華云大咖說:云安全運營管理架構及實踐
云計算、大數據、人工智能的飛速發展,給從云到端的安全及個人信息等方面帶來極大挑戰。數字化時代,由于云計算風險集中,導致大規模安全風險的出現,讓網絡安全形勢更加嚴峻,企業對云安全也越來越重視。華云數據本期“智匯華云”專欄將為您解讀云安全運營管理架構及實踐。
云安全是信息化建設中的大型工程,一個可管理、可運營的服務平臺是保障云系統安全、持續、有序運轉的基石。同時,安全服務能力需要考慮云計算環境的攻擊特點,構建網絡、主機、應用和數據等立體化的防護手段。
那么,如何構建一個穩定可運營的云安全平臺,為企業業務保駕護航?本期華云大咖說將與您分享華云數據云安全運營管理解決方案。
精彩言論
1、不同的組織對云安全有相應的定義,但邏輯上是一致的,是一脈相承的。
云安全聯盟CSA標準根據ISO/IEC(國際電工委員會)17789:2014定義的云計算層次框架(資源層、服務層、訪問層、用戶層和跨層功能),并結合安全業務特點,定義云計算安全技術要求框架。用戶層是用戶接口。通過該接口,云服務客戶和云服務提供者及其云服務進行交互,執行與客戶相關的管理活動,監控云服務。訪問層提供對服務層能力進行手動和自動訪問的通用接口。這些能力既包含服務能力,也包含管理能力和業務能力。物理層分為物理資源和資源抽象與控制兩部分。服務層是對云服務提供者所提供服務的實現,包含和控制實現服務所需的軟件組件,并安排通過訪問層為用戶提供云服務。安全服務即以服務的方式提供的安全能力,云服務提供者可通過提供安全服務協助客戶做好客戶安全責任范圍內的安全防護。
云等保2.0對云計算安全防護的定義是用戶通過安全的通信網絡以網絡直接訪問、API接口訪問和Web服務訪問等方式安全地訪問云服務商提供的安全計算環境。安全計算環境包括資源層安全和服務層安全。資源層分為物理資源和虛擬資源,需要明確物理資源安全設計技術要求和虛擬資源安全設計要求。服務層是對云服務商所提供服務的實現,包含實現服務所需的軟件組件,根據服務模式不同,云服務商和云服務客戶承擔的安全責任不同。服務層安全設計需要明確云服務商控制的資源范圍內的安全設計技術要求,并且云服務商可以通過提供安全接口和安全服務為云服務客戶提供安全技術和安全防護能力。云計算環境的系統管理、安全管理和安全審計由安全管理中心統一管控。結合本框架對不同等級的云計算環境進行安全技術設計,同時通過服務層安全支持對不同等級云服務客戶端(業務系統)的安全設計。
2、華云數據云安全設計思路遵循了提升風險預測能力、提升縱深防御能力、提升持續檢測能力和提升快速響應能力四大部分。其中,風險預測包含了制定應急預案、安全應急演練、滲透測試與攻防演練、業務/平臺安全評估四部分。全面防御包括 按照等保要求設計云平臺內部云化防御手段,云平臺邊界、通信網絡防御手段,針對業務與數據提供配套防御手段,以及提供配置權限防御手段。快速相應包括對安全事件研判、對安全事件處置,進行事件分析總結與改進。而持續檢測包括按等保要求提供多種實時告警方式,進行安全監測信息與審計集中管理,以及分層、分權、分級進行安全審計。
3、華云數據進行了多層面縱深安全防護:華云云平臺底層采用安全的操作系統、中間件和數據庫系統,同時對系統內核進行加固。華云云平臺底層操作系統,根據系統功能最小化原則進行優化,只安裝所需的組件,不安裝其它無關組件,降低被攻擊風險。配置底層操作系統的服務和端口,禁用不必要的服務,修改必要服務的端口。對系統文件進行有效的保護,防止被篡改和替換。設置操作系統的賬號密碼策略,配置賬號密碼強度、賬號鎖定策略。修改操作系統默認權限值。 開啟操作系統安全審計,設置操作系統安全審計策略。集成第三方漏洞掃描和防病毒等技術。
4、在保證平臺高可用方面需要很多辦法:首先要保證故障自動恢復。計算節點宕機,運行在該節點上的VM會在其他計算節點重新啟動;重啟系統大約在3分鐘以內,服務啟動取決于服務本身;所有需要高可用保護的業務云主機。在線遷移是一個內存同步的過程;內存切換過程所產生的延時微小,對用戶無感知;適用于計算節點需要維護、或者負載過高,需要將VM遷移至其他計算節點位置的場景。之后,需要豐富的數據可靠技術,包括多副本技術、端到端校驗、數據重建恢復以及全冗余架構。此外,還需要保證組件的高可用。
5、在安全防護領域,安全的區域邊界的保護非常重要,包括了身份認證、基于角色的訪問控制、密鑰對訪問、Https傳輸協議。
6、云上租戶安全包含了數據安全、應用安全、主機安全和網絡安全四部分。其中網絡安全是用戶非常重視的。為了保障網絡安全,可以采用多種方式。租戶隔離:確保不同的租戶只能訪問自身的資源,不可訪問其他租戶的資源。針對不同租戶可以設定資源配額,有效在租戶間控制資源使用。安全組:允許或禁止安全組內的云主機對公網或私網的訪問。安全組是重要的網絡安全隔離手段,用于在云端劃分安全域。云防火墻:云防火墻可以統一管理互聯網到業務的訪問控制策略(南北向)和業務與業務之間的微隔離策略(東西向)。流量隔離:生產網絡與非生產網絡進行安全隔離,從非生產網絡不能直接訪問生產網絡的任何服務器和網絡設備,確保云服務網絡無法法訪問物理網絡。
7、主機安全提供一種全方位服務器安全平臺,旨在保護數據中心和云平臺免遭數據泄露和業務中斷,提供防惡意軟件、Web信譽、防火墻、入侵阻止、完整性監控和日志檢查,以確保物理、虛擬和云環境中服務器的應用程序以及數據的安全。
8、在保證應用安全方面,會采用系統漏洞掃描、WEB安全漏洞監控,并采用云Web應用防火墻的部署、網頁防篡改等方式來進行。
9、保證數據安全,需要進行鏡像加固、剩余信息保護、數據保密性、數據備份恢復。運維安全要注重日志記錄、平臺監控、三權分立以及操作安全管理。
10、隨著混合云的廣泛應用,法律風險增高,管理更復雜、故障定位難、而且安全新隱患會層出不窮,如云計算的開放性對接口安全提出新的要求;基于云的業務模式,給數據安全的保護提出了更高的要求;傳統基于物理安全邊界的防護機制在云計算的環境難以得到有效的應用。
11、華云數據混合云平臺擁有完備的云安全管理架構,華云數據新一代云平臺CloudUltra®4為客戶提供對私有云資源和公有云資源的統一管理能力,例如,資源配額統一劃分,統一計量,統一Web界面。支持納管的華云公有云服務包括:云主機、云硬盤、私有網絡、路由器、公網IP、防火墻、鏡像、密鑰對。華云云安全平臺關注運營、關注資產,采用立體防護的方式,誤報率極低,能夠做到提升效率,關注外部風險的同事對內部違規事件進行審計。
