云計算技術正在不斷改變組織使用、存儲和共享數據、應用程序以及工作負載的方式。但是與此同時,它也引發了一系列新的安全威脅和挑戰。
云安全聯盟(CSA)提出12大安全風險
為了讓企業了解云安全問題,以便他們能夠就云安全策略做出明智的決策,云安全聯盟(CSA)于2018年1月發布了最新版本的《12大頂級云安全威脅:行業見解報告》,該報告重點聚焦了12個最嚴重的涉及云計算共享和按需特性方面的威脅。
云計算建設以及使用過程中的安全風險
在云計算的建設以及使用過程中,每個環節都可能導致安全風險,諸如云計算平臺安全、管理平臺的安全等,可能導致的安全風險可以歸結為傳統信息安全風險、云計算安全平臺風險、用戶訪問安全風險以及管理安全風險。
☆ 傳統信息安全風險
雖然云計算給用戶提供了一種新型的計算、網絡、存儲環境,但是傳統的信息安全風險仍是不可忽視的,包括合規安全風險、數據安全風險以及安全管理風險等。
☆ 云計算平臺安全風險
虛擬化是目前云計算供應商使用最廣泛的技術之一,服務器、存儲、網絡等虛擬化技術為云計算服務提供了基礎技術支持,解決了資源利用率、資源提供的自動擴展等問題,虛擬化技術在提供便利的同時也帶來了大量安全風險,比如虛擬化自身的安全漏洞、虛擬機間流量交換等問題。
目前,在主流虛擬化技術(KVM、Xen、VMware等)中虛擬化漏洞廣泛存在。Hypervisor(虛擬化管理軟件)作為虛擬機的底層一旦存在漏洞,將危及運行其上的所有虛擬機本身,甚至將影響虛擬化以下的宿主機本身的安全。
同時,在云計算環境中,有多種不同的虛擬化管理組件,比如虛擬機監視器、網絡策略控制器,存儲控制器等等,這些都是實現多租戶共享硬件并隔離業務和數據的核心組件,一旦這些虛擬化管理軟件類的漏洞被惡意人員所利用,那么租戶的安全就無法得到有效保障。
在虛擬化環境下,單臺物理服務器上的各虛擬機之間可能存在二層流量交換,而這部分流量對于管理員來說是不可見的。在這種情況下,管理員需要判斷虛擬機之間的訪問是否符合預定的安全策略,或者需要考慮如何設置策略以便實現對虛擬機之間流量的訪問控制。
服務提供商通過接口或者API讓客戶與云平臺進行交互,一些第三方組織基于這些接口為客戶提供增值服務,遠程訪問機制以及Web瀏覽器的使用也增加了這些接口的漏洞存在并被利用的可能性。
☆ 用戶訪問安全風險
云環境中,各個云應用屬于不同的安全管理域,每個安全域都管理著本地的資源和用戶。攻擊者可能會假冒合法用戶進行一些非法活動,例如竊取用戶數據、篡改用戶數據等等。
☆ 安全管理體系風險
客戶把大部分數據控制權交給了提供商,但服務水平協議中不可能面面俱到地詳細指明提供商對各安全問題的承諾。更進一步的,云提供商可能把服務外包給第三方,而后者可能不提供在服務水平協議中指出的問題保證。
由于云中存儲大量的用戶業務數據、隱私信息或其他有價值信息,因此很容易受到攻擊,這些攻擊可能來自于竊取服務或數據的惡意攻擊者、濫用資源的合法云計算用戶或者云計算運營商內部人員,當遇到嚴重攻擊時,云計算系統將可能面臨崩潰的危險,無法提供高可靠性的服務。
云計算安全防護理念
啟明星辰的安全防護理念從結構上保障云系統及租戶的安全,將云計算安全分為云平臺安全和云租戶安全,云服務商主要負責云平臺安全保障,云安全服務商主要負責云租戶安全保障,同時云安全服務商協助租戶對云服務商進行監督和審計,該異構模式可以保障租戶的安全能力最大化。
啟明星辰針對云安全風險提供六大云安全能力抵御各類風險與威脅,云安全交付模式滿足云平臺安全和租戶個性化安全,同時滿足合規要求;
● 云架構安全即云自身物理環境安全及虛擬環境安全,云架構安全能力是云平臺整體解決方案基礎;
● 云邊界安全包括物理網絡邊界與云內區域邊界;
● 云租戶安全幫助保障云內業務安全運行,對租戶云上業務系統提供有效防護;
● 數據安全是云上業務安全系統的核心,提供數據在云環境下全生命周期安全防護能力;
● 云安全管理平臺通過統一安全運營中心管理多地多租戶的安全資源,對云中安全事件和安全風險進行智能分析,感知云內威脅并發現未知威脅,多維度分析結果動態關聯各項安全能力;
● 云安全服務基于專業化安全分析團隊和自動化工具,可為云租戶提供云上等保合規咨詢、安全檢測、安全分析、安全響應及其他應急服務。
云計算安全防護方案
云安全方案架構
在云計算的架構下,云計算開放網絡和業務共享場景更加復雜多變,安全性方面的挑戰更加嚴峻,一些新型的安全問題變得比較突出,如多個虛擬機租戶間并行業務的安全運行,海量數據的安全存儲等。啟明星辰云安全防護的主要對象分為:云平臺、云租戶、云上業務系統等,以此滿足客戶的個性化安全需求。
云安全方案建設
參考等保2.0標準規范基本要求及云計算擴展要求,啟明星辰提出了從組織建設、制度流程、技術工具、人員能力四個維度出發,重點實現和評估云安全等級保護能力。
☆ 南北向防護介紹
在云平臺出口,部署防火墻與抗DDOS等邊界防護產品,實現對南北向流量的拒絕服務攻擊防護、訪問控制、入侵檢測、入侵防御、WAF、防病毒、VPN和邊界隔離等安全防護。
在核心交換機旁,部署面向多租戶的安全資源池。安全資源池容納了專業而強大的安全產品,實現對南北向流量的防護、檢測與審計,也可同時對云租戶、云上業務系統進行防護。
☆ 東西向防護介紹
通過在核心交換機上設置策略路由,將東西流量牽引到安全資源池進行訪問控制和安全防護;
在租戶間使用虛擬防火墻、虛擬IPS等虛擬安全產品建立完善的軟件定義安全防護鏈實現租戶間東西向的安全防護;
同時,可對租戶云安全資源池中的安全產品進行深度分析與聯動,實現整體閉環體系。
云安全管理平臺
云安全管理平臺可分別提供面向租戶的云租戶安全門戶和面向云安全管理員的安全管理門戶。相對傳統的網絡架構,云環境在技術架構、管理架構、服務架構包括安全邊界方面都有很大的變化,對安全綜合監控管理也帶來了新的挑戰和要求。云安全管理平臺將綜合云計算的特點,從雙視角出發,構建全方位防護體系,將安全能力統一管理,建立可視化運維及監控響應體系,滿足云計算等級保護要求,實現云安全的集中監測、運維管理、安全服務等能力。
云計算安全實踐案例
典型拓撲
用戶價值
☆ 平臺高效運行、有效提升資源利用率
通過在服務器上部署啟明安全資源池,實現計算資源、存儲資源、網絡資源池化,改變原有的 “單機單用”部署模式,可以做到按需分配資源、按需部署安全服務,大大提升了資源使用率。
☆ 統一云管平臺管理,實現便捷、高效運維管理
通過啟明云安全資源池管理平臺軟件實現對虛擬資源、各安全服務統一監控和管理,借助訂單時流程實現一鍵式部署安全服務、自動化運維手段 ,大大降低運維管理難度,很好保證運維效率。
☆ 分布式部署、靈活擴展,持續提升安全能力
通過虛擬化資源池實現,后期業務擴展和安全擴容,只需要增加硬件服務器及資源池相關授權即可實現快速安全能力橫向擴展。
☆ 立體式的安全防護,產生協同效應,并滿足合規需求
劃分業務區域及邊界,進行全方位的安全防護,讓業務邊界清晰,業務安全得到保障,滿足信息化建設需要,保證企業利益。多個虛擬安全產品并行運行,不同種類的安全產品組合在一起,產生協同效應,不但可以產生出新的安全價值,而且可以更好的高級別的安全合規要求。
典型案例
● 聯通產創云114掛號系統
● 新疆電信
● 白銀聯通
● 國家藥監局
● 國家海洋衛星中心
● 貴州農商銀行數據中心
● 西安工程大學教育云
● 四川政務云
成功對接的平臺