù)安全是云上業(yè)務(wù)安全系統(tǒng)的核心，提供數(shù)據(jù)在云環(huán)境下全生命周期安全防護(hù)能力； 云安全管理平臺通過統(tǒng)一安全運(yùn)營中心管理多地多租戶的安全資源，對云中安全事件和安全風(fēng)險進(jìn)行智能分析，感知云內(nèi)威脅并發(fā)現(xiàn)未知威脅，多維度分析結(jié)果動態(tài)關(guān)聯(lián)各項安全能力； 云安全服務(wù)基于專業(yè)化安全分析團(tuán)隊和自動化工具，可為云租戶提供云上等保合規(guī)咨詢、安全檢測、安全分析、安全響應(yīng)及其他應(yīng)急服務(wù)。?云計算安全防護(hù)方案云安全方案架構(gòu)在云計算的架構(gòu)下，云計算開放網(wǎng)絡(luò)和業(yè)務(wù)共享

7、場景更加復(fù)雜多變，安全性方面的挑戰(zhàn)更加嚴(yán)峻，一些新型的安全問題變得比較突出，如多個虛擬機(jī)租戶間并行業(yè)務(wù)的安全運(yùn)行，海量數(shù)據(jù)的安全存儲等。啟明星辰云安全防護(hù)的主要對象分為：云平臺、云租戶、云上業(yè)務(wù)系統(tǒng)等，以此滿足客戶的個性化安全需求。云安全方案建設(shè)參考等保2.0標(biāo)準(zhǔn)規(guī)范基本要求及云計算擴(kuò)展要求，啟明星辰提出了從組織建設(shè)、制度流程、技術(shù)工具、人員能力四個維度出發(fā)，重點(diǎn)實現(xiàn)和評估云安全等級保護(hù)能力。 南北向防護(hù)介紹在云平臺出口，部署防火墻與抗DDOS等邊界防護(hù)產(chǎn)品，實現(xiàn)對南北向流量的拒絕服務(wù)攻擊防護(hù)、訪問控制、入侵檢測、入侵防御、WAF、防病毒、VPN和邊界隔離等安全防護(hù)。在核心交換機(jī)旁，部署面向多

8、租戶的安全資源池。安全資源池容納了專業(yè)而強(qiáng)大的安全產(chǎn)品，實現(xiàn)對南北向流量的防護(hù)、檢測與審計，也可同時對云租戶、云上業(yè)務(wù)系統(tǒng)進(jìn)行防護(hù)。東西向防護(hù)介紹通過在核心交換機(jī)上設(shè)置策略路由，將東西流量牽引到安全資源池進(jìn)行訪問控制和安全防護(hù)；在租戶間使用虛擬防火墻、虛擬IPS等虛擬安全產(chǎn)品建立完善的軟件定義安全防護(hù)鏈實現(xiàn)租戶間東西向的安全防護(hù)；同時，可對租戶云安全資源池中的安全產(chǎn)品進(jìn)行深度分析與聯(lián)動，實現(xiàn)整體閉環(huán)體系。云安全管理平臺云安全管理平臺可分別提供面向租戶的云租戶安全門戶和面向云安全管理員的安全管理門戶。相對傳統(tǒng)的網(wǎng)絡(luò)架構(gòu)，云環(huán)境在技術(shù)架構(gòu)、管理架構(gòu)、服務(wù)架構(gòu)包括安全邊界方面都有很大的變化，對安全綜

9、合監(jiān)控管理也帶來了新的挑戰(zhàn)和要求。云安全管理平臺將綜合云計算的特點(diǎn)，從雙視角出發(fā)，構(gòu)建全方位防護(hù)體系，將安全能力統(tǒng)一管理，建立可視化運(yùn)維及監(jiān)控響應(yīng)體系，滿足云計算等級保護(hù)要求，實現(xiàn)云安全的集中監(jiān)測、運(yùn)維管理、安全服務(wù)等能力。云計算安全實踐案例典型拓?fù)溆脩魞r值 平臺高效運(yùn)行、有效提升資源利用率通過在服務(wù)器上部署啟明安全資源池，實現(xiàn)計算資源、存儲資源、網(wǎng)絡(luò)資源池化，改變原有的 “單機(jī)單用”部署模式，可以做到按需分配資源、按需部署安全服務(wù)，大大提升了資源使用率。統(tǒng)一云管平臺管理，實現(xiàn)便捷、高效運(yùn)維管理通過啟明云安全資源池管理平臺軟件實現(xiàn)對虛擬資源、各安全服務(wù)統(tǒng)一監(jiān)控和管理，借助訂單時流程實現(xiàn)一鍵式部署安全服務(wù)、自動化運(yùn)維手段 ，大大降低運(yùn)維管理難度，很好保證運(yùn)維效率。分布式部署、靈活擴(kuò)展，持續(xù)提升安全能力通過虛擬化資源池實現(xiàn)，后期業(yè)務(wù)擴(kuò)展和安全擴(kuò)容，只需要增加硬件服務(wù)器及資源池相關(guān)授權(quán)即可實現(xiàn)快速安全能力橫向擴(kuò)展。立體式的安全防護(hù)，產(chǎn)生協(xié)同效應(yīng)，并滿足合規(guī)需求劃分業(yè)務(wù)區(qū)域及邊界，進(jìn)行全方位的安全防護(hù)，讓業(yè)務(wù)邊界清晰，業(yè)務(wù)安全得到保障，滿足信息化建設(shè)需要，保證企業(yè)利益。