[[261882]]

云計算、大數(shù)據(jù)、人工智能的飛速發(fā)展，給從云到端的安全及個人信息等方面帶來極大挑戰(zhàn)。數(shù)字化時代，由于云計算風險集中，導致大規(guī)模安全風險的出現(xiàn)，讓網(wǎng)絡(luò)安全形勢更加嚴峻，企業(yè)對云安全也越來越重視。華云數(shù)據(jù)本期“智匯華云”專欄將為您解讀云安全運營管理架構(gòu)及實踐。

云安全是信息化建設(shè)中的大型工程，一個可管理、可運營的服務(wù)平臺是保障云系統(tǒng)安全、持續(xù)、有序運轉(zhuǎn)的基石。同時，安全服務(wù)能力需要考慮云計算環(huán)境的攻擊特點，構(gòu)建網(wǎng)絡(luò)、主機、應(yīng)用和數(shù)據(jù)等立體化的防護手段。

那么，如何構(gòu)建一個穩(wěn)定可運營的云安全平臺，為企業(yè)業(yè)務(wù)保駕護航?本期華云大咖說將與您分享華云數(shù)據(jù)云安全運營管理解決方案。

精彩言論

1、不同的組織對云安全有相應(yīng)的定義，但邏輯上是一致的，是一脈相承的。

云安全聯(lián)盟CSA標準根據(jù)ISO/IEC(國際電工委員會)17789:2014定義的云計算層次框架(資源層、服務(wù)層、訪問層、用戶層和跨層功能)，并結(jié)合安全業(yè)務(wù)特點，定義云計算安全技術(shù)要求框架。用戶層是用戶接口。通過該接口，云服務(wù)客戶和云服務(wù)提供者及其云服務(wù)進行交互，執(zhí)行與客戶相關(guān)的管理活動，監(jiān)控云服務(wù)。訪問層提供對服務(wù)層能力進行手動和自動訪問的通用接口。這些能力既包含服務(wù)能力，也包含管理能力和業(yè)務(wù)能力。物理層分為物理資源和資源抽象與控制兩部分。服務(wù)層是對云服務(wù)提供者所提供服務(wù)的實現(xiàn)，包含和控制實現(xiàn)服務(wù)所需的軟件組件，并安排通過訪問層為用戶提供云服務(wù)。安全服務(wù)即以服務(wù)的方式提供的安全能力，云服務(wù)提供者可通過提供安全服務(wù)協(xié)助客戶做好客戶安全責任范圍內(nèi)的安全防護。

云等保2.0對云計算安全防護的定義是用戶通過安全的通信網(wǎng)絡(luò)以網(wǎng)絡(luò)直接訪問、API接口訪問和Web服務(wù)訪問等方式安全地訪問云服務(wù)商提供的安全計算環(huán)境。安全計算環(huán)境包括資源層安全和服務(wù)層安全。資源層分為物理資源和虛擬資源，需要明確物理資源安全設(shè)計技術(shù)要求和虛擬資源安全設(shè)計要求。服務(wù)層是對云服務(wù)商所提供服務(wù)的實現(xiàn)，包含實現(xiàn)服務(wù)所需的軟件組件，根據(jù)服務(wù)模式不同，云服務(wù)商和云服務(wù)客戶承擔的安全責任不同。服務(wù)層安全設(shè)計需要明確云服務(wù)商控制的資源范圍內(nèi)的安全設(shè)計技術(shù)要求，并且云服務(wù)商可以通過提供安全接口和安全服務(wù)為云服務(wù)客戶提供安全技術(shù)和安全防護能力。云計算環(huán)境的系統(tǒng)管理、安全管理和安全審計由安全管理中心統(tǒng)一管控。結(jié)合本框架對不同等級的云計算環(huán)境進行安全技術(shù)設(shè)計，同時通過服務(wù)層安全支持對不同等級云服務(wù)客戶端(業(yè)務(wù)系統(tǒng))的安全設(shè)計。

2、華云數(shù)據(jù)云安全設(shè)計思路遵循了提升風險預(yù)測能力、提升縱深防御能力、提升持續(xù)檢測能力和提升快速響應(yīng)能力四大部分。其中，風險預(yù)測包含了制定應(yīng)急預(yù)案、安全應(yīng)急演練、滲透測試與攻防演練、業(yè)務(wù)/平臺安全評估四部分。全面防御包括 按照等保要求設(shè)計云平臺內(nèi)部云化防御手段，云平臺邊界、通信網(wǎng)絡(luò)防御手段，針對業(yè)務(wù)與數(shù)據(jù)提供配套防御手段，以及提供配置權(quán)限防御手段。快速相應(yīng)包括對安全事件研判、對安全事件處置，進行事件分析總結(jié)與改進。而持續(xù)檢測包括按等保要求提供多種實時告警方式，進行安全監(jiān)測信息與審計集中管理，以及分層、分權(quán)、分級進行安全審計。

3、華云數(shù)據(jù)進行了多層面縱深安全防護：華云云平臺底層采用安全的操作系統(tǒng)、中間件和數(shù)據(jù)庫系統(tǒng)，同時對系統(tǒng)內(nèi)核進行加固。華云云平臺底層操作系統(tǒng)，根據(jù)系統(tǒng)功能最小化原則進行優(yōu)化，只安裝所需的組件，不安裝其它無關(guān)組件，降低被攻擊風險。配置底層操作系統(tǒng)的服務(wù)和端口，禁用不必要的服務(wù)，修改必要服務(wù)的端口。對系統(tǒng)文件進行有效的保護，防止被篡改和替換。設(shè)置操作系統(tǒng)的賬號密碼策略，配置賬號密碼強度、賬號鎖定策略。修改操作系統(tǒng)默認權(quán)限值。 開啟操作系統(tǒng)安全審計，設(shè)置操作系統(tǒng)安全審計策略。集成第三方漏洞掃描和防病毒等技術(shù)。

4、在保證平臺高可用方面需要很多辦法：首先要保證故障自動恢復(fù)。計算節(jié)點宕機，運行在該節(jié)點上的VM會在其他計算節(jié)點重新啟動;重啟系統(tǒng)大約在3分鐘以內(nèi)，服務(wù)啟動取決于服務(wù)本身;所有需要高可用保護的業(yè)務(wù)云主機。在線遷移是一個內(nèi)存同步的過程;內(nèi)存切換過程所產(chǎn)生的延時微小，對用戶無感知;適用于計算節(jié)點需要維護、或者負載過高，需要將VM遷移至其他計算節(jié)點位置的場景。之后，需要豐富的數(shù)據(jù)可靠技術(shù)，包括多副本技術(shù)、端到端校驗、數(shù)據(jù)重建恢復(fù)以及全冗余架構(gòu)。此外，還需要保證組件的高可用。

5、在安全防護領(lǐng)域，安全的區(qū)域邊界的保護非常重要，包括了身份認證、基于角色的訪問控制、密鑰對訪問、Https傳輸協(xié)議。

6、云上租戶安全包含了數(shù)據(jù)安全、應(yīng)用安全、主機安全和網(wǎng)絡(luò)安全四部分。其中網(wǎng)絡(luò)安全是用戶非常重視的。為了保障網(wǎng)絡(luò)安全，可以采用多種方式。租戶隔離：確保不同的租戶只能訪問自身的資源，不可訪問其他租戶的資源。針對不同租戶可以設(shè)定資源配額，有效在租戶間控制資源使用。安全組：允許或禁止安全組內(nèi)的云主機對公網(wǎng)或私網(wǎng)的訪問。安全組是重要的網(wǎng)絡(luò)安全隔離手段，用于在云端劃分安全域。云防火墻：云防火墻可以統(tǒng)一管理互聯(lián)網(wǎng)到業(yè)務(wù)的訪問控制策略(南北向)和業(yè)務(wù)與業(yè)務(wù)之間的微隔離策略(東西向)。流量隔離：生產(chǎn)網(wǎng)絡(luò)與非生產(chǎn)網(wǎng)絡(luò)進行安全隔離，從非生產(chǎn)網(wǎng)絡(luò)不能直接訪問生產(chǎn)網(wǎng)絡(luò)的任何服務(wù)器和網(wǎng)絡(luò)設(shè)備,確保云服務(wù)網(wǎng)絡(luò)無法法訪問物理網(wǎng)絡(luò)。

7、主機安全提供一種全方位服務(wù)器安全平臺，旨在保護數(shù)據(jù)中心和云平臺免遭數(shù)據(jù)泄露和業(yè)務(wù)中斷，提供防惡意軟件、Web信譽、防火墻、入侵阻止、完整性監(jiān)控和日志檢查，以確保物理、虛擬和云環(huán)境中服務(wù)器的應(yīng)用程序以及數(shù)據(jù)的安全。

8、在保證應(yīng)用安全方面，會采用系統(tǒng)漏洞掃描、WEB安全漏洞監(jiān)控，并采用云Web應(yīng)用防火墻的部署、網(wǎng)頁防篡改等方式來進行。

9、保證數(shù)據(jù)安全，需要進行鏡像加固、剩余信息保護、數(shù)據(jù)保密性、數(shù)據(jù)備份恢復(fù)。運維安全要注重日志記錄、平臺監(jiān)控、三權(quán)分立以及操作安全管理。

10、隨著混合云的廣泛應(yīng)用，法律風險增高，管理更復(fù)雜、故障定位難、而且安全新隱患會層出不窮，如云計算的開放性對接口安全提出新的要求;基于云的業(yè)務(wù)模式，給數(shù)據(jù)安全的保護提出了更高的要求;傳統(tǒng)基于物理安全邊界的防護機制在云計算的環(huán)境難以得到有效的應(yīng)用。

11、華云數(shù)據(jù)混合云平臺擁有完備的云安全管理架構(gòu)，華云數(shù)據(jù)新一代云平臺CloudUltra®4為客戶提供對私有云資源和公有云資源的統(tǒng)一管理能力，例如，資源配額統(tǒng)一劃分，統(tǒng)一計量，統(tǒng)一Web界面。支持納管的華云公有云服務(wù)包括：云主機、云硬盤、私有網(wǎng)絡(luò)、路由器、公網(wǎng)IP、防火墻、鏡像、密鑰對。華云云安全平臺關(guān)注運營、關(guān)注資產(chǎn)，采用立體防護的方式，誤報率極低，能夠做到提升效率，關(guān)注外部風險的同事對內(nèi)部違規(guī)事件進行審計。