首頁 > 關于我們 > 新聞動態 > 產品動態

安全運營建設之“云端漫步”

發布時間 2019-12-19

近年來,隨著大量系統部署上云,涉及民生、企業運營的數據和個人用戶信息逐漸增多,且成為了黑產主要攝取經濟利益的目標。云平臺作為承載各類應用的關鍵基礎設施,為大數據、物聯網、人工智能等新興領域的發展提供基礎支撐,其安全重要性不言而喻。


啟明星辰北斗安全運營中心

通過自身在云安全建設的經驗積累

整理了相關意見

現與大家一起嘮一嘮

安全運營建設之“云端漫步”

~~~


云安全面臨的問題


1.安全技術問題


云平臺建設本身就是一個復雜的安全問題,多種操作系統、數據庫、中間件等存在巨大的安全挑戰。此外,云計算也面臨其特有的安全風險,主要包括虛擬化問題、分布式計算存儲以及云計算分租服務模式相關的一些安全問題,從而導致云平臺面臨著數據泄露、系統漏洞、不安全的API風險、身份、憑證和訪問管理不足等問題。


2.制度管理問題


云平臺服務商往往以高可用作為考慮的重點,專注于應用實現而疏于對安全的思考規劃,是造成安全薄弱的主要原因。另外,云服務方式面臨著安全監管難的問題(云用戶對數據擁有所有權,云提供商對數據擁有管理權,由于數據的所有權與管理權分離,云用戶對數據的管理維護、存儲備份依賴于云服務提供商),也很大程度制約了安全管理的建設。


3.安全能力問題


云服務商作為云平臺的運營方,需要提供各類安全服務能力(租戶也會提出相關要求),而云服務商對安全體系建設和服務的能力相對不足,特別是新技術、新業務使用衍生的安全問題,很大程度制約了云技術服務的應用。從本質上來看,需要建立專業安全服務能力,滿足國家相關法律法規的要求,增加企事業單位上云的信心,從長遠來看,也是非常有利于云計算發展的。


安全何所依?

曰:安全運營建設或將成為最佳解決路徑之一


對于云平臺的未來建設,安全其實已經是一個重點關注。有關機構預測隨著越來越多涉及民生的系統上云,云服務商可能會承擔更多的安全責任,也驅動云服務商更多的考慮安全規劃。另外,隨著業務與技術的發展,傳統的安全服務可能已不能滿足需求,新的安全運營模式或將解決這一難題。在具體安全運營建設規劃下,首先是安全運營的5個核心要素,即:Policy安全策略 、Professional專業人員、Product安全工具、Platform安全運營支撐平臺、Process運營流程。


安全運營核心“5P”


1.Policy安全策略


安全策略是對管理層的意圖、期望和指導方向的高級說明,旨在指導相關人員在組織的數據、資產、IT系統等安全性方面的行為,為組織內的個人提供相關指導和價值,同時也是安全行動計劃的基礎。因此在制定安全策略時,應明確各人員的職責范圍,確保每項說明清晰、可執行。此外,安全策略作為組織IT戰略的一部分,應隨著組織戰略、安全技術及環境的變化而更新,以更好地服務于組織安全。


2.Professional專業人員


如果說安全策略在整個云安全運營活動中是如同法律一般存在,那么安全人員、平臺、產品以及流程都是確保這一法律得以有效執行的重要因素。根據云安全運營的特點,至少需要配備運營管理人員、安全分析師、數據治理師三類人員才能滿足日?;竟ぷ鞯拈_展。有了角色的分類,云安全運營需對其職責進行明確的劃分,同時借助度量模型、度量指標來完成落地人員管理及績效考核。


3.Product安全工具


安全產品用于協助安全運營支持平臺進行數據采集,以及保障安全運營平臺網絡架構的合理及安全性。安全產品一般分為安全數據采集的監測工具和用于保障安全運營架構的網絡及安全產品。


4.Platform安全運營支撐平臺


安全運營支撐平臺是對云安全運營服務進行全方位的支撐與管理:一是通過7*24小時持續監測,對運營對象的安全現狀及走勢有直觀、整體的掌握,便于風險管理和安全決策;二是針對云租戶所采購的安全服務和安全運營流程,提供統一的安全運營服務管理。


5.Process運營流程


運營流程一般分為內部流程和外部流程。內部流程主要是實施云平臺內部安全運營活動所需的流程,主要包括業務流程、操作流程、分析流程和技術流程等;外部流程則主要來自于租戶和其他第三方的安全要求或安全事件處置所要求的流程。因此在面對不同租戶時,應貼合其業務系統的特征定制安全運營流程,上至運營(監管)管理下至各操作環節,確??v橫可達、環環相扣。同時,在運營過程中結合不斷變化的實際情況進行流程優化。



針對云安全運營來看,除了“5P”建設之外,還需建立閉環安全運營體系,保障安全事件處置閉環。同時也要注重云平臺的安全治理數據安全生命周期的可信管控體系建設等內容。


安全運營閉環體系


從安全治理入手 統籌云安全整體建設


云平臺的安全建設需要考慮成本與投入(安全合理投入是重點,正如攻擊者發現成本高于價值后,也會放棄攻擊一樣)。針對云平臺的安全治理是指打造可依據業務伸縮的彈性安全治理框架,落地為可在組織內重復、可測量、可持續、可防御、可持續改進且具有成本效益的安全管控體系。


? 從安全建設可持續發展來看,安全治理須從云計算服務節省的費用中提出一部分,投資到提升提供商的安全能力、應用的安全控制和正在進行的詳細評估和審計檢查中,以確保能夠持續滿足需求;


? 從落實安全管理角色和職責上,需要對云服務商,云租戶各司其職(如有第三方,應納入其考慮范圍)。另外,需要特別考慮租戶和云服務提供商間的協同治理架構和流程,如業務系統上云的標準及測量績效等;


? 從具體提供的安全服務來看,所有服務水平協議(SLA)和合同中都應該包含安全指標和標準(尤其是與法律和合規性需求相關的),這些標準和指標應是文檔記錄并可證明、可審計的。




建立數據安全生命周期的可信管控體系

 

因云平臺涉及大量的數據,其中涉及的角色復雜,不管是從政策要求還是云服務商的實際需要,數據的可信管控一直是數據安全生命周期建設的難點,包括保密性、完整性、可用性、真實性、授權、認證和不可抵賴性,以下列舉幾個方面:


數據安全生命周期


? 對于數據擁有者和云服務提供商來說,需要有明確的職責分工,確保在數據的生命周期中所使用的所有控制都是規范和可識別的;


?讓數據的擁有者來決定誰應該獲得權限和特權訪問數據,及在何種條件下可以訪問數據,并建議在默認狀態下,所有數據擁有者的雇員和云服務提供商沒有任何訪問權限;


? 采用多種數據加密機制,并且能夠根據服務的類型和數量而使用不同隔離技術;


? 建立并執行數據銷毀機制,包括數據所在位置擦除及和必要的、相關的、所有形式的數據刪除,并對這類操作進行審計。


隨著云服務商和安全企業的戰略合作逐漸興起,通過建設專業的安全運營中心統籌安全治理問題,提供全面、主動、一體化的安全能力是一種新的發展趨勢。未來,啟明星辰將繼續堅定不移地走自主創新之路,踐行“第三方獨立安全運營”的理念,為智慧城市建設提供覆蓋全行業全技術的安全能力,幫助城市提升安全能力。

上一篇 下一篇