關於雲租戶安全建設的思路分享
隨著企業雲化的深入,安全策略成為企業雲上建設需要著重考慮的問題,如何安全有效的使用雲端計算開展自己的業務?本篇文章將簡單分享雲租戶的安全建設思路:知己知彼,將安全風險控制在可接受範圍之內。
(一)知已
瞭解自己可能是最難的,也可能是最重要的。不同企業擁有不同的雲上系統或專案,而業務系統或專案有著不同的重要程度,企業首先要做的就是分析自己的業務系統,根據業務系統的重要程度及安全收益率進行安全預算安排。
(二)知彼
企業雲上業務系統在運營過程中,面臨諸多安全威脅,有效識別出可能的安全威脅來源,是構建雲安全防禦體系的前提。那麼,企業雲上業務系統可能面臨哪些安全威脅?
(1)網路層:拒絕服務攻擊
分散式拒絕服務攻擊(DDoS),是最暴力、血腥、有效的攻擊方式,可直接導致企業雲上業務系統頻寬堵塞。
(2)主機層:雲主機入侵攻擊
雲主機是企業雲上業務系統的重要承載,攻擊者通過暴力破解或配置漏洞等缺陷入侵雲主機,用以構建殭屍網路、竊取資料及敲詐勒索等。
(3)應用層:Web應用漏洞攻擊
企業雲上業務系統對外提供服務的諸多系統採用HTTP/S應用協議(Web),攻擊者利用Web服務可能存在的諸多漏洞進行攻擊,竊取業務系統資料或許可權等。
(4)資料層:資料竊取或篡改
雲上業務系統資料在傳輸過程中經過網際網路,可能被中途竊取或篡改,造成資料完整性和機密性受到影響。
(5)運維層:運維人員違規風險操作
企業雲上業務系統需要內部人員進行運維操作,如何防範高風險的運維操作至關重要。
(6)合規層:國家等級保護
2017年6月,國家網路安全法開始實施,企業安全建設不僅僅是內部驅動,同時也有法律驅動。
(三)安全風險控制
企業梳理了雲上業務系統的重要程度,結合可能會面臨的安全風險,開始構建雲上的安全體系:
(1)雲上業務系統架構
通過使用雲上VPC(私有網路),構建屬於雲租戶的、邏輯隔離的網路環境。在私有網路中,建立指定網斷的VPC,並在VPC中建立子網、自主管理雲資源,同時可通過網路ACL實現安全防護。
(2)服務埠梳理
企業梳理各業務系統的開放IP、埠及服務等,僅放開必須開放的IP、埠服務等,減小受攻擊面。
(3)安全配置基線
企業根據自身情況,制定雲上系統的內部基線配置並落地實施,例如Linux系統安全配置基線(共享賬號檢查、多餘賬號鎖定策略、ROOT遠端賬戶登入限制、口令複雜度策略、口令最長生存期策略、目錄許可權控制等)。
(4)雲安全方案
- 採用高防服務,控制網路層面臨的拒絕服務攻擊風險;
- 採用Web應用防火牆,控制應用層面臨的Web應用漏洞攻擊風險;
- 採用主機入侵檢測,控制雲主機面臨的暴力破解、漏洞攻擊及木馬風險;
- 採用SSL證書和資料庫審計,控制資料傳輸和處理過程中面臨的竊取、篡改等風險;
- 採用堡壘機,控制企業內部運維人員違規運維風險;
- 採用等保諮詢服務,滿足國家網路安全等級保護合規要求。
(5)應急響應方案
安全是相對的,沒有絕對的安全。企業應構建自己的安全應急響應團隊或採用第三方應急響應服務,應對可能發生的安全事件。
(四)寫在最後
安全體系的建設離不開對安全技術知識的全面瞭解,除了相關的思路方法,我們也整理了一張安全工程師的技術學習圖譜,希望這張圖譜能幫助大家更好的理解、掌握安全領域知識體系。需要明確的是,世間萬事不可一概而論,具體問題下還需要結合實際情況具體分析,實踐方能出真知。
網站圖片壓縮會導致部分內容不清晰,感興趣的讀者可以點選連結免費下載高清電子版: ofollow,noindex"> https:// static.ucloud.cn/002cbb a594444c92a18a59ee370e6254.jpg