云安全相关技术介绍
云安全技术研究
云安全技术研究一、概述随着云计算技术的不断发展,云安全问题越来越受到人们的关注。
云安全技术研究主要围绕如何保障云计算服务的可信性、可用性、保密性和完整性等方面展开。
本文从云计算安全漏洞、云安全技术标准、云安全管理与监控和云安全防护等方面进行介绍和讨论。
二、云计算安全漏洞云计算安全漏洞是指允许恶意攻击者利用云计算环境进行攻击的技术缺陷或安全漏洞。
云计算安全漏洞可能导致数据泄漏、数据损坏、服务瘫痪等安全问题,给云计算服务带来威胁。
云计算安全漏洞包括磁盘劫持、内存劫持、虚拟机逃逸、数据隔离缺陷等。
其中,虚拟机逃逸是一种严重的云计算安全漏洞,攻击者通过虚拟机中的漏洞,从而获取主机系统控制权,造成严重影响。
为了防止云计算安全漏洞的发生,需要加强代码审查、加强访问控制、加强加密保护等措施。
三、云安全技术标准为了保障云计算服务的可靠性和安全性,各个国家和地区都制定了相应的云安全技术标准,提出了一些具体的技术要求和安全管理规范。
美国国家标准与技术研究所(NIST)推出了云计算安全参考架构,为云计算的安全运营提供了基础框架和指南。
欧盟则制定了《云计算安全认证规范》,确保云服务的信息安全达到规定标准。
国内也有相应的技术规范,如《云计算服务安全等级保护指南》等。
四、云安全管理与监控云安全管理与监控是保障云安全的重要环节之一。
云安全管理与监控主要包括云安全策略制定、云安全事件响应、云安全日志管理等。
云安全策略制定是制定云安全政策和措施的过程,包括风险评估和安全要求设计。
云安全事件响应是出现安全事件后对事件进行应对和解决的过程。
云安全日志管理是对云计算环境进行记录和审计的过程,能够及时发现和解决云安全问题。
云安全管理与监控也可以利用大数据技术进行实现。
利用大数据技术,云安全管理人员可以更加全面地了解云计算环境的安全情况,及时发现和解决安全问题。
五、云安全防护云安全防护是指保障云计算环境安全的一系列技术和措施。
云安全防护主要包括云安全入侵检测、云安全漏洞分析、云安全数据恢复等。
云安全主要考虑的关键技术有哪些
云安全主要考虑的关键技术有哪些随着云计算的不断发展和广泛应用,云安全成为了云计算领域的一个重要议题。
云安全的目标是保护云计算环境中的数据和应用免受恶意攻击、数据泄露和其他安全威胁。
为了实现这一目标,云安全需要依靠一系列的关键技术。
本文将介绍云安全主要考虑的关键技术。
1. 访问控制与身份认证访问控制是云安全的基础,它可以通过身份认证、授权和审计来限制用户对云环境的访问。
身份认证技术包括密码、双因素认证、生物特征识别等方式,确保只有经过认证的用户才能访问云环境。
授权机制可以根据用户的角色、权限和策略来限制用户对云资源的访问和操作。
审计技术可以追踪用户的操作记录,并监测和记录可能的安全事件。
2. 数据加密与保护数据加密是保护云环境中数据安全的重要技术之一。
数据在传输和存储过程中需要加密,以防止数据被未经授权的用户访问和窃取。
同时,云服务提供商需要使用有效的加密算法和密钥管理方法来保护用户数据的机密性和完整性。
此外,数据的备份和灾难恢复也需要采用安全的方式来保护备份数据的机密性。
3. 虚拟化安全云计算环境通常采用虚拟化技术来实现资源的隔离和共享。
然而,虚拟化技术也带来了新的安全挑战。
云环境中的虚拟机之间可能存在互相干扰的问题,恶意虚拟机可能会尝试获取其他虚拟机的敏感信息。
为了保护虚拟环境的安全,需要采取有效的虚拟机监控和隔离机制,以防止虚拟机之间的攻击和信息泄露。
4. 威胁检测与防护云计算环境中存在各种各样的威胁和攻击,如DDoS攻击、恶意软件、内部攻击等。
为了及时发现和应对这些威胁,云安全需要具备有效的威胁检测和防护机制。
这些机制包括入侵检测系统(IDS)、入侵防御系统(IPS)以及安全事件和信息管理系统(SIEM)等。
这些技术可以帮助云服务提供商快速发现异常行为、分析安全事件并采取相应的应对措施。
5. 合规性与法规遵循云计算环境中涉及到大量用户的敏感信息和个人数据,因此必须遵守相关法规和合规性要求,如GDPR(通用数据保护条例)、HIPAA(健康保险可移植性与责任法案)等。
云计算中的云安全特征技术介绍
云计算中的云安全特征技术介绍随着云计算的广泛应用,云安全问题已经成为了业界非常关注的话题。
云计算中的云安全特征技术是保障云计算安全性的重要手段之一。
云计算中的云安全特征技术依靠云计算平台的功能,在不影响用户使用的情况下提高云计算的安全性。
本文将对几种常见的云安全特征技术进行介绍。
一、虚拟化安全虚拟化是云计算的支柱技术之一,同时也带来了许多安全问题。
虚拟化安全用于保证虚拟机的安全,防止恶意进程的攻击,保护云计算所托管的数据不被破坏、提高数据的隔离性、保护虚拟机的机密性和隐私性等。
虚拟化技术主要从两个方面保证云计算的安全:一是通过技术手段加强虚拟机的安全性,二是通过加固虚拟化平台的安全性。
虚拟化安全主要包括以下几个方面:(1)虚拟机监控:为了加强虚拟机的隔离,监控虚拟机之间的交互和虚拟机与云平台的通信。
(2)虚拟化加密:用于保护虚拟机内的数据安全。
(3)防御恶意虚拟机:为了避免恶意虚拟机没有被淘汰就对云计算平台产生破坏性影响,应加强对虚拟机的检测,在发现恶意虚拟机时定期清除。
(4)攻击检测:用于检测虚拟机内的攻击行为,及时发现和拦截恶意行为。
(5)反外部开发者:主要是为了防止外部开发者在云环境中授权访问和建立虚拟主机,从而保证数据的安全。
二、访问控制云环境中,访问控制主要是通过对用户访问权限的管理来保证数据的安全。
访问控制技术主要包括身份认证、授权管理和日志审计等。
(1)身份认证:对用户进行身份验证,最常用的认证方式是帐号密码认证和数字认证。
(2)授权管理:留足后门访问控制建设,应按照需求进行分级授权,规定访问范围和权限,保证用户所访问的资源及数据不被未授权的人员直接或间接访问。
(3)日志审计:记录用户访问记录,用于监管和追踪用户行为,及时向管理层报告异常情况。
三、云安全威胁监测和风险评估云环境中有很多安全威胁,如数据泄露、拒绝服务攻击、漏洞利用等。
因此,检测和评估云安全风险非常必要。
(1)云安全威胁监测:用于监控虚拟机内的行为,及时发现和拦截恶意行为。
浅析云安全技术及实现
d ・
Co u e a No.1 01 mp t r Er 0 2 2
浅 析 云 安全 技 术及 实现
张 春 明 ( 宁对 外经 贸学院 ,辽 宁 大连 1 6 5 ) 辽 102
摘 要 :云计 算具 有 巨大商机 , 同时也 面临着潜在 的 巨大风险 , 但 云安全 问题是 云计算发展 的重要 障碍 。应 用云安全技
Zh n Ch n n ag u mi g
(io i nvrt f it n t n lbsns n cnmi ,D l n ioig 16 5 ,C ia Lann u i sy o e ai a uiesa d eoo c ai ,La nn 1 0 2 hn ) g ei nr o s a
0 引 言
的安 全风险 。云计算发 展 中存在 着隔离失败 风险 、 合规风 险 、
的 问题 。
众所 周知 , 云计算有着 巨大商机 , 与此 同时 , 也存在着 巨大 1 云 安全
11 云 安 全产 生 .
管理 界面损害 风险 、 数据删 除不彻底风 险 、 内部威胁 风险等众 云安全 ( o d S cry紧随云计算之后 出现 , ci u eui ) t 它是 网络 时 多运 营和使用 风险 , 但这些 都只是一般 性风 险 , 不是主要风 代信息安全 的最新体现 , 而 它融合 了并行处理 、 计算 、 网格 未知病 险 。云 汁算 当前最 重要 、 最核心 的风 险是 国家安 全风 险和企 毒行为判断等新兴技术和概念 , 通过 网状 的大 量客户端对 网络 业 经济信 息 失控风 险 。就 国家安全 风险而 言 , 哥伦 比亚 电 中软件 行为 的异 常监测 , 前 获取 互联 网中木 马 、 恶意程 序的最新 视 台新闻频道 总裁在其 撰写 的报 告 中已明确 指 出 :随着世 界 信息 , “ 并发送 到服务器 端进行 自动分析和处 理 , 再把病 毒和木 的变化 , 美国 的未来也需 重新定位 , 不过 云计算是 美国可 以重 马 的解 决方案分 发到每 一个 客 户端 。未来 杀毒软件将 无法有 申其全球 经济 和技 术带头 人地 位的 重要领 域 ” 。应 该说 , 云 效地处 理 日益增 多的恶 意程 序 。来 自互联 网的主要威 胁正在 “ 计算 ” 的提 出和快 速发展 , 正好 为美国提供 了新 的机会 。就 经 由电脑 病毒转 向恶意程序及 木马 , 在这 样的情况 下 , 原有 的特
云安全的五大解决方案
云安全的五大解决方案在互联网时代,数据安全是数字化时代的重要问题。
随着云计算技术的发展,越来越多的企业开始将其业务部署到云端。
而随着云计算规模的扩大,云数据安全也变得更加重要。
本文将介绍云安全的五大解决方案。
一、数据加密数据加密是保护云数据安全的第一步。
加密技术可以在数据传输和存储过程中对数据进行加密,从而保障云端数据的安全。
在数据传输过程中使用SSL和TLS等加密协议,确保数据在传输过程中不被黑客攻击、窃听、篡改或盗用。
对于云数据存储,使用强大的加密算法对数据进行加密,防止黑客和恶意软件的攻击。
同时,为了保护数据的隐私性和安全性,在存储云数据时,建议采用分布式存储技术,把数据加密后分散到不同的存储服务器上,从而提高数据的安全性。
二、访问控制访问控制是保护云数据安全的重要方案之一。
通过设置严格的访问控制规则,可以有效防止黑客攻击和内部数据泄露。
企业应该为每个用户分配一个唯一的账户和密码,并要求用户定期更改密码。
同时,为了防止热门密码被黑客猜测破解,建议采用多因素认证技术,比如短信验证、指纹识别、面部识别等。
在云平台中,还应该设置与权限相关的策略,限制用户访问云平台资源,并控制用户能够执行的操作。
三、网络安全网络安全涉及到网络通信和传输数据过程中的安全性。
云平台网络安全包括以下内容:网络分层:采用多层网络架构,确保数据的安全传输。
流量监测与分析:设置防火墙、IDS和IPS等,实时监测网络流量,识别并阻止黑客入侵。
防DDOS攻击:使用防火墙和流量清洗器,防止DDOS攻击,确保平台安全可靠。
四、备份与恢复任何云计算平台都应该拥有完整的备份和紧急恢复机制,以应对不可预知的意外事件。
建议在备份和恢复策略中考虑以下要素:数据备份:定期备份数据,确保在数据丢失或遭到破坏时能够有效恢复。
备份存储:确保备份数据的安全性,将备份储存在不同的数据中心中,并采用加密存储技术。
紧急恢复计划:建立完整的紧急恢复计划,确保在遭受意外情况时企业能够快速有效地处理数据恢复流程。
云计算安全标准及防御技术
云计算安全标准及防御技术一、云计算安全标准随着云计算技术的发展,越来越多的企业将应用程序和数据存储在云端,大大提高了数据的灵活性和便利性,但在此同时,云计算安全问题也变得越来越重要。
为了确保云计算的安全性,各国政府和企业都在制定相关的云计算安全标准。
下面我们来了解一些国际标准和行业标准。
1、国际云计算安全标准目前,国际上较为通用的云计算安全标准有ISO/IEC 27001、NIST SP800系列、CSA等。
其中,ISO/IEC 27001是一系列管理信息安全的标准,主要针对企业信息安全进行规范,为云计算企业提供了保证信息安全的基础。
NIST SP800系列标准则是针对美国国家标准和技术研究院制定的云计算安全标准,覆盖了云计算中的各个方面,如身份认证、数据隐私保护、加密等。
CSA也是一个国际云计算安全标准组织,旨在提供云计算自愿管理的条款和公开的清单,以帮助企业在云计算中保护数据和应用程序的安全。
2、国内云计算安全标准我国也制定了一系列的云计算安全标准,主要包括GB/T 31150、GB/T 35273、GB/Z 42011等标准。
GB/T 31150是我国云计算数据中心安全评估规范,对评估方法、评估要求和评估内容进行了详细的规定。
GB/T 35273是我国云计算安全分类与评估规范,主要从云计算基本概念、评估对象、评估范围和评估流程等方面进行规范。
GB/Z 42011是我国云计算基础服务安全要求和评估规范,对云计算基础服务的网络、存储、计算等方面进行了详细规定。
二、云计算安全防御技术除了标准的制定,云计算安全还需要依靠技术手段进行防御。
下面介绍一些主要的云计算安全防御技术。
1、虚拟化安全技术虚拟化技术是云计算的核心技术,但也对虚拟环境中的安全提出了更高的要求。
虚拟化安全技术主要包括虚拟化安全监测、虚拟化防火墙和虚拟网络安全等方面,可以增强云计算虚拟机的安全性。
2、数据隐私保护技术云计算中的数据安全是最受关注的问题之一,因此数据隐私保护技术显得尤为重要。
云安全基础与架构设计
云安全基础与架构设计云计算的兴起为企业和用户提供了全新的数据存储和处理方式,然而,随之而来的安全风险也给信息技术部门带来了巨大的挑战。
在云环境中,确保数据的完整性、保密性和可用性是至关重要的。
本文将介绍云安全的基础知识,并提供一些架构设计的指导原则,以帮助组织更好地保护其云环境中的数据和系统。
一、云安全基础知识1.1 身份和访问管理在云环境中,有效的身份和访问管理是确保数据安全的关键。
这包括使用强密码、多因素认证以及针对不同用户角色的访问权限控制。
为每个用户分配适当的权限,可以减少潜在的安全漏洞和数据泄露的风险。
1.2 数据加密数据加密是一种重要的保护机制,可以确保数据在传输和存储过程中的安全性。
使用加密算法对敏感数据进行加密,并确保密钥的安全保存,以防止未经授权的访问和信息泄露。
1.3 安全审计和监控及时发现和应对安全事件对于云环境至关重要。
建立完善的安全审计和监控机制,能够帮助企业检测异常行为、修复漏洞并及时响应潜在的威胁。
实时监测云环境中的网络流量、日志和事件,可以提高对潜在威胁的识别和应对能力。
二、云安全架构设计原则2.1 多层次的防御机制为了应对不同类型的攻击,云环境应该采用多层次的防御机制。
这包括边界防火墙、入侵检测和入侵防御系统,以及恶意软件检测和阻止机制等。
通过多层次的保护措施,可以提高云环境的安全性,并减少潜在攻击的威胁。
2.2 弹性和容错性设计云架构应该具备弹性和容错性,即使在面临硬件故障或自然灾害等情况下,也能够保持服务的连续性和可用性。
采用冗余备份、灾备机制和自动扩展等技术,可以确保系统在面临突发事件时的稳定性和可靠性。
2.3 安全合规性云环境所涉及的数据可能会受到不同的法规和合规要求的限制,企业需要确保其云架构满足相关的安全合规性要求。
这包括个人数据保护(如GDPR)、行业标准(如PCI DSS)以及特定国家的法律法规等。
确保云环境的合规性,可以减少法律和合规方面的风险。
“云安全”的技术简析
“ 云安全 ” 应 用 像 一 阵 风 , 势 、 星、 巴斯 的 趋 瑞 卡
基、 金山等都推出了“ 云安全” 解决方案。
趋势科技的“ 云安全” 计划是以 We 信誉服务 、 b 邮
件信誉服务 、 文件信誉服务和研发 中心为基础 , 部署于 云端 , 病毒特 征码 保存 互联 网云数据库 中 , 全球 把 借助 威胁信息汇总的网络, 并将其在客户端保持最低数量, 得 以在 网络威胁 到用 户 或企业 网 络之前予 以拦截 。
1 “ 云安全 ” 的概 念
都纷纷提出了“ 云安全 ” 的概念 , 展示了基于“ 云计算” 的安全解决方案 , 并在第一 时间应用到最新 的杀毒软 件中 , 同时宣布互联 网的安全正式进入了“ 时代。 云”
2 “ 安全 ” 技术 云 的
杀 毒软件 在 与层 出不穷 的病毒 对 抗 时显得 越来 越
由于互联网上多台计算机比一台计算机掌握 的信 息更多 , 因而可 以采用分布式贝叶斯学习算法 , 在成百
上千的客户端机器上实现协同学习过程 , 收集 、 分析并
代码库来防范新病毒 的攻击 , 这样只是在作迫不得 已 的补救而已, 势必导致病毒库 1 3 益膨胀。因此 , 需要用
一
共享最新的信息 。即把互联网本身打造成一个强大的 杀毒软件 , 让病毒木马等无从下手。那么单个的计算 机也就不会再为庞大臃 肿的杀毒软件而烦 心了, 也不 会因为没有及时更新病 毒库 遭受灭顶之灾 , 所有 的防
和概念 , 通过网状 的大量客户端对网络中软件行 为的 异常监测 , 获取互联 网中木马 、 意程序的最新信息 , 恶 推送到云服务器端进行 自动分析 和处理 , 再把病毒和 木马的解决方案分发到每一个客户端。这样每一个客 户端都将成为一个病毒检测者 , 也都将是 “ 云安全” 的
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
主要内容:•从发展的脉络分析,“云安全”相关的技术使用云服务时的安全和以云服务方式提供安全两类;•介绍5大类24种云安全相关技术及其客户收益和使用建议,并从技术成熟度和市场成熟度两方面进行了评估;•分析企业使用云服务的场景,指出了国内云安全技术和市场的现状和差异及其原因;并对未来的发展进行了推测和预判;•集中介绍云安全相关的各种法规、标准和认证概述随着云计算逐渐成为主流,云安全也获得了越来越多的关注,传统和新兴的云计算厂商以及安全厂商均推出了大量云安全产品。
但是,与有清晰定义的“云计算”(NIST SP 800-145和ISO/IEC 17788)不同,业界对“云安全”从概念、技术到产品都还没有形成明确的共识。
从发展的脉络分析,“云安全”相关的技术可以分两类:一类为使用云计算服务提供防护,即使用云服务时的安全(security for using the cloud),也称云计算安全(Cloud Computing Security),一般都是新的产品品类;另一类源于传统的安全托管(hosting)服务,即以云服务方式提供安全(security provided from the cloud),也称安全即服务(Security-as-a-Service, SECaaS),通常都有对应的传统安全软件或设备产品。
云安全技术分类“安全即服务”和“云计算安全”这两类“云安全”技术的重合部分,即以云服务方式为使用云计算服务提供防护。
云计算安全基于云计算的服务模式、部署模式和参与角色等三个维度,美国国家标准技术研究院(NIST)云计算安全工作组在2013年5月发布的《云计算安全参考架构(草案)》给出了云计算安全参考架构(NCC-SRA,NIST Cloud Computing Security Reference Architecture)。
NIST云计算安全参考架构的三个构成维度:•云计算的三种服务模式:IaaS、PaaS、SaaS•云计算的四种部署模式:公有、私有、混合、社区•云计算的五种角色:提供者、消费者、代理者、承运者、审计者NIST云计算安全参考架构作为云服务的使用者,企业需要关注的以下几个子项的安全:•管理对云的使用•配置:调配各种云资源,满足业务和合规要求•可移植性和兼容性:确保企业数据和应用在必要时安全地迁移到其他云系统生态•商务支持:与云服务提供商的各种商务合作和协调•组织支持:确保企业内部的策略和流程支持对云资源的管理和使用•云生态系统统筹•支持云服务提供商对计算资源的调度和管理•功能层•包括网络、服务器、存储、操作系统、环境设置、应用功能等,不同服务模式下企业能够控制的范围不同使用不同模式的云服务(IaaS、PaaS或SaaS)时,企业对资源的控制范围不同,有不同的安全责任边界,因此需要明确自己的责任边界,适当部署对应的安全措施。
根据国家标准 GB/T 31167-2014《信息安全技术-云计算服务安全指南》规定,企业用户的控制范围主要在于虚拟化计算资源、软件平台和应用软件。
GB/T 31167-2014服务模式与控制范围的关系具体的责任分配可参考微软《云计算中的共担责任》中的说明,如下图。
不同云服务模式的共担责任安全即服务传统上,有些企业会选择安全代管服务(Managed Security Service,MSS),将设备管理、配置、响应和维护等安全相关的工作外包给专业服务厂商(Managed Security Service Provider,MSSP),以减轻企业IT和安全部门在信息安全方面的压力。
随着技术和网络的发展,部分专业安全厂商开始采取类似的策略,不再向客户出售独立的安全软件和设备,而是直接通过网络为企业提供相应的安全托管服务(hosted security service):企业只需要负责配置和管理自身的安全策略和规则等工作,而不用涉及软硬件的安装和升级维护等。
在云计算技术逐渐成熟以后,安全托管服务即由厂商通过云服务平台提供;同时,也出现了一些直接通过云服务提供的其他安全技术和产品,统称安全即服务。
按照云安全联盟(CSA,Cloud Security Alliance)发布的《云计算关键领域安全指南》(第四版,2017年7月)中介绍,SECaaS共有12类:•身份,授权和访问管理服务•云访问安全代理•Web安全•Email安全•安全评估•Web应用防火墙•入侵检测/防御•安全信息和事件管理(SIEM)•加密和密钥管理•业务连续性和灾难恢复(BC/DR)•安全管理•分布式拒绝服务保护与传统安全产品相比,SECaaS产品有诸多优势:•快速部署,即买即用。
企业不需要采购软件和硬件,在获得相应安全服务的授权后,经过简单配置即可使用。
•自动升级,免于维护。
云端服务永远处于最新状态,企业不需要配备人员对安全设备和软件进行版本升级和日常维护。
•按需采购,灵活扩张。
企业可以按当前的使用人数采购必须的安全功能,并根据需求变动随时增加或减少。
•支持移动,访问便捷。
以云服务方式提供后,安全功能可以覆盖移动用户,扩大受保护的边界。
根据企业对云计算服务的使用情况,云安全相关的主要场景可分为5大类,这里分别介绍比较有代表性的技术:•云计算安全1.租用虚拟硬件资源(IaaS),提供对外业务或内部应用2.使用云服务(PaaS或SaaS)构建内部应用3.私有云•安全即服务4.集成云服务解决业务和应用中的安全挑战5.使用云服务替代传统安全设备和方案云计算安全1.租用虚拟硬件资源(IaaS)租用云服务器等虚拟硬件资源是云计算服务的最基本模式,也是企业需要承担最多安全责任的模式。
除了确认云上业务应用本身的安全性,企业在规划租用虚拟硬件资源时,应该从三个方面分别考察相关安全技术和产品:虚拟硬件基础设施、应用底层架构和对外业务保障。
这里将分别介绍11种主要技术的相关情况:•虚拟硬件基础设施企业选择租用云服务器等虚拟硬件基础设施时,首先需要关注CSP能够提供哪些安全相关功能和如何利用这些安全功能构建可靠的云上硬件环境,为企业的云上业务和数据提供基础性的安全保障。
安全组(Security Group)技术介绍:安全组定义了一组网络访问规则,可视为虚拟防火墙,是实现云服务器间网络隔离的基本手段。
云服务器加入一个安全组后,该安全组的所有网络访问规则都将应用于该云服务器;如果一个云服务器加入了多个安全组,应用于该服务器的网络访问规则将是各安全组的合集;同一安全组内的云服务器之间能够互相通信。
客户收益:在基础网络的设定下,CSP从统一的资源池中为客户提供云服务器,安全组能够帮助客户实现以单个云服务器为基础的网络隔离,并划分安全域。
需要特别注意的是,如果使用基础网络设定,不同租户的云安全服务器在默认情况下是网络互通的。
使用建议:安全组应用于所有云服务器。
企业在使用云服务器时应仔细规划安全组的设置和信任关系,以确保在满足业务互通需求的同时实现有效隔离。
虚拟私有云(Virtual Private Cloud,VPC)技术介绍:VPC是指CSP在公有资源池中为客户划分出的私有网络区域。
与企业内部的物理网络类似,VPC在提供公网地址(IP)作为访问接口的同时,内部可自定义私有IP地址段,并可继续为VPC内部的云服务器建立安全组。
客户收益:使用VPC时,企业在云上的网络架构与传统的物理网络基本一致,且同一租户的不同VPC之间也不能直接通信。
企业也可以将内部或IDC的物理网络与VPC通过专线、VPN 或GRE等直接连接以构建混合云业务。
使用建议:VPC能为企业的云上资源提供网络隔离,防止其他租户嗅探或攻击;同时,由于设定的固定网段等限制,也将影响网络架构的弹性扩展。
企业需要妥善规划和管理网络,设置路由策略和访问控制规则,并根据业务需求及时作出调整。
微隔离(Microsegmentation)技术介绍:微隔离技术将网络划分成多个小的功能分区,对各功能区设置细致的访问控制策略,并可以根据需要通过软件随时进行调整。
微隔离的实现主要基于网络(VLAN、VPN、SDN/NFV)或平台(如hypervisor、操作系统、容器等)的固有特性,或者通过防火墙等第三方设备以及主机客户端实现。
客户收益:微隔离技术在网络分段和隔离的基础上增加虚拟化和自动化,实现了按应用和功能的业务逻辑对网络访问进行控制。
由于网络访问规则与业务逻辑一致,攻击者能获得的攻击面较小,也难以利用系统漏洞进行渗透;同时,即使黑客突破防御边界,由于不同应用的业务逻辑不同,对一个区域的成功渗透也很难用作攻击其他区域或应用的跳板,黑客在内网渗透的难度将明显提高。
使用建议:建议企业了解相关技术和产品的发展,保持关注。
如果部署使用,微隔离形成的分区应具有类似的功能,在业务流程上尽可能一致;跨分区的网络通信必须符合策略设置,且被记录;安全事件发生后,可疑分区将被迅速隔离。
另外,除了应该仔细规划各分区的组成和跨分区通信规则,还应该注意避免过度分区影响正常业务。
软件定义边界(Software-Defined Perimeter ,SDP)技术介绍:SDP架构也称“黑云”,使企业对外隐藏内部的网络和应用,并使用策略控制对内部网络的接入和内部应用的访问,主要由SDP控制器和SDP主机组成。
SDP控制器分析连接请求以及发起方和接收方的各种信息,基于设定的策略判断是否接受或发起连接;SDP主机控制数据通路,收集连接的相关信息,并根据SDP控制器的判断接受或发起连接。
客户收益:随着各种云服务和移动设备的广泛使用,传统上用于划定安全区的网络边界越来越难以清晰定义;同时,黑客获得传统安全区内设备的控制权也变得容易和常见。
通过严格控制对内部网络的接入和应用访问,SDP帮助企业有效隐藏信息并缩小攻击面。
使用建议:随着用户来源和应用部署方式越来越多样,SDP的作用和好处将更为突出,企业的IT和安全人员应保持关注,并在条件允许的情况下开始试验性部署。
云资源管理和监控技术介绍:云资源监控和管理平台(应用或服务)为企业呈现云服务器的CPU、内存、磁盘和网络等云资源的利用率,以及存储等各项云服务的负载和性能,对异常的消耗和中断等做出告警,并提供相关报表以供进一步分析,有些厂商还能提供优化建议,降低在云资源上的支出。
客户收益:云资源监控和管理平台能够帮助企业监控云资源的使用情况,保障业务运行,并为企业优化云资源配置提供建议,提高云资源利用率并降低成本。
使用建议:根据云上业务的重要程度,企业应尽量对云资源的使用进行专门的监控和管理,以保证业务的平稳运行。
•应用底层架构基于安全的云上硬件环境,企业在部署业务应用前,需要设计和搭建应用底层架构。
与传统硬件环境相比,在云上搭建应用底层架构更便捷,也更灵活,并能利用新技术进一步提高可靠性和安全性。