云計(jì)算安全解決方案與應(yīng)用_第1頁
云計(jì)算安全解決方案與應(yīng)用_第2頁
云計(jì)算安全解決方案與應(yīng)用_第3頁
云計(jì)算安全解決方案與應(yīng)用_第4頁
云計(jì)算安全解決方案與應(yīng)用_第5頁
已閱讀5頁,還剩5頁未讀 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

1、 云計(jì)算安全解決方案與應(yīng)用 云計(jì)算技術(shù)正在不斷改變組織使用、存儲(chǔ)和共享數(shù)據(jù)、應(yīng)用程序以及工作負(fù)載的方式。但是與此同時(shí),它也引發(fā)了一系列新的安全威脅和挑戰(zhàn)。云安全聯(lián)盟(CSA)提出12大安全風(fēng)險(xiǎn)為了讓企業(yè)了解云安全問題,以便他們能夠就云安全策略做出明智的決策,云安全聯(lián)盟(CSA)于2018年1月發(fā)布了最新版本的12大頂級(jí)云安全威脅:行業(yè)見解報(bào)告,該報(bào)告重點(diǎn)聚焦了12個(gè)最嚴(yán)重的涉及云計(jì)算共享和按需特性方面的威脅。云計(jì)算建設(shè)以及使用過程中的安全風(fēng)險(xiǎn)在云計(jì)算的建設(shè)以及使用過程中,每個(gè)環(huán)節(jié)都可能導(dǎo)致安全風(fēng)險(xiǎn),諸如云計(jì)算平臺(tái)安全、管理平臺(tái)的安全等,可能導(dǎo)致的安全風(fēng)險(xiǎn)可以歸結(jié)為傳統(tǒng)信息安全風(fēng)險(xiǎn)、云計(jì)算安全平

2、臺(tái)風(fēng)險(xiǎn)、用戶訪問安全風(fēng)險(xiǎn)以及管理安全風(fēng)險(xiǎn)。 傳統(tǒng)信息安全風(fēng)險(xiǎn)雖然云計(jì)算給用戶提供了一種新型的計(jì)算、網(wǎng)絡(luò)、存儲(chǔ)環(huán)境,但是傳統(tǒng)的信息安全風(fēng)險(xiǎn)仍是不可忽視的,包括合規(guī)安全風(fēng)險(xiǎn)、數(shù)據(jù)安全風(fēng)險(xiǎn)以及安全管理風(fēng)險(xiǎn)等。云計(jì)算平臺(tái)安全風(fēng)險(xiǎn)虛擬化是目前云計(jì)算供應(yīng)商使用最廣泛的技術(shù)之一,服務(wù)器、存儲(chǔ)、網(wǎng)絡(luò)等虛擬化技術(shù)為云計(jì)算服務(wù)提供了基礎(chǔ)技術(shù)支持,解決了資源利用率、資源提供的自動(dòng)擴(kuò)展等問題,虛擬化技術(shù)在提供便利的同時(shí)也帶來了大量安全風(fēng)險(xiǎn),比如虛擬化自身的安全漏洞、虛擬機(jī)間流量交換等問題。目前,在主流虛擬化技術(shù)(KVM、Xen、VMware等)中虛擬化漏洞廣泛存在。Hypervisor(虛擬化管理軟件)作為虛擬機(jī)的底

3、層一旦存在漏洞,將危及運(yùn)行其上的所有虛擬機(jī)本身,甚至將影響虛擬化以下的宿主機(jī)本身的安全。同時(shí),在云計(jì)算環(huán)境中,有多種不同的虛擬化管理組件,比如虛擬機(jī)監(jiān)視器、網(wǎng)絡(luò)策略控制器,存儲(chǔ)控制器等等,這些都是實(shí)現(xiàn)多租戶共享硬件并隔離業(yè)務(wù)和數(shù)據(jù)的核心組件,一旦這些虛擬化管理軟件類的漏洞被惡意人員所利用,那么租戶的安全就無法得到有效保障。在虛擬化環(huán)境下,單臺(tái)物理服務(wù)器上的各虛擬機(jī)之間可能存在二層流量交換,而這部分流量對(duì)于管理員來說是不可見的。在這種情況下,管理員需要判斷虛擬機(jī)之間的訪問是否符合預(yù)定的安全策略,或者需要考慮如何設(shè)置策略以便實(shí)現(xiàn)對(duì)虛擬機(jī)之間流量的訪問控制。服務(wù)提供商通過接口或者API讓客戶與云平臺(tái)

4、進(jìn)行交互,一些第三方組織基于這些接口為客戶提供增值服務(wù),遠(yuǎn)程訪問機(jī)制以及Web瀏覽器的使用也增加了這些接口的漏洞存在并被利用的可能性。用戶訪問安全風(fēng)險(xiǎn)云環(huán)境中,各個(gè)云應(yīng)用屬于不同的安全管理域,每個(gè)安全域都管理著本地的資源和用戶。攻擊者可能會(huì)假冒合法用戶進(jìn)行一些非法活動(dòng),例如竊取用戶數(shù)據(jù)、篡改用戶數(shù)據(jù)等等。安全管理體系風(fēng)險(xiǎn)客戶把大部分?jǐn)?shù)據(jù)控制權(quán)交給了提供商,但服務(wù)水平協(xié)議中不可能面面俱到地詳細(xì)指明提供商對(duì)各安全問題的承諾。更進(jìn)一步的,云提供商可能把服務(wù)外包給第三方,而后者可能不提供在服務(wù)水平協(xié)議中指出的問題保證。由于云中存儲(chǔ)大量的用戶業(yè)務(wù)數(shù)據(jù)、隱私信息或其他有價(jià)值信息,因此很容易受到攻擊,這些攻

5、擊可能來自于竊取服務(wù)或數(shù)據(jù)的惡意攻擊者、濫用資源的合法云計(jì)算用戶或者云計(jì)算運(yùn)營商內(nèi)部人員,當(dāng)遇到嚴(yán)重攻擊時(shí),云計(jì)算系統(tǒng)將可能面臨崩潰的危險(xiǎn),無法提供高可靠性的服務(wù)。云計(jì)算安全防護(hù)理念啟明星辰的安全防護(hù)理念從結(jié)構(gòu)上保障云系統(tǒng)及租戶的安全,將云計(jì)算安全分為云平臺(tái)安全和云租戶安全,云服務(wù)商主要負(fù)責(zé)云平臺(tái)安全保障,云安全服務(wù)商主要負(fù)責(zé)云租戶安全保障,同時(shí)云安全服務(wù)商協(xié)助租戶對(duì)云服務(wù)商進(jìn)行監(jiān)督和審計(jì),該異構(gòu)模式可以保障租戶的安全能力最大化。啟明星辰針對(duì)云安全風(fēng)險(xiǎn)提供六大云安全能力抵御各類風(fēng)險(xiǎn)與威脅,云安全交付模式滿足云平臺(tái)安全和租戶個(gè)性化安全,同時(shí)滿足合規(guī)要求; 云架構(gòu)安全即云自身物理環(huán)境安全及虛擬環(huán)境

6、安全,云架構(gòu)安全能力是云平臺(tái)整體解決方案基礎(chǔ); 云邊界安全包括物理網(wǎng)絡(luò)邊界與云內(nèi)區(qū)域邊界;云租戶安全幫助保障云內(nèi)業(yè)務(wù)安全運(yùn)行,對(duì)租戶云上業(yè)務(wù)系統(tǒng)提供有效防護(hù); 數(shù)據(jù)安全是云上業(yè)務(wù)安全系統(tǒng)的核心,提供數(shù)據(jù)在云環(huán)境下全生命周期安全防護(hù)能力; 云安全管理平臺(tái)通過統(tǒng)一安全運(yùn)營中心管理多地多租戶的安全資源,對(duì)云中安全事件和安全風(fēng)險(xiǎn)進(jìn)行智能分析,感知云內(nèi)威脅并發(fā)現(xiàn)未知威脅,多維度分析結(jié)果動(dòng)態(tài)關(guān)聯(lián)各項(xiàng)安全能力; 云安全服務(wù)基于專業(yè)化安全分析團(tuán)隊(duì)和自動(dòng)化工具,可為云租戶提供云上等保合規(guī)咨詢、安全檢測、安全分析、安全響應(yīng)及其他應(yīng)急服務(wù)。?云計(jì)算安全防護(hù)方案云安全方案架構(gòu)在云計(jì)算的架構(gòu)下,云計(jì)算開放網(wǎng)絡(luò)和業(yè)務(wù)共享

7、場景更加復(fù)雜多變,安全性方面的挑戰(zhàn)更加嚴(yán)峻,一些新型的安全問題變得比較突出,如多個(gè)虛擬機(jī)租戶間并行業(yè)務(wù)的安全運(yùn)行,海量數(shù)據(jù)的安全存儲(chǔ)等。啟明星辰云安全防護(hù)的主要對(duì)象分為:云平臺(tái)、云租戶、云上業(yè)務(wù)系統(tǒng)等,以此滿足客戶的個(gè)性化安全需求。云安全方案建設(shè)參考等保2.0標(biāo)準(zhǔn)規(guī)范基本要求及云計(jì)算擴(kuò)展要求,啟明星辰提出了從組織建設(shè)、制度流程、技術(shù)工具、人員能力四個(gè)維度出發(fā),重點(diǎn)實(shí)現(xiàn)和評(píng)估云安全等級(jí)保護(hù)能力。 南北向防護(hù)介紹在云平臺(tái)出口,部署防火墻與抗DDOS等邊界防護(hù)產(chǎn)品,實(shí)現(xiàn)對(duì)南北向流量的拒絕服務(wù)攻擊防護(hù)、訪問控制、入侵檢測、入侵防御、WAF、防病毒、VPN和邊界隔離等安全防護(hù)。在核心交換機(jī)旁,部署面向多

8、租戶的安全資源池。安全資源池容納了專業(yè)而強(qiáng)大的安全產(chǎn)品,實(shí)現(xiàn)對(duì)南北向流量的防護(hù)、檢測與審計(jì),也可同時(shí)對(duì)云租戶、云上業(yè)務(wù)系統(tǒng)進(jìn)行防護(hù)。東西向防護(hù)介紹通過在核心交換機(jī)上設(shè)置策略路由,將東西流量牽引到安全資源池進(jìn)行訪問控制和安全防護(hù);在租戶間使用虛擬防火墻、虛擬IPS等虛擬安全產(chǎn)品建立完善的軟件定義安全防護(hù)鏈實(shí)現(xiàn)租戶間東西向的安全防護(hù);同時(shí),可對(duì)租戶云安全資源池中的安全產(chǎn)品進(jìn)行深度分析與聯(lián)動(dòng),實(shí)現(xiàn)整體閉環(huán)體系。云安全管理平臺(tái)云安全管理平臺(tái)可分別提供面向租戶的云租戶安全門戶和面向云安全管理員的安全管理門戶。相對(duì)傳統(tǒng)的網(wǎng)絡(luò)架構(gòu),云環(huán)境在技術(shù)架構(gòu)、管理架構(gòu)、服務(wù)架構(gòu)包括安全邊界方面都有很大的變化,對(duì)安全綜

9、合監(jiān)控管理也帶來了新的挑戰(zhàn)和要求。云安全管理平臺(tái)將綜合云計(jì)算的特點(diǎn),從雙視角出發(fā),構(gòu)建全方位防護(hù)體系,將安全能力統(tǒng)一管理,建立可視化運(yùn)維及監(jiān)控響應(yīng)體系,滿足云計(jì)算等級(jí)保護(hù)要求,實(shí)現(xiàn)云安全的集中監(jiān)測、運(yùn)維管理、安全服務(wù)等能力。云計(jì)算安全實(shí)踐案例典型拓?fù)溆脩魞r(jià)值 平臺(tái)高效運(yùn)行、有效提升資源利用率通過在服務(wù)器上部署啟明安全資源池,實(shí)現(xiàn)計(jì)算資源、存儲(chǔ)資源、網(wǎng)絡(luò)資源池化,改變?cè)械?“單機(jī)單用”部署模式,可以做到按需分配資源、按需部署安全服務(wù),大大提升了資源使用率。統(tǒng)一云管平臺(tái)管理,實(shí)現(xiàn)便捷、高效運(yùn)維管理通過啟明云安全資源池管理平臺(tái)軟件實(shí)現(xiàn)對(duì)虛擬資源、各安全服務(wù)統(tǒng)一監(jiān)控和管理,借助訂單時(shí)流程實(shí)現(xiàn)一鍵式部署安全服務(wù)、自動(dòng)化運(yùn)維手段 ,大大降低運(yùn)維管理難度,很好保證運(yùn)維效率。分布式部署、靈活擴(kuò)展,持續(xù)提升安全能力通過虛擬化資源池實(shí)現(xiàn),后期業(yè)務(wù)擴(kuò)展和安全擴(kuò)容,只需要增加硬件服務(wù)器及資源池相關(guān)授權(quán)即可實(shí)現(xiàn)快速安全能力橫向擴(kuò)展。立體式的安全防護(hù),產(chǎn)生協(xié)同效應(yīng),并滿足合規(guī)需求劃分業(yè)務(wù)區(qū)域及邊界,進(jìn)行全方位的安全防護(hù),讓業(yè)務(wù)邊界清晰,業(yè)務(wù)安全得到保障,滿足信息化建設(shè)需要,保證企業(yè)利益。

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論