華云數據:如何構建企業上云安全防護體系
隨著云計算業務的快速發展,國內外云計算企業的專利之爭也愈發激烈。在云計算這樣的技術領域,專利儲備往往代表著企業的技術實力。華云數據本期"智匯華云"專欄將針對"如何構建企業上云安全防護體系",與大家共同分享云計算領域的發展趨勢。
當前,網絡數字化、智能化快速發展,網絡威脅加速滲透,網絡安全面臨重大風險和挑戰。大量分散數據集中到云內,這些數據中包含的巨大信息和潛在價值吸引了更多的攻擊者,針對云上安全防護的需求也與日俱增。云安全的建設需要充分保證租戶業務安全與數據安全,要求云服務提供商能夠提供持續運營安全服務。
在數字化時代,由于云計算風險集中,導致大規模安全風險的出現,讓網絡安全形勢更加嚴峻。那么,企業上云安全該如何建設,如何才能擁有一套成熟的安全體系?華云數據作為中國云計算、大數據獨角獸企業,積極助力數字中國網絡安全體系建設,助推網絡安全生態健康發展。
2019年2月28日,華云數據集團售前方案經理屈崇凱分享了云上安全合規的解決方案及探索與實踐,助力企業開啟安全、可控的上云之路。
精彩言論
1、當前,網絡數字化、智能化快速發展,網絡威脅加速滲透,網絡安全面臨重大風險和挑戰。嚴峻的行業背景下,網絡安全技術與實踐應用、網絡安全體系及生態建設備受業界關注。互聯網是關系國民經濟和社會發展的重要基礎設施,深刻影響著全球經濟格局、利益格局和安全格局。基于互聯網協議第四版(IPv4)的全球互聯網正面臨網絡地址消耗殆盡、服務質量難以保證等問題。下一代的互聯網協議第六版(IPv6)應運而生。
2、2017年11月26日,《推進互聯網協議第六版(IPv6)規模部署行動計劃》(以下簡稱《行動計劃》)印發,對各行業IPv6遷移過渡提出明確安排和時間要求。作為國家經濟運行的重要支撐,金融行業應積極開展IPv6技術的試點研究與探索,為其全面部署落實奠定基礎。2019年1月10日,《推進互聯網協議第六版(IPv6)規模部署行動計劃》發布。《行動計劃》要求在未來5~10年間實現下一代互聯網IPv6自助產業技術體系和產業生態,并在經濟社會各領域深度融合應用,金融機構網絡將首先完成互聯網環境的IPv6規模部署。
3、對于企業而言,云安全建設需求主要有三點,其一是業務牽引,包括業務安全的積極預防,云及混合云環境是否能夠防患于未然,提前感知威脅;業務自身及環境安全,業務上云,如何保障云平臺安全、數據安全、應用安全;業務安全的持續監測,如何檢測云上業務系統面臨的各類安全威脅;業務安全的處置手段,云環境中,出問題后如何快速定位,止損溯源。其二是技術牽引,建設云安全體系。在云環境下,原有的隔離原則將會失效,原有可信的邊界日益模糊,攻擊平面增多。軟件定義安全成為趨勢,越來越多的安全軟件化、虛擬化,并支持可編程式的控制。用云方式解決安全問題會越來越普及。其三是合規快速響應,能否一站式解決新技術和新合規要求。
4、 虛擬化會帶來一些安全風險,比如虛擬機逃逸,正常情況下,同一虛擬化平臺下的客戶虛擬機之間不能互相監視、影響其他虛擬機及其進程,但虛擬化漏洞的存在或隔離方式的不正確可能會導致隔離失效,使得非特權虛擬機獲得 Hypervisor 的訪問權限。對于虛擬化平臺而言,也存在一些安全風險。虛擬機遷移時,需要先遷移虛擬機的內存等狀態信息,并傳輸虛擬機副本到新的物理機上恢復運行,黑客有較多的時間截取敏感信息。虛擬機鏡像、快照恢復的時候,由于缺乏及時的系統補丁,造成新創建的虛擬機極易遭受威脅。
5、 云資源可以靈活調配,擊破傳統安全域的便捷。同一物理機上虛擬機(業務系統)間的網絡流量無法使用傳統網絡設備進行檢測。內部病毒爆發引起的互相感染攻擊無法通過邊界安全設備控制。傳統安全策略無法感知、跟隨虛擬機的遷移。虛擬機之間的隔離主要通過虛擬化層軟件實現,無法控制同一宿主機中的其它租戶安全防護能力如果黑客利用一臺虛擬機獲得宿主機的所有資源,導致其他虛擬機沒有資源可用,將造成虛擬化環境下的拒絕服務攻擊,"鄰居"失火殃及"自己"。
6、 虛擬網絡存在風險,一方面傳統的安全域被打破,東西向流量不可見,同一宿主機中不同業務系統間的通信(東西流向),傳統(南北流向)物理安全設備無法檢測,另一方面,在超大的二層虛擬網絡中,被黑客攻破的通道很多,攻擊危害性都遠遠超過了它們在傳統網絡中的影響。因此,也帶來了安全管理方面的風險。運維人員通常使用遠程管理平臺對虛擬機進行管理,如VMware的vCenter、Citrix的XenCenter。集中管理降低了管理復雜度,但可能帶來如SQL注入等危險。
7、云計算有安全強制規范,公安部發布了《網絡安全等級保護條例》,對于大型云計算平臺,應將云計算基礎設施和有關輔助服務系統劃分為不同的定級對象。傳統安全手段無法滿足云等保合規的要求。在云環境下,云安全責任模型需要建設端到端整體安全體系,治理層次清、權責界限清,核心理念是智慧云安全,以等保合規為基礎,安全組件齊全,安全資源池滿足快速交付,日志集中審計和存放,三權分立。以軟件定義安全為架構,開放的整體架構,南向支持第三方安全組件集成,東西向,支持不同的云平臺對接,北向開放接口支持被集成。以安全運營為核心,資產同步、租戶同步,服務編排,事件監測、報警和處置,計量計費,安全服務。
