精华内容
参与话题
问答
  • CCSK云安全认证-M2-云基础设施安全

    万次阅读 多人点赞 2020-03-05 11:54:28
    CCSK云安全认证-M2-云基础设施安全


    一.云基础设施概述

    在云计算中,基础设施有两个大层面

    • 汇聚在一起用来构建云的基础资源,这层用于构建云资源池的原始的,物理的和逻辑的计算(处理器,内存等),网络和存储资源

    • 由云用户管理的虚拟/抽象的基础设施,例如各个云平台中的服务器基础设施等,这层是从资源池中使用的计算、网络和存储资产,例如,由云用户定义和管理的虚拟网络的安全性

    二.保护虚拟网络

    2.1 云网络虚拟化

    每一个云厂商利用某种形式的虚拟网络来抽象物理网络并创建网络资源池,华为云/腾讯云/亚马逊/AWS/阿里云都具有相关专业网络VPC的

    如果作为云提供商或者私有云管理者,出于操作和安全的原因,将云的网络进行物理隔离是非常重要的

    2.2 云计算中常见的网络虚拟化
    • VLAN (虚拟局域网)
      利用现有的网络技术在大多数网络硬件实现,但其本身并不适用大规模虚拟化或者安全性,不应该作为一个网络隔离的有效的安全控制手段来考虑

    • SDN (软件定义网络)
      在顶部的一个更完整的网络硬件抽象层,SDN将网络控制平面从数据平面解耦,使得用户摆脱传统局域网的局限性,对网络进行抽象

    • SDN特点:
      1.提供有效的安全隔离边界
      2.提供软件定义的任意IP范围
      3.更好的扩展现有的网络
      4.SDN的安全优势
      5.隔离更容易,不受物理硬件的限制,构建出尽可能多的隔离网络
      6.SDN防火墙(安全组)可用于比基本硬件的防火墙更灵活标准的资产,不受物理拓扑限制
      7.与云平台的编排层相结合,使用传统的硬件或基于主机的方法,可以使用较 少的管理开销实现非常动态和粒度化的组合和策略
      8. 默认拒绝通常是起点

    2.3 微分段和软件定义的边界
    • 微分段

      微分段利用虚拟网络拓扑来运行更多、更小, 更加孤立的网络,而不用增加额外的硬件成本
      利用此功能,如果攻击者破坏单个系统,这将大 大降低爆炸半径。攻击者不能再利用此立足点扩展整个数据中心

    • 软件定义的边界

      云安全联盟软件定义边界工作组开发了 一种模型和规范,它结合了设备和用户身份验证,动态地提供对资源的网络访问和增强安全性

    • SDP三个组件

      1.连接资产的 SDP 客户机
      2.SDP 控制器,用于验证和授权 SDP 客户机并配置与 SDP 网关的连接
      3.SDP 网关,终止 SDP 客户机网络流量,在与 SDP 控制器通信时强制执行策略。

    2.4 监控和过滤

    如果两个虚拟机位于相同的物理机器上,则没有理由将机箱内的网络流量路由到网络之上,他们可以直接通讯,并且在网络上(或附加在路由器/交换机硬件)的监控和过滤 工具永远看不到流量。
    解决办法:
    (1)可以将流量路由到同一硬件(包含网络安全产品的虚拟机版本)上 的虚拟网络监控或过滤工具。
    (2)将流量桥接道网络,或路由到相同虚拟网络的 网络设施上

    云平台/提供商可能不支持直接访问网络监控。由于复杂性和成本,公有云提供商 很少允许客户进行全面数据包网络监控

    2.5 提供者 & 消费者的责任
    • 云提供商责任
      云提供商要负责建立安全的网络基础设施并正确配置。隔离和独立网络流量, 以防止租户访问其他用户的流量,这是绝对最高优先级的安全性。这是任何多租户网 络最基础的安全控制。

    • 云用户责任
      云消费者主要负责合理配置虚拟网络的部署,尤其是虚拟防火墙。云消费者负责管理器暴露控制正确权限管理及配置。当虚拟防火墙和/ 或监控不满足安全需求时,云消费者可能需要用虚拟安全设备或主机安全代理进行补偿

    2.6云提供商或私有云的其他注意事项
    • 云提供商
      供应商必须维护物理/传统网络的核心安全性,平台在其之上构建。
      保持多租户环境的分区和隔离是绝对必要的。
      供应商必须向云用户暴露安全控制措施,以便他们能够正确配置和管理其网络 安全性。
      负责实现保护环境的边界安全,但最大限度地减少对客户负 载的影响
      确保当实例被释放回到虚拟机管理程序时,任何潜在的敏感信息是被擦除了,以确保当磁盘空间被重新分配后信息不能够被另一个客户读取

    三. 云计算与负载安全

    负载概念
    负载作为一个处理单元,可以在虚拟机、容器或者其他的抽象中。负载始终运行 在处理器上并占用内存。
    对于云提供商来说,维持每一个运行在硬件栈上的云负载及其硬件的完整性都是 非常关键的

    3.1 计算抽象类型

    计算抽象类型,每一个都有不同程度的隔离性

    • 虚拟机
      虚拟机是最广为人知的计算抽象形式,所有的 IaaS 提供商都可以提供。
      威胁挑战:虚拟机有遭到内存攻击的可能性,但由于软硬件的不断改进使得隔离逐步加强, 现在变得越来越难。在现在的 hypervisor 上运行的虚拟机通常受到了有效的安全 控制,并且针对虚拟机和安全运行环境的硬件隔离不断增强也将会不断提升这些 控制能力。

    • 容器
      容器是运行在操作系统上的代码执行环境(目前),共享并充分利用操作 系统的资源。
      威胁挑战:容器提供了 一个受限的代码运行环境,只允许代码访问容器的配置定义的进程和功能。由于 容器的平台依赖性,其隔离功能不会与平台产生差异。容器也随着不同的管理系 统、底层操作系统和容器技术而快速发展。

    • 基于平台的负载
      基于平台的负载是一个更加复杂的类别,其运行在除虚拟机和容器之外的共享的平台上,如运行在共享数据库平台上的逻辑/过程。
      威胁挑战:平台提供商需要对其隔离性和安全性负全部责任,尽管提供商可能 公开某些安全选项和控件。

    • 无服务器计算
      无服务器是一个广泛的类别,主要是指云用户不需要管理任何底 层硬件或虚拟机的场景,只需要访问公开的功能。
      威胁挑战: 从安全角度上看,无服务器只不过是一个包含容器和基于平台 负载的组合项,由云提供商管理所有的底层,包括基础的安全功能和控制项。

    3.2 云对负载安全的改变

    所有的处理器和内存几乎都始终要运行多个负载,负载经常来自不同的租户。多 个租户很可能共享同一个物理计算节点,不同的物理栈上会有一系列的隔离能力。维持负载的隔离应该是云提供商的首要的责任之一。
    尽管有的平台支持指定负载运行在特定的硬件池或通用位置来提供可用性、合规性和其他需求,但是不管使用哪种部署模型,云用户都很少能够控制负载的物理的运 行位置。

    3.3 负载安全监控和日志的变化
    • 安全日志/监控在云计算中更加复杂
    • 日志中的IP地址并并一定反应一个特定的工作流,因为多个虚拟机可能在一段时间内共享相同的IP地址,而一切负载,如容器和无服务器负载可能根本没有可识别的IP地址
    • 云具有更快的变化速度,日志也需要在外部更快地被卸载和收集。
    • 日志的机构需要考虑云存储和网络消耗

    四. 管理平面安全

    • 管理平台安全
      管理平面是传统基础架构和云计算之间唯一最重大的安全差异
      管理平面控制和配置元结构,也是元结构本身的一部分,相当于管理平台及配置API,也都是API应用程序的一部分
      云管理平面负责管理资源池中的资产,云消费者负责配置他们的资产和部署到云端的资产

    • 访问管理平面
      管理平台通常是通过 API 和 Web 控制台来实现。应用程序接口允许对云的可编 程式管理。它们是将云的组件保持在一起并实现其编排的粘合剂。

    • 保障管理平面的安全(安全建议)

    • 确保 API 网关和 Web 控制台具有足够的外围安全性

    • 使用强认证和多因素认证

    • 严格控制主账户持有人/root 账户凭证并考虑双重授权访问

    • 与您的提供者建立多个账户将有助于账户粒度和限制危害范围(使用 IaaS 和 PaaS)

    • 使用独立的超管和日常管理员账户,而不是 root/主账户持有人的凭据。

    • 坚持使用最小特权账户访问元结构

    • 可能的情况下强制使用多因素身份验证

    五.业务连续性和容灾

    • 责任模型

      像安全和合规一样,业务连续性和灾难恢复(BC/DR)是双方共担的责任。云提 供方应管理其职责内的方面,云客户也应承担云服务如何使用和管理的最终责任。

    • 混沌工程
      混沌工程通常用于帮助构建弹性云部署,因为所有的云都是基于API的,所以混沌工程使用工具来选择性的降低云的某一部分,以持续性

    展开全文
  • 云安全: 紧随云计算、云存储之后,云安全也出现了。云安全是我国企业创造的概念,在国际云计算领域独树一帜 。“云安全(Cloud Security)”计划是网络时代信息安全的最新体现,它融合了并行处理、网格计算、未知...

    云安全:

    紧随云计算、云存储之后,云安全也出现了。云安全是我国企业创造的概念,在国际云计算领域独树一帜 。“云安全(Cloud Security)”计划是网络时代信息安全的最新体现,它融合了并行处理、网格计算、未知病毒行为判断等新兴技术和概念,通过网状的大量客户端对网络中软件行为的异常监测,获取互联网中木马、恶意程序的最新信息,传送到Server端进行自动分析和处理,再把病毒和木马的解决方案分发到每一个客户端。

    “云安全”是继“云计算”“云存储”之后出现的“云”技术的重要应用,是传统IT领域安全概念在云计算时代的延伸,已经在反病毒软件中取得了广泛的应用,发挥了良好的效果。在病毒与反病毒软件的技术竞争当中为反病毒软件夺得了先机。

    云安全是我国企业创造的概念,在国际云计算领域独树一帜。

    “云安全”是“云计算”技术的重要分支,已经在反病毒领域当中获得了广泛应用。云安全通过网状的大量客户端对网络中软件行为的异常监测,获取互联网中木马、恶意程序的最新信息,推送到服务端进行自动分析和处理,再把病毒和木马的解决方案分发到每一个客户端。整个互联网,变成了一个超级大的杀毒软件,这就是云安全计划的宏伟目标。

    在云计算的架构下,云计算开放网络和业务共享场景更加复杂多变,安全性方面的挑战更加严峻,一些新型的安全问题变得比较突出,如多个虚拟机租户间并行业务的安全运行,公有云中海量数据的安全存储等。由于云计算的安全问题涉及广泛,以下仅就几个主要方面进行介绍:

    • 用户身份安全问题

    云计算通过网络提供弹性可变的IT服务,用户需要登录到云端来使用应用与服务,系统需要确保使用者身份的合法性,才能为其提供服务。如果非法用户取得了用户身份,则会危及合法用户的数据和业务。

    • 共享业务安全问题

    云计算的底层架构(IaaS和PaaS层)是通过虚拟化技术实现资源共享调用,优点是资源利用率高的优点,但是共享会引入新的安全问题,一方面需要保证用户资源间的隔离,另一方面需要面向虚拟机、虚拟交换机、虚拟存储等虚拟对象的安全保护策略,这与传统的硬件上的安全策略完全不同。

    • 用户数据安全问题

    数据的安全性是用户最为关注的问题,广义的数据不仅包括客户的业务数据,还包括用户的应用程序和用户的整个业务系统。数据安全问题包括数据丢失、泄漏、篡改等。传统的IT架构中,数据是离用户很“近”的,数据离用户越“近”则越安全。而云计算架构下数据常常存储在离用户很“远”的数据中心中,需要对数据采用有效的保护措施,如多份拷贝,数据存储加密,以确保数据的安全。

    阿里云大学互联网学院:云安全专业认证考试首页

    跟随阿里云技术专家,掌握最权威云安全知识;

    从云服务器、网络安全,到云上数据、应用安全,从安全风险原理,到防护解决方案,从0开始,成为一名优秀的云上安全工程师。跟随阿里云技术专家,掌握最权威云安全知识;

    适用人群:

    云安全爱好者、开发者

    准备从事云安全的人员,其它互联网从业者或互联网安全爱好者

    学习时长:

    5个月 每周3小时,掌握大数据开发核心技术

    先修知识:

    计算机操作基础知识

    有网络、操作系统基础知识

    实战项目:

    15个场景化项目

    名师授课,掌握云安全最新实用技能

    阿里云开发者社区全面升级,一站式体验,用得更爽:(阿里云开发者社区首页

    展开全文
  • 云安全

    千次阅读 2012-10-08 10:33:08
    云计算中的安全控制其主要部分与其它IT环境中的安全控制并没有什么不同,使用云计算唯一最大的变化是共享资源的使用,即多租户环境,这种变化的影响是可信边界的移动。基于采用的云服务模型、运行模式以及提供云服务...


    云计算中的安全控制其主要部分与其它IT环境中的安全控制并没有什么不同,使用云计算唯一最大的变化是共享资源的使用,即多租户环境,这种变化的影响是可信边界的移动。基于采用的云服务模型、运行模式以及提供云服务的技术,与传统IT解决方案相比云计算可能面临不同的风险。

    云计算安全问题包括云计算安全技术的挑战,服务供应商及用户如何进行相互协作的管理方面的挑战,以及其跨地域性、多租户、虚拟化等特性带来的政府信息安全监管、隐私保护和司法取证等方面的挑战。云计算的安全问题主要还是指“云”端数据的使用安全。许多用户希望更多的数据放在“云”上,这样他们耗资更少,而得到的便利会更多。但越多的数据存于“云”中,就意味着有越多的数据被滥用的可能。云安全对云计算如此重要,下面介绍云安全主要方面的相关技术考虑。

    一、基础设施安全

    基础设施安全包括网络、主机/存储等核心IT基础设施的安全。云计算相关的所有网络层安全挑战在云计算条件下变得更加严重,但这都不是云计算所造成的,网络层面的安全控制包括网络访问控制(如防火墙),传输数据加密(如SSL、IPSec),安全事件日志,基于网络的入侵检测系统/入侵防御系统(IDS/IPS)等。

    主机层的安全问题,例如日益增长的主机边界安全的需求以及对安全增加虚拟化环境的需求,在云计算中也被扩大了,却也不是由云计算所引起的,主机层面的安全控制包括主机防火墙、访问控制、安装补丁、系统巩固、强认证、安全事件日志、基于主机的入侵检测系统/入侵防御系统等。

    基础设施的安全以及云计算相关的问题需要理清哪一方提供什么层面的安全(例如是由用户提供还是由云计算服务商提供),换句话说,需要定义信任边界。云安全架构的一个关键特点是云计算服务商所在的等级越低,用户自己所要承担的安全能力和管理职责就越多。

    二、虚拟化安全

    利用虚拟化带来的经济上的可扩展有利于加强在基础设施、平台、软件层面提供多租户云服务的能力,然而利用这些虚拟化技术也会带来其它安全问题,如果云服务的基础设施采用了虚拟机(VM)技术,这些VM系统间的隔离加固是必须要考虑的。

    虚拟操作系统管理方面的实践现状是:大多数提供缺省安全保护的进程都未被加入,因此必须特别注意如何代替它们的功能。虚拟化技术本身引入了hypervisor和其它管理模块这些新的攻击层面,但更重要的是虚拟化对网络安全带来的严重威胁,虚拟机间通过硬件的背板而不是网络进行通信,因此,这些通信流量对标准的网络安全控制来说是不可见的,无法对它们进行监测、在线封堵,类似这些安全控制功能在虚拟化环境中都需要采用新的形式。

    数据混合在集中的服务和存储中是另一需考虑的问题,云计算服务提供的集中数据在理论上应比在大量各种端点上分布的数据更安全,然而这同时也将风险集中了,增加了一次入侵可能带来的后果。

    还有一个问题是不同敏感度和安全要求的VM如何共存。在云计算中,某一最低安全保护的租户,其安全性会成为多租户虚拟环境中所有租户共有的安全性,除非设计一种新的安全结构,安全保护它们之间不会通过网络相互依赖。因此,需要考虑虚拟机的安全隔离、虚拟机镜像安全管理、虚拟化环境下的通信安全、虚拟化和物理安全设备的统一管理和可视化等技术。对不需要运行的虚拟机应当立即关闭。

    三、数据安全

    云用户和提供商需要避免数据丢失和被窃。如今,个人和企业数据加密都是强烈推荐的,甚至有些情况下是世界范围法律法规强制要求的。云用户希望他们的提供商为其加密数据,以确保无论数据物理上存储在哪里都受到保护。同样的,云提供商也需要保护其用户的敏感数据。

    强加密及密钥管理是云计算系统需要用以保护数据的一种核心机制。由于加密本身不能保证防止数据丢失,加密提供了资源保护功能,同时密钥管理则提供了对受保护资源的访问控制。

    数据安全技术包括诸如数据隔离、数据加密解密、身份认证和权限管理,保障用户信息的可用性、保密性和完整性。密码学界正在努力研究谓词加密等新方法,避免在云计算中处理数据时对数据进行解密,近期公布的完全同态加密方法所实现的加密数据处理功能,都大大地推进了云计算的数据安全。

    四、身份和访问管理安全

    管理身份和访问企业应用程序的控制仍然是当今的IT面临的最大挑战之一。虽然企业可以在没有良好的身份和访问管理策略的前提下利用若干云计算服务,但从长远来说延伸企业身份管理服务到云计算确是实现按需计算服务战略的先导。因此对企业基于云的身份和访问管理(IAM)是否准备就绪进行一个诚实的评估,以及理解云计算服务商的能力,是采纳云生态系统的必要前提。

    云中实施成功有效的身份管理必不可少的IAM功能包括:身份供应/取消供应、认证、联盟、授权和用户配置文件管理。同时还包括支持SAML、使用SPML开通用户,以及能满足各种用户和访问流程自动化需求的开放式应用程序接口等。

    企业在云计算中有效管理身份和访问控制最重要的因素是:需要在组织内构建一套强大的目录和身份联合管理功能——如体系架构和系统、用户和访问生命周期管理流程、以及审计和合规功能。对于认证云计算中的用户和服务,除了基于风险的认证方法外,还需要注意简单性和易用性。

    五、Web安全

    云计算模式中,Web应用是用户最直观的体验窗口,也是唯一的应用接口。而近几年风起云涌的各种Web攻击手段,则直接影响到云计算的顺利发展。

    “浏览器就是你的操作系统”的说法恰当地说明了浏览器的重要作用。为了达到云计算终端到终端的安全,用户保持浏览器的良好安全状态是很必要的,这就需要对浏览器安装补丁和升级以降低浏览器漏洞的威胁。此外,针对目前几种典型的云计算模式,部分厂商采取了细化应用安全防护的手段,针对不同的应用,提供专业级的网关安全产品。

    六、应用安全

    由于云环境其灵活性、开放性、以及公众可用性这些特性,在SaaS、PaaS、IaaS的所有层面,对于应用程序来说,云计算都是一个特别的挑战。基于云计算的应用软件需要经过类似于DMZ区部署的应用程序那样的严格设计。这包括深入的前期分析,涵盖传统的如何管理信息的机密性、完整性、以及可用性等方面。

    由于云计算应用程序面向公众的性质,无疑增加了软件开发生命周期的安全需求,同时也需确保API彻底经过安全测试。部署于公共云中的网络应用程序必须根据互联网威胁模型进行设计,而且必须在软件开发生命周期(SDLC)中内嵌安全。

    应用程序的安全控制手段包括软件开发生命周期内嵌安全的开发流程、“最小特权”配置、及时安装应用程序补丁、用户认证、访问控制、帐户管理、浏览器用最新的补丁加固、终端安全措施包括反病毒、入侵防御系统、基于主机的入侵检测系统、主机防火墙和用于管理的虚拟专用网络VPN等。


    尽管现在很多人呼吁使用混合云,但是一些IT管理者关心的还是把所有的生产应用移交给第三方是否会损失本地基础架构的实质投入。在这样的案例中,混合环境可以利用公有云和私有云的好处。

    但是混合云并不完美;仍旧包含了一些安全障碍。在分析维护混合云的业务和技术障碍时,要谨记下面五个问题。

    混合云安全问题1:缺少数据冗余

    公有云提供商提供重要的资源,以确保其基础架构在终端用户需要时有效且可访问。尽管云提供商进了最大努力,问题仍不可避免。

    大量宣传的宕机事件突出了将应用运转在单一数据中心且没有在其他数据中心进行故障恢复的风险。云架构师需要跨数据中心的冗余来减缓单一数据中心宕机的影响。缺少冗余对于混合云来说可能是严重的安全风险,尤其是如果数据冗余备份没有跨数据中心分布。在数据中心之间转移虚拟机(VM)实例比在大型数据集之间容易的多。

    云架构师可以使用一个厂商的多个数据中心实现冗余,或者多个公共云厂商或者是混合云。同时可以用混合云改善业务连续性,因为这并不是实现这个模型的唯一原因。同时使用来自单一厂商的多个数据中心,你可以节省成本,达到减少类似风险的水平。

    混合云安全问题2:法规遵从

    维护和证明混合云法规尊重从更加困难。你不但要确保你的公有云提供商和私有云提供商符合法规,而且你必须证明两个云之间的协调是顺从的。

    比如,如果你的企业处理支付卡数据,你可能能够证明你的内部系统和你的云提供商遵从支付卡行业数据安全标准(Payment Card Industry Data Security Standard (PCI DSS))。引入了混合云,你必须确保两个云之间的数据转移是受到保护的。

    此外,你还需要确保卡数据不会从一个私有云上的法规遵从数据中心转移到一个较少安全性的公有云存储系统。你内部系统使用的预防漏洞的方法可能不直接转化到公有云上。

    混合云安全问题3:拙劣构架的SLA

    你可能坚信你的公有云提供商能够始终如一的符合服务水平协议(SLA)中期望的详细说明,但是你的私有云是否有同样的SLA?如果没有,你可能需要基于两个云的期望创建SLA,很可能就是基于你自己的私有云了。

    在你的私有云的可用性和性能的显示工作负载下收集数据。集成公有云和私有云寻求潜在的问题都会破坏服务。例如,如果一个私有云的关键业务驱动在本地保持敏感和机密数据,然后你的SLA应该体现出在公有云中使用这些服务的限制性。

    混合云安全问题4:风险管理

    从业务角度,信息安全是管理管理风险的。云计算(尤其是混合云)使用新的应用程序接口(API),要求复杂的网络配置,并对传统的系统管理员的知识和能力范围造成挑战。

    这些因素引入了新型的威胁。云计算并不比内部基础架构一样安全,但是混合云是个复杂的系统,管理员在管理上有限的经验,可能就造成了风险。

    混合云安全问题5:安全管理

    现有的安全控制,像身份认证、授权和身份认证管理需要在公有云和私有云中共同工作。整合这些安全协议,你只能选择其一:在两个云中复制控制并保持安全数据同步,或者使用身份认证管理服务,提供单一的服务运转在云端。在计划和时间阶段分配足够的时间,以便解决这些相当复杂的整合问题。

    实现混合云引入的不仅仅是技术问题;IT管理者需要解决安全问题。通过理解和掌握这五个障碍,混合云将提供更多好处。



    自云计算服务出现以来,发生的大量安全事件已经引起了广泛关注,并进一步引发了用户对公共云服务的信任问题。从用户层面特别是大型企业用户已经开始到云端安全的必要性,在部署云服务时安全问题不容忽视,所以在提供云计算服务解决方案的方案商要对云安全有全新的深度的认识,可从产品层面、技术层面及战略层面解构云安全,方能更好的为用户提供完整的有保障的云方案。 

      产品层面

      从目前各大安全厂商推出的基于云技术的安全产品来看,云安全是基于云计算商业模式应用的安全软件,硬件,用户,机构,安全云平台的总称。它是“云计算”技术的重要分支,是P2P技术、网格技术、云计算技术等分布式计算技术混合发展、自然演化的结果,而且已经在反病毒领域当中获得了广泛应用。

      最早提出“云安全”这一概念的是趋势科技,2008年5月,趋势科技在美国正式推出了“云安全”技术。云安全的概念提出后,曾引起了广泛的争议,许多人认为它是伪命题。但事实胜于雄辩,云安全的发展像一阵风,瑞星、趋势、卡巴斯基、MCAFEE、SYMANTEC、江民科技、PANDA、金山等都推出了云安全解决方案,而且中国厂商在“云安全”的技术应用上走到了世界前列。

      技术层面

      同传统的信息化系统一样,从技术上看,云计算系统的安全漏洞是不可避免的,且由于服务网络化、数据集中化、平台共享化和参与角色多样化,云计算所面临的安全风险相对于传统信息化系统更加复杂。

      但也应该看到,在绝大多数情况下,相对于个人和中小企业用户而言,云服务提供商可以提供更加专业和完善的访问控制、攻击防范、数据备份和安全审计等安全功能,并通过统一的安全保障措施和策略对云端IT 系统进行安全升级和加固,从而提高了这部分用户系统和数据的安全水平。

      战略层面

      目前,信息技术领域逐渐被发达国家特别是美国所垄断,全球真正有实力研发和提供“云计算”服务的公司只有谷歌、微软、IBM(微博)和亚马逊等少数IT巨头。而发展中国家在技术上没有主导权,其战略选择非常有限。现在的格局是,跨国企业在“云计算”领域的咄咄逼人和各国政府对“云计算”发展的深远谋划,对我国政治、经济、科技和国家安全都形成了严峻挑战。事实上,如果我们不具备自有“云计算”实力,那么绝大多数企业和个人为了满足应用需要,将别无选择地通过如上所述的“云计算”中心存储和处理各类数据。

      因此在国家不断完善云计算、云安全相关政策及研究研发的同时,给云服务提供商、方案商提供了机会,同时方案商也有义务帮助入云企业尽快建立信息安全管理规范,确保云计算得到健康有序的发展。


    “云计算”一词正在变身一只超大容量的筐,SOA、虚拟化、SaaS、网络服务、网格都能往里装。而对计算本身而言,“云”模式让网络成为一个界面,一个标准交流插座,而这正是新一轮技术创新的动力。

      云计算(CloudComputing)正在成为技术界的行话甚至暗语。不仅Google(www.g.cn)、IBM(www.ibm.com.cn)、微软和雅虎(www.yahoo.cn)等大公司是云计算的拥趸,规模较小的公司也在逐渐向其靠拢。CRM软件在线服务提供商Salesforce.com开始称自己为云计算应用,而在此前它的定位是“取代传统软件交付”的SaaS(软件即服务)模式;Facebook(www.Facebook.cn)干脆宣称自身是云计算平台,开发人员可以在平台上开发应用并在这个平台上分发这些应用。

      “真的,我们没有创造存储、数据库、计算机或数据库功能,只是提供一种较为经济的数据处理途径。”亚马逊网络服务资深副总裁安迪·杰西说。他的部门创建于2006年,是云计算基础架构服务提供者里的先行者,《纽约时报》利用这项名为“弹性计算云”(ElasticComputeCloud)的服务在互联网上提供1851年到1922年间的该报版本。

      简单说来,云计算意味着计算资源的获得、处理、存储,信息传递和数据库都来自公司本身的四堵墙之外,而用户只需为自己使用的那部分资源埋单。在过去数年,这种计算模式也被叫做网格(GridNet)或效用计算(UtilityComputing)—在需要的时候接入它,就像使用电力网络或者自来水一样,并且只为使用的那一部分付费。同时,它的应用边际成功扩张到SOA、虚拟化、SaaS、网络服务等等领域。

      无所不能的“云”?

      就像MP3播放器杀死CD碟片,云计算的产生必然会打破旧有的计算模式,并引发在此基础上“无所不能”的热切狂想:有了高速互联网接入、近乎无限的存储空间,集结的处理能力,还有什么不能做?

      6月24日一天内,IBM同时在中国和南非的约翰内斯堡成立了两家云计算中心。在IBM的计划中,今年年底全球要建成至少10家云计算中心。IBM把自己的创意称为“蓝云(BlueCloud)”,目前至少有200位研究员专注于云计算的工作。

      “随着时间的流逝,一些老东西又以新的面貌出现了。”IBM全球创新与技术执行副总裁NickolasDonofrio感叹。近几年,IBM在数据中心高效运行方面做了很多努力,如网格计算集中了桌面电脑和其他设备,用户扩展横跨很多机器的计算工作,并且使编程更加简单。在有了远远超出当年的网络带宽和虚拟化技术之后,网格等技术借助云计算得以发扬光大。“从某种意义上说,云计算是网格计算模型自然而然的进一步发展。”IDC分析师FrankGens认为,“所不同的是,Google的编程模式以及它真正的开放性—普通人也可以编写应用程序,而不必非得是斯坦福或者卡耐基梅隆大学的博士。”

      一个展示云计算魅力的生动例子来自于Animoto,这个成立于纽约、仅18个月的公司,允许客户上传他们的图片和音乐并提供自动生成定制的基于网络的视频展示服务,人们可以和他们的朋友分享这些视频,每天约有5000个访客使用这项服务。

      今年4月中旬,Facebook的用户对这个应用产生的兴趣出现了一个小小的高潮,三天时间里有约75万人在Animoto上进行了注册。在高峰期,每小时约有两万五千人使用Animoto的服务。

      为了填补服务器的需求缺口,这家公司需要在现有基础上对服务器扩容100倍。但创办人既没有资金进行如此规模的服务器扩容,也没有技术能力和兴趣来管理这些服务器。

      所以,他们开始和Rightscale—一家位于加利福尼亚圣塔芭芭拉的云计算服务供应商合作,这家公司为亚马逊的云计算设计应用软件。通过这个合作,Animoto只需为应付三天的流量激增付费,并且不需购买或配置任何新的服务器。它把负载交给亚马逊承担,一台服务器一小时的费用只有约10美分,包含了带宽,存储和相关服务带来的一些边际成本。当服务器需求下降时,Animoto自动降低他们的服务器使用,也降低了他们的账单。

      像Facebook一样把快速反应的能力和新销售和市场渠道结合在一起正是引起软件企业对云计算产生浓厚兴趣的原因。这甚至对那些非软件行业的公司也适用—传统公司也正在改动他们的计算机架构以使用云计算。

      “事实上,云计算对技术产生的作用就像电力网络对电力应用产生的作用”,《哈佛商业评论》前执行主编NickCarr在新书《大转换》(TheBigSwitch)中比较了云计算和电力网络的发展。电力网络改进了公司的运行,当每个家庭都拥有便宜的能源和接入时,“就有了令人难以置信的创造力来利用这些便宜的能源,”Carr说。他认为云计算也会在下一个十年促成和电力网络发展类似的循环。

      安全在“云端”

      从理论上讲,云计算的强大数据运算与同步调度能力,可以极大的提升安全公司对新威胁的响应速度,同时第一时间将补丁或安全策略分发到各个分支节点。

      趋势科技全球副总裁暨大中华区执行总裁张伟钦表示,趋势早在三年前就开始关注云计算模式,探索如何将客户端日渐庞大的资料库摆在云端。

      对于传统反病毒厂商而言,云计算的引入可以极大的提升其对病毒样本的收集能力,减少威胁的响应时间。趋势科技、瑞星都已经打出了“安全云”计算口号,网络安全厂商Websense在恶意代码收集及应急响应方面也充分利用了云计算的特征,其在全球范围部署的蜜罐和网格计算的紧密结合,可以及时应对网络中不断出现的新型攻击行为,为其规则库的及时更新提供了有力的支持。

      实施安全云计算的前提是快速高效的收集用户的安全威胁。通过云计算的实施数据分析,来响应用户的安全需求。那么如何快速准确的收集用户的异常信息,成为安全云计算实施的第一个难题。

      趋势科技借助威胁信息汇总的全球网络,在Web威胁到达网络或计算机之前对其予以拦截。包括微软在内,几乎所有的安全厂商都对用户的终端设备使用情况进行实时的跟踪。

      同时,为了便于更加准确快速的获取信息,赛门铁克、趋势等厂商设立专门的“蜜罐系统”,来广泛收集网络中存在的攻击行为,“蜜罐+网格计算”的架构被认为是云计算的一种简单实现。

      ForresterResearch的分析师指出,云计算是一个具备高度扩展性和管理性并能够胜任终端用户应用软件计算基础架构的系统池。但如果每个云的基础架构都是与众不同的,假如基础架构要应用虚拟化技术,如何解决许可证授权成为实施云计算需要思考的问题。同时,需要解决云计算特权用户的访问权限,数据存储以及数据隔离等现实问题。

      市场研究公司Gartner称,安全软件将从PC端点转向云计算。在未来五年里,基于云计算的电子邮件和即时消息中恶意软件和垃圾信息检测收入占全部消息安全收入的比例将从目前的20%提高到60%。

      安全公司赛门铁克也预测了这种转变,家庭用户和企业用户将从在单个电脑上安装安全软件转向通过远程计算机在线访问安全服务。赛门铁克称,企业已经在使用代理安全服务器来减少安全软件对性能的影响。

      基于云计算的代理计算机能够提供过去在本地执行的安全服务,如强制进行身份识别、防止数据丢失、入侵检测、网络接入控制和安全漏洞管理等。

      Gartner分析师KellyKavanagh称,在云计算中提供大规模可升级的处理、存储和带宽的能力将要求以新的方式和由新的服务提供商向用户提供安全控制和功能。

      云的隐忧

      然而一些实际问题仍然可能会把“云”变成“雨”。

      Carr在《大转换》中也描绘了云计算不太光明的一面。他认为计算器既是解放的技术,又是控制的技术。尤其是当系统变得更加集中化时,个人数据被越来越多地暴露;数据挖掘软件越来越专业时,控制之手将占上风,系统将变成监视和操控人类的绝佳机器。

      谷歌的隐私政策规定:如果该公司“善意地理由”必须提供相关数据,以满足“任何可适用的法律、法规、法律程序或者强制执行的政府要求”,那么它将与政府共享数据。谷歌的产品管理主管ScottPetry说:“我们在对待客户的数据时,投入的审计和监管力度比许多顾客自己还要来得大。但如果我们接到传票,就会按法办事。”他补充说,在某些情况下,传票可以是“保密的”,也就是说,谷歌公司可以按照法律不用告知用户他们的数据提供给了政府。

      Gartner咨询公司副总裁兼分析家DavidCearley表示,“使用云计算的局限是企业必须认真对待的敏感问题,企业必须对云计算发挥作用的时间和地点所产生的风险加以衡量。”企业通过减少对某些数据的控制,来节约经济成本,意味着可能要把企业信息、客户信息等敏感的商业数据存放到云计算服务提供商的手中,对于信息管理者而言,他们必须对这种交易是否值得做出选择。

      最近一系列影响较大的网络故障,让人们对云计算的可靠性产生了实质性的担忧。今年2月和7月,亚马逊的“简单存储服务”(SimpleStorageService,简称S3)两次中断,导致依赖于网络单一存储服务的网站被迫瘫痪。亚马逊解释服务中断是鉴定请求的数量增多造成的,S3问题阻止了新虚拟机在计算云上的注册,以至于有些虚拟机无法启动。对这些处于初创期、公司的用户黏性还不大的企业来说,网站瘫痪的损失极易动摇他们的信心。

      今年7月,被认为将要取代微软Office等传统应用程序的GoogleApps(在线办公应用软件)中断服务,用户的文件只能“呆”在“云”中;8月,Google的云计算服务出现严重问题,Blogger和Spreadsheet等服务均长时间当机,Gmail服务两周内三次停摆,不满的用户纷纷到Twitter网站上发出抱怨。经Google调查,这主要是因为Gmail所用的联系人系统存在储运损耗问题,从而导致Gmail邮箱无法正常下载数据。

      云计算模式下,所有的业务处理都将在服务器端完成,服务器一旦出现问题,就将导致所有用户的应用无法运行,数据无法访问。由于网络工程师的及时修复,解决云故障的时间并不长,然而足以作为一个对云计算的警示。毕竟这些云服务的规模十分庞大,在出现问题之后,很容易导致网民对于云计算模式的怀疑,动摇用户对云服务的信心。由此可见,如果云计算的可靠性和安全性的软肋不能很好解决的话,云计算的普及仍有很长一段路要走。

      云层解忧

      针对云计算的合理成本、可靠性以及安全性,GoogleApps业务开发经理JeffKeltner反驳道:“人们认为驾驶自己的汽车要比乘坐飞机更舒适,但是统计数字显示乘坐飞机更加安全。当我们想到云计算的时候,应该把云计算的风险与现有业务环境的风险做一个对比。”

      但美国利福尼亚州公用事业委员会的CIOCarolynLawson显然不同意这一观点——“从政府的角度来讲,我们不会将所有的数据信息都迁移到‘云’中,因为我们的数据包括个人社会保障号码、驾驶执照、还有子女信息等等,公众把他们的个人信息交给我们希望我们能够很好的保护这些信息。如果我们将这些信息交给一家云计算公司,而这家公司非法将这些信息出售的话,我们该怎么解决?我们要承担这个责任。”

      在现阶段,云计算模式似乎更加适合那些因为新项目而紧急需要计算处理能力的用户,他们可以调动云环境中的所有计算实例,而且在不需要的时候关闭这些应用。

      另一方面,“云”应用也是某些行业和用户不得以选择的道路。在杀毒软件领域,爆发式的病毒传播速度让原来架设在用户终端的病毒库不堪重负。“如何解决每3秒钟一只新病毒的问题,是趋势当初走上云端技术的原因。如果单纯走传统的方法,我们觉得没有办法解决问题。”张伟钦说。

      从习惯上来说,发达国家的多数企业已经拥有依赖于传统的硬件、软件和常规的工作方式的基础设施,一些企业对于现有本地数据和业务,甚至已经建立了本地的数据中心;在东南亚、印度、中国等地,中小企业很少拥有复杂的客户机/服务器基础设施。而且,服务器的价格在持续下降,继续使用价格便宜的传统设备架构并不是不可以。

      自云计算问世那天起,质疑之声一刻也没有平息。尽管人们存在这样那样的疑虑,但我们把它归结为善意的质疑。毕竟,云计算还只是处于初级阶段,有着诸多不足,遇到很多困难和挑战多于直接利益,但是如果轻易地否定它,无异于拒绝信息时代的新发展,扼杀了一棵正在崛起的幼苗。云计算存在着许多安全风险,并不是要劝说用户不要使用云计算。对用户而言,更重要的是在云计算下增强安全意识,清楚地认识到风险,并采取必要的防范措施来确保安全。

      云的传承

      云计算宣告了以设备为中心计算时代的终结,取而代之的是以互联为中心的计算方式。但是并非只停留在空中,靠哗众取宠来赢得赞誉。由于云计算与公用计算、按需计算等概念非常相似,不少人把它们混为一谈。其实,但是从基础层面看,云的容量更加博大,云计算环境可能实际存在于网格中,存在于公用计算环境中,或存在于按需计算中,但这对服务的用户来说,可能并不重要,他们不一定知道云在哪里,但是却可以很方便地拿来用。

      云计算的演进,大致经历了网格计算,公用计算,软件即服务三个阶段。上个世纪80年代,网格计算伴随着互联网技术而迅速发展起来。它利用互联网把分散的电脑组成一个“虚拟的超级计算机”,每一台参与计算的计算机构成一个“节点”,而整个计算是由成千上万的“节点”组成一张“网格”,提供此前无法完成的新服务。可以说,网格计算第一次把IT计算世界推向了资源与服务。

      上世纪末,虚拟化逐步由概念走向了应用层次,公用计算应运而生。它利用将网格计算统领的计算机集群作为虚拟平台,采用可计量的业务模式进行计算。通过公用计算服务,包括硬件、软件在内的所有计算资源都由服务提供商提供,客户只需通过专有网络或Internet访问所需资源并按照实际使用情况付费即可。其中,计费的项目包括CPU时间、存储容量、软件使用等。

      作为一种完全创新的软件应用模式,SaaS开始蓬勃发展。用户不用再购买软件,而是根据自己的实际需求,向提供商租用基于Web的软件,来管理企业经营活动。SaaS供应商在向客户提供互联网应用的同时,也提供软件的离线操作和本地数据存储,让用户随时随地都可以使用其定购的软件和服务。与公用计算不同,它不是按消耗的资源收费,而是根据向订户提供的应用程序的价值收费。

      纵观云计算的演进,其中公用计算往往也需要类似“云”那样的基础架构,但它的重点在于商业模式,企业只为他们真正需要时所使用的计算资源付费。随着SaaS软件客户的增长,客户消耗的网络存储和带宽基础等资源越来越多,迫使SaaS供应商提供更多的硬件资源。这时,云计算广阔的网络资源便成了SaaS增加容量的不二之选。

      传统的数据中心对能源,冷却系统和服务器机架的需求正超出大多数机构的IT资源能力。那些对于运算能力需求的增长远大于摩尔定律的红移(Redshift)机构,正在将它们庞大的计算资源提供给所有人,从而避免机构单独拥有和控制非常庞大和昂贵的数据中心。在抛出红移理论后,Sun迅速挖掘到了自己的“长尾”——数据仓库,网格计算等高性能计算将是很普通的事。这一发现也令暮色中的Sun重新焕发出活力,并调整策略,继续在高性能计算方向有所突破,在为数目稳定的大型客户服务之外拓展另一极的市场。

      Sun的Papadopoulos用能源公用事业比喻这个问题的解决:正如机构从自己发电转向从电网购买电力。他建议,计算应该是一个公共资源,机构从一个相当“电网”的地方采购他们所需的数据处理服务,而不是拥有自己的数据中心。

      可以说,网格计算迈出了充分利用计算机资源并进行整合的第一步,为云计算奠定了技术基础;公用计算将整合后的计算资源作为可计量的业务,为云计算的商业模式提供了可能性;而SaaS这种按需计费的应用,为云计算模式提供了典型的案例。相信有了以上几个方面的积累,加上微软、雅虎、IBM等IT巨头的探索、研究,一旦业界找到较为完善的安全保障解决方案,云计算的普及应用风潮将势不可挡。



    巨额金钱正源源不断的滚向云计算。IDC和Gartner等顶级研究机构都在密切关注并预测云计算服务的增长率。 

      但是,你有没有看到诸多有关安全方面的头条?没有。但人们对这方面有着很多担忧。看起来供应商们似乎并没有关注这方面的问题,但是很显然,安全性方面的忧虑正是很多公司对是否接受云计算服务犹豫不决的原因(之一)。 

      很多IT经理认为云计算是一个安全黑洞,敏感的公司数据随时面临着被无数远程IT罪犯们盗窃/复制/篡改的威胁。这些担忧并不是杞人忧天。 

      这个蓬勃发展中的技术有以下几种潜在危险: 

      1.特权用户访问 

      有了云计算,你那些无价的数据会被在远程办公的员工们监控到(可能程度不同,但或多或少总是有的)。从而,公司之外的人们也有可能会获得访问它们的全部权限。 

      2.承诺 

      就算没有萨班斯法案,公司们对于敏感数据的监控和存档仍然是负有责任的。即使公司与一个外部的云计算服务商签订过合同,公司本身仍然需要为这些数据的泄露或丢失负责。 

      3.数据分离 

      云计算供应商的确在使用SSL协议来保护传输中的数据,但是因为数据最终是被保存起来的,所以它们有可能会和其他公司的数据保存在同一个虚拟空间中。你可以接受自己的数据和竞争者们的混在一起吗? 

      4.可用性(这是最关键的一点) 

      理论上来说,你不需要担心自己的数据在使用云计算的时候消失。对于供应商来说,在不同的地域做一个数据的备份镜像是很简单的事,这样就不用担心系统崩溃带来的损失。 

      但是,你的员工们拥有能够时刻访问数据的权限吗?万一虚拟管道堵塞了怎么办?假如供应商的某些内部问题导致在你和你的关键数据之间出现长时间的阻碍怎么办?规模再大的供应商也会害怕停电。 

      事实上,任何一个合格的云计算供应商都会试图解决这每一个问题。 

      但是关键是要确认他们正在这样做。得到他们的回答——以书面文档的形式。你的数据会因此而感谢你的。 


    云安全为我们提供了足够广阔的视野,这些看似简单的内容,其中涵盖核心技术有:

    一、Web信誉服务

    借助全信誉数据库,云安全可以按照恶意软件行为分析所发现的网站页面、历史位置变化和可疑活动迹象等因素来指定信誉分数,从而追踪网页的可信度。然后将通过该技术继续扫描网站并防止用户访问被感染的网站。为了提高准确性、降低误报率,安全厂商还为网站的特定网页或链接指定了信誉分值,而不是对整个网站进行分类或拦截,因为通常合法网站只有一部分受到攻击,而信誉可以随时间而不断变化。

    通过信誉分值的比对,就可以知道某个网站潜在的风险级别。当用户访问具有潜在风险的网站时,就可以及时获得系统提醒或阻止,从而帮助用户快速地确认目标网站的安全性。通过Web信誉服务,可以防范恶意程序源头。由于对零日攻击的防范是基于网站的可信程度而不是真正的内容,因此能有效预防恶意软件的初始下载,用户进入网络前就能够获得防护能力。

    二、电子邮件信誉服务

    电子邮件信誉服务按照已知垃圾邮件来源的信誉数据库检查IP地址,同时利用可以实时评估电子邮件发送者信誉的动态服务对IP地址进行验证。信誉评分通过对IP地址的“行为”、“活动范围”以及以前的历史进行不断的分析而加以细化。按照发送者的IP地址,恶意电子邮件在云中即被拦截,从而防止僵尸或僵尸网络等Web威胁到达网络或用户的计算机。

    三、文件信誉服务

    文件信誉服务技术,它可以检查位于端点、服务器或网关处的每个文件的信誉。检查的依据包括已知的良性文件清单和已知的恶性文件清单,即现在所谓的防病毒特征码。高性能的内容分发网络和本地缓冲服务器将确保在检查过程中使延迟时间降到最低。由于恶意信息被保存在云中,因此可以立即到达网络中的所有用户。而且,和占用端点空间的传统防病毒特征码文件下载相比,这种方法降低了端点内存和系统消耗。

    四、行为关联分析技术

    通过行为分析的“相关性技术”可以把威胁活动综合联系起来,确定其是否属于恶意行为。Web威胁的单一活动似乎没有什么害处,但是如果同时进行多项活动,那么就可能会导致恶意结果。因此需要按照启发式观点来判断是否实际存在威胁,可以检查潜在威胁不同组件之间的相互关系。通过把威胁的不同部分关联起来并不断更新其威胁数据库,即能够实时做出响应,针对电子邮件和Web威胁提供及时、自动的保护。

    五、自动反馈机制

    云安全的另一个重要组件就是自动反馈机制,以双向更新流方式在威胁研究中心和技术人员之间实现不间断通信。通过检查单个客户的路由信誉来确定各种新型威胁。例如:趋势科技的全球自动反馈机制的功能很像现在很多社区采用的“邻里监督”方式,实现实时探测和及时的“共同智能”保护,将有助于确立全面的最新威胁指数。单个客户常规信誉检查发现的每种新威胁都会自动更新趋势科技位于全球各地的所有威胁数据库,防止以后的客户遇到已经发现的威胁。

    由于威胁资料将按照通信源的信誉而非具体的通信内容收集,因此不存在延迟的问题,而客户的个人或商业信息的私密性也得到了保护。

    六、威胁信息汇总

    安全公司综合应用各种技术和数据收集方式——包括“蜜罐”、网络爬行器、客户和合作伙伴内容提交、反馈回路。通过趋势云安全中的恶意软件数据库、服务和支持中心对威胁数据进行分析。过7×24小时的全天候威胁监控和攻击防御,以探测、预防并清除攻击。

    七、白名单技术

    作为一种核心技术,白名单与黑名单(病毒特征码技术实际上采用的是黑名单技术思路)并无多大区别,区别仅在于规模不同。AVTest.org的近期恶意样本(BadFiles,坏文件)包括了约1200万种不同的样本。即使近期该数量显着增加,但坏文件的数量也仍然少于好文件(GoodFiles)。商业白名单的样本超过1亿,有些人预计这一数字高达5亿。因此要逐一追踪现在全球存在的所有好文件无疑是一项巨大的工作,可能无法由一个公司独立完成。

    作为一种核心技术,现在的白名单主要被用于降低误报率。例如,黑名单中也许存在着实际上并无恶意的特征码。因此防病毒特征数据库将会按照内部或商用白名单进行定期检查,趋势科技和熊猫目前也是定期执行这项工作。因此,作为避免误报率的一种措施,白名单实际上已经被包括在了SmartProtectionNetwork中。




    网络安全在整个信息化中的地位是每个信息化工作者都知道的,不管是桌面系统的个人机的文件保密安全,还是网络设备的通信安全,以及邮件服务器和企业整体信息系统的安全。在中国的安全发展历程中,单机的杀毒和防毒曾经是上个世纪最后十年最主要的形式。而进入本世纪,防火墙、防入侵以及立体防御攻击成为新的安全解决方案。但是,随着时代的发展和互联网的复杂,这些通用的技术手段也不能完全迎接挑战,新形势下的安全问题面临以下几个特点。


    云时代的主要安全威胁


    1. 虚拟化带来的虚拟机的系统安全


    虚拟化在今天对于多数信息化工作者已经不陌生了,这道理很简单,本来服务器主机的利用率就不是很高,如果遇到异构的环境,用虚拟机来解决是一个很既经济又便捷的方法,所以得到了多数拥趸的喜爱。但是,问题也来了,无端开了这么多虚拟机,如果一个系统感染了病毒,其它系统是否会受到株连,隔离工作能否做好,甚至后台的存储与数据信息是否受影响。如果虚拟机系统崩溃了,是否会对其它虚拟机有影响,这是一个很现实的问题。


    2. 云计算如何保证自身关键业务数据的安全


    云计算,也是当下最热门的话题,把自己的业务放到云端数据中心去,如何系统内的用户可以轻松共享,节约了很多事情。看上去挺美,但是安全问题呢,万一数据泄密呢?这是每个CIO心里都打鼓的问题,这个问题既是安全问题,又是信息化的规划问题,而且要熟悉云计算的方方面面,我到底是拿哪一层做虚拟,怎么来做。这些问题既对安全厂商展现机遇,又提出挑战。

    3. 电子商务的兴起带来的身份认证安全,个人信息安全和交易安全


    电子商务成为互联网的一个重要的发展方向,目前,每年全国网络产生的交易额已经占到全年所有交易总额的9%,许多贵重的大件物品也有在网络上面交易的趋势。因此电子商务交易安全就成为非常迫切的问题,而在这方面,用户的安全防护却显得非常薄弱,个人交易密码被盗,网站或者银行数据库信息泄漏问题层出不穷,成为新的安全热点。

    4. 移动用户对传统网络的冲击带来的安全


    随着智能手机的普及和移动互联的发展,移动终端的安全问题正在挑战传统的网络攻防体系。大家知道,以前传统的安全防护是守住我服务器的端口,用防火墙防毒墙和流量监控等铸成一道马其诺防线,这样什么邮件服务器,数据库服务器,以及外面的各种攻击都会被拒之门外。但是,当移动互联网融入常规网络后,估计由以前的平面变成了立体的了。许多邮件病毒或者攻击程序是从手机或者PDA引入的,这使得常规的防护体系面临巨大的挑战。

    5. 数据中心与云存储带来的信息安全


    十年前建设的数据中心,不但设备老化了,就是整体的架构已经不能适应发展了。每天产生的海量数据如何存储,无限制得扩充自己的硬件设备是不现实的。那么,只能试试云存储,但是,当数据纷纷移到云端的时候,安全问题马上又来了。是不是传统的数据中心要寿终正寝了,新的节能高效的数据中心如何构建,这是一个令人头痛的问题。

     安全的未来趋势


    网络安全,这个在信息化时代每个人都不能离开的问题,到现在变得很是难堪。十年前国内的安全厂商遍地都是,从杀毒到防火墙到反垃圾邮件,而今天,群雄争霸的时代已经过去,慢慢走向了诸侯割据和大垄断的时代。单凭一项独门绝技称霸市场已经不现实,安全需要全新的立体的全方位的解决方案。从客户端的桌面到服务器和数据中心,从移动设备到电子商务安全,从虚拟化到云端存储,这一切客户都需要得到安全的保护。因此,这就呼唤技术实力强大的整体安全解决方案的厂商出现,这是一个大的趋势。


    第二个趋势就是专门做移动互联网的安全解决方案提供商,毕竟手机的使用率太高了,而拿手机上网或者聊天已经成为多数智能手机的常规活动。这个市场还可以产生一些安全厂商。当然,像金山,腾讯,360早已开始在这里圈地了。


    最后,就是由云计算安全而派生出的安全规划咨询机构。最近,已经有CIO愿意将自己公司关键业务的云安全规划交到外面的正规安全咨询机构来做,只要他们提供这种顾问服务,相信会有不少用户喜欢的。毕竟,云是大势所趋,没有人能阻挡得了,那么,为什么不交给更加专业的人士去做呢。相信在这块也会产生一些安全服务机构。




    来源:中国信息产业网  作者: [字体:  ]

    云计算,从概念到实践

    据统计,当前比较经典的云计算定义超过50种。不同的专家、企业都从自己的角度对云计算的概念进行了定义。其中得到比较认可、比较权威的是美国国家标准技术研究所(NIST)的定义。

    NIST对云计算的定义:云计算是一个模型,这个模型可以方便地按需访问一个可配置的计算资源(例如网络、服务器、存储设备、应用程序以及服务)的公共集。这些资源可以被迅速提供并发布,同时最小化管理成本或服务提供商的干涉。云模型由五个基本特征、三个服务模型和四个发布模型组成。

    那么该如何解析NIST定义的云模型呢?

    首先让我们了解一下云模型的基本特征。

    ——按需自助服务。视客户需要,可以从每个服务提供商那里单方面地向客户提供计算能力,譬如服务器时间和网络存储,而这些是自动进行的无需干涉的。

    ——广泛的网络访问。具有通过规范机制网络访问的能力,这种机制可以使用各种各样的瘦和胖客户端平台(例如携带电话、笔记本电脑以及PDA)。

    ——资源共享。提供商提供的计算资源被集中起来通过一个多客户共享模型来为多个客户提供服务,并根据客户的需求,动态地分配或再分配不同的物理和虚拟资源。有一个区域独立的观念,就是客户通常不需要控制而需要知道被提供资源的确切位置,但是可能会在更高一层的抽象(例如国家、州或者数据中心)领域指定资源的位置。资源的例子包括存储设备、数据加工、内存、网络带宽和虚拟机等。

    ——快速的可伸缩性。具有快速、可伸缩性提供服务的能力。在一些场景中,所提供的服务可以自动、快速地横向扩展,在某种条件下迅速释放以及快速横向收缩。对于客户来讲,这种能力用于使所提供的服务看起来好像是无限的,并且可以在任何时间购买任何数量。

    ——可度量的服务。云系统通过一种可计量的能力杠杆在某些抽象层上自动地控制并优化资源以达到某种服务类型(例如存储、处理、带宽以及活动用户账号)。资源的使用可以被监视和控制,通过向供应商和用户提供这些被使用服务报告以达到透明化。

    该云模型提供了三种服务模型。

    一是软件即服务(SaaS)。客户使用的服务商提供的应用程序运行在云基础设施上。这些应用程序可以通过各种各样的客户端设备来访问,例如基于WEB的电子邮件。客户不管理或者控制底层的云基础架构,包括网络、服务器、操作系统、存储设备,甚至独立的应用程序机能,在可能异常的情况下,限制用户可配置的应用程序设置。

    二是平台即服务(PaaS)。客户使用云供应商支持的开发语言和工具,开发出应用程序,发布到云基础架构上。客户不管理或者控制底层的云基础架构,包括网络、服务器、操作系统或者存储设备,但是能控制发布应用程序和可能的应用程序运行环境配置。

    三是架构即服务(IaaS)。向客户提供处理、存储、网络以及其他基础计算资源,客户可以在上面运行任意软件,包括操作系统和应用程序。用户不管理或者控制底层的云基础架构,但是可以控制操作系统、存储、发布应用程序,以及可能限度的控制选择的网络组件(例如防火墙)。

    该云模型的发布形态有几种:私有云、社区云、公有云、混合云。

    在云计算的具体实践中,一般是从某几个方面开始涉入,与具体的应用结合,找到一条通过云计算技术来提升效率的成功之路。

    我国在战略上非常重视云计算的这一波浪潮,在国家多个部门的“十二五”规划中,都把云计算提到了一个非常重要的位置,并在多个城市、多个企业开始了云计算的试点。在云计算的试点实践中,如何有规划、分步骤地开始云计算系统的建设,是一个重要问题。

    企业云计算系统的建设过程与安全保障

    在国内云计算系统的建设实践中,比较典型的推进方式是:从私有云开始,从IaaS服务开始,逐渐扩展到云计算应用的其他方面。

    如左图所示,某大型集团企业的云计算系统规划如下:

    1.通过资源层的整合,将核心计算域的服务器资源整合成计算资源池,形成云计算数据中心,并通过引入服务器虚拟化技术来提高资源使用效率。

    2.通过统一管理平台,解决云计算数据中心的资源分配与管理,实现动态弹性部署和备份迁移管理。

    3.开发云计算系统的用户管理和用户自服务界面,为集团内部各部门和各业务系统提供IaaS服务。

    在私有云和IaaS服务的基础上,扩展到针对集团内部的PaaS/SaaS服务,再扩展到对外提供服务。

    在整个云计算系统的实施过程中,相应的安全保障措施是对客户提出的一项巨大挑战。根据云计算系统的不同建设阶段,提出了相应的安全保障措施。

    一是在计算资源整合与服务器虚拟化阶段,安全保障的关键是解决服务器虚拟化所带来的安全网关部署位置问题。

    二是在统一管理平台阶段,安全保障的重点是解决虚拟服务器动态部署所带来的安全功能伴随迁移问题。

    三是在用户自服务接口开发阶段,安全保障的重点是统一身份认证系统的建设和运维审计问题。

    服务器虚拟化之后的安全设备部署

    服务器虚拟化对安全网关设备的部署提出了新的要求。

    一是针对传统的安全设备,需要支持多实例(也称为虚拟安全网关),每个实例支持独立的安全引擎和安全管理配置界面,以支持云计算系统中的多个用户使用。

    二是在同一台物理服务器内部的不同虚拟化服务器之间的通信流量不经过网络,需要一种新形态的安全设备,部署在虚拟操作系统内部,可以对虚拟服务器之间的访问进行控制。


    展开全文
  • 云原生带来的云安全机遇

    千次阅读 2020-07-23 14:51:44
    云计算发展之大成,来自于处理器、存储、网络等几个关键计算要素的交替迭代进步;...这将是 IT 基础设施的一次变革,其颠覆性发展,带来了使用“原生”应用的需求,也带来了对安全机制“原生”的需求。

    云原生和云工作负载的演进

    云计算发展之大成,来自于处理器、存储、网络等几个关键计算要素的交替迭代进步;而云计算的部署使用模式,跟历史上的交流电和自来水一样,目标是把计算能力发展成随用随取的市政资源。这将是 IT 基础设施的一次变革,其颠覆性发展,带来了使用“云原生”应用的需求,也带来了对安全机制“云原生”的需求。

    “云原生(Cloud Native)”一词,经常被作为形容词定语,冠在不同子领域名词前面,引来了很多理解上的困惑。从云租户的视角来看,他们关心的是要运行于云上的应用和业务,以及最重要的,要付多少钱。因此,如果以业务、应用作为讨论的基础,那么宽泛的说,“云原生”描述的是充分利用原生云能力(自动扩展、无中断部署、自动化管理、弹性,等等)来进行应用设计和部署的方法。在这个形而上的框架下,微服务、容器技术、云数据库技术、K8S、弹性搜索、遥测(Telemetry)等,都是形而下的技术。

    简单的把原有企业网的环境和虚机迁移到 IaaS 云里,或者把原有单一应用(monolithic application)直接打包到虚机里运行,乃至做些 API 对外提供接口,这些做法离云原生都还远。为了实现“云原生”属性,云应用需要在发布、服务方式、随需弹性、数据和工作负载(workload)管理等多方面都重新构建。

    所谓工作负载,是对运行应用所需要的资源和进程的抽象化定义。最初的工作负载形式就是物理服务器。随着 IDC 走向虚拟化,工作负载演进为虚拟机形式。到今天,云服务中容器成为工作负载的主流,而正在出现和发展的工作负载新形式 Serverless(无服务程序),直接对应用 run-time 虚拟化,改变了传统意义上的服务进程监听-运行模式,是更加精细粒度的瞬态工作负载(ephemeral Workload)。

    可见随着云计算和云原生需求的发展,云工作负载的形式越来越抽象灵活,同时其部署和运行的生命周期也可越来越短。多种形式和生命周期的云工作负载会长期共存,目前并没出现彼此淘汰的情况,同时这些演进和共存,也使得抽象化定义很有必要。

    云原生带来的云安全领域变化

    安全机制一直是跟随 IT 基础设施和业务来为其服务的,云安全也不例外。其保护的对象就是面向访问和使用云系统、云应用的流程机制。与传统企业网络安全机制显著不同的是,云安全的管理责任由云运营商和用户共同分担。更重要的是,传统物理边界变得模糊后,安全不再围绕企业数据中心和终端来设计部署,安全边界也不再是数据中心边缘和企业网边缘的某个盒子。

    在云计算时代,应该基于以数据为中心(Data-centric)的原则来部署安全,关心的问题应该是:谁,能访问什么业务和数据,应该授予何种访问权限,为什么需要这些权限,在授权范围访问是如何进行的,等等,而不再是“业务在哪里”和“边界在哪里”。换句话说,传统安全边界变成了无处不在的边界能力——动态创建、策略强化、权限管控、安全访问。

    云原生环境对安全在业务、管理和部署上的关键要求包括:

    1. 云业务持续不断的交付要求,需要持续不断的安全保障。亚马逊、沃尔玛等级别的云用户的更新部署要求可达每日数百次,弹性和无中断成为标配要求,因此安全必须也做到轻量化、持续不断,并嵌入部署工具中各个环节来确保成为“检查点”。
    2. 对工作负载(Workload)的安全防护是必须的,而且要随着工作负载的演进而不断演进。传统企业安全防护,端点、网络、边界,各个层级相对清晰,而云环境下,这些边界界限变得很模糊,承载计算的工作负载则是直面威胁的对象。因此,工作负载的安全,是一个需要横向保护多种负载,也需要纵向对每类负载深入做好保护的问题。
    3. 对多系统和混合栈的支持,以及自动化配置。云安全要考虑到云的公有、私有、混合等形态,也要考虑云工作负载的多样性和演进,同时还需要支持多种操作系统。而云应用带来的配置复杂度,让自动化要求在云原生的背景下有格外重要的意义。

    从责任共享和云原生要求这两个角度出发,云安全产品可以简单直观的分成三大类:

    • 第一类是对云原生要求不高的传统安全产品,比如防火墙、防入侵、端点安全、服务器监控、终端检测响应和 SIEM 等,云运营商可直接将第三方安全产品部署上云。
    • 第二类是云运营商为配套云服务而提供的安全产品,也可称为“云运营商原生提供的安全(Native Cloud Security)”。常见的有威胁检测、云数据库安全、API 安全、容器和工作负载安全、用户行为监控、合规与风险管理等。一般由运营商从第三方购买整合或自己开发。
    • 第三类则是基于云原生应运而生的“新安全”产品和服务。与云天生具有较好的亲和力,比如云工作负载保护平台 CWPP(Cloud Workload Protection Platform)、云安全态势管理 CSPM(Cloud Security Posture Management)、云访问安全代理 CASB(Cloud Access Security Broker)、微隔离 Micro-segmentation,等等。

    第一类是传统安全厂商的静态存量市场(搬一块少一块),第二类和第三类则是云安全市场的创新和整合频繁出现的地方,创业公司层出不穷,安全大厂并购频繁,云运营商也亲自下场买买买,因此这是安全厂商的机会所在。

    CWPP 与 CSPM:数据面和控制面的分工与合作

    CWPP 的能力集和分类

    根据 Gartner 的定义,云工作负载保护平台 CWPP,意指在现代混合多云数据中心架构下,以租户的云工作负载为中心的安全机制。CWPP 是 IaaS 安全的关键环节之一,也是促进企业“上云”的保障。

    时至今日,随着云工作负载保护在云计算中重要性的提升,CWPP 已经与传统大户——终端安全防护 EPP(Endpoint Protection Platform)分庭抗礼。2019 年全球的 CWPP 市场收入为 12.44 亿美元,在 2018 年 10 亿美元的基础上,增长超过 20%。三个最大的玩家分别是:趋势科技、赛门铁克和 McAfee,占一半的营收。

    2020 年 4 月 Gartner 发布的 CWPP 市场指南对业界已经很熟悉的 CWPP 能力金字塔进一步精简,从最核心按重要性递减排序为八层:原有的文件加密和防病毒不再纳入:

    1. 加固、配置和漏洞管理;
    2. 基于身份的隔离和网络可视化;
    3. 系统一致性保证;
    4. 应用控制/白名单;
    5. 预防漏洞利用和内存管理;
    6. 服务器工作负载行为监测、威胁检测和响应;
    7. 主机防入侵和漏洞屏蔽;
    8. 扫描恶意软件。

    不同安全厂商针对特定领域,聚焦一种或多种能力,这也造就了 CWPP 具体产品实现的不同基因。Gartner 据此把厂商分成七大类:广泛能力和多系统支持,漏洞扫描和配置合规,基于身份的隔离和可视化与管控,应用管控与状态执行,服务器行为监测和威胁检测和响应,容器和 K8S 保护,以及对 Serverless 的保护。其中,志翔科技的至明®智能主机安全响应系统产品(ZS-ISA),对服务器、虚拟机和容器都能监测和保护,并支持基于用户角色的精细管控 RBAC 和安全可视化,因此被归类为 CWPP 中的“基于身份的隔离和可视化与管控”。

    CSPM:硬币的另一面

    软件定义业务(Software Defined X)已经在多个领域流行,如软件定义网络 SDN、软件定义广域网 SD-WAN、软件定义边界 SDP 等。控制面和数据面分离,是 SDX 中的一个重要概念。比如 SDN 的模型中,网络策略在控制面计算并下发到数据(转发)面,数据面不用具备复杂计算能力,直接执行策略做转发即可。

    控制面和数据面的分合逻辑关系,在处理器设计中有,在网络设计中有,在云安全中同样有。CWPP 和 CSPM 就是一对分别聚焦数据面和控制面的安全机制。CWPP 是对云工作负载进行保护,是对数据面的安全防护。CSPM 则聚焦控制面的安全属性,包括配置策略和管理工作负载、合规评估、运营监控、DevOps 集成、保障调用云运营商 API 完整性等等。当前几乎所有的云安全事件都涉及配置错误和管控失当,而涉及到 IaaS 和 PaaS 服务的配置复杂性和用户自助之普及,更凸显正确配置和合规的重要性,这就让控制面的安全机制变得越加重要。

    CSPM 和 CWPP 是同一块硬币的两面,对于保障云应用的实际运行,密不可分。CSPM 负责在云运营商提供的基础工具之外,强化控制面的安全,检查和强化正确的配置;CWPP 负责数据面的安全问题,保护好各种云工作负载,两者配合的目的,都是为了云计算业务的正常开展和租户敏感数据得到妥善保护。实际上这种“策略配置检查-策略下发执行-业务过程防护”的逻辑,其内在哲学与通信网络中的做法完全一致。

    数据面和控制面的云安全产品会融合组成解决方案来服务多种云和多租户。很有意思的是,从 CWPP 和 CSPM 的融合趋势来看,从 CWPP 往控制面发展的厂商很多,而反之则较少。笔者的解读是,CWPP 在操作系统、平台和网络层面有较多特性,属于“通才”基础能力,而 CSPM 往往是和某个云运营商在配置和 API 能力上深度绑定的。从通识教育向某个方向垂直发展,符合我们求知和教育的一贯做法,大学里大家都是先上公共基础课,再学专业基础课,最后本科高年级才到专业课。

    云安全在中国:IaaS 和混合云的安全仍是重点

    云计算市场的发展,在全球呈现出“美国”和“美国之外”两个板块的两极趋势。美国公有云和 SaaS 的发展,明显领先全球其他地区几个身位。中国的云计算和云安全市场,跟美国比存在较大差异,这其中有发展阶段的原因,建设习惯的原因,也有 IT 生态环境和竞争等原因。即使如此,我国在云计算整体大趋势上的发展,基本是与我国经济体量和发展水平对称的。

    到 2019 年,我国云计算的市场营收,仍以 IaaS 为主,至今 SaaS 还没有广泛流行。在云计算的下半场,公有云+私有云结合的混合云仍然会是中国云市场主要形态。互联网公司布局公有云,传统行业客户出于政策监管考虑,会选安全性和可控性更强的私有云/专有云,并需要深度定制的方案和服务支持。

    另一方面,无论中国还是美国,安全市场都看起来高度分散。美国 2019 年有 5000 余家安全企业,中国的对应数字是 3000 余家。随着云计算给信息基础设施带来的变革,加上 5G、物联网和传统产业数字化(产业互联网)的发展,“云原生”带来的是极为广阔的安全市场空间。因此高度分散和海量的安全企业,背后反映的是蓬勃发展的安全细分领域,以及资本市场对于安全企业的青睐。上市等活动在安全市场非常活跃,这种活跃还将会会随着云计算的普及持续多年。

    IaaS 和混合云的安全作为我国云计算市场一段时间内的重点,对安全生态有很强的促进作用。细分领域的厂商可以做深做精,而在全环节解决方案上,融合、合作、联盟就成为必然选项。比如,企业主要使用 IaaS 服务的算力来处理敏感数据,则选择上 CWPP 来保护云工作负载,并使用 CSPM 来保证配置无误,这两者的亲和力会进一步促进融合。又如,机器学习、可视化、用户实体行为分析(UEBA)等技术,会逐渐成为各项安全产品背后的技术,特别是提升日志分析、SIEM、特权账号管理的能力。再如,软件定义边界 SDP 和其演进出来的零信任安全框架,融合身份权限、访问控制、安全管理等,将成为新的云业务访问方式,逐渐取代传统 VPN 等。

    志翔科技的产品技术发展方向与以上行业发展方向正是一致的。志翔的至明智能主机安全响应系统(ZS-ISA)连续两年入选 Gartner CWPP 市场指南,也证明了我们在前瞻趋势方向判断上的准确和产品技术上的领先能力。后续,我们会在 CWPP 的微隔离、权限管控和可视化支持的基础上,继续增加主机监测响应、安全分析和机器学习能力,整合云原生 API 来提供适配头部云运营商的 CSPM 能力,并与合作伙伴一起构筑全环节安全防护能力。目前志翔云安全产品已服务于金融、能源电力、政法等多个领域,并将持续创新,助力政企“上云”和“云上”业务的可信安全体系构建。

    作者简介:

    伍海桑博士,志翔科技联合创始人、市场战略副总裁

    伍海桑是业界顶级的网络和操作系统专家,曾服务于于爱立信、华为、Juniper 等,任产品、市场及研发管理,架构设计等要职。他在安全系统、网络体系结构、虚拟化、云计算、实时系统等领域有 20 多年业界和学界经验,曾在国际顶级期刊和会议发表多篇学术论文,获多项发明专利。

    伍海桑拥有清华大学电子工程系学士和硕士学位,美国弗吉尼亚理工大学计算机工程博士学位。
    本文来自企业投稿。

    展开全文
  • 云安全中心是一个实时识别、分析、预警安全威胁的统一安全管理系统,收集并呈现10余种类型的日志和云上资产指纹,并结和网络实体威胁情报进行安全态势分析,扩大安全可见性。 更多参考阿里云帮助中心-云安全中心 ...
  • 阿里云云安全助理工程师认证(Alibaba Cloud Certified Associate,ACA)是面向学生群体及开发者和运维人员的阿里云在线认证,获得此认证可证明您掌握了阿里云安全产品的核心功能和应用技能,可以在阿里云生态获得更...
  • 阿里云云安全理工程师认证 部分题目 ACA

    千次阅读 多人点赞 2020-10-05 22:56:01
    1.如果企业上的架构选择的是All in one的部署方式,以下哪种安全注意事项是不需要考虑的? A .实例之间的数据传输安全 B .登陆安全 C .应用访问攻击 D .网络攻击风险 2.口令暴力破解主要是以哪些协议为主来发动...
  • 文章目录一、云安全中心二、云监控三、RAM访问控制四、安全众测五、堡垒机六、安全责任七、架构和网络优化建议八、主机应用优化建议及报警策略设置九、总结 一、云安全中心 云安全中心 二、云监控...
  • 阿里云ACA试题——云安全

    千次阅读 2020-03-04 23:40:23
    1.如果企业上的架构选择的是All in one的部署方式,以下哪种安全注意事项是不需要考虑的?  A .实例之间的数据传输安全  B .登陆安全  C .应用访问攻击  D .网络攻击风险 2.口令暴力破解主要是以哪些...
  • 近日在2019网络安全生态峰会上,阿里智能安全事业部总经理肖力提出,承之势,原生安全能力将定义企业下一代安全架构,助力企业打造更可控、更透明、更智能新安全体系。 阿里智能安全事业部总经理肖力 新...
  • CCSK云安全认证-M3-管理云计算的安全性和风险

    万次阅读 多人点赞 2020-03-07 23:57:27
    云计算安全治理与风险管理1.1 治理1.2 治理工具二. 企业风险管理2.1 企业风险管理2.2 服务模式和部署方式的影响2.3 风险管理的工具三.法律问题,合同和电子举证四.合规和审计五.CSA 工具 一.云计算安全治理与...
  • 文章目录一、互联网的组成二、互联网的风险三、Top N 攻击详解四、阿里云安全体系五、云盾的安全防护 一、互联网的组成 二、互联网的风险 三、Top N 攻击详解 四、阿里云安全体系 ...
  • 一:考试总结 ACA考试名称为阿里助理工程师认证ACA级别(Alibaba Cloud Certified Associate),是...以下试题为平台使用安全典型试题。 二:真题 1.如果企业上的架构选择的是All in one的部署方式,以下哪种
  • 阿里云大学Apsara Clouder云安全专项技能认证:云平台使用安全 您还在担心阿里云官网的帐号单凭密码登录不够安全?还在为服务代维时工程师的权限过大而产生风险?或者您作为系统管理员还在寻求一个完美的系统监控...
  • 阿里云云安全助理工程师认证(ACA) 
Alibaba Cloud Certified Associate - Cloud Security 阿里云云安全助理工程师认证(Alibaba Cloud Certified Associate,ACA)是面向学生群体及开发者和运维人员的阿里云...
  • 阿里云ACA试题-云安全典型试题

    千次阅读 2019-11-10 08:09:48
    ACA考试名称为阿里云助理工程师认证ACA级别(Alibaba Cloud Certified Associate),是阿里云专业技术认证的其中一个分支。...以下试题为阿里云ACA考试云安全内容典型试题。 1.如果企业云上的架构选择的是Al...
  • 云安全配置管理

    2019-09-26 13:04:14
    今年6月份Gartner正式发布了2019年的十大安全项目。 ...CARTA-InspiredVulnerability Management,符合CARTA方法论的弱点管理 Detection and Response,检测...Cloud Security PostureManagement,云安全配置管理(CSPM...
  • 近日收到云安全中心安全事件提醒,“出现了紧急安全事件:挖矿程序,建议您立即登录查看事件详情,并根据事件建议的方案进行处理。” 登录服务器后用top命令查看CPU利用率并不高,感觉不一定真是挖矿程序在作怪,或...
  • 目前,云安全主要体现在用户数据的隐私保护和传统互联网、硬件设备的安全这两方面 (1)用户数据的隐私保护。在云计算出来之前,用户信息存储于自己的电脑中,是受法律保护的,任何人不经许可是不能查看、使用这些...
  • 云安全相关技术介绍

    2020-05-21 18:17:54
    随着云计算逐渐成为主流,云安全也获得了越来越多的关注,传统和新兴的云计算厂商以及安全厂商均推出了大量云安全产品。但是,与有清晰定义的“云计算”(NIST SP 800-145和ISO/IEC 17788)不同,业界对“云安全”从...
  • 云安全中心是阿里云云上安全监控和诊断服务,面向云上资产提供安全事件检测、漏洞扫描、基线配置核查等服务。云安全中心结合了阿里自主研发的大数据和机器学习算法,通过多引擎查杀帮助您实时全面了解和有效处理...
  • 2020年,受到新型冠状病毒的影响,无数云计算企业扮演了关键的抗击疫情技术角色,以「+产业」的模式,在疫情监控、远程医疗、协同办公、在线教育等领域,帮助企业上云、在线提供服务。青藤云安...
  • 云安全管理矩阵CCM

    2020-03-29 09:39:06
    通过对其他行业标准和监管要求的定制,CSA CCM 在16个安全域内构建了统一的控制框架,通过减少云中的安全威胁和弱点加强现有的信息安全控制环境,提供标准化的安全和运营风险管理,并寻求将安全期望、分类和术语...
  • 相对于其他厂商的安全产品因只具备某一领域安全功能而入围垂直安全领域供应商,阿里云凭借云安全中心丰富完善的产品功能及支持多个云平台的能力而入围“全功能、多系统”的全球供应商。 基于云原生的一体化安全解决...
  • amazon云安全体系

    2019-05-29 09:14:38
    你们可能不信。竖直无法载入,将就看吧

空空如也

1 2 3 4 5 ... 20
收藏数 29,516
精华内容 11,806
关键字:

云安全