精华内容
下载资源
问答
  • 阿里云 ACP 云安全 题库 -- 云安全中心(态势感知 + 安骑士)
    千次阅读
    2021-03-06 17:26:49

    1. 安骑士

    1. 某公司属于传统行业,一年前刚刚发展互联网线上业务,用了五台云服务器ECS实例,没有专门的系统管理员,最近半年来线上系统总是出现各种安全问题,几次高危漏洞被黑客利用,差点将核心数据泄露,使用阿里云________的可以快速解决这个问题。
      A.安骑士
      B.安全管家
      C.内容安全(原名:绿网)
      D.DDoS高防IP

    【参考答案】B
    【参考解析】没有专门的系统管理员,假如使用安骑士功能的话还是需要系统管理员手动去点击修复的

    阿里云安全管家服务是阿里云安全专家基于阿里云多年安全最佳实践经验为云上用户提供的全方位安全技术和咨询服务,为云上用户建立和持续优化云安全防御体系,保障用户业务安全。其中包含高危漏洞的修复

    1. 阿里云的云盾安骑士是一款服务器安全管理软件,可以保护阿里云的云服务器ECS实例的安全,也可以保护非阿里云主机。

    【参考答案】T
    【参考解析】云盾安骑士可以保护阿里云的云服务器ECS实例的安全,也可以保护非阿里云主机。只需要将安骑士 Agent 安装至您的非阿里云服务器上

    1. 阿里云提供的安全产品云盾涵盖从网络、主机、应用、数据、图片识别、混合云到数字证书和业务风控、保险等多个子产品,遇到不同的风险时选择合适的产品可以做到事半功倍。当怀疑云服务器ECS中了木马或后门时,选择_____产品进行防护最合适。
      A、 安骑士
      B、 WEB应用防火墙(WAF)
      C、 DDoS高防IP
      D、 安全管家服务
      E、 先知
      F、 态势感知

    【参考答案】A

    • 什么是安骑士?
      阿里云安骑士是一款经受百万级主机稳定性考验的主机安全加固产品,支持自动化实时入侵威胁检测、病毒查杀漏洞智能修复基线一键检查、网页防篡改等功能,是构建主机安全防线的统一管理平台。

    201.题目问的是云服务器ECS是否中了木马或后门。这个时候可以用安骑士来进行检测。,

    1. 服务器安全是数据的最后一道防线,要建立纵深防御体系,服务器安全是必不可少的一环,服务器安全(安骑士)通过安装在服务器上的插件和云端防护中心的联动,帮助用户守住最后一道防线。关于云盾安骑士跨平台支持情况,以下________是错误的。
      A.支持Linux、Windows和安卓、iOS操作系统
      B.支持阿里云经典网络和VPC环境
      C.支持传统IDC环境
      D.支持混合云环境

    【参考答案】A
    【参考解析】云盾安骑士目前仅支持Linux和Windows系统,暂不支持安卓,iOS系统。原文:安骑士 Agent 的进程在 Linux 系统的服务器上以 root 帐号运行,在 Windows 系统的服务器上以 system 帐号运行。

    1. 当客户开通云盾安骑士功能后经常能收到一些安全的报警信息,但是没有时间处理,为了避免安全风险的发生,客户还可以选择云盾的___________服务,让阿里云专业的工程师代为处理。
      A.态势感知
      B.安全管家
      C.内容安全(原名:绿网)
      D.DDoS高防IP

    【参考答案】B
    【参考解析】划重点:让阿里云专业的工程师代为处理。所以需要阿里云安全专家来提供的全方位安全技术和咨询服务。

    1. 用户A是公司的系统管理员,经常去上海出差,每当他在上海远程登录服务器时系统就会发出报警信息,提示“有人异地登录,请注意服务器安全”。通过___________方法可以快速、自助解决这个问题。
      A.立即提交工单,咨询阿里云工程师
      B.向公司领导请求帮助
      C.登录阿里云管理控制台,在安骑士配置项里填加“常用登录地点”
      D.向朋友电话求助,他是业界有名的黑客高手

    【参考答案】C
    【参考解析】题目中说的是系统管理员每次在上海出差时候远程登录服务器就会发出异地的报警信息,所以需要通过控制台的添加“常用登录地点”来解决这个报警信息的问题。

    1. 某企业托管到传统IDC机房的服务器(包括windows和Linux两种操作系统),每天晚上有来自很多国家的IP地址对其管理密码进行尝试破解。为此管理员小王很是担心,因为工作需要,远程管理端口必须对公网开放。 小王听说阿里云的云盾可以帮助客户提升安全防护的能力,想把系统迁到阿里云上。在阿里云上开通_________功能可以减少密码被暴力破解的可能。
      A.内容安全(原名:绿网)
      B.安骑士
      C.DDoS基础防护
      D.态势感知

    【参考答案】B
    【参考解析】题目中问的是防止密码破解,这个是安骑士的功能点

    2. 态势感知 (即:云安全中心)

    1. 对于阿里云态势感知典型的功能点描述正确的有______。(正确答案的数量:4个)
      A.恶意进程查杀
      B.主机漏洞和配置 风险的检测和修复
      C.外部风险扫描: 如AK泄露、 账密泄露
      D.全量安全日志,自动化入侵回溯
      E.数据加密
      F.网络传输加密

    【参考答案】ABCD
    【参考解析】态势感知不具备数据加密及网络传输加密的功能。文档原文:异常登录检测、网站后门查杀、网站后门查杀、进程异常行为、敏感文件篡改、异常网络连接、Linux 软件漏洞、Windows 系统漏洞、Web-CMS 漏洞、应急漏洞、Web 漏洞扫描、主机基线、云产品基线、资产指纹、AK 和账号密码泄露、数据大屏、日志检索、全量日志分析。

    1. 态势感知和WAF是过安全等保必备的安全产品。

    【参考答案】F
    【参考解析】按照等保的相关要求,等保是必须选择态势感知产品和WAFWeb应用防火墙产品(不一定是阿里云提供的,可以是自己自建的平台或者是其他公司平台提供的同样的产品

    1. 阿里云态势感知管理界面中,资产列表显示“暂停保护”,表明监控agent已被卸载或者网络通信出现问题。

    【参考答案】F
    【参考解析】718.资产列表显示"暂停保护",说明云安全中心的资产实例的客户端被暂停

    假如是监控agent已被卸载或者网络通信出现问题状态为: offline: 离线,表示资产的安全防护状态为关闭

    1. 阿里云的云安全中心能从多个维度监控用户云上资源的安全状况,包括网络层、主机层、数据库层、应用层,甚至还提供安全情报功能,目前云安全中心可以通过________方式向用户发送报警信息。
      A.包括手机短信和电子邮件
      B.只有手机短信
      C.只有电子邮件
      D.包括手机短信、电子邮件和旺旺

    【参考答案】A
    【参考解析】目前态势感知(现已改名为云安全中心)的告警设置仅支持:短信、邮件、钉钉机器人、站内信。目前不支持旺旺告警

    1. 关于阿里云态势感知的部署,下面说法正确的是________。
      A.需要更改域名解析,才能使用
      B.必须手动安装agent和控制台后才能使用
      C.购买后可以一键开通使用
      D.需要配置流量镜像,将各节点流量发送至态势感知服务端

    【参考答案】B
    【参考解析】199.阿里云的态势感知在部署前需要手动安装agent后才能使用。,

    1. 阿里云态势感知接入了________数据源进行分析。(正确答案的数量:3个)
      A.主机安全日志
      B.Web访问日志
      C.云产品的安全配置数据
      D.RDS执行日志

    【参考答案】ABC
    【参考解析】 526.文档原文:态势感知日志服务默认开启安全日志网络日志、主机日志三大类日志,共14个子类,全面实时防护您的资产。态势感知云平台最佳实践从身份认证、网络访问控制、数据安全、日志审计、基础安全防护五个维度为您提供云产品安全配置的检测,帮助您及时发现您的云产品配置风险并提供相应的修复方案。,

    1. 某创业团队刚刚成立,几个核心的程序员分布在5个不同的城市异地办公,新发布的线上系统使用了阿里云的云数据库RDS。 由于程序员需要在异地用动态IP连接RDS,所以管理员只能打开RDS的公网连接地址和端口,并每天多次从管理控制台查看RDS的连接信息,防止黑客远程登录RDS。 管理员通过___________方法可以最简单地降低这种担忧和人工防护的成本。
      A.开通云盾态势感知服务,一旦有非常用IP登录数据库rds即可收到报警信息
      B.开通云盾DDoS基础防护,可以防止RDS被非法登录
      C.开启阿里云云监控,一旦发现RDS外网流量特别大就立即登录控制台查看是否是非法连接
      D.内容安全,可以自动过滤非法的连接

    【参考答案】A
    【参考解析】题目中说了:在异地用动态IP连接RDS。意思就是程序员登录RDS的IP是不固定的,DDoS基础防护只可以防护DDoS的攻击,云监控在每次都要查看非法IP也不合适,阿里绿网并不能知道什么的非法的连接。所以最合适的还是用态势感知服务的报警服务。

    1. 阿里云态势感知安装在ECS上的监控agent不支持的系统包括________。(正确答案的数量:2个)
      A.Windows2003及以上
      B.CentOS 5、 6、7
      C.Freebsd
      D.IBM小型机
      E.Aliyun Linux

    【参考答案】CD
    【参考解析】

    3. 云安全中心

    1. 云安全中心防暴力密码破解功能可以保护________服务。(正确答案的数量:3个)
      A.windows远程桌面服务(RDP),Linux远程控制服务(SSH)
      B.文件传输服务(FTP)
      C.MySQL数据库服务,SQLServer数据库服务
      D.WEB服务(Apache)
      E.WEB服务(Tomcat)

    【参考答案】ABC
    【参考解析】云安全中心暂时不对具体的WEB服务提供防暴力密码破解功能

    1. 用户小白有一个网站:www.abc.com, 普通用户可以通过www.abc.com/register.html 注册成为会员。近来小白发现,有黑客在用一些恶意的脚步频繁提交注册请求,注册大量垃圾账户来参与他举办的抽奖活动(江湖人称羊毛党),这些请求跟正常的请求很像,频率又不是太高,传统的CC防护很难分辨出这种恶意请求。请问如果您是小白网站的安全顾问,那么您会选择阿里云云盾的哪一款产品来做防护?
      A.内容安全
      B.云安全中心
      C.风险识别(WAF)
      D.渗透测试

    【参考答案】C
    【参考解析】题目中说有很多类似正常用户请求的垃圾注册,需要可以使用风险识别,风险识别的注册风险识别主要针对企业在拉新、营销等活动中出现的大量虚假用户风险

    1. 客户担心自己的服务器存在漏洞,不知道如何处理,如果您是他的架构师,可以推荐的云上解决方案包括_______。(正确答案的数量:2个)
      A.开通WAF
      B.在云安全中心“漏洞修复”模块下查看是否存在漏洞
      C.在访问量较小的时候通过云安全中心修复漏洞
      D.开通内容安全

    【参考答案】BC
    【参考解析】

    1. 如果服务器可以通过其他地区登录,但无法通过办公室本地网络登录,并且本地网络可以正常访问其他云服务器,则可能存在本地公网IP对阿里云服务器攻击而被屏蔽的情况,可以通过云安全中心的【合法登录IP】功能添加本地IP到白名单,从而解除屏蔽。

    【参考答案】T
    【参考解析】644.云安全中心高级版和企业版中可允许客户设置合法登录IP.合法登录时间、合法登录账号,在上述合法登录IP、合法登录事件、合法登录账号之外的登录行为均提供告警。

    1. 云安全中心支持等保检查的能力包括_________。(正确答案的数量:4个)
      A.对服务器漏洞的扫描评估
      B.对主机进行基线检查
      C.系统入侵防范和恶意代码防范
      D.网页防篡改
      E.安全域划分
      D.网络入侵防范

    【参考答案】ABCD
    【参考解析】509.漏洞的扫描、基线检查、恶意代码防范和网页防篡改都是云安全中心支持的功能。安全域划分是阿里云机房需要考虑的安全问题网络入侵防范是DDoS高防和WAF可以解决的问题。,

    1. 云安全中心支持一键处置的安全能力包括________。(正确答案的数量:4个)
      A.漏洞一键修复
      B.基线一键验证
      C.病毒一键隔离
      D.Webshell文件一键隔离
      E.防CC 攻击

    【参考答案】ABCD
    【参考解析】防CC攻击和防SQL注入都是Web应用防火墙的功能,

    1. 客户小明负责管理的网站被黑客挂了暗链,导致某搜索引擎竞价排名下降,小明可以使用阿里云的_________产品解决此问题。
      A.证书服务
      B.高防IP
      C.云防火墙
      D.云安全中心+网页防篡改模块

    【参考答案】D
    【参考解析】

    1. 云安全中心在服务器上运行的Agent插件,在“业务优先模式”下只占用10%的CPU和小于50MB内存,不会影响到服务器的正常运行。

    【参考答案】F
    【参考解析】Agent插件在服务器上运行时,会占用少量服务器资源

    安骑士 – 设置Agent插件运行模式:Agent插件在服务器上运行时,会占用少量服务器资源。您可以调整Agent的运行模式,限制其资源占用量。Agent支持以下两种运行模式:

    • 业务优先模式:Agent占用不超过1%CPU及50MB内存
    • 防护优先模式:Agent占用不超过10%CPU及80MB内存。
    1. 阿里云提供的安全产品云盾涵盖从网络、主机、应用、数据、图片识别、混合云到数字证书和业务风控、保险等多个子产品,遇到不同的风险时选择合适的产品可以做到事半功倍。 当云服务器ECS遇到暴力破解、非法登录时,选择_______产品进行防护最合适。
      A.云安全中心
      B.WEB应用防火墙(WAF)
      C.DDoS高防IP
      D.安全管家服务

    【参考答案】A
    【参考解析】题目问的是ECS遇到暴力破解、非法登录时,这个时候需要云安全中心提供的防暴力破解功能

    1. 阿里云的云安全中心用大数据分析技术,按攻击者的视角来建立安全防御体系,颠覆了传统单一的入侵和漏洞检测,让用户对安全“可见、可控、可管”。 以下关于云安全中心功能的描述错误的是_______。
      A.可以发现webshell,恶意病毒攻击
      B.利用大数据,可对高级攻击者使用的0day漏洞攻击进行防御
      C.实时捕捉云服务器ECS实例中的网络连接,利用情报信息做异常识别,发现僵尸网络
      D.是一个针对阿里云服务器ECS的托管服务

    【参考答案】D
    【参考解析】阿里云服务器ECS的托管服务是安全管家服务的功能,不是云安全中心的功能。

    1. 云安全中心只能防护阿里云上的服务器,不能防护其他云厂商和线下的服务器。

    【参考答案】F
    【参考解析】 如何在非阿里云服务器上使用云安全中心

    1. 使用云安全中心,用户可以即时查看到各类告警事件,并针对部分________事件进行攻击溯源分析和攻击路径展现。(正确答案的数量:4个)
      A.进程异常行为
      B.恶意进程(云查杀)
      C.异常网络连接
      D.网站后门
      E.系统异常帐号创建
      F.DDoS攻击

    【参考答案】ABCD
    【参考解析】云安全中心支持网页防篡改、进程异常、网站后门、异常登录、恶意进程、进程异常行为、异常网络连接等安全告警类型,通过全面的安全告警类型帮助您及时发现资产中的安全威胁、实时掌握您资产的安全态势。

    1. 如果您在非阿里云的服务器上安装了云安全中心客户端,通过________可以确保在您的管理控制台中能查到此服务器的相关报告。
      A.非阿里云服务器不支持云安全中心
      B.通过阿里云官网帐号关联
      C.报告无法在阿里云的管理控制台查看
      D.在安装云安全中心的过程中需要输入“安装验证key”,通过此Key关联用户的管理控制台

    【参考答案】D
    【参考解析】117.非阿里云服务器输入安装验证Key。您可在云盾安装安骑士页面找到您的安装验证Key。,

    1. 阿里云的云安全中心可以记录远程访问服务器的源IP地址,并对频繁连接的可疑IP进行屏蔽,日常运维过程中需要通过___________功能对系统管理员常用的IP进行设置。
      A.安全组
      B.webshell云查杀
      C.合法登录IP
      D.常用登录地管理

    【参考答案】C
    【参考解析】

    1. 云安全中心的“病毒自动隔离”功能如何开启?
      A.用户在管理控制台手动打开
      B.默认开启,无需配置
      C.提交工单申请
      D.发邮件申请

    【参考答案】A
    【参考解析】病毒查杀自动隔离并非默认开启的,而是需要用户在控制台手动处理。阿里云建议开启病毒自动隔离,加固主机安全防线。
    病毒防御概述

    • 在使用云安全中心病毒防御功能时,建议您同时在设置页面开启防病毒功能。开启防病毒后,云安全中心会自动检测主流木马病毒、勒索软件、挖矿病毒、DDoS木马并自动隔离查杀。
    1. 云安全中心主动防御的能力包括_________。(正确答案的数量:3个)
      A.病毒自动隔离
      B.密码防暴力破解
      C.网页防篡改
      D.防DDoS攻击
      E.防CC攻击

    【参考答案】ABC
    【参考解析】554.防CC攻击是Web应用防火墙的功能,防DDoS攻击的DDoS防护的功能。,

    1. 阿里云提供的安全产品云盾涵盖从网络、主机、应用、数据、图片识别、混合云到数字证书和业务风控、保险等多个子产品,遇到不同的风险时选择合适的产品可以做到事半功倍。 当云服务器ECS遇到暴力破解、非法登录时,选择_______产品进行防护最合适。
      A.云安全中心
      B.WEB应用防火墙(WAF)
      C.DDoS高防IP
      D.安全管家服务

    【参考答案】A
    【参考解析】题目问的是ECS遇到暴力破解、非法登录时,这个时候需要云安全中心提供的防暴力破解功能

    1. 阿里云提供的安全产品云盾涵盖从网络、主机、应用、数据、图片识别、混合云到数字证书和业务风控、保险等多个子产品,遇到不同的风险时选择合适的产品可以做到事半功倍。当客户不清楚自己在互联网上提供服务的系统是否对外存在安全漏洞,有哪些安全隐患时,可以选择_______产品或服务进行判断。
      A.云安全中心
      B.WEB应用防火墙(WAF)
      C.DDoS高防IP
      D.安全管家服务

    【参考答案】A
    【参考解析】169.题目问的是不清楚自己在互联网上提供服务的系统是否对外存在安全漏洞,所以需要用云安全中心(原名:安骑士)来确定系统是否有安全漏洞。注意选项中新老题目云产品名称的区分。,

    1. 某公司为了提高安全防御能力,突破传统以防护为主的思路,保障云上资产的安全,考虑采用阿里云云安全中心产品。以下__是云安全中心擅长的。(正确答案的数量: 3个)
      A.分析网络底层、主机层、应用层协议,把用户授权访问的数据保存下来,用于检测和取证
      B.利用云端数据做入侵意图分析,产出安全威胁情报
      C.查出被肉鸡并对外攻击的ECS实例
      D.防御各种非授权核心资源访问,过滤恶意访问
      E.遇到XSS型攻击,可以直接进行阻断

    【参考答案】491.ABC
    【参考解析】

    • 防御各种非授权核心资源访问,过滤恶意访问是云防火墙的功能
    • 遇到XSS型攻击,云安全中心也不支持直接阻断。,
    1. 用户使用云安全中心时,如果打开日志功能,则可以保存网络、DNS、 主机、安全等相关日志,该日志最长可以保存________。
      A.30天
      B.90天
      C.由用户购买时选择的存储容量决定
      D.180天

    【参考答案】D – 答案应该是 180 天,至少我在文档上看到的是这样说的
    【参考解析】可设置查询24小时内、7天内或一个月内的进程告警日志信息
    开通日志分析

    • 根据《网络安全法》日志至少存储180天的要求
    1. 云安全中心”病毒自动隔离“功能可以支持范围的包括____ (正确答案的数量: 5个)
      A.DDoS木马、挖矿病毒
      B.勒索病毒、蠕虫病毒
      C.恶意程序
      D.木马程序
      E.后门程序
      F.宏病毒

    【参考答案】ABCDE
    【参考解析】云安全中心 – 主动防御
    防病毒能够帮助您自动隔离并查杀常见网络病毒,包括主流勒索病毒、DDoS木马挖矿和木马程序恶意程序后门程序蠕虫病毒等。所有支持自动隔离的病毒都经过了阿里云安全专家的测试和验证,确保零误杀。

    您购买云安全中心防病毒版及以上版本后,云安全中心默认为您开启防病毒功能,并将您的所有服务器添加到防病毒的检测范围内。

    防勒索(诱饵捕获)提供了捕捉新型勒索病毒的诱饵,并通过病毒行为分析,为您自动启动新型勒索病毒的防御。云安全中心在您服务器中设置的勒索捕获诱饵文件仅用于捕获新型勒索病毒,不会对您的业务产生任何影响,请您放心使用该功能。您可以在安全告警处理页面,将告警类型设置为精准防御,以便查看云安全中心为您隔离的防勒索病毒

    1. 云安全中心目前指定防护云服务器的授权数量,只支持按当前已开通ECS实例的总数量进行授权。

    【参考答案】F
    【参考解析】使用云安全中心付费版时,需要为您账号下的所有服务器购买授权数, 不一定非要是 ECS

    663.云安全中心在指定要防护的服务器总数时,包括ECS服务器和非阿里云服务器。默认显示当前账号下拥有的ECS实例总数,资产规模不应小于该数量。所以"指定要防护的服务器总数,包括ECS服务器和非阿里云服务器。默认显示当前账号下拥有的ECS实例总数,资产规模不应小于该数量。“是错误的。

    1. 以下不属于云安全中心“病毒自动查杀”防御范围内的病毒是_________。
      A.勒索病毒
      B.挖矿病毒
      C.宏病毒
      D.蠕虫病毒

    【参考答案】C
    【参考解析】云查杀覆盖以下病毒类型:挖矿程序、蠕虫病毒、勒索病毒、木马程序、DDoS木马、后门程序、病毒型感染、恶意程序

    1. 阿里云提供的安全产品云盾涵盖从网络、主机、应用、数据、图片识别、混合云到数字证书和业务风控、保险等多个子产品,遇到不同的风险时选择合适的产品可以做到事半功倍。当客户想知道自己在云上的系统有谁在攻击我?攻击我的哪些资产?这些资产是否有漏洞时,选择___产 品进行防护最合适。
      A.云安全中心
      B.WEB应用防火墙(WAF)
      C.DDoS高防IP
      D.安全管家服务

    【参考答案】A
    【参考解析】云安全中心是一个实时识别、分析、预警安全威胁的统一安全管理系统,通过防勒索、防病毒、防篡改、合规检查等安全能力,帮助用户实现威胁检测、响应、溯源的自动化安全运营闭环,保护云上资产和本地主机并满足监管合规要求。

    1. 云安全中心的“漏洞一键修复”功能支持的范围包括_。(正确答案的数量: 5个)
      A.主流的Web-CMS漏洞
      B.Java漏洞
      C.Windows系统漏洞
      D.Redhat系统漏洞
      E.CentOS系统漏洞
      F. Ubuntu系统漏洞

    【参考答案】ACDEF
    【参考解析】一键扫描漏洞

    1. 阿里云提供的安全产品云盾涵盖从网络、主机、应用、数据、图片识别、混合云到数字证书和业务风控、保险等多个子产品,遇到不同的风险时选择合适的产品可以做到事半功倍。当客户网站存在安全漏洞,无法快速修复代码上线时,选择_产品进行防护最合适。
      A.云安全中心
      B.WEB应用防火墙(WAF)
      C.DDoS高防IP
      D.安全管家服务

    【参考答案】B
    【参考解析】题目问的是客户网站存在安全漏洞,无法快速修复代码.上线,所以需要WEB应用防火墙(WAF)来防护。,

    1. 阿里云的云盾会检查通过公共互联网连接云数据库RDS的来源IP,当在云安全中心的威胁中发现“非常用IP连接数据库”的报警后,最安全的处理方法是_____________。
      A.这个报警无关紧要,可以忽略
      B.登录阿里云管理控制台,修改授权访问RDS的白名单IP列表,只保留有需要连接RDS的IP地址
      C.修改云服务器ECS的安全组策略,只允许指定IP连接服务器
      D.登录RDS管理控制台,查看SQL审计日志,看看是否有破坏性操作,如果没有就可以不处理

    【参考答案】B
    【参考解析】

    1. 云安全中心支持部署在__________环境中。
      A.阿里云环境
      B.非阿里云环境
      C.IDC/线下机房
      D.其它选项都正确

    【参考答案】D
    【参考解析】

    更多相关内容
  • 阿里云安全白皮书(中文版)3.0,最新版本17年发布。数据安全和户隐私是阿里云的最重要原则。阿里云致于打造公共、开放、安全的云计算服务 平台。通过技术创新,不断提升计算能⼒与规模效益,将云计算变成真正意义上...
  • 政务信息系统入云安全指南》 (以下简称入云指南) 。入云指南目的是 指导北京市市级政务云使用单位在政务信息系统入云过程中如何采 取安全措施和执行安全活动,控制安全风险,保障政务信息系统入云 安全
  • 云安全架构设计

    2017-08-17 15:55:40
    云安全架构设计
  • 随着云计算逐渐成为主流,云安全也获得了越来越多的关注,传统和新兴的云计算厂商以及安全厂商均推出了大量云安全产品。但是,与有清晰定义的“云计算”(NIST SP 800-145和ISO/IEC 17788)不同,业界对“云安全”...

    1. 概述

            随着云计算逐渐成为主流,云安全也获得了越来越多的关注,传统和新兴的云计算厂商以及安全厂商均推出了大量云安全产品。但是,与有清晰定义的“云计算”(NIST SP 800-145和ISO/IEC 17788)不同,业界对“云安全”从概念、技术到产品都还没有形成明确的共识。

    从发展的脉络分析,“云安全”相关的技术可以分两类:

    • 一类为使用云计算服务提供防护,即使用云服务时的安全(security for using the cloud),也称云计算安全(Cloud Computing Security),一般都是新的产品品类;
    • 一类源于传统的安全托管(hosting)服务,即以云服务方式提供安全(security provided from the cloud),也称安全即服务(Security-as-a-Service, SECaaS),通常都有对应的传统安全软件或设备产品。

    云安全

    “安全即服务”和“云计算安全”这两类“云安全”技术的重合部分,即以云服务方式为使用云计算服务提供防护。

     

    1.1 云计算安全

           基于云计算的服务模式、部署模式和参与角色等三个维度,美国国家标准技术研究院(NIST)云计算安全工作组在2013年5月发布的《云计算安全参考架构(草案)》给出了云计算安全参考架构(NCC-SRA,NIST Cloud Computing Security Reference Architecture)。

    NIST云计算安全参考架构的三个构成维度:

    • 云计算的三种服务模式:IaaS、PaaS、SaaS

    • 云计算的四种部署模式:公有、私有、混合、社区

    • 云计算的五种角色:提供者、消费者、代理者、承运者、审计者
      NIST云计算安全参考架构
      作为云服务的使用者,企业需要关注的以下几个子项的安全:

    • 管理对云的使用
      配置:调配各种云资源,满足业务和合规要求
      可移植性和兼容性:确保企业数据和应用在必要时安全地迁移到其他云系统生态
      商务支持:与云服务提供商的各种商务合作和协调
      组织支持:确保企业内部的策略和流程支持对云资源的管理和使用

    • 云生态系统统筹
      支持云服务提供商对计算资源的调度和管理

    • 功能层
      包括网络、服务器、存储、操作系统、环境设置、应用功能等,不同服务模式下企业能够控制的范围不同

       

             使用不同模式的云服务(IaaS、PaaS或SaaS)时,企业对资源的控制范围不同,有不同的安全责任边界,因此需要明确自己的责任边界,适当部署对应的安全措施。根据国家标准 GB/T 31167-2014《信息安全技术-云计算服务安全指南》规定,企业用户的控制范围主要在于虚拟化计算资源、软件平台和应用软件。

      GB/T 31167-2014服务模式与控制范围的关系
      具体的责任分配可参考微软《云计算中的共担责任》中的说明,如下图。

      不同云服务模式的共担责任

     

    1.2 安全即服务

          传统上,有些企业会选择安全代管服务(Managed Security Service,MSS),将设备管理、配置、响应和维护等安全相关的工作外包给专业服务厂商(Managed Security Service Provider,MSSP),以减轻企业IT和安全部门在信息安全方面的压力。随着技术和网络的发展,部分专业安全厂商开始采取类似的策略,不再向客户出售独立的安全软件和设备,而是直接通过网络为企业提供相应的安全托管服务(hosted security service):企业只需要负责配置和管理自身的安全策略和规则等工作,而不用涉及软硬件的安装和升级维护等。

          在云计算技术逐渐成熟以后,安全托管服务即由厂商通过云服务平台提供;同时,也出现了一些直接通过云服务提供的其他安全技术和产品,统称安全即服务。按照云安全联盟(CSA,Cloud Security Alliance)发布的《云计算关键领域安全指南》(第四版,2017年7月)中介绍,SECaaS共有12类:

    1. 身份,授权和访问管理服务
    2. 云访问安全代理
    3. Web安全
    4. Email安全
    5. 安全评估
    6. Web应用防火墙
    7. 入侵检测/防御
    8. 安全信息和事件管理(SIEM)
    9. 加密和密钥管理
    10. 业务连续性和灾难恢复(BC/DR)
    11. 安全管理
    12. 分布式拒绝服务保护

    与传统安全产品相比,SECaaS产品有诸多优势:

    • 快速部署,即买即用。企业不需要采购软件和硬件,在获得相应安全服务的授权后,经过简单配置即可使用。
    • 自动升级,免于维护。云端服务永远处于最新状态,企业不需要配备人员对安全设备和软件进行版本升级和日常维护。
    • 按需采购,灵活扩张。企业可以按当前的使用人数采购必须的安全功能,并根据需求变动随时增加或减少。
    • 支持移动,访问便捷。以云服务方式提供后,安全功能可以覆盖移动用户,扩大受保护的边界。

     

    2. 云安全相关的主要场景

    根据企业对云计算服务的使用情况,云安全相关的主要场景可分为5大类,这里分别介绍比较有代表性的技术:

    • 云计算安全:
      1.租用虚拟硬件资源(IaaS),提供对外业务或内部应用
      2.使用云服务(PaaS或SaaS)构建内部应用
      3.私有云

    • 安全即服务:
      1.集成云服务解决业务和应用中的安全挑战
      2.使用云服务替代传统安全设备和方案

    2.1 云计算安全

    2.1.1 租用虚拟硬件资源(IaaS)

           租用云服务器等虚拟硬件资源是云计算服务的最基本模式,也是企业需要承担最多安全责任的模式。除了确认云上业务应用本身的安全性,企业在规划租用虚拟硬件资源时,应该从三个方面分别考察相关安全技术和产品:虚拟硬件基础设施、应用底层架构和对外业务保障。这里将分别介绍11种主要技术的相关情况:
    租用虚拟硬件资源(IaaS)

     

    2.1.1.1 虚拟硬件基础设施

           企业选择租用云服务器等虚拟硬件基础设施时,首先需要关注CSP能够提供哪些安全相关功能和如何利用这些安全功能构建可靠的云上硬件环境,为企业的云上业务和数据提供基础性的安全保障。

    安全组(Security Group)
            技术介绍:安全组定义了一组网络访问规则,可视为虚拟防火墙,是实现云服务器间网络隔离的基本手段。云服务器加入一个安全组后,该安全组的所有网络访问规则都将应用于该云服务器;如果一个云服务器加入了多个安全组,应用于该服务器的网络访问规则将是各安全组的合集;同一安全组内的云服务器之间能够互相通信。
           客户收益:在基础网络的设定下,CSP从统一的资源池中为客户提供云服务器,安全组能够帮助客户实现以单个云服务器为基础的网络隔离,并划分安全域。需要特别注意的是,如果使用基础网络设定,不同租户的云安全服务器在默认情况下是网络互通的。
           使用建议:安全组应用于所有云服务器。企业在使用云服务器时应仔细规划安全组的设置和信任关系,以确保在满足业务互通需求的同时实现有效隔离。

    虚拟私有云(Virtual Private Cloud,VPC)
          技术介绍:VPC是指CSP在公有资源池中为客户划分出的私有网络区域。与企业内部的物理网络类似,VPC在提供公网地址(IP)作为访问接口的同时,内部可自定义私有IP地址段,并可继续为VPC内部的云服务器建立安全组。
         客户收益:使用VPC时,企业在云上的网络架构与传统的物理网络基本一致,且同一租户的不同VPC之间也不能直接通信。企业也可以将内部或IDC的物理网络与VPC通过专线、VPN或GRE等直接连接以构建混合云业务。
         使用建议:VPC能为企业的云上资源提供网络隔离,防止其他租户嗅探或攻击;同时,由于设定的固定网段等限制,也将影响网络架构的弹性扩展。企业需要妥善规划和管理网络,设置路由策略和访问控制规则,并根据业务需求及时作出调整。

    微隔离(Microsegmentation)
         技术介绍:微隔离技术将网络划分成多个小的功能分区,对各功能区设置细致的访问控制策略,并可以根据需要通过软件随时进行调整。微隔离的实现主要基于网络(VLAN、VPN、SDN/NFV)或平台(如hypervisor、操作系统、容器等)的固有特性,或者通过防火墙等第三方设备以及主机客户端实现。
         客户收益:微隔离技术在网络分段和隔离的基础上增加虚拟化和自动化,实现了按应用和功能的业务逻辑对网络访问进行控制。由于网络访问规则与业务逻辑一致,攻击者能获得的攻击面较小,也难以利用系统漏洞进行渗透;同时,即使黑客突破防御边界,由于不同应用的业务逻辑不同,对一个区域的成功渗透也很难用作攻击其他区域或应用的跳板,黑客在内网渗透的难度将明显提高。
         使用建议:建议企业了解相关技术和产品的发展,保持关注。如果部署使用,微隔离形成的分区应具有类似的功能,在业务流程上尽可能一致;跨分区的网络通信必须符合策略设置,且被记录;安全事件发生后,可疑分区将被迅速隔离。另外,除了应该仔细规划各分区的组成和跨分区通信规则,还应该注意避免过度分区影响正常业务。

    软件定义边界(Software-Defined Perimeter ,SDP)
           技术介绍:SDP架构也称“黑云”,使企业对外隐藏内部的网络和应用,并使用策略控制对内部网络的接入和内部应用的访问,主要由SDP控制器和SDP主机组成。SDP控制器分析连接请求以及发起方和接收方的各种信息,基于设定的策略判断是否接受或发起连接;SDP主机控制数据通路,收集连接的相关信息,并根据SDP控制器的判断接受或发起连接。
          客户收益:随着各种云服务和移动设备的广泛使用,传统上用于划定安全区的网络边界越来越难以清晰定义;同时,黑客获得传统安全区内设备的控制权也变得容易和常见。通过严格控制对内部网络的接入和应用访问,SDP帮助企业有效隐藏信息并缩小攻击面。
          使用建议:随着用户来源和应用部署方式越来越多样,SDP的作用和好处将更为突出,企业的IT和安全人员应保持关注,并在条件允许的情况下开始试验性部署。

    云资源管理和监控
          技术介绍:云资源监控和管理平台(应用或服务)为企业呈现云服务器的CPU、内存、磁盘和网络等云资源的利用率,以及存储等各项云服务的负载和性能,对异常的消耗和中断等做出告警,并提供相关报表以供进一步分析,有些厂商还能提供优化建议,降低在云资源上的支出。
         客户收益:云资源监控和管理平台能够帮助企业监控云资源的使用情况,保障业务运行,并为企业优化云资源配置提供建议,提高云资源利用率并降低成本。
         使用建议:根据云上业务的重要程度,企业应尽量对云资源的使用进行专门的监控和管理,以保证业务的平稳运行。

     

    2.1.1.2 应用底层架构

           基于安全的云上硬件环境,企业在部署业务应用前,需要设计和搭建应用底层架构。与传统硬件环境相比,在云上搭建应用底层架构更便捷,也更灵活,并能利用新技术进一步提高可靠性和安全性。

    不可变基础设施(immutable infrastructure)
           技术介绍:不可变基础设施是指采用云计算(或虚拟化)构建系统的基础设施时,部件实例如服务器和容器等在正式上线时被设置为“只读”(read-only);如果需要对这些实例作出改动,只能使用新的实例替换旧的示例。由此,不可变基础设施通常与一次性部件(disposable component)同时存在。
          客户收益:不可变基础设施充分利用了云计算的优势,也只能在纯的云计算环境下使用,且要求系统的部署和运行高度自动化。采用不可变基础设施,除了简化系统运营并提高效率,也能显著提高系统的可靠性并在遇到故障时及时回滚;同时,由于不能对线上的系统部件进行任何改动,不可变基础设施也能够更好地抵御黑客的攻击和渗透。
          使用建议:不可变基础设施对运维部门有较高的技术要求,推荐有能力的企业进行试验性部署。

    容器安全
          技术介绍:容器技术能够实现对单个应用的标准封装,从而简化应用的分发和部署。容器安全主要包括两部分:部署系统的安全性包括对镜像文件(image)的扫描及验证和对仓库(repository)的识别和确认等;运行系统的安全性包括应用容器之间的隔离和容器中应用的权限控制。
         客户收益:容器安全技术的使用能够提高容器系统的可靠性,也能够强化应用系统的安全,促进企业基于云计算平台构建完整的基础设施。
         使用建议:企业在使用容器技术时应给予容器安全足够的重视,及时了解相关技术和产品的发展,并在有条件时部署。

     虚拟机备份
           技术介绍:虚拟机备份技术直接利用虚拟化平台提供的API对虚拟机(云服务器)镜像进行备份和恢复,而不依赖于主机上安装客户端软件。与传统的客户端备份软件相比,虚拟机备份技术不占用虚机本身的CPU和内存等资源,对虚拟机上运行的业务影响较小。
          客户收益:虚拟机备份技术用于保护和恢复重要业务的虚拟机及其中存储的企业数据,使业务系统在异常中断后能迅速恢复运行。与传统的应用、磁盘和数据备份技术相比,虚机备份技术更易于操作和管理,恢复业务应用的效率更高。
          使用建议:使用虚拟机备份技术将简化备份和恢复意外中断的业务,推荐企业在有条件时为承担关键业务和数据的虚拟机(云服务器)提供连续备份,制定业务连续性计划,并按要求进行演练。

     

    2.1.1.3 对外服务保障

           企业提供对外业务时,将面临各种网络攻击和黑客入侵。除了在应用的设计、开发和部署时严格执行相关的安全策略、标准和规则,企业还应该考虑采用专门的安全技术,加强对应用的保护。

    主机防护
           技术介绍:主机防护技术用于帮助企业加固云服务器主机系统软件,通常包括漏洞扫描、补丁管理、入侵检测和配置管理等等。通过及时发现并修补系统漏洞、实时检测和阻断可能的入侵、自动检查系统配置、提示存在的问题并给出建议等措施,主机防护技术能显著提高主机的安全性。
          客户收益:业务主机被黑客入侵大多是由于未能及时修补已经公开披露的系统漏洞,或在管理上过于松懈而缺少必要防范。主机防护技术可以有效提高运维效率,建立安全基线,并及时对攻击行为作出反应。
         使用建议:云主机防护能有效提高云服务器抵御黑客入侵的能力,企业提供对外业务的云服务器应注意采用。除了直接采用各CSP提供的主机防护产品,企业还需要谨慎评估可能存在的问题和威胁,在必要时加强相关防护。另一方面,使用主机防护技术和产品的同时,主机管理员仍然需要密切关注系统的状态和可能受到的入侵,以便及时反应,最大限度地降低损失。

    Web应用防火墙(Web Application Firewall,WAF)
            技术介绍:云WAF是指以云计算服务方式提供的WAF功能。WAF通常采用反向代理技术,通过检查和过滤HTTP/S流量的内容,保护指定Web应用,帮助网站抵御各种攻击,保证企业的业务和数据安全。除了防御SQL注入和XSS(cross-site scripting,跨站脚本)等常见的Web攻击(OWASP Top 10),有些云WAF还提供网页防篡改等功能。
           客户收益:为了入侵企业网站,黑客会不断寻找并利用Web应用中的实现漏洞和设计缺陷。WAF为企业网站提供一道外围防护,可以有效阻止黑客进行信息收集、攻击渗透、破坏业务和偷取数据,并能在事故发生后迅速恢复。与传统的WAF设备(包括虚拟设备)或软件相比,云WAF的部署更简单:企业管理员只需要在线填写网站域名等基本配置,而不用关注网络结构和部署位置等信息,即可迅速为网站提供保护。随着越来越多的企业网站部署到云服务器上,云WAF也获得了广泛的应用。
           使用建议:云WAF可以为企业网站提供基本的安全保障,特别是当网站部署在云服务器上时,应该尽量同时购买云WAF服务。另一方面,虽然在厂商提供的默认配置下云WAF能够帮助企业网站抵御常见的网络攻击,企业管理员还是应该根据网站的Web应用和系统业务等情况,认真优化云WAF的相关安全配置。

    云抗DDoS(Distributed Denial-of-Service)
            技术介绍:云抗DDoS是指以云服务方式提供对DDoS攻击的防护。除了基于特征识别算法拦阻攻击流量,云抗DDoS还普遍采用代换接入IP的方案:所有公网流量先接入厂商的资源池入口IP,经过清洗后再转发至企业网站服务器的真实IP。根据厂商资源池的配置,代换接入IP方案目前已能够抵御Tb/s级的DDoS攻击。
           客户收益:DDoS攻击是商业网站面临的一个主要威胁,云抗DDoS服务帮助企业有效地抵御攻击,保持站点稳定和业务正常运行。与传统抗DDoS设备相比,云抗DDoS部署更简单快捷,且可以按需采用,使用成本大大降低;同时,云抗DDoS能够处理的攻击流量也远大于传统抗DDoS设备。
          使用建议:如果用户对企业网站提供的业务有较高的可用性要求,或者企业面临较强的竞争,应考虑使用云抗DDoS服务。除了IaaS厂商提供的免费服务,企业购买云抗DDoS服务时需要平衡DDoS攻击可能造成的损失和云抗DDoS的成本。

     

    2.1.2 使用云服务(PaaS或SaaS)构建内部应用

            除了使用云上的虚拟硬件资源,越来越多的企业选择直接使用云应用替代本地应用软件或基于PaaS搭建内部应用。PaaS或SaaS服务模式下企业的安全责任范围较小,但由于是直接通过公共网络访问,且对应用软件、业务系统和基础设施都没有控制,企业需要利用新技术才能对用户和数据进行妥善保护和管理。

    云应用识别
            技术介绍:通过分析网络流量或防火墙和网络代理等的日志,能够识别用户所使用的各种云应用以及各应用可能存在的风险,帮助企业管理员充分认识存在的风险。云应用识别技术一般根据应用服务器地址、URL、HTTP请求参数和页面内容等特征判断所使用的云应用,同时根据应用是否接受信息提交、是否支持文件上传、提供商是否通过安全认证等等多种因素判定云应用的风险等级。
            客户收益:云应用大都是Web应用,而传统防火墙或Web安全网关(上网行为管理)等安全设备通常都只关注网络和连接,不能对应用层进行深入分析和控制。同时,云应用已经在企业中广泛使用,但企业管理员还无法知道具体的使用情况和存在的风险,也无法进行充分的控制,即存在“影子IT”(Shadow IT)。云应用识别和管理技术主要作为Web访问安全代理(Cloud Access Security Broker,CASB)的重要功能,或作为附加模块集成到防火墙或Web安全网关,能够帮助企业管理员获知云应用的使用情况,以加强对用户使用云应用的管理。
           使用建议:推荐企业关注具有云应用识别功能的产品。国内各个行业各种规模的企业中云应用的使用都已经非常普遍,但相关的安全问题还没有引起重视;尽管国内企业一般还没有使用云应用承载关键业务或用于处理核心数据,但由于员工已经在广泛使用各种云应用作为工具,很可能已经有不少企业遭受了损失但还未发觉。

    云应用管理
            技术介绍:对云应用的管理主要有两种实现方式:以代理方式充当用户与云应用通信的中间人或使用云应用提供的API。另外,除了简单的允许和阻止,对云应用的管理还包括对用户使用云应用时的环境、动作和对应用数据的操作等进行精确识别和管理。
           客户收益:在识别云应用的基础上,根据业务需求和使用云应用所存在的风险,企业所使用的云应用可分为四类而分别进行管理:a)允许使用业务必需且风险较小的云应用,进行一般管理;b) 允许业务必需但风险较大的应用,对用户行为和数据处理进行严格管控;c)允许非业务必需且风险 较小的应用,禁止有风险的操作;d)禁止非业务必需但风险较大的应用。
          使用建议:企业在逐渐使用云应用承载核心业务和数据时,应该密切关注云应用管理技术和产品的进展,及时部署。同时,在选择云应用管理产品时,应该仔细了解产品对企业所使用和关注的核心应用的支持情况。

     

    云防数据泄漏(DLP)
           技术介绍:通过查找和匹配数据特征和文件指纹,云DLP帮助企业查找云应用中的违规数据,防止用户将敏感的企业数据上传到不安全的云应用或使用不安全的终端访问云应用中的企业数据。根据不同粒度的策略配置,云DLP可以拦阻用户动作、及时告警,或者在必要时对数据进行加密等等处理。
          客户收益:云DLP在业务应用的执行逻辑之外从相对独立的数据维度加强了企业对数据的保护,帮助企业满足各种合规需求,防止企业的重要数据被泄漏或滥用。随着云应用在企业核心业务中的使用,云DLP的重要性在不断增强;同时,云DLP与企业本地部署的DLP集成能够显著提高数据识别和保护的效率,也有助于企业建立统一的数据保护机制。
          使用建议:如果员工已经在使用云应用,可能导致数据泄漏或滥用,企业在加强对云应用的管理的同时,应该考虑使用云DLP;如果企业已经使用云应用处理关键业务并承载重要数据,应尽早部署云DLP。

    云端数据加密
           技术介绍:云端数据加密技术是指数据在提交到云应用提供商之前进行加密处理,确保云应用提供商或其他第三方在直接获得企业的云端数据时无法识别和解读。除了使用标准算法(通常以AES为主)对文件(非结构化数据)进行加密,云端数据加密还会使用如令牌化(Tokenization)等多种其他算法对结构化数据进行处理以满足不同场景需求,如保留数据格式、搜索、索引等等。
          客户收益:云端数据加密主要用于帮助企业在不充分信任云应用提供商时使用其提供的云应用,打消企业在使用云应用时对数据安全的顾虑。同时,由于各种法律法规要求,特定数据被限定在企业内部使用和存储,如果企业对云应用的使用涉及这类数据,则必须对数据加密才能满足合规需求。
          使用建议:如果对云应用提供商保护企业数据的能力或意愿有怀疑,企业应该购买云端数据加密产品或服务,同时注意明确提供云应用提供商和云数据加密提供商对保护企业数据的义务和责任。另一方面,如果企业在使用云应用时有相关合规需求,则需要在确认云端数据加密方案满足要求后才能使用云应用。

     

    2.1.3 私有云

           在私有云环境下,企业内部的网络结构和应用在逻辑上并没有实质性的变动,但虚拟化的引入使底层硬件设备与软件应用分离。同时,SDN(Software Defined Network,软件定义网络)以及进一步的HCI(hyper-converged infrastructure,超融合基础设施)使私有云的底层硬件(基础设施)具有更大的灵活性。企业对私有云能够实现从物理硬件到业务数据的全部控制,因此也需要对各方面的安全负责。

           私有云的安全体系结构与传统IT类似,具体方案和措施可以参考微软发布的《A Solution for Private Cloud Security》系列文档。特别的,尽管安全应该与业务环境和流程紧密结合,但在传统IT架构下,由于历史原因安全常常被简化为各种由独立的设备提供特定的功能,而企业在迁移到私有云的过程中将有机会重新设计和构建整个安全体系。从私有云方案的初始设计阶段就考虑相关安全功能及实现,提高企业整体的安全能力和效率。

    私有云安全模型,微软《A Solution for Private Cloud Security》
              除了本章前述IaaS相关的安全技术可应用于私有云外,传统的网络安全相关的技术如防火墙和IPS等对于私有云的安全也非常必要。需要注意的是,私有云内部的流量发生在虚拟机之间,网络流量可能只限于在同一台物理服务器内部,跨物理服务器的网络流量也都使用相关隧道技术而与第三方隔离,独立的传统安全设备很难适应需求。另一方面,私有云内部的资源分配和网络构成经常发生变化,也要求安全功能相应快速变化:调整配置、改变功能、甚至重新部署。

    因此,与传统IT环境相比,私有云安全也相应“云化”:

    • 虚拟化:防火墙、IPS、各种安全网关等安全功能都以虚拟机方式提供。
    • 服务化:各种安全功能都作为服务提供,可以根据需要快速部署和回收。
    • 资源池:对各种安全功能和资源进行统一管理,可灵活分配,支持弹性扩充。

     

    2.2 安全即服务

    2.2.1 集成云服务解决业务中的安全挑战

             在软件开发中,通过调用各种库函数,工程师能够专注于实现核心业务,而不用去重复开发已经非常成熟的功能模块,更重要的是,不需要深入了解被调用函数的具体实现方式和相关专业知识。类似的,企业可以选择集成以云服务方式提供的安全功能和产品,解决业务中的各种安全挑战。

    内容过滤
           技术介绍:CSP将内容过滤功能通过网络提供给企业用户;企业用户使用指定网络接口地址提交可疑的文字、图片和视频等内容,并及时获得扫描结果,以识别可疑内容是否涉及暴恐、色情、政治或广告等,从而及时过滤、清理有害内容。
          客户收益:作为云服务的内容过滤一般由大型网站基于自身业务的需求和积累提供,在内容识别的性能和准确性上都高于企业自行搭建的检测系统。同时,通过网络接口调用具有很强的通用性,易于集成。
          使用建议:如果企业有面向公众的网站等平台,特别是如果允许自由提交文字、图片或视频等内容,应及时采用云内容过滤方案,既能提高过滤效率,也能有效降低对人工审核的需求,从而降低企业的运营风险。

    用户验证
           技术介绍:CSP 对企业开放API,基于网络提供用户验证服务;企业使用CSP提供的API将验证服务集成到业务流程中。在用户访问时,企业通过API提交用户的相关信息,CSP实时给出反馈,帮助企业确认用户的真实性和可信度。常见的用户验证服务包括验证码和登陆保护等。
           客户收益:随着网络环境的复杂化,简单的用户名和密码验证已经难以应对网络黑产对用户的威胁,而一般企业缺乏足够的技术积累和经验,必须借助专业厂商才能提供较好的保护。使用API通过网络调用的方式在操作上难度较小,易于集成和应用。
           使用建议:如果企业开发或提供的业务带有相应的用户模块,且提供公开访问入口,应当考虑集成第三方提供的用户保护服务,降低用户风险。

    反行为欺诈
          技术介绍:CSP基于网络提供用户行为审核服务,并对企业开放API;企业使用CSP提供的API将用户行为审核集成到业务流程中。在用户提交业务请求时,企业根据审核结果对用户的当前请求作出回应,并可以根据审核提供的信息和用户的历史行为决定是否进行封禁用户账号等操作。
          客户收益:基于互联网开展的业务难以实现传统的审核和风险控制,基于行为欺诈的各种黑色和灰色产业已经形成了很大规模,一般企业很难凭借自身能力应对。以云服务方式提供的反行为欺诈服务能够帮助企业有效减少损失,提高运营效率。常见的反行为欺诈应用包括反刷单、防范羊毛党、骗贷等。
           使用建议:企业基于网络提供业务时应该密切注意对欺诈行为的防范。如果有电商相关业务,应考虑使用市场上已有的反行为欺诈产品;同时,保持对其他反行为欺诈技术和市场的关注,及时跟进。

    用户身份识别和管理(Identity-as-a-Service,IDaaS)
           技术介绍:IDaaS也即IAM(Identity and Access Management,身份和访问管理)-as-a-Service,是指以云服务的方式提供对用户身份的管理,并与不同应用集成以管理用户的登录和访问,通常也支持单点登录(Single Sign-on,SSO)。在技术实现上,OAuth 2.0和OIDC(OpenID Connect)逐渐成为主流标准,部分应用还支持SAML(Security Assertion Markup Language,安全声明标记语言)2.0或MS-Federation。
           客户收益:随着企业内部应用越来越多,对用户身份的管理和登录控制成为迫切的需求;同时,传统IAM方案往往局限于特定的企业内网环境,难以同时支持传统内网应用和新兴的SaaS应用,也不能适应用户使用多种终端特别是移动客户端的场景。IDaaS能够提供一个开放的应用框架,帮助企业管理各种不同应用,并支持移动终端。
           使用建议:企业选用SaaS应用时应注意了解对OIDC或SAML集成的支持情况和计划,并在有SSO需求时考虑采用IDaaS产品,并注意IDaaS产品对企业内其他应用的支持情况。

    密钥管理(KMaaS,Key Management-as-a-Service)
           技术介绍:CSP为企业生成主密钥并代为存储和保存,企业在任何情况下都不能直接获得主密钥,而只能通过CSP提供的API使用密钥ID进行加解密处理:加密时,企业调用CSP提供的API并提供主密钥ID和数据明文,CSP返回密文;解密时,企业提供主密钥ID和数据密文,CSP返回明文。
           客户收益: 密钥管理是加解密机制的核心,以云服务方式提供的密钥管理可以帮助企业避免复杂的密钥管理流程和高昂的使用及维护成本,并能够提供详细的密钥使用记录以便于审计。通常CSP只支持对少量数据(<4KB)进行加解密,如果企业需要对大量数据进行加密,需要先在本地对数据加密或解密,然后用主密钥对用于本地数据加密的密钥进行保护。
           使用建议:随着企业对数据安全性的要求提高,特别是HTTPS的推广,需要对数据进行加解密的场景越来越多。企业应该考虑采用密钥管理服务,以便简化管理机制并加强对密钥的保护。

    内容威胁扫描
           技术介绍:本地设备将可疑内容(IP、域名、URL、字段、文件等)上传到云端进行实时检测,如果云端的返回结果确认内容有害,本地设备将进行阻断、隔离或发出告警。云端的内容分析引擎支持海量的样本库,通常还部署有覆盖多种运行环境的沙箱系统,能够识别未知威胁,并在发现有害内容后将相关情报进行网络共享。
           客户收益:基于云的内容威胁扫描服务可集成于防火墙、IPS和网关等各种传统安全设备,用于URL过滤、防病毒、反恶意软件等。也有部分厂商提供独立的Web站点供用户提交可疑内容,并提供分析报告,以便用户了解可能存在的各种威胁。
           使用建议:云内容检测能够有效抵御未知威胁,企业应该考虑购买和部署。需要注意的是,用户数据或文件可能被作为可疑内容发送给CSP而引起违规。另外,不同产品的内容检测能力和效率会有不同,特别是云沙箱能模拟的运行环境和支持的文件类型可能会有较大差别,应注意实际测试和评估。

     

    2.2.2 使用云服务替代传统安全设备和方案

             由于缺乏足够的资源且专业技能不足,安全设备的部署、管理和维护一直是企业IT工作中的难点。在设备管理和服务外包的基础上,代替传统安全设备和方案的云服务技术和产品(“云化”)真正将企业管理员从繁琐的日常维护中解放了出来,从而能够真正专注于核心的安全管理。

    Web安全网关
            技术介绍:云Web安全网关不使用本地设备,而是通过用户端的代理设置或在企业网络出口建立IPsec VPN或GRE隧道,将用户的Web流量导引到云端服务器进行策略控制和安全过滤,提供URL过滤、内容过滤、Web应用管理、反恶意代码等功能。
           客户收益:云Web应用网关可用于管理用户的上网行为、提供内容安全和阻止黑客攻击等。除了与传统Web安全网关的功能一致,云Web应用网关的部署和使用更简单,并能够在用户未接入企业内网或使用移动设备时提供一致的保护。
           使用建议:与Web安全网关设备相比,云Web安全网关在概念上有明显的优势,但不同企业的产品通常有较大的差别,企业在选用时应该谨慎评估,确认能够满足需求再进行购买和部署。

    安全信息和事件管理(Security Information and Event Management,SIEM)
            技术介绍:通过客户端收集企业本地设备的日志等数据,云SIEM在云端对日志进行汇总和分析。除了保存日志以满足合规等需求,云SIEM通常还能够实时侦测恶意攻击和数据泄漏,及时发出预警。
           客户收益:与传统SIEM产品相比,云SIEM部署简单,对管理和维护的要求较低。随着各种云服务特别是云服务器和网络等基础设施的广泛应用,云SIEM能够帮助企业有效简化日志汇总和分析。
           使用建议:如果企业准备采购和部署SIEM产品,特别是各个日志源比较分散时,可以考虑云SIEM产品。另外,云SIEM的部署和使用比较简单,但功能可能不如本地部署的SIEM产品丰富,且可能占用较大网络带宽。

    灾备(DRaaS,Disaster Recovery-as-a-Service)
            技术介绍:企业将业务系统的应用和数据在云中建立备份,当遭遇人为事故或自然灾害而中断服务时,业务将切换到云中的备份系统继续运行。企业的业务系统可以基于物理硬件或虚拟化平台搭建,也可以位于公有云环境;备份系统由云灾备厂商负责管理和维护,按使用收费。
            客户收益:云灾备使企业能够快速部署业务连续性计划,免于构建和维护灾备设施,也可以相应减少对人员的管理和培训。除了显著的成本优势,云灾备能够根据企业需要随时调整甚至迁移。
           使用建议:企业选择云灾备方案时需要仔细审核,确认供应商相关资质和能力、能够保证业务稳定,并仔细了解和确认服务等级协议(SLA)中的各项指标,并按严格按照灾备计划进行演练。

     

    2.3 国内外云安全技术和市场对比

    按个人的经验和认识,目前国内云安全技术和市场有一些特点:

    • IaaS应用相关的基础安全技术和产品已经逐渐成熟和稳定
    • 安全相关的云服务已经被广泛集成,用于解决具体的业务问题
    • 关于企业基础应用相关的安全,市场成熟度落后于技术
    • 虽然国外SaaS应用相关的安全技术已经比较成熟,目前国内则还基本空白
    • “云化”传统安全设备在国外已经逐渐进入主流市场,技术成熟,国内市场目前还刚刚起步,究其原因,除了国内技术和市场相对于欧美总体较为落后之外,还应该注意到国内外企业在IT架构上的不同所产生的影响:
    • 以美国为代表的国外市场中,企业的传统IT架构比较成熟,有比较完整的安全防护体系;发展的时间久,云相关的概念、技术和产品比较成熟——条理清楚,接受度很高。
    • 国内企业的IT和安全架构往往都不成体系,观念和意识目前还比较旧,但也没有传统IT和安全体系作为包袱。在IaaS厂商的倡导和政府的推动下,上云相对激进。
    • 另外,值得注意的是,国外的安全相关技术和产品以专业安全厂商为主导,国内以云服务商特别是主要IaaS厂商为主导;进一步的,除了华为,国内的主要云服务商大都来自互联网相关行业。这也从侧面反映出国内不同行业与国外的差距,以及随着云计算技术和应用的进一步发展和渗透,互联网相关企业未来可能对安全等其他行业产生的冲击。

    2.4 云计算有哪些特点、云安全技术有哪些特点、云安全包含哪些问题?

    2.4.1、云计算有哪些特点?

    云计算具有以下特点:

    (1)虚拟化。云计算支持用户在任意位置、使用各种终端获取应用服务。

    (2)规模化整合。云里的资源非常庞大,在一个企业云可以有几十万甚至上百万台服务器,在一个小型的私有云中也可拥有几百台甚至上千台服务器。

    (3)高可靠性。云计算使用了多副本容错技术、计算节点同构可互换等措施来保障服务的高可靠性,使用云计算比使用本地计算机可靠。

     

     

    2.4.2、云安全技术有哪些特点?

          云安全技术关键在于首先理解客户及其需求,并设计针对这些需求的解决方案,例如全磁盘或基于文件的加密、客户密钥管理、入侵检测/防御、安全信息和事件管理(SIEM)、日志分析、双重模式身份验证、物理隔离等等。

         云安全从性质上可以分为两大类,一类是用户的数据隐私保护,另一类是针对传统互联网和硬件设备的安全。

         在云安全技术方面,首先是多租户带来的安全问题。不同用户之间相互隔离,避免相互影响。云时代,需要通过一些技术防治用户有意或无意识地"串门"。

         其次,采用第三方平台带来的安全风险问题。提供云服务的厂商不是全部拥有自己的数据中心,一旦租用第三方的云平台,那么这里面就存在服务提供商管理人员权限的问题。

    2.4.3、云安全包含哪些方面?

    1、用户身份安全问题

    云计算通过网络提供弹性可变的IT服务,用户需要登录到云端来使用应用与服务,系统需要确保使用者身份的合法性,才能为其提供服务。如果非法用户取得了用户身份,则会危及合法用户的数据和业务。

     

    2、共享业务安全问题

    云计算的底层架构(IaaS和PaaS层)是通过虚拟化技术实现资源共享调用,优点是资源利用率高的优点,但是共享会引入新的安全问题,一方面需要保证用户资源间的隔离,另一方面需要面向虚拟机、虚拟交换机、虚拟存储等虚拟对象的安全保护策略,这与传统的硬件上的安全策略完全不同。

    3、用户数据安全问题

    数据的安全性是用户最为关注的问题,广义的数据不仅包括客户的业务数据,还包括用户的应用程序和用户的整个业务系统。数据安全问题包括数据丢失、泄漏、篡改等。传统的IT架构中,数据是离用户很“近”的,数据离用户越“近”则越安全。而云计算架构下数据常常存储在离用户很“远”的数据中心中,需要对数据采用有效的保护措施,如多份拷贝,数据存储加密,以确保数据的安全。

     

    3. 相关法规、标准和认证

           目前已经有若干法规对云服务的提供商和使用者提出了安全要求,相关政府机构、标准组织和业界团体也制定了多项云安全技术标准,并有多项针对云服务产品和解决方案提供商的认证。

    3.1 云等保,GA/T 1390.2-2017

    《网络安全法》规定,“国家实行网络安全等级保护制度”。
    为了适应和规范云计算相关技术和应用的发展,公安部在2017年5月8日正式发布GA/T 1390.2-2017《信息安全技术网络安全等级保护基本要求第2 部分:云计算安全扩展要求》,规定了不同等级云计算系统的安全要求,适用于指导分等级的非涉密云计算系统的安全建设和监督管理,并在附录C中明确了不同服务模式下云服务方和云租户的安全管理责任主体。

    云等保

    3.2 GB/T 31167-2014《信息安全技术云计算服务安全指南》

           本标准面向政府部门,提出了使用云计算服务时的信息安全管理和技术要求,适用于政府部门采购和使用云计算服务,也可供重点行业和其他企事业单位参考。本标准描述了云计算服务可能面临的主要安全风险,提出了政府部门采用云计算服务的安全管理基本要求,及云计算服务的生命周期各阶段的安全管理和技术要求,为政府部门采用云计算服务,特别是采用社会化的云计算服务提供全生命周期的安全指导。

    3.3 GB/T 31168-2014《信息安全技术云计算服务安全能力要求》

           本标准面向云服务商,提出了为政府部门提供服务时应该具备的信息安全能力要求。标准描述了以社会化方式为特定客户提供云计算服务时云服务商应具备的安全技术能力,适用于对政府部门使用的云计算服务进行安全管理,也可供重点行业和其他企事业单位使用云计算服务时参考,还适用于指导云服务商建设安全的云计算平台和提供安全的云计算服务。

    本标准分一般要求和增强要求。根据云计算平台上的信息敏感度和业务重要性的不同,云服务商应具备的安全能力也各不相同。

    3.4 国家标准《信息安全技术 云计算安全参考架构》(征求意见稿)

         与NIST《云计算安全参考架构(草案)》类似,本标准将规范云计算安全参考架构,包括云计算角色、安全职责、安全功能组件以及它们之间的关系。

    云计算安全参考架构

    3.5 国家标准《信息安全技术 云计算服务安全能力评估方法》(征求意见稿)

          本标准将给出依据GB/T 31168-2014《信息安全技术云计算服务安全能力要求》,开展评估的原则、实施过程以及针对各项具体安全要求进行评估的方法。标准适用于第三方评估机构对云服务商提供云计算服务时具备的安全能力进行评估,和对政府部门使用的云计算服务进行安全管理,并可供云服务商在对自身云计算服务安全能力进行自评估、重点行业和其他企事业单位使用云计算服务等参考。

    3.6 ISO/IEC 27001信息安全管理体系和认证

          ISO/IEC 27001是全球最受认可的信息安全管理系统(Information Security Management System,ISMS)规范,详述了建立、实施、维护和持续改进信息安全管理系统的各种需求。通过经过整体规划的系统化信息安全管理体系,ISO/IEC 27001从预防控制的角度出发,保障信息系统与业务的安全和正常运作,并规定了为适应不同组织或其部门需要所制定的安全控制措施的实施要求。

          通过ISO/IEC 27001认证,表明企业(或其他各种类型和规模的组织)遵守了各种信息安全最佳实践,对数据的保护通过了独立的专家评审。

    3.7 ISO/IEC 27000 系列标准

          ISO/IEC 27000系列标准包含了ISO(International Organization for Standardization,国际标准组织)和IEC(International Electrotechnical Commission,国际电工委员会)联合制定的系列信息安全标准。这些标准提供了在信息安全管理系统(ISMS)体系下通过各种控制措施对信息风险进行管理的最佳实践,其具体范围不局限于隐私、保密性和IT/技术/网络安全问题等。目前,其中有三个标准专门针对云服务:

           ISO/IEC 27017《基于ISO/IEC 27002的云服务信息安全控制的实施规程》
    在ISO/IEC 27002的基础上,本标准为云服务提供商和使用者提供各种信息安全相关控制的实施指南,具体包括ISO/IEC27002中列出的相关控制和与云服务相关的其他控制

           ISO/IEC 27018《公有云作为个人可识别信息(PII)处理器时个人身份信息保护的实施规程》
    为了与ISO/IEC 29100中的隐私原则一致,本标准基于ISO/IEC 27002,为公有云计算环境建立了通用的控制目标、控制和保护PII的实施指南,并涵盖为保护PII而可能对公有云服务提供商的监管需求。

           ISO/IEC 27036-4《供应商关系的信息安全-第4部分:云服务的安全指南》
    本标准定义了在使用云服务时实施信息安全管理的指南,具体而言,为云服务使用者和云服务提供商提供以下方面的指导:

         获知与使用云服务相关的信息安全风险并有效管理那些风险
         对获得和提供云服务的风险做出反应
    注意:ISO/IEC 27036-4不包括与云服务相关的业务连续性管理/复原问题,也不对云服务提供商应该如何实施、管理和运营信息安全提供指导。

    3.8 CSA-STAR

          CSA STAR认证是在ISO/IEC 27001的基础上针对云服务特有问题的加强认证,用以表明CSP能够很好地处理安全相关问题。CSA STAR认证由CSA和BSI联合开发,以CSA提出的云控制矩阵(Cloud Control Matrix,CCM)为审核的准则,涵盖法令法规、风险管理、设施齐全、人力资源、信息安全、营运管理、发布管理、安全架构等16个控制区域。CSA认证官为CSP在每个控制区域的能力成熟度分别打分,然后根据最终的平均分决定CSP的等级为金、银或铜。

    3.9 C-STAR云安全评估

          C-STAR是在CSA开放认证框架(Open Certification Framework,OCF)下,由第三方机构确认云服务提供商满足CSA CCM要求的一种认证,主要用于大中华地区,由赛宝认证中心与CSA大中华区(CSA-GCR)合作开展。C-STAR 云安全评估主要参考GB/T 22080-2008管理体系标准及CSA CCM要求,以及选自中国国家标准GB/T 22239-2008《信息安全技术—信息系统安全等级保护基本要求》和GB/Z 28828-2012《信息安全技术—公共及商用服务信息系统个人信息保护指南》的29个相关控制措施,进行评价。

    3.10 CS-CMMI云安全能力成熟度模型集成

           根据官方说明,CS-CMMI“由CSA大中华区、亚太区与全球共同开发和研制的,在ISO / IEC21827 : 2002 《信息技术系统安全工程能力成熟度模型》的基础上,把《CSA CSTR云计算安全技术标准要求》(草案)和《CSA CCM 云安全控制矩阵》的技术能力成熟度模型,集成到治理一个框架中去,形成云安全能力成熟度评估模型。作为云安全能力成熟度评估的依据,为客户选择云安全服务组织提供参考,也可供云安全服务组织改善和提高云安全服务能力提供指引。指南考虑了云计算系统安全威胁与脆弱性分析能力、云安全解决方案设计能力、云计算系统测试和验证能力、云计算系统运维和应急响应能力、云计算系统安全工程过程能力等云安全技术服务能力要求,并根据不同的能力要求,由低到高分为1到5级。”

     

    3.11 可信云服务

          可信云服务(TRUCS)认证由数据中心联盟和云计算发展与政策论坛联合组织、面向云服务提供商提供的自愿认证。可信云服务认证从数据安全、服务质量、服务性能、运维管理和权益保障等多维度评估云服务商的技术指标和水平,涵盖云服务商需要向用户承诺或告知的绝大多数问题,为用户选择安全、可信的云服务商提供参考。

    3.12 其他资料

         除了前面提到的相关法规和标准文档,推荐读者进一步阅读以下资料:

         NIST,NIST Cloud Computing Security Reference Architecture-Draft
         https://csrc.nist.gov/publications/detail/sp/500-299/draft
          NCC-SRA(NIST Cloud Computing Security Reference Architecture,NIST云计算安全参考架构)为NIST SP 500-292 《NIST 云计算参考模型》增加一个安全层,定义了一个以安全为中心的架构模型,指出保护云计算环境、运行和数据的核心安全组件,说明在不同部署和服务模式下各方职责范围内的核心安全组件,并为分析所收集和汇聚的数据提供了一些方法。

          CSA,Cloud Control Matrix
          https://cloudsecurityalliance.org/download/cloud-controls-matrix-v3-0-1/
          CSA CCM(Cloud Control Matrix,云控制矩阵)提供了评估云提供商整体安全风险的基本安全准则。通过对其他行业标准和监管要求的定制,CSA CCM 在16个安全域内构建了统一的控制框架,通过减少云中的安全威胁和弱点加强现有的信息安全控制环境,提供标准化的安全和运营风险管理,并寻求将安全期望、云分类和术语体系,以及云中实施的安全措施等标准化。

           CSA,Security Guidance for Critical Areas of Focus in Cloud Computing
           https://cloudsecurityalliance.org/download/security-guidance-v4/
           CSA发布的《云计算关键区域安全指南》为管理和应对云计算技术相关的风险提供指导和启发,自2009年以来一直被广泛视作云安全的权威指南。2017年7月发布的最新版在介绍了云计算相关的主要概念和架构后,强调了治理和运营中共13个领域的重点区域,以解决云环境中策略和实施两方面的安全“痛点”。

           Microsoft,Shared Responsibilities for Cloud Computing
          https://gallery.technet.microsoft.com/Shared-Responsibilities-81d0ff91
          https://www.trustcenter.cn/file/云计算中的共担责任.pdf
          微软的这份白皮书解释了CSP和客户在合作中各自的角色和责任,以及在选择不同云服务模式(IaaS、PaaS或SaaS)时需要关注的责任分配和合规需求。

           Microsoft,A Solution for Private Cloud Security
    https://social.technet.microsoft.com/wiki/contents/articles/6642.a-solution-for-private-cloud-security.aspx

           CSA大中华区,《云计算安全技术要求》
           http://www.c-csa.org/forum.php?mod=viewthread&tid=15
          本系列标准由CSA大中华区组织国内相关单位编写,由《总则》、《IaaS安全技术要求》、《PaaS安全技术要求》和《SaaS安全技术要求》四部分组成,“适用于云服务开发者在设计开发云计算产品和解决方案时使用,也可供云服务商选择云计算产品和解决方案时参考,还可为云服务客户选择云服务时判断云服务提供商提供的安全能力是否满足自身业务安全需求提供参考”。

          相关链接:云安全相关技术介绍(六)

    展开全文
  • 云安全|云原生安全概述

    千次阅读 2022-03-23 15:39:32
    本系列博客的内容均来源于对**“原生安全:攻防实现与体系构建”**这本书籍的学习归纳。 1.1 原生的含义 ​ 云计算的上半场基本已经结束,很多企业已经利用开源的或者商业的IaaS系统构建云计算平台,他们只是...

    本系列博客的内容均来源于对**“云原生安全:攻防实现与体系构建”**这本书籍的学习归纳。

    1.1 云原生的含义

    云计算的上半场基本已经结束,很多企业已经利用开源的或者商业的IaaS系统构建云计算平台,他们只是简单的将传统的物理主机、平台、或者应用转为虚拟化。只实现了**“形”上的改变,还远远没有达到“神”**上的变化。云计算的下半场,应该充分利用云计算的特性,解决业务在开发、运行整个生命周期中遇到的问题。

    ​ CNCF对云原生的解释为:“云原生技术有利于各组织在公有云、私有云和混合云等新型动态环境中,构建和运行可弹性扩展的应用。**云原生的代表技术包括容器、服务网格、微服务、不可变基础设施和声明式API。**这些技术能够构建容错性好、易于管理和便于观察的松耦合系统。结合可靠的自动化手段,云原生技术使工程师能够轻松地对系统做出频繁和可预测的重大变更。

    1.2 云原生的特性

    1.2.1 轻、快、不变的基础设施

    ​ 云原生环境中,支撑基础设施通常是容器技术。

    ​ **轻、快:**容器占用资源小,生命周期短,以秒或者分钟为基本单位。

    ​ **不变:**在实践中不会在容器中安装或者更新应用,而是更新为更为持久化的镜像。这种只更新镜像而不改变容器运行时的模式称为不变的基础设施。

    1.2.2 弹性服务编排

    ​ 云原生的焦点是业务,业务的最核心之处是业务管理和控制。服务编排提供了强大的业务支撑能力,可以弹性的控制服务的位置、容量、版本,监控保证业务的可访问性。

    1.2.3 开发运营一体化

    ​ DevOps通过将软件开发和运营相结合,缩短软件开发的生命周期。DevOps的开发理念主要包括自动化构建、测试、持续集成和持续交付等等。

    1.2.4 微服务架构

    ​ 将传统的单体应用的功能拆解成大量单独、细粒度的服务。通过应用编排组装,实现等价于传统单体应用的复杂功能。

    1.2.5 无服务模型

    ​ 无服务是一种基于代码和计算任务执行的云计算抽象模型,与之相对的是基于服务器(虚拟机、容器)的计算模式。无服务聚焦在函数计算,隐藏了底层复杂的实现方式,使开发者能够聚焦业务本身。

    1.2.6 小结

    ​ 云原生就是以云的模式管理和部署资源,用户看到的不是一个虚拟主机,而是一个个业务单元,开发者只需要聚焦于业务本身。微服务的设计、无服务的功能是云原生理念的核心体现,容器、编排、服务网格是实现云原生的支撑技术。

    1.3 云原生安全的含义

    ​ 云原生安全分为面向云原生环境的安全和具有云原生特征的安全。

    1.3.1 面向云原生环境的安全

    ​ 面向云原生环境的安全是为了保障云原生环境中的基础设施、编排系统和微服务系统的安全。这类安全机制,不一定具备云原生的特征,可以以传统的模式部署、硬件设备等资源来保护云原生环境。

    ​ 针对云原生的内部安全机制主要以云原生形态的居多,如服务网格的安全通常使用旁挂串接的安全容器,微服务API安全通常使用API网关容器,容器都是云原生的部署方式,具有云原生的特征。

    1.3.2 具有云原生特征的安全

    ​ 借助于业界流行的云原生技术和平台,所提供的具有云原生特征的安全机制,能够提供比安全资源池性能更好、处置更灵活的安全能力。

    1.4 云原生安全体系

    ​ 未来的云安全其实就是纯安全,未来的云计算无处不在,谈云安全问题,就是谈一个通用场景下的安全问题。

    ​ 云原生安全演进如图所示:

    image-20220321111203133

    云原生发展会有三个阶段:

    (1)安全赋能云原生体系,构建云原生的安全能力。当前云原生技术发展迅速,但相应的安全防护匮乏,基础的镜像安全、安全基线都没有成熟的方案。因此,需要研究如何将现有的安全策略,比如隔离、访问控制、入侵检测、应用安全等等应用到云原生环境,构建安全的云原生系统,是当前需要考虑的问题。

    (2)安全产品具有云原生的新特性,该阶段需要研究的是将轻/快/不变的基础设施、弹性服务编排、开发运营一体化的云原生特性赋予到传统的安全产品上,通过软件定义的安全架构,构建原生安全架构,提供弹性、按需、云原生的安全能力。

    (3)提高通用性,安全设备或者平台云原生化后,所提高的安全额能力,不仅适用于云原生、5G、边缘计算场景,还可以独立部署在大型电商等传统常见,最终成为无处不在的安全。

    根据云原生环境的构成,面向云原生环境的安全体系包含三个层面的安全机制。

    1.4.1 容器安全

    ​ 容器环境是云计算的实现的一种方式,因此,容器层面的安全分为以下几部分。

    ​ (1)容器环境基础设施的安全性,比如主机上的安全配置是否会影响到其上运行的容器,主机上的安全漏洞和恶意进程是否会影响到容器,容器内的进程是否可以利用主机上的安全漏洞,等等。

    ​ (2)容器的镜像安全,包括镜像中的软件是否存在安全漏洞,镜像在构建过程中是否存在安全风险,镜像在传输过程中是否被恶意篡改。

    ​ (3)容器运行时安全,比如运行的容器间的隔离是否充分,容器间的通信是否是安全的,容器内的恶意程序是否会影响到主机或者其他容器,容器的资源使用情况是否安全等等。

    ​ (4)整个容器生态的安全性,比如Docker自身的安全性如何,Service Mesh/Serverless对容器安全的影响,容器中的安全密钥的管理与传统环境有什么不同,容器化后的数据隐私保护与传统的数据隐私保护是否一致。

    容器安全可以粗略的分为两个主要方面:一方面是容器云内部的安全,包括宿主机安全、虚拟化安全,容器(东西向)网络的安全,管理平台的安全以及数据安全等等;另一方面是容器云内外之间的网络安全,也就是通常讲的南北向网络安全。其中东西向指的是容器之间的安全,南北向指的是容器和外部之间的安全。

    云计算安全架构如图所示:

    image-20220321114424421

    容器云安全建设思路

    image-20220321151924103

    1.4.2 编排系统安全

    ​ 编排系统的安全指的主要是针对Kubernetes的安全。

    1.4.3 云原生应用安全

    ​ 新型的微服务提醒中存在的安全风险

    1.5 云原生安全问题

    1.5.1 如何防护段生命周期的容器

    ​ 容器的生命周期啊分布呈现三种类型。

    (1)虚拟机型:有一小部分容器被当成虚拟机使用,将本来放置于一个虚拟机中的程序集合部署到单个容器中,这些容器的生命周期和虚拟机相当。生命周期平均在83-333天左右。

    (2)原生型:有一部分容器是以Docker的命令启动和管理的,这部分容器完成独立的功能,生命周期在10天左右

    (3)编排型:还有大量的容器是由编排系统管理的,很多容器更具业务动态生成和销毁,这类容器的生命周期在1天以内。

    ​ 攻击者关注的更多的是持久化的东西,比如代码、第三方库、镜像资产等等。

    ​ 对于防守者来说,安装杀毒软件,对容器来说是一个相对不可行的技术,杀毒软件相对容器而言太重了。

    ​ 因此如何保护短生命周期的容器是我们需要解决的问题之一。

    1.5.2 如何降低安全运营成本

    ​ 安全左移:将安全防护从传统运行时运营转向为开发侧

    1.5.3 DevSecOps

    image-20220321230904215

    DevSecOps开发运营一体化安全,安全能力应该覆盖开发和运营闭环的每个环节。

    1.5.4 如何实现安全的云原生化

    (1)安全架构具备编排能力

    ​ 编排是指将各类资源根据业务需要进行动态控制和管理,安全架构可以借助编排系统实现动态化的管理和升级。

    (2)容器和宿主机安全:安全特权容器

    ​ 以安全容器的形式防护容器的安全,由于容器技术是操作系统的虚拟化,所以可以通过宿主机中的安全代理观察到容器中的进程、文化系统等消息。

    (3)Sidecar安全容器

    ​ 特权容器通常关心的是系统调用、网络流量,但是在云原生环境下,业务团队更加关心的是容器承载的业务的安全。这些安全主要是针对应用层的防护,针对应用层的防护,主要使用的是Sidecar模式的安全容器。

    ​ Sidecar容器本质上就是一种提供反向代理的容器,如图所示,该容器会劫持业务容器的流量,经过解析获得应用层的请求和响应,然后根据安全策略进行检测或防护。

    image-20220322112000290

    1.6 云原生现状

    1.6.1 云原生新范式:Docker+Kubernetes

    ​ 如图所示,Docker、Containerd和CRI-O是容器运行时的主流实现机制:

    image-20220322112538831

    ​ 如图所示,在编排工具上,Kubernetes占据了榜首。

    image-20220322112640748

    1.6.2 镜像问题仍然突出

    ​ Docker Hub上的官方镜像存在高危漏洞。主要问题来源于两方面:方面一:缺少安全团队对镜像的安全性进行检测。方面二:主要是镜像未及时更新安全补丁。

    1.6.3 安全配置规范执行和密钥凭证管理不理想

    ​ 云原生应用会大量存在应用与中间件、后端服务的交互,为了简便,很多开发者将访问凭证、密钥文件直接存放在代码中,或者将一些线上资源的访问品证设置为空或弱口令,导致攻击者很容易访问敏感数据的权限。

    1.7本章小结

    ​ 通过本章的学习,了解云原生的含义,根据云原生和安全体系的关系和发展阶段,首次提出了原生安全的概念,然后介绍了云安全中的一些亟待解决的关键问题。

    欢迎各位关注个人公众号,一起讨论学习。个人博客地址: https://thenorth-sec.github.io/

    image-20220322113630820

    展开全文
  • 云安全架构的设计

    千次阅读 2021-03-17 14:27:02
    公有云安全概述 云安全职责划分-共同担责 软件即服务SAAS 云服务厂家几乎负责所有的安全性,因为租户只能访问、管理和使用其提供的应用程序,但无法对应用程序做破坏性操作。例如:SAAS服务厂家提供安全、日志、...

    公有云安全概述

    云安全职责划分-共同担责

    软件即服务SAAS

    云服务厂家几乎负责所有的安全性,因为租户只能访问、管理和使用其提供的应用程序,但无法对应用程序做破坏性操作。例如:SAAS服务厂家提供安全、日志、运维、审计、应用安全性检测等,二租户只能给管理租户账户和权限。

    平台及服务PAAS

    云服务厂家负责平台的安全性,租户负责平台上部署的应用,包括所有的应用安全配置。两者职责几乎均分。例如RDS关系型数据库服务,云服务厂家提供RDS实例管理安全、RDS实例的修复和核心配置。租户对数据库账户、访问安全等负责。

    基础设置即服务IAAS

    云服务厂家负责基本的安全,而租户负责在此基础上搭建的其它安全。相比PAAS,IAAS租户承担更多的职责。

    租户安全关注点——治理和企业风险管理

    组织治理和度量云计算带来的企业风险的能力。 例如违约的判决先例,用户组织充分评估云提供商风险的能 力,当用户和提供商都有可能出现故障时保护敏感数据的责任,及国际边界对这些问题有何影响等都是关注点。

    法律问题:合同和电子举证

    使用云计算时潜在的法律问题。 本节涉及的的问题包括信息和计算机系统的保护要求、安全漏 洞信息披露的法律、监管要求,隐私要求和国际法等。

    合规性和审计管理

    保持和证明使用云计算的合规性。 本节涉及评估云计算如何影响内部安全策略的合规性、以及不同的合规性要求(规章、法规等)。同时还提供在审计过程中 证明合规性的一些指导。

    信息治理

    治理云中的数据。 本节涉及云中数据的识别和控制;以及可用于处理数据迁移到 云中时失去物理控制这一问题的补偿控制。也提及其它项,如谁负责数据机密性、完整性和可用性等。

    管理平面和业务连续性

    保护访问云时使用的管理平台和管理结构,包括 Web 控制台 和 API。确保云部署的业务连续性。

    基础设施安全

    核心云基础架构安全性,包括网络、负载安全和混合云安全考虑。该领域还包括私有云的安全基础。

    虚拟化及容器(Container)技术

    虚拟化管理系统、容器和软件定义的网络的安全性。

    事件响应、通告 和补救

    适当的和充分的事件检测、响应、通告和补救。尝试说明为了启动适当的事件处理和取证,在用户和提供商两边都需要满足的一些条目。本域将会帮助您理解云给您现有的事件处理程序带来的复杂性。

    应用安全

    保护在云上运行或在云中开发的应用软件。包括将某个应用迁移到或设计在云中运行是否可行,如果可行,什么类型的云平 台是最合适的(SaaS, PaaS, or IaaS)。

    数据安全和加密

    实施数据的安全和加密控制,并保证可扩展的密钥管理。

    身份、授权和访问管理

    管理身份和利用目录服务来提供访问控制。关注点是组织将身 份管理扩展到云中遇到的问题。本节提供洞察评估一个组织准备就绪进行基于云的身份、授权和访问管理(IdEA)。

    安全即服务

    提供第三方促进安全保障、事件管理、合规认证以及身份和访问监督。

    相关技术

    与云计算有着密切关系的已建立的新兴技术,包括大数据,物联网和移动计算。

    租户云上安全诉求及方案

    业务连续不中断

    业务中断的主要原因

    网络攻击

    网络的每一层都有可能成为攻击者的切入点,非应用层的攻击可能导致基础网络不可用,如DDOS、DOS可以让企业网络出口几乎等于不可用,针对应用层的CC攻击可以让服务器无法正常对外提供服务,无论针对哪一层进行的攻击行为,都有可能导致客户的业务中断,无法正常运行。

    漏洞

    没有及时修补的漏洞、0Day,都使得企业的业务运行在不安全的环境下,利用漏洞的攻击可以让黑户非法窃取数据、造成业务中断、数据丢失等。以在护网行动中暴露出来的coremail为例,可造成coremail的配置文件信息泄露,其中包括数据库连接的用户名密码等敏感信息

    病毒

    如果近几年来让大家印象深刻的导致业务中断的事件,由勒索病毒(永恒之蓝、warnnacry)为代表的病毒大家再熟悉不过了,病毒对在很多方面都可以导致业务系统不可用:服务器资源高占用、死机、数据被删除、数据被加密等。

    网络攻击的分类

    网络攻击按照流量特点可以分为流量型攻击单包攻击两种。

    流量攻击也就是我们熟知的DOS、DDOS,使用大量的流量或者应用层连接造成业务不可用。

    单包攻击虽然没有大量的流量,但是通过构造特殊的报文来攻击网络中设备的漏洞,可直接造成网络设备的宕机、网络拓扑信息泄露。

    流量型攻击分类

    流量型攻击从攻击层面可以分为网络层和应用层,通过构造大量报文造成接口流量拥塞、设备处理卡顿,从而达到正常业务流量无法得到及时处理的问题,借此来中断业务。

    TCP flood

    攻击者首先伪造地址对服务器发起SYN请求,服务器就会回应一个ACK+SYN,而真实的IP没有发送请求,不作回应。服务器没有收到回应,会重试3-5次并且等待一个SYN Time(一般30秒-2分钟)后,丢弃这个连接。如果攻击者大量发送这种伪造源地址的 SYN请求,服务器端将会消耗非常多的资源来处理这种半连接(SYN_RECV状态),保存遍历会消耗非常多的CPU时间和内存,何况还要不断对这个列表中的IP进行 SYN+ACK的重试,服务器无暇理睬正常的连接请求造成拒绝服务。这种情况称作服务器端受到了SYN Flood攻击(SYN洪水攻击)

    UDP flood

    UDP协议是一种无连接的服务,攻击者向服务器发送大量UDP协议数据包,导致服务器带宽和系统资源耗尽,无法提供正常服务。比较常见的是攻击者利用大量UDP小包冲击DNS服务器或Radius认证服务器、流媒体视频服务器等。UDP Flood攻击包括小包和大包两种方式进行攻击。

    ICMP flood

    ICMP Flood 攻击属于流量型的攻击方式,攻击者使用工具发送大量的伪造源IP的ICMP报文,造成服务器带宽资源被大量占用,给服务器带来较大的负载,影响服务器的正常服务。由于目前很多防火墙直接过滤ICMP报文, 因此ICMP Flood出现的频度较低。

    HTTP flood

    常见的HTTP Flood攻击分为HTTP get flood、HTTP post flood,是指利用应用层Http协议,向服务器发送海量Http请求,造成服务器繁忙和资源耗尽,无法正常提供服务的DDoS攻击。

    HTTPS floofd

    与HTTP flood类似,只是基于HTTPS。

    DNS flood

    分为DNS Query Flood和DNS Reply Flood。DNS Query Flood采用的方法是向被攻击的服务器发送大量的域名解析请求,域名解析的过程给服务器带来了很大的负载,每秒钟域名解析请求超过一定的数量就会造成DNS服务器解析域名超时,导致DNS服务器无法为合法用户提供服务。通常攻击者所请求解析的域名是随机生成或者是网络世界上根本不存在的域名,被攻击的DNS DNS服务器就需要进行频繁的字符串匹配,由于在本地无法查到对应的结果,服务器必须使用递归查询向上层域名服务器提交解析请求,引起连锁反应,从而给DNS服务器带来更大的负载。DNS reply flood就是黑客发送大量的DNS reply报文到DNS缓存服务器,导致缓存服务器因为处理这些DNS reply报文而资源耗尽,影响正常业务。

    SIP flood

    攻击者通过发送大量的INVITE消息到SIP服务器,导致被攻击SIP服务器分配大量的资源用以记录和跟踪会话,直到资源耗尽而无法响应合法用户的呼叫请求。

    SIPSession Initiation Protocol,会话初始协议)的开发目的是用来帮助提供跨越因特网的高级电话业务。因特网电话(IP电话)正在向一种正式的商业电话模式演进,SIP就是用来确保这种演进实现而需要的NGN(下一代网络)系列协议中重要的一员。支持H.264协议。

    单包攻击种类

    最常见的DoS攻击就是我们常常提到的单包攻击,这类攻击一般都是以个人为单位的黑客发动的,攻击报文也比较单一,虽然破坏力强大,但是只要掌握了攻击的特征,防御起来还是比较容易的。

    畸形报文攻击:通常指攻击者发送大量有缺陷的报文,从而造成主机或服务器在处理这类报文时系统崩溃。

    扫描类攻击:是一种潜在的攻击行为,并不具备直接的破坏行为,通常是攻击者发动真正攻击前的网络探测行为。

    特殊控制报文攻击:也是一种潜在的攻击行为,不具备直接的破坏行为,攻击者通过发送特殊控制报文探测网络结构,为后续发动真正的攻击做准备。

    扫描窥探攻击

    利用ping扫射(包括ICMP和TCP)来标识网络上存活着的系统,从而准确定位潜在的目标;利用TCP和UDP端口扫描,就能检测出操作系统和监听着的潜在服务。攻击者通过扫描窥探就能大致了解目标系统提供的服务种类和潜在的安全漏洞(识别目标弱点),为进一步侵入系统做好准备。

    畸形报文攻击

    通过向目标系统发送有缺陷的IP报文,使得目标系统在处理这样的IP报文时发生错误,或者造成系统崩溃,影响目标系统的正常运行。主要的畸形报文攻击有Ping of Death、Teardrop等。

    特殊报文攻击

    攻击者利用一些合法的报文对网络进行侦察或者数据检测,这些报文都是合法的应用类型,只是正常网络很少用到。

     

     

     

    网络攻击防范

    防火墙,antiddos

    安全组:防护对象为弹性云服务器

    网络ACL:防护对象为VPC的子网

     

     

    计费项:基础防护+业务带宽+弹性防护

    付费方式:预付+后付

    计费周期:基础防护带宽(Gbit/s)、业务带宽(Mbit/s)按照月/年计费,购买时生成预付费订单付费。

    后付费周期:弹性防护带宽(Gbit/s)按自然日计费,按照前一日实际发生的超出基础防护攻击峰值生成后付费账单。

    漏洞

    漏洞会影响到很大范围的软硬件设备,包括操作系统本身及其支撑软件,网络客户和服务器软件,路由器和安全防火墙等。换而言之,在这些不同的软硬件设备中都可能存在不同的安全漏洞问题。

    常见漏洞按照分类可以分为三大类:主机漏洞、Web漏洞和数据库漏洞。

    主机漏洞:内存破坏类漏洞、CGI类漏洞、输入验证类漏洞、配置错误类漏洞、系统本地补丁、常见协议弱口令、木马病毒

    Web漏洞:SQL注入攻击、跨站脚本、文件包含、远程代码执行、主流CMS漏洞。

    数据库漏洞:常见类型数据库漏洞,如Oracle、MySQL、SQL Server、DB2、Informix、Sybase

    基于威胁类型分类:

    获取控制:劫持执行程序流程,使程序执行指定任意指令或命令,控制应用系统或操作系统。

    获取信息:劫持程序访问预期外的资源并被攻击者获取,影响系统的机密性。

    拒绝服务:导致目标应用或系统暂时或永久性失去相应服务的能力

    基于技术类型分类:

    内存破坏类:栈缓冲区溢出,堆缓冲区溢出,静态数据区溢出。

    错误逻辑类:安全检查的实现逻辑上上有问题。

    设计错误类:系统设计上对安全机制的考虑不足导致在设计阶段引入安全漏洞。

    错误配置类:系统运维过程中默认不安全的配置状态。

    输入验证类:对用户输入没有做充分的检查过滤就用于后续操作导致的漏洞。

    漏洞防御

    针对Web安全的防御主要可以分为以下两个方面:

    用户侧:在用户侧通过限制用户可访问的Web站点类型,限制恶意站点,从而达到防御Web攻击的目的。

    站点侧:在站点上规范开发,开发时从语言编写层面防御针对Web攻击,让攻击行为无法被执行。

    病毒

    病毒是一组程序或指令的集合,它能够通过某种途径潜伏在计算机存储介质或程序中,当达到某种条件(如特定时间或者特定网络流量等)时被激活,从而对计算机资源进行一定程度的破坏。

    病毒的传播途径多种多样,在早期以移动介质传播为主,但是随着Internet技术的发展,以及E-mail和一批网络工具的出现,使得计算机病毒的种类迅速增加,扩散速度也大大加快,计算机病毒的传播方式迅速转变以网络系统间的传播为主。

    网络(电子邮件、网页链接、P2P共享)、U盘等

    病毒特征

    病毒具有以下特征:

    传染性

    可以通过多种方式传播,在当今互联网时代,病毒可以通过网络迅速传播到世界的各个地方。

    破坏性

    一般的病毒会删除、加密系统内文件,少部分的病毒会对计算机的硬件进行不可逆的破坏,如CIH病毒。

    隐蔽性

    一般病毒很难被发现,他们会伪装地和正常程序名称很像,让人很难察觉,如svh0st这种名称,不仔细观察会认为是系统进程(svhost是windows系统正常的系统进程)。有的病毒会依附于正常程序,当正常程序执行时它们也会被调用。

    潜伏性

    并不是所有的病毒都会立即执行,而是等待设定的触发条件达到才会执行,比如某个时间点。

    不可预见性

    不同类型的病毒之间从代码角度来看差距很大,很难不查看代码的具体行为就判断出该程序是不是病毒,同时对代码的一点修改,就可以让病毒的行为改变,从而绕过杀毒软件已经退出的检测、查杀手段。

    病毒分类

    按破坏性分类:

    良性病毒:良性病毒并不破坏系统中的数据,而是干扰用户的正常工作,导致整个系统运行效率降低、系统可用内存总数减少、使某些应用程序不能运行。

    恶性病毒:恶性病毒发作时以各种形式破坏系统中的数据。如删除文件、修改数据、格式化硬盘或破坏计算机硬件。

    传播媒介分类:

    单机病毒:单机病毒的载体是磁盘,常见的是病毒从软盘传入硬盘,感染系统,然后再传染其他软盘,软盘又传染其他系统。

    网络病毒:网络病毒的传播媒介不再是移动式载体,而是网络通道,这种病毒的传染能力更强,破坏力更大。

    按传染方式分类

    文件型病毒:文件型病毒是指能够感染文件、并能通过被感染的文件进行传染扩散的计算机病毒。

    系统引导型病毒:这类病毒隐藏在硬盘或软盘的引导区,当计算机从感染了引导区病毒的硬盘或者软盘启动,或者当计算机从受感染的磁盘中读取数据时,引导区病毒就会开始发作。

    混合型病毒:混合型病毒综合了系统引导型和文件型病毒的特性,它的危害比系统引导型和文件型病毒更为严重。这种病毒不仅感染系统引导区,也感染文件,通过这两种方式来感染,更增加了病毒的传染性以及存活率。

    宏病毒:宏病毒是一种寄存于文档或模板的宏中的计算机病毒,主要利用MicrosoR word提供的宏功能来将病毒带进到带有宏的Doc文档中,一旦打开这样的文档,宏病毒就会被激活,进人计算机内存中,并驻留在Nonnal模板上。

    按连接方式分类:

    源码型病毒:源码型病毒攻击的对象是高级语言编写的源程序,在源程序编译之前插入其中,并随源程序一起编译、连接成可执行文件。

    入侵型病毒:入侵型病毒将自身连接入正常程序之中。这类病毒难以被发现,清除起来也较困难。

    操作系统型病毒:操作系统型病毒可用其自身部分加入或替代操作系统的部分功能,使系统不能正常运行。

    外壳型病毒:外壳型病毒将自身连接在正常程序的开头或结尾。

    病毒防范

    针对病毒大家最了解的防御手段:杀毒软件,Anti Virus,一般简称AV,从查杀原理来区分,AV可以分为两种类型:

    扫描性:描病毒程序本身的特征,然后与杀软病毒库中的特征码作对比,能够匹配说明就是病毒,但随着病毒越来越多,病毒库的体积会越来越臃肿,客户需要频繁地升级病毒库。

    主动防御性:将可疑程序放到一个“沙箱”内运行,“沙箱”是一个模拟的操作系统,沙箱会观察该程序是否会执行一些危险行为,表现出明显的病毒特征,如果在模拟的操作系统内该程序表现出一些危险行为,沙箱会判定该程序为病毒。

    从防范的位置来看,一般在主机侧(用户主机、服务器)通过安装杀毒软件、定期查杀、更新系统等行为进行防范,在网络侧通过部署具有防病毒功能的防火墙、物理沙箱设备来进行主动防御。

    华为云租户业务防护方案

    漏洞扫描服务VSS具有web网站扫描主机扫描HSShost security service两种扫描能力。

    漏洞扫描服务帮您快速检测出您的网站和主机存在的漏洞,提供详细的漏洞分析报告,并针对不同类型的漏洞提供专业可靠的修复建议。

    体验式扫描

    第一次使用漏洞扫描服务的新用户,在未进行域名认证时,可以对网站进行体验式扫描,预估网站风险。

    主机漏洞扫描

    支持深入扫描

    通过配置验证信息,可连接到服务器进行OS检测,进行多维度的漏洞、配置检测。

    支持内网扫描

    可以通过密钥的方式访问业务所在的服务器,适配不同企业网络管理场景。

    支持弱密码扫描

    多场景可用

    全方位的OS连接,涵盖90%的中间件,支持标准Web业务弱密码检测、操作系统、数据库等弱口令检测。

    丰富的弱密码库

    丰富的弱密码匹配库,模拟黑客对各场景进行弱口令探测,同时支持自定义字典进行密码检测。

    支持中间件扫描

    丰富的扫描场景

    支持主流Web容器、前台开发框架、后台微服务技术栈的版本漏洞和配置合规扫描。

    多扫描方式可选

    支持通过标准包或者自定义安装等多种方式识别服务器中的中间件及其版本,全方位发现服务器中的漏洞风险

    网站漏洞扫描

    具有OWASP TOP10和WASC的漏洞检测能力,支持扫描22种类型以上的漏洞。

    扫描规则云端自动更新,全网生效,及时涵盖最新爆发的漏洞。

    支持HTTPS扫描。

    一站式漏洞管理

    支持任务完成后短信通知用户。如果您希望在扫描任务执行完成后收到短信通知,请购买专业版或者企业版。

    提供漏洞修复建议。如果您需要查看修复建议,请购买专业版或者企业版。

    支持下载扫描报告,用户可以离线查看漏洞信息,格式为HTML。如果您需要下载扫描报告,请购买专业版或者企业版。

    支持重新扫描。

    自定义扫描

    支持任务定时扫描。

    支持端口扫描。

    支持弱密码扫描。如果您需要对网站进行弱密码检测,请购买专业版或者企业版。

    支持自定义登录方式。

    支持Web 2.0高级爬虫扫描。

    web网站扫描采用网页爬虫的方式全面深入的爬取网站url,基于多种不同能力的漏洞扫描插件,模拟用户真实浏览场景,逐个深度的分析网站细节,帮助用户发现潜在的安全隐患。同时内置了丰富的无害化扫描规则,以及扫描速率动态调整能力,可有效避免用户网站业务受到影响。

     

    主机扫描需要经过用户授权(支持账密授权、脚本授权方式)访问用户主机,能够自动发现并检测主机操作系统、中间件等版本漏洞信息和基线配置,基于实时同步官网更新的漏洞库匹配漏洞特征,帮助用户及时发现主机安全隐患。

     

    Web应用防火墙(Web Application FirewallWAF,通过对HTTP(S)请求进行检测,识别并阻断SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意爬虫扫描、跨站请求伪造等攻击,保护Web服务安全稳定。

    操作全程可管控

     

    用户可通过云服务基线查看各项风险的详细信息和指导建议。

    身份认证

    • 检查是否启用IAM用户
    • 检查租户的用户列表,是否至少有两个已启用的用户,且其中一个用户所属的用户组不是admin用户组。启用IAM用户,是指通过IAM服务启用除企业管理员以外的其他用户,且该用户不属于admin组。

    访问控制

    • 网络ACL规则检查
    • 检查所有网络ACL的规则是否存在不安全规则,即是否存在开放过大的访问控制策略。不安全规则,即方向为入方向,动作为允许,协议为任一类别协议,源地址为0.0.0.0/0(所有地址),源端口范围为1-65535或0,目的地址为0.0.0.0/0(所有地址),目的端口范围为1-65535、0或者特定的业务端口,如22。

    安全组规则检查

    • 检查所有安全组的规则是否存在不安全规则,即是否存在开放过大的访问控制策略。不安全规则,即方向为入方向,协议为任一类别协议,源地址为0.0.0.0/0(所有地址),端口为1-65535或者特定的业务端口,如22。

    日志审计

    • 检查是否启用云审计服务
    • 检查租户是否已经开通云审计服务,并且至少有一个追踪器的状态是正常的。云审计服务,可以提供云账户下资源的操作记录,通过操作记录,用户可以实现安全分析、资源变更、合规审计、问题定位等常见应用场景。
    • 检查是否启用OBS桶日志记录
    • 检查租户的所有OBS桶是否开启日志记录功能。OBS桶日志记录,是指用户开启一个桶的日志记录功能后,OBS会自动对这个桶的访问请求记录日志,并生成日志文件写入用户指定的桶(即目标桶)中。

    数据安全

    • OBS桶的ACL权限检查
    • 检查所有OBS桶,是否给匿名用户赋予桶访问权限或者ACL访问权限。桶ACL是基于账号或用户组的桶级访问控制,桶的拥有者可以通过桶ACL授予指定账号或用户组特定的访问权限。为安全起见,不建议通过桶ACL为匿名用户赋予桶的相关权限。如果匿名用户被授予了访问桶的权限,则表示所有人都可以访问对应的桶,并且不需要经过任何身份认证。

    RDS实例安全组规则检查

    • 检查所有RDS实例关联的安全组的规则是否存在不安全规则,即是否存在开放过大的访问控制策略。不安全规则,即方向为入方向,协议为任一类别协议,源地址为0.0.0.0/0(所有地址),端口为1-65535或者数据库业务端口,如3306。

    基础防护

    • 检查是否启用Anti-DDoS流量清洗
    • 检查租户的弹性云服务器、弹性负载均衡资源是否启用了Anti-DDoS流量清洗。启用Anti-DDoS流量清洗,是指为华为云内资源(弹性云服务器、弹性负载均衡),开启流量清洗防护,抵御DDoS攻击。

    检查ECS实例是否启用企业主机安全

    • 检查租户的弹性云服务器是否安装主机安全客户端,且防护状态是否开启。启用企业主机安全,是指为云主机安装主机安全客户端并开启防护。从而提升主机整体安全性,帮助企业降低主机安全风险。
    • 云审计服务管理控制台支持创建数据事件追踪器,用于记录数据操作日志。        

    追踪器分类

    管理事件追踪器和数据事件追踪器。

    管理事件追踪器用于记录管理事件,即针对云资源的操作日志,例如创建、登录、删除等。

    数据事件追踪器用于记录数据事件,即针对数据的操作日志,例如上传、下载等。

    策略根据授权的精细程度

    细粒度策略Role-Based Access ControlRBAC)策略

    RBAC策略:将服务作为一个整体进行授权,授权后,用户可以拥有这个服务的所有权限,RBAC策略无法针对服务中的具体操作做权限控制

    细粒度策略:以API接口为粒度进行权限拆分,授权更加精细,可以精确到具体操作。授权后,用户可以对这个服务执行特定的操作,例如:针对ECS服务,控制用户仅能变更云服务器规格。

    态势感知(Situation AwarenessSA是可视化威胁检测和分析的平台。态势感知能够检测出超过20大类的云上安全风险,包括DDoS攻击、暴力破解、Web攻击、后门木马、僵尸主机、异常行为、漏洞攻击、命令与控制等。利用大数据分析技术,态势感知可以对攻击事件、威胁告警和攻击源头进行分类统计和聚合分析,为用户呈现出全局安全攻击态势。

    通过采集全网流量数据和安全防护设备日志信息,并利用大数据安全分析平台进行处理和分析,态势感知检测出威胁告警,同时将主机安全、Web防火墙和DDoS流量清洗等安全产品上报的告警进行汇聚,最终为用户呈现完整的全网攻击态势,进而为安全事件的处置决策提供依据。

    云审计服务CTS

    日志审计模块是信息安全审计功能的核心必备组件,是企事业单位信息系统安全风险管控的重要组成部分。在信息系统逐步云化的背景下,包括我国SAC/TC在内的全球各级信息、数据安全管理部门已对此发布多份标准,如:ISO IEC27000、GB/T 20945-2013、COSO、COBIT、ITIL、NISTSP800等。

    云审计服务(Cloud Trace Service,以下简称CTS,是华为云安全解决方案中专业的日志审计服务,提供对各种云资源操作记录的收集、存储和查询功能,可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。

    云审计服务的功能主要包括:

    记录审计日志:支持记录用户通过管理控制台或API接口发起的操作,以及各服务内部自触发的操作。

    审计日志查询:支持在管理控制台对7天内操作记录按照事件来源、事件名称、操作类型、资源名称/ID、事件状态和时间范围等多个维度进行组合查询。

    审计日志转储:支持将审计日志周期性的转储至对象存储服务(Object Storage Service,简称OBS)下的OBS桶,转储时会按照服务维度压缩审计日志为事件文件。

    事件文件加密:支持在转储过程中使用数据加密服务(Data Encryption Workshop,简称DEW)中的密钥对事件文件进行加密。

    关键操作通知:支持在检测到部分关键操作时,使用消息通知服务(Simple Message Notification,简称SMN)向用户发送邮件、短信通知。

    统一身份IAM

    1. 对华为云的资源进行精细访问控制
    2. 跨账号的资源操作与授权
    3. 使用企业已有账号登录华为云

    统一身份认证(Identity and Access Management,简称IAM是华为云提供权限管理的基础服务,可以帮助您安全地控制华为云服务和资源的访问权限。

    IAM无需付费即可使用,您只需要为您账号中的资源进行付费。

    • 云堡垒机提供了用户管理、用户组管理、角色管理,认证方式支持账号和密码、USBKey和动态令牌多种令牌认证模式。
    • 云堡垒机提供了访问控制策略、命令控制策略和改密策略等三种方式。

     

    数据保密不扩散

    生命周期

    存储系统缺陷

    缺乏加密

     尽管一些高端NAS和SAN设备包含自动加密功能,但市场上的许多产品并不包含这些功能。这意味着组织需要安装单独的软件或加密设备,以确保其数据已被加密保护。

    云存储

    越来越多的企业选择将部分或全部数据存储在云中。尽管有人认为云存储相比内部部署的存储更安全,但云计算增加了存储环境的复杂性,并且通常需要存储人员学习新工具,并实施新程序,以确保数据得到充分保护。

    数据销毁

    从硬盘或其他存储介质中删除数据时,可能会留下可能导致未经授权的人员恢复该信息的痕迹。存储管理人员和管理者需要确保从存储中删除的任何数据都被完全覆盖,以至于无法恢复。

    物理安全

    有些组织对其存储设备的物理安全性没有足够的重视。在某些情况下,他们没有考虑到内部人员(例如员工或清洁团队的成员)可能能够访问物理存储设备,并提取数据,从而绕过所有精心策划的基于网络的安全措施的情况。

    对称加密的最大优点是:加密速度非常快,缺点是:密钥难于保存和传输

    当前的著名对称加密算法有

    DES/3DES数据加密标准

    IDEA国际数据加密算法

    RC系列

    CAST

    Blowfish/Twofish

    AES高级数据加密标准等等

     

    非对称算法有如下特点:

    公钥加密,私钥解密,公钥公开,私钥保密,加解密速度很慢

    密钥管理服务(KMS – Key Management Service应运而生。密钥管理系统可对密钥进行全生命周期的管理,包括创建、启用、禁用、更新、轮换、销毁等操作。

    通过使用硬件安全模块(HSM – Hardware Security Module),为租户创建和管理密钥,防止密钥明文暴漏在 HSM 之外,从而防止密钥泄露,保护密钥安全。

    硬件安全模块(HSM)通常以硬件加密机的形式对外提供服务,提供主要功能如下:

    • 生成、存储、导入、导出和管理加密密钥,包括对称密钥和非对称密钥。
    • 使用对称和非对称算法加密和解密数据。
    • 使用加密哈希函数计算消息摘要和基于哈希的消息身份验证代码。
    • 对数据进行加密签名(包括代码签名)并验证签名。
    • 以加密方式生成安全随机数据。

    对于密钥在内的敏感信息,HSM同时提供逻辑层面与物理层面的保护,以防止未经授权的访问或者可能的入侵。

    自2010年起,NIST推荐选取2048位及以上的RSA密钥长度,在更长密钥下保证速度就变得越来越重要了。对此,有些HSM已经支持同等安全程度仅需更短密钥的椭圆曲线密码学(ECC)。

    云加密机

    云密码机采用虚拟化技术,在一台硬件密码设备上实现同时运行多个虚拟化的密码机(VSM,可与云计算管理系统无缝对接,实现对VSM的独立管理,并支持虚拟化多种密码体系的VSM,用户使用VSM与使用传统密码机一致。

    云加密机具有以下特点:

    独享云端硬件芯片

    采用独有的硬件虚拟化与隔离技术,用户独享云端密码芯片资源,实现用户密钥硬件隔离的同时保障业务性能。

    多层安全设计

    采用主机可信链路、密钥协商、平台与VSM管理角色分离等技术实现端到端的安全。

    弹性密码计算

    密码运算资源动态调配,高峰期动态增加、低谷期动态释放。

    全业务支持

    支持金融支付、身份认证、数字签名等应用安全,满足各种重要系统对于数据安全性的严苛要求。

    多用户/应用支持

    通过完善的审核控制和身份认证机制,支持多用户之间的设备及管理隔离,同时仍支持多应用调用。

    集中设备管理支持

    由统一的管理中心进行设备集中管理和监控,管理员随时可掌握设备的工作状态。与用户密钥管理权限分离,用户也可集中管理自身的密码设备密钥,保证用户密钥的安全性。

    安全性

    采用国密局批准的硬件芯片实现密码算法,采用多路物理噪声源芯片生成高强度随机数。

    可靠性

    采用多级阵列技术,支持VSM集群、热备,切实保障用户的业务连续性。

    兼容性

    为应用提供与实体密码设备相同的功能与接口,可完全兼容传统应用并方便其向云端迁移。

    加密存储

    磁盘加密

    系统盘、数据盘、硬盘快照和硬盘备份的加解密操作。加解密密钥的管理由密钥管理系统实现。

    全盘加密技术是主要是对磁盘进行全盘加密,正常一块500G的硬盘解密一次所需时间需要3-4个小时,主要做法是对系统盘不做加密防护,而是采用外围技术进行安全访问控制。

    文件加密

    根据要求在操作系统层自动地对写入存储介质的数据进行加密的技术。文档加密主要的技术分为磁盘加密、应用层加密、驱动级加密等几种技术,应用层加密因为对应用程序的依赖性比较强,存在诸多兼容性和二次开发的问题,逐步被各信息安全厂商所淘汰。

    数据库加密

    应用系统加密

    将应用系统数据先在内存中进行加密,然后文件系统把每次加密后的内存数据写入到数据库文件中去,读入时再逆方面进行解密。加密方法相对简单,只要妥善管理密钥就可以了。缺点对数据库的读写都比较麻烦,每次都要进行加解密的工作,对程序的编写和读写数据库的速度都会有影响。

    数据库服务端加密

    数据库服务端加密需要对数据库管理系统本身进行操作。这种加密是指数据在物理存取之前完成加解密工作。这种加密方式的优点是加密功能强,并且加密功能几乎不会影响DBMS的功能,可以实现加密功能与数据库管理系统之间的无缝耦合。其缺点是加密运算在服务器端进行,加重了服务器的负载,而且数据库管理系统和加密器之间的接口需要数据库管理系统开发商的支持。

    数据库客户端加密

    数据库客户端加密实现加密的好处是不会加重数据库服务器的负载,并且可实现网上的传输,加密比较实际的做法是将数据库加密系统做成数据库管理系统的一个外层工具,根据加密要求自动完成对数据库数据的加解密处理。

    采用这种加密方式进行加密,加解密运算可在客户端进行,它的优点是不会加重数据库服务器的负载并且可以实现网上传输的加密,缺点是加密功能会受到一些限制,与数据库管理系统之间的耦合性稍差

    数据销毁

    数据覆写

    低程度的就是将磁带或磁盘完全覆写;高程度则需符合美国国防部DoD 5220-22-M 保安认证程序,结合数种清除与覆写程序,让硬盘每一个空间都被重复清除及覆写。

    物理消磁

    小型消磁机做单卷消磁,但消磁机磁波高,大量消磁委托专门公司相比更迅速安全

    焚毁

    储存媒体通过焚毁,达到数据保密的目的

    捣碎/剪碎

    实体捣碎

    化学腐蚀

    化学腐蚀是指是运用化学物质溶解、腐蚀、活化、剥离磁盘记录表面信息的销毁方法。

    存储类型

    机密性

    可靠性

    EVS

    KMS 提供密钥。用户主密钥(CMK -  Customer Master Key)由 KMS 生成、管理和销毁,用于加密和解密数据加密密钥。华为云提供整卷加密功能。

    三副本备份,数据持久性高达99.99995%

    通过VBS实现云硬盘的备份与恢复,且支持通过云硬盘备份创建新的云硬盘

    VBS

    由 KMS 提供密钥。CMK 由 KMS生成、管理和销毁,用于加密和解密数据加密密钥。华为云提供整卷加密功能。

    数据持久性高达99.999999999%

    OBS

    提供两种加密密钥管理方式:

    用户提供加密密钥(SSE-C 方式):由用户提供密钥、密钥的 哈希值、加密算法 AES256。须使用 HTTPS 发请求。

    KMS 托管密钥(SSE-KMS 方式):由 KMS 提供密钥。用户向区域中的桶上传 SSE-KMS加密的对象时,OBS 将自动创建用于加密和解密数据的 CMK。

    数据持久性高达99.999999999%,服务可用性达99.99%

    数据检查:存储前一致性检查,确保存入数据是上传数据

    分片冗余:数据分片后多份冗余存储在不同磁盘,后台自行检测一致性并及时修复受损数据

    RDS

    供数据机密性的双重保证:

    通过数据库管理系统对数据库文件进行加密处理,即使数据泄露或丢失,也无法进行破译。

    华为云建议租户对要进行上传的数据进行加密,然后再保存到数据库中。

    三副本备份,数据持久性高达99.99995%;主备数据库实例可在故障发生时快速切换,服务可用性达99.95%, 

    备份与恢复:备份,支持自动备份以及创建快照;恢复,支持恢复到某个备份文件点

    IMS

    由 KMS 提供密钥。CMK 由 KMS生成、管理和销毁,用于加密和解密数据加密密钥。华为云提供两种方式创建加密镜像:通过加密弹性云服务器创建和通过

    外部镜像文件创建。

    使用多份冗余存储私用镜像,数据持久性高达99.999999999%

     

    专属加密(Dedicated Hardware Security ModuleDedicated HSM是华为云为用户提供的云上数据加密的服务,可处理加解密、签名、验签、产生密钥和密钥安全存储等操作。

    同时,Dedicated HSM可提供认证合规的金融数据加密机、服务器加密机以及签名验签服务器等,灵活支撑用户业务场景。能够帮助用户满足数据安全方面的监管要求,以及云上业务数据的隐私性要求。

    数字签名

    • 难以伪造
    • 无法抵赖
    • 不可更改
    • 不能转移

    信息摘要

    为了保证数据在传输过程中不被修改,消息完整性保证方法因此而生

    消息验证码(Message Authentication Code)

    整个数据进行散列运算,将得到的摘要信息随着消息一起发送,收到数据的一方用同样的方法计算临时摘要,对比消息中携带的摘要信息即可知道消息是否被修改。能够实现这一点的根本在于散列函数对于被计算的值,存在一点差距(1bit的不一样),产生的摘要信息都会不同。常见的摘要算法有:HMAC,SHA.

    数据加密

    通过算法法将一条正常的消息(明文)转换成乱码(密文),再将乱码转换回正常的消息,实现加密(编码)和解密(译码)的过程。有些加密算法是对称的—用来加密的能力可同样用来解密,而另一些算法是不对称的—用来加密的能力无法用来解密。

    对称加密算法有:DESAES3DES

    非对称的加密算法:DSARSA

     

     

     

    数据库层加密

    数据库系统安全框架可以划分为网络安全层宿主操作系统层数据库管理系统层

    网络安全层安全

    网络层次的安全防范技术主要由加密技术认证技术数字签名技术防火墙技术入侵检测技术等。

    操作系统层安全

    一个安全的操作系统应该具有访问控制内存管理审计加密数据传送加密文件系统安全进程通信机制等功能。

    操作系统安全策略用于配置本地计算机的安全设置,包括密码策略、账户锁定策略、审核策略、IP安全策略、用户权力指派、加密数据的恢复及其他安全选项

    安全管理策略是指网络管理员对系统实施安全管理所采取的方法和策略。针对不同的操作系统和网络环境采用的安全策略也不同。

    数据库管理系统层次安全

    其主要技术包括对数据库系统文件进行加密处理,保证即使数据不幸泄漏或者丢失,也难以破译和阅读。

    数据库管理系统层次安全主要分为以下4类:

    DBMS 代码漏洞

    这是由于数据库设计本身引起的安全漏洞,处于数据库产品的代码设计层面,比如缓冲区溢出漏洞,这样的漏洞只能通过厂商的补丁进行修补。

    DBMS 架构缺陷

    比如对口令加密的算法强度不够,在Oracle中,口令的 hash 变换算法,已经被模拟实现。这样的漏洞,一方面可以通过厂商的补丁进行修复,另外还需要进行安全配置的规避。

    DBMS 安全配置漏洞

    这是由于数据库的不合理配置而引起的安全问题,这类问题是最为常见的数据库安全问题,最容易受到攻击者的利用。数据库管理员维护数据库的安全,主要就是在这一个层面进行实施。

    用户造成的DBMS安全隐患

    这是由于对数据库的不合理使用造成的安全问题,比如在编写存储过程的时候,由于程序员的安全意识不足,导致了SQL注入漏洞,这就演变成了一个严重的安全问题。这类问题很难被数据库管理员发现,但是一旦被利用,就会造成巨大的破坏。

    数据库加密技术

    对数据库安全性的威胁有时候来自于内部,一些内部用户可能非法获取用户名和密码,或利用其它方法越权使用数据库。因此,有必要对数据库中存储的数据进行加密

    加密的基本要求

    • 加密粒度要合适,基于文件的数据库加密技术。
    • 采用秘钥动态管理:数据库客体之间隐含着复制的逻辑关系,一个逻辑结构可能对应着多个数据库,所以数据库秘钥数量大,组织存储工作较复杂,需要采用秘钥动态管理。
    • 处理数据要合理。首先要处理恰当的数据来写,否则DBMS将会因加密后的数据不符合定义的数据类型而拒绝加载;其次,需要考虑数据库加密后不增加空间开销。

    数据加密的三种方式

    1. 系统中加密。
    2. 客户端(DBMS外层)加密。
    3. 服务器端(DBMS内核层)加密。

    客户端加密的好处是不会加重数据库服务器的负载,并且可实现网上的传输加密,这种加密方式通常利用数据库外层工具实现,缺点是加密功能会受到一些限制。

    服务器端的加密需要对数据库管理系统本身进行操作,属核心层加密,如果没有数据库开发商的配合,其实现难度相对较大。此外,对那些希望通过ASP获得服务的企业来说,只有在客户端实现加解密,才能保证其数据的安全可靠。

    存取管理技术

    存取管理技术主要包括用户认证技术访问控制技术

    用户认证技术包括用户身份验证用户身份识别技术

    访问控制技术包括数据浏览控制修改控制。浏览控制是为了保护数据的保密性,而修改控制是为了保护数据的正确性和提高数据的可信性。

     

    用户认证和访问控制技术:保护数据的最佳方式便是限制其访问。

    访问控制四个主要级别:

    自主访问控制(DAC:在这个层次上,基于一些预设的权衡性政策,根据用户身份及特权授予其访问权限。通过这一方法,用户可以授权其他用户访问该数据,处于这一特性,这也被用于大多数企业。用户能够在存在需求时,对权限进行添加或删减。

    基于内容的访问控制:在这里权限的授予与否是基于内容而定的。在一个组织中,同一时间可能运行多个项目,因此用户需要访问的数据只需是和项目有关的。

    细粒度访问控制:可设置不同级别的访问控制。例如,我们能够在Oracle虚拟数据库中看到这些内容。

    强制访问控制(MAC):这是个基于用户和数据对象分类的模型。分类基于不同等级,被称为访问类。一个访问类包含多层安全水平,可以用于给不同类适当的读写权限。

    传统数据库防护弊端

    在对安全体系的设计和治理方案中,主要依靠传统边界安全防护,如防火墙、下一代防火墙、IPSIDS等安全控制类产品;随着边界安全防护的进一步落地,逐步开始向内容安全防护过度,如上网行为管理、堡垒机、数据库审计等安全设备;而随着数据大集中之后,数据库里的数据越来越有价值,而目前的防护体系中针对数据库的安全防护是空白的。很多客户认为自己有灾备软件、有数据库审计就能对数据库进行安全管理,但实际上灾备软件只能恢复数据库原有数据,数据库审计只能事后对访问情况进行追溯,如果业务系统存在SQL注入漏洞,恶意攻击者就可以通过绕过WAF等行为对数据库造成攻击,客户无法实时保障数据不被窃取或篡改,无法做到针对数据库的事前预防和事中阻断。

    从目前信息安全等级保护整改遗留的难点分析。等级保护整改中涉及物理安全、网络安全、服务器安全、制度安全等各部分的整改,相对来说通过技术、制度、传统安全设备的配置可以较快速和稳妥的进行加固。但是在数据库安全、应用系统安全上的安全加固以及整改却成棘手之事。不同的数据库以及各版本都有漏洞,但由于业务系统的长时间不间断运行,担心由于补丁及版本升级造成业务瘫痪,故把这部分的安全问题暂时搁置;另外,由于应用系统开发商已经把业务系统交付多年,虽然代码层面可能留有一些漏洞,但是让项目组重新对代码进行加固,阻力和压力都是很大的。

    防火墙等设备主要是基于网络层的访问控制,很难对数据库协议以及应用层协议作出分析与控制;就算近几年发展的如火如荼的下一代防火墙,也很难对数据库协议进行精准解码并且作出实时阻断;IPS、IDS主要也是对边界攻击进行扫描分析,数据库层面的分析也很难进行控制;Web应用防火墙,其主要是通过规则库的方式来进行攻击拦截,而目前很多0day攻击、SQL注入攻击等方式,都可以绕开WAF直接对数据库进行拖库。传统的安全防护手段是无法解决数据库安全的问题

    云数据库安全防护的需求

    传统数据库的安全防护方法已不能完全适应云计算架构,云数据库中的弹性、多租户以及新的物理/逻辑架构和抽象控制都需要新的安全策略。

    云数据库漏洞防护需求。在多租户环境下,通过数据访问组件可以实现租户之间的访问隔离和存储隔离,然而云数据库自身存在的数据库管理系统(DBMS)漏洞有被外部攻击者非法利用的风险,导致租户之间的隔离措施失效。对于云数据库DBMS自身安全漏洞来说,首先要防护已经公布在CVE、CNNVD上,对数据库影响大、危害等级高的数据库漏洞,如导致数据库宕机、绕过身份验证、泄露敏感文件、利用难度低等。

    来自外部SQL注入防护需求。云数据库面向租户或应用提供数据的读写服务,同样要面对来自应用侧的SQL注入或攻击。外部攻击者以Web应用服务器为跳板,利用Web应用漏洞进行SQL注入,对普通用户进行提权,进行数据窃取或非法登录。云数据库中敏感信息管控需求。对于涉及敏感数据的云数据库运维来说,系统维护人员、外包人员、开发人员可能拥有直接访问数据库的权限,他们故意或无意地高危操作可能会对数据造成破坏,比如大范围的删除、修改以及高权限人员违规对敏感数据的批量导出行为。云数据库访问操作全面审计需求。通过监控模块对云数据库的性能分析可知,云数据库开启自身的审计和监控非常占用服务器资源,另外,如果仅利用数据库自带的审计功能,数据库管理员可随时关闭,导致无审计记录,事后追踪将缺乏依据。因此,需要采用独立的云数据库审计软件实现全面审计。

    云数据库中生产数据脱敏需求。云数据库中存储大量真实的生产数据,经常会被企业用来测试、分析和科学研究,如果都采用生产区的真实数据,一旦发生敏感数据泄露事件,程序开发、测试和分析人员都将承担一定责任;另一方面如果采用完全混淆的模拟数据,正常的开发、测试和分析工作将无法正常进行,数据利用陷入两难境地。敏感数据存储、备份和导出的加密需求。公有云上的关系型数据库服务(RDS)运行在一个多租户、分布式的环境,每个租户可建立自己数据库权限体系,若数据库中的敏感数据以明文存储,高权限用户可直接操纵数据库,窃取所有敏感信息;同时无法从权限上将数据库管理员的正常维护工作和敏感信息访问操作分开,敏感数据存储、备份和导出缺乏保护,这

    也是数据安全的一个薄弱环节。

    数据库入侵检测

    数据库入侵检测(Database Intrusion DetectionDBID

    数据库安全防护的重要内容,它继承并发展了基于主机和网络入侵检测的思想,首先采集数据库系统的审计数据或当前用户访问记录,其次对这些数据进行分析,使其能够满足规则挖掘或入侵检测的要求,最后判断当前的用户行为是否为攻击或误用行为,若该行为是攻击或误用行为则做出响应,维护数据库的安全。常用的数据库入侵检测技术有如下几种:

    基于统计的入侵检测技术

    基于统计的入侵检测技术是异常检测常用的一种技术,它假设正常的数据库操作存在一定的统计规律,利用用户在特定方面的度量标准提取其正常行为轮廓,通过设置阈值等方法,将待检测数据与已有的正常行为轮廓进行比较,如果超出阈值则认为是发生了入侵行为,优点是它不需要预先知道系统的安全缺陷,缺点是不能检测具有时序关系的入侵行为。

    基于专家系统的入侵检测技术

    专家系统是以安全专家对入侵行为的经验作为基础建立的,以知识库和推理机为中心,它将入侵行为编码为 if-then 形式的推理规则,检测时推理机根据推理规则对待检测数据进行推理演算,判断是否发生入侵行为,它对已知的攻击行为检测率高,对未知的攻击行为不能进行有效检测,规则库更新困难。

    基于模式匹配的入侵检测技术

    基于模式匹配的入侵检测技术是一种误用检测方法,它将已知的入侵特征表示成规则,形成规则库,将待检测数据与已知的入侵模式进行匹配,如果匹配成功,则认为发生了入侵行为,它使用时具有通用、简单的优点,却只能检测已知的攻击行为,检测效率较低。

    基于数据挖掘的入侵检测技术

    数据库用户在长期访问数据库的过程中会遵从一定的行为规律如哪些用户一般在什么时间的登录、哪些用户经常对哪些数据库对象执行哪些操作等,因此,通过对采集的大量数据库审计数据进行分析会发现用户在访问数据库过程中隐含的一些特定模式,即用户正常使用数据库的行为规律。对审计数据进行基于数据挖掘的入侵检测,数据准备完成对数据的过滤和预处理,消除数据集合中的噪声,对数据变量进行转换等工作;进而,利用数据挖掘方法,如聚类、关联、分类、序列分析等对数据实施数据挖掘分析,提取系统用户行为模式;在检测阶段将用户行为模式与规则库中规则进行匹配,如果匹配成功,则说明该行为模式正常,对规则库进行必要更新,任何继续检测其余行为模式,如果匹配不成功,则发出入侵警告。

    安全防护技术

    SQL注入是指通过把特定SQL命令插入到HTTP请求中,达到欺骗服务器以执行恶意SQL命令目的,从而窃取、篡改或者恶意删除数据

    防护SQL注入主要在两个阶段进行。

    第一是在Web服务源码编写阶段进行防护

    开发人员在编写源码时遵循防范SQL注入的经验性指导原则,使用“检查参数格式过滤特殊字符绑定参数”等方式使得SQL注入失效。但是这种方式的有效性取决于开发人员的安全防范知识水平的高低,往往容易留下不易察觉的漏洞。

    第二是在Web服务运行阶段进行防护,也就是部署入侵检测系统。

    传统的入侵检测系统有两种

    基于程序分析的SQL注入检测系统

    Web服务程序进行分析,包括静态分析和动态分析两种策略。

    静态分析是分析源代码,找出潜在的安全漏洞。

    动态分析是在程序运行时完成,通过编写特定的测试用例来测试程序。缺点是必须获知Web应用的源代码,而且分析覆盖率不能得到保障,容易出现漏测。

    基于特征匹配的SQL注入方法。建立当前数据库服务的特征语法树,从中提取出合法的SQL语句语法树,然后进行模式匹配,如果被检测的SQL语句不符合合法模式就产生警告。但是这种方法需要预先知道源代码,并且进行大量人工工作来分析出合法SQL模式。或者通过分析大量SQL注入实例,生成非法SQL语句的匹配模型,然后对实际运行的SQL语句进行模式匹配,如果被检测SQL语句符合非法模型,则判定为SQL注入。这种方法无需获知应用的源代码。但是这种方法的成功率高度依赖非法模型的全面性和准确性。需要耗费大量人工分析,并且容易出现检测遗漏。

    基于机器学习的SQL注入检测技术。 其主要方法步骤是:

    从HTTP请求中提取SQL查询语句,并进行预处理。

    然后通过词法分析和语法分析生成语法查询树。

    对语法树进行特征提取,提取的特征如语法分析树的高度,节点个数,样本长度,空格、数字、特殊字符占原始样本比例和语法树子树个数等。

    使用有监督学习算法对样本进行训练学习,形成一个SVM二分类器,并用该分类器对SQL语句进行检测。

    该方法的缺点在于需要人工进行特征分析,忽略了语法树所带来的语义结构特殊关系。生成的语法树节点中,树节点之间的连接存在潜在语义关系,然而原始方法中忽略了这一关系。

    数据脱敏

    数据脱敏又称为数据去隐私化,或数据变形

    在给定的规则、策略下对敏感数据进行变换、修改的技术机制,能够在很大程度上解决敏感数据在不可控环境中使用的问题,是数据库安全技术之一。

    数据脱敏的原理

    数据脱敏在保留数据原始特征的条件下,对某些敏感信息通过脱敏规则进行数据的变形,实现敏感隐私数据的可靠保护。在不违反系统规则条件下,对真实数据进行改造并提供测试使用,如身份证号、手机号、卡号、客户号等个人信息都需要进行数据脱敏。只有授权的管理员或用户,在必须知晓的情况下,才可通过特定的应用程序与工具访问数据的真实值,从而降低重要数据在共享、移动时的风险。

    数据脱敏在不降低安全性的前提下,使原有数据的使用范围和共享对象得以扩展,能够帮助企业用户按照数据使用的目标,通过定义精确、灵活地脱敏策略,按照用户的权限等级,针对不同类别的数据以不同方式进行脱敏,实现跨工具、应用程序和环境的迅速、一致性的访问限制。

    数据脱敏通常遵循的几条原则包括

    数据脱敏算法一般来说是不可逆的,必须防止使用非敏感数据推断、重建敏感原始数据。

    脱敏后的数据应具有原始数据的特征。带有数值分布范围、具有制定格式的数据,在脱敏后应该与原始数据信息相似。姓名和地址等字段应该符合基本的语言认知,而不是无意义的字符串。在一些高要求的情况下,还可能要求具有与原始数据一致的字段唯一性、频率分布等等。

    保留数据的引用完整性,若被脱敏的字段是数据表主键,那么相关的引用记录必须保持同步更改。

    对可能生成敏感数据的非敏感字段也进行脱敏处理。例如,在病人的诊治记录中为隐藏姓名与病情的对应关系,将“姓名”作为敏感字段进行变换。但是,如果能够通过某“住址”的唯一性推导出“姓名”,则需要将“住址”一起变换。

    脱敏过程应是自动化、可重复的。生产环境中的数据生成速度快,脱敏过程需要能够在规则的引导下自动化进行,才能达到可用性要求。脱敏结果的稳定性,在某些场景下,对同一字段脱敏的每次计算结果都相同或者都不同,以满足数据使用方安全性等指标的要求。

    数据脱敏分类:根据数据的使用环境,可以将数据脱敏分为静态脱敏和动态脱敏。

    静态脱敏(SDM

    一般用在非生产环境,将敏感数据从生产环境抽取并脱敏后给到非生产环境使用,常用于培训、分析、测试、开发等非生产系统的数据库。静态脱敏可将脱敏设备部署于生产环境与测试、开发、共享环境之间,通过脱敏服务器实现静态数据抽取、脱敏、装载。

    动态脱敏(DDM

    常用在生产环境,在访问敏感数据即时进行脱敏,一般用来解决在生产环境需要根据不同情况对同一敏感数据读取时进行不同级别脱敏的场景。动态脱敏采用代理部署方式:物理旁路,逻辑串联。应用或者运维人员对数据库的访问必须都经过动态脱敏设备才能根据系统的规则对数据访问结果进行脱敏。

    数据脱敏的方法

    替换

    以虚构的数据代替真实的数据。

    无效化

    用特殊符号代替真值或真值得一部分,例如遮盖身份证号码的前6-14位。

    随机化

    采用随机数据代替真值,保持替换值的随机性以模拟样本的真实性。

    乱序

    对敏感数据列的数值进行重新随机分布,混淆原数值和其他字段之间的联系。

    平均取值

    针对数值型数据,首先计算它们的均值,然后使脱敏后的值在均值附近随机分布,从而保持数据的总和不便。

    反关联

    查找可能由某些字段推断出另一敏感字段的映射,并对这些字段进行脱敏,例如从出生日期可推断出身份证号。

    偏移

    通过随机移位改变数字数据。

    对称加密

    一种特殊的可逆脱敏方法。通过加密密钥和算法对原始数据进行加密,密文格式与原始数据在逻辑规则上一致,通过解密密钥可以恢复数据。

    动态环境控制

    根据预定义的规则,仅改变部分回应数据,如不在约定情况下访问业务数据时,控制数据内容,屏蔽特定字段内容。例如,重要客户信息只给业务模块的关键用户显示。

    华为数据库安全防护方案

     

    华为数据库安全产品是一个综合性安全产品,包含了数据库防火墙、数据泄露保护和数据库审计保护功能,同时内置了多种合规知识库,满足客户快速遵从法律合规和保护敏感数据需求。

    数据库防火墙

    注入防御:SQL注入防御

    访问控制:数据库访问控制、职责分离

    拖库识别和防御:拖库识别和防御

    自动学习:基于数据库活动行为生成数据库防火墙策略

    防火墙规则:组、表、过程规则

    敏感数据发现

    发现分类:自动发现和分类敏感数据

    合规扫描:包含SOX、HIPAA、PCI、DSS等规范

    策略:生成屏蔽策略

    扫描:主动扫描与定时扫描

    分级:支持不同级别的扫描,包括实例、库、表

    数据库审计

    合规遵从:SOX、HIPAA、PCI等,国际规范

    监控能力:实时监控、列级监控、运行状态、性能监控

    事件能力:登录、访问、查询、存储过程和命令管理等活动

    告警能力:实时风险告警

    审计日志:流量、入侵、安全等日志

    动态数据脱敏

    实时:实时脱敏

    分级:列级、行级、条件屏蔽

    多种支持:表、存储过程、视图屏蔽

    配置无影响:不用修改DB和应用层

    内容安全

    网络内容安全目前大致可以分为两类

    第一类是基于内容的访问控制

    包括网络协议恢复,基于数据包的流量监测,特征码匹配的病毒防护,基于内容的反垃圾邮件等技术;

    第二类是基于信息传播的互联网安全管理问题

    反映的是网络用户公开发布的信息所带来的对社会公共安全问题,这里面所涉及的技术主要包括主题信息监控、舆情监控、社交网络社团挖掘等。

     

    公有云推出的内容审核服务对用户上传的图片、文字、视频进行内容审核,自动识别涉黄、暴恐、政治敏感信息,并对其进行过滤。

    内容审核以开放API(Application Programming Interface,应用程序编程接口)的方式提供给用户,用户通过实时访问和调用API获取推理结果,帮助用户自动采集关键数据,打造智能化业务系统,提升业务效率。

    目前内容审核包括内容审核-图像、内容审核-文本、内容审核-视频。提供了图像反黄检测、文本内容检测、图像内容检测和视频审核服务。

    在视频内容审核,网站论坛,在线商城,电商评论,聊天,注册昵称,弹幕审核。

    法律合规要求

    • 系统中存储什么信息?
    • 系统的信息位于何处?
    • 谁能够访问系统?
    • 他们可以访问什么?
    • 访问是否合适?

    等保是一个持续的过程,产品的部署只是形式,整网的系统化安全建设和持续的产品安全能力提升才是源头活水。
    第二十一条
    国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改
    第三十一条
    国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。
    第五十九条
    网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。

    主要依据:根据系统被破坏后,对公民、社会、国家造成的损害程度定级。

    网络安全等级保护是根据信息系统在国家安全、经济建设、社会生活中的重要程度,以及信息系统遭到破坏后对国家安全、社会秩序、公共利益,以及公民、法人和其他组织的合法权益的危害程度等因素,将信息系统安全等级由低到高分为五个等级。

    第一级为自主保护级,适用于一般的信息和信息系统,其受到破坏后,会对公民、法人和其他组织的权益有一定影响,但不危害国家安全、社会秩序、经济建设和公共利益。

    第二级为指导保护级,适用于一定程度上涉及国家安全、社会秩序、经济建设和公共利益的一般信息和信息系统,其受到破坏后,会对国家安全、社会秩序、经济建设和公共利益造成一定损害

    第三级为监督保护级,适用于涉及国家安全、社会秩序、经济建设和公共利益的信息和信息系统,其受到破坏后,会对国家安全、社会秩序、经济建设和公共利益造成较大损害

    第四级为强制保护级,适用于涉及国家安全、社会秩序、经济建设和公共利益的重要信息和信息系统,其受到破坏后,会对国家安全、社会秩序、经济建设和公共利益造成严重损害

    第五级为专控保护级,适用于涉及国家安全、社会秩序、经济建设和公共利益的重要信息和信息系统的核心子系统,其受到破坏后,会对国家安全、社会秩序、经济建设和公共利益造成特别严重损害。

    测评结论

    符合性判别依据

    综合得分计算公式

    符合

    信息系统中未发现安全问题,等级测评结果中所有测评项得分均为5分。

    100分

    基本符合

    信息系统中存在安全问题,但不会导致信息系统面临高等级安全风险。

     

     

    >=75或视情况而定

    不符合

    信息系统中存在安全问题,而且会导致信息系统面临高等级安全风险。

     

     

     

     

    华为云全栈防护体系

    租户业务安全设计

    需求分析

    生产环境

    针对物理层面的主要防护对象为机房,防护措施为:租用运营商机房,防护目标为:租用成熟的运营商机房,依靠其成熟的管理能力和经验,使客户企业专注于上层应用构建。

    针对网络层面的主要防护对象为:互联网恶意攻击、用户访问。具体防护措施:部署高防DDoS、防火墙、WAFDP等产品、部署两套独立的VPN产品。防护目标:通过部署安全防护措施,阻断来自互联网上不同类型的恶意攻击,针对省份、地市的业务用户和信息化用户,采用两套不同的VPN设备,对齐访问来源最大限度的进行控制。

    针对网络主机层面的主要防护对象为设备配置,防护措施为:人工安全加固,防护目标为:随客户机房搬迁,进行网络设备、安全设备、主机、应用的安全加固工作。

    针对网络应用层面的主要防护对象为跨网段访问控制,防护措施为:三层方式访问,VLAN间隔离,防护目标为:将客户机房生产环境下挂的物理服务器和虚拟机服务器网关指向核心交换,不同应用系统使用不同的VLAN进行隔离,跨VLAN不能进行通讯。

    针对主机层面的防护对象为:恶意代码、软件;虚拟机,防护措施:企业级防病毒软件、虚拟机快照,防护目标:通过在部分Windows服务器上部署企业级杀毒软件,对恶意代码与软件进行查杀,了解主机安全情况,定期对虚拟机进行快照,以便在出现问题后快速进行回滚操作。

    防护安全目标

     

     

     

     

    安全巡检

    通过客户SOC 或态势感知对“主机安全服务”、“漏洞扫描服务”、“WAF”以及“DDoS高防”等安全产品的日志或告警进行实时监控并检查安全隐患;使用漏洞扫描、渗透测试、SOC等工具定期审计业务平台整体安全状况,并输出相应的安全报告;通过现网安全系统,如DDoS/WAF/主机安全/数据库审计等安全产品,分析溯源安全攻击情况,,并及时清除安全隐患。

    应急响应

    紧急安全事件发生时,根据应急预案及时实施应急响应操作,保障平台业务稳定;紧急、高危漏洞发布后,第一时间梳理影响范围及修复方案,处理安全威胁;定期进行应急演练不断强化应急处置能力。

    权限管理

    根据人员岗位变动,实时调整权限管理规则,避免越权事件发生;根据变更计划对变更执行人员的权限实时分配,避免信息泄露、人为操作隐患。

     

    客户的业务部署在运营商的云端环境,通过域名方式访问。

    在华为云灾备环境部署数据备份环境,华为云环境和客户业务环境通过Ipsec VPN打通,实现两者之间的通信,以此让灾备环境可以跨云进行备份。

    当出现故障时,将业务域名通过修改DNS解析到华为云端,客户访问的业务将会经过华为云端的抗DDOS、WEB应用防火墙(WAF)进行清洗,将DOS流量、针对WEB业务的攻击流量过滤。之后经过LB分发到华为云内部署的备份应用服务器、数据库服务器,从而实现业务的不中断访问,并通过华为云内的一系列云安全服务保证业务安全性。

    同时在华为云内部署针对数据库、应用服务器漏洞扫描服务器、数据库加密服务,提供针对主机的安全服务、针对数据的数据库安全服务。

    外网边界通过DDoS防御保护业务可用性:由于华为云在外网边界,已经部署了防火墙、DDoS、VPN、IPS等安全设备。因此仅需要对互联网提供的服务进行DDoS的防护。建议采用DDoS流量清洗+DDoS高防联动的方案对所有EIP提供防护,最大限度提高高防IP的使用率,降低在低攻击带宽场景下的业务时延。

    内网边界通过NGFW实现安全隔离:由于专线之间不存在大规模的DDoS流量攻击,因此建议在运营商云平台到华为云专线之间增加NGFW来一体化实现包含反病毒,IPS,DLP在内的应用层流量检测和威胁流量阻断。

    租户间通过安全组网络隔离:以业务系统为界进行VPC子网隔离,同一应用中不同节点根据节点业务端口进行细粒度划分,最大程度上保证云主机网络安全性。

     

     

    对外服务业务系统EIP开启WAF防护:使用华为云WAF对客户业务系统进行Web攻击防护,阻断SQL注入、跨站脚本、CSRF、命令注入等攻击行为。为进一步提高WAF策略防护的精确度,建议业务上线初期使用检测不阻断的原则。

    Web漏洞扫描实时跟进漏洞信息:使用漏洞扫描系统定期对客户业务系统和主机进行扫描,能够做到实时跟进系统、Web漏洞,及时修复漏洞,即使无法及时修复也可以通过外层防护的方式防止漏洞被利用造成安全问题。

    渗透测试验证业务Web漏洞与逻辑问题等:业务系统上线前,组织华为专家团队针对客户云业务系统进行无破坏性渗透测试,通过人工验证的方式验证现网存在的Web漏洞,并出具测试报告给业务团队进行漏洞整改,整改后进行新一轮回归测试,进一步确保业务系统安全性。

    数据加密服务保证业务数据保密性、完整性和可用性:华为云KMS可以为OBS(对象存储)、EVS(云硬盘)等服务提供加密功能,用户不需要花费大量成本来保证密钥的保密性、完整性及可用性。KMS还能与CTS集成,审计所有密钥的使用情况,帮助用户满足审计和合规性要求;

    数据库安全服务严格控制数据访问权限、保证数据脱敏:数据库安全服务可以为客户业务系统数据库提供数据访问控制、数据脱敏、数据库审计和注入攻击防护等功能,进一步保障数据的安全存储。

    态势感知系统掌握云业务整体安全

    态势感知应用大数据和AI技术,通过客户网络流量,应用日志数据以及租户部署的WAF,DDoS,主机安全,漏洞扫描等安全产品输出信息,进行动态的系统级整体安全状况分析和展示,及时处理安全告警事件,降低系统级的安全威胁风险。

    渗透测试进一步验证业务安全性

    渗透测试是除安全产品防护、安全扫描之外,保护客户云业务安全性的重要手段,渗透测试采用黑盒测试的方法,从黑客角度出发,测试客户云业务安全性,除一般的Web漏洞以外还可以针对业务源代码的逻辑漏洞进行验证测试,进一步加强了业务系统的安全保障。

    堡垒机细粒度授权保障运维操作规范性

    除堡垒机自身特有的审计功能以外,重点对运维人员的操作权限进行细粒度划分,操作权限细分到IP地址和时间,根据应用系统责任人不同划分不同的可操作IP地址,且权限到期自动收回;指令控制方面,严格限制高危操作的执行范围,对影响系统稳定性的操作严格过滤。

    安全事件响应

    针对上线业务系统将行开展安全巡检,包括日志分析、告警分析、异常流量监控、攻击状态识别、系统漏洞扫描、系统渗透式测试等。主动识别系统可能存在的安全事件,及时知会业务团队,启动问题处理,及时消除安全风险。定期就整体的系统安全性状态进行汇报。

    漏洞情报共享

    华为自研的全球漏洞系统PSRT,收集全球的软件(含商用以及开源)漏洞,通过版本信息识别可以确认漏洞影响的版本,根据CVSS模型结合具体业务进行漏洞的安全威胁风险性评估,提供漏专业的洞修复建议。漏洞修复以服务可用性为第一优先级,在业务可用的前提下提供风险最小的漏洞修复方案。

    业务生命周期管理

     

     

     

     

    安全方案设计

    结合企业业务场景,从网络层,应用层,主机层,数据以及管理多个方面进行了安全方案设计,量身定制安全体系,进行网络隔离和账号权限管控,为企业提供全方位的安全性保障

    网络隔离

    根据业务平面(管理面/业务面)和业务类型两个维度进行细粒度的的子网/安全组划分,通过配置子网ACL/安全组规则实现不同网络分区间的隔离

    管理账号权限划分

    通过对账户下的子用户按照最小权限原则规划角色,避免误操作以及权限外操作造成的损失

    安全监控

    • 专业的监控人员人员。
    • 专业的监控平台
    • 7*24不间断监控

    定期对系统进行安全巡检,包括日志分析、告警分析、异常流量监控、攻击状态识别、系统漏洞扫描、系统渗透式测试等。主动识别系统可能存在的安全事件,及时知会业务团队,启动问题处理,及时消除安全风险。

    应急响应

    • 一旦发生疑似入侵事件,华为云安全专家团队立即进入应急响应流程。
    • 华为安全专家在客户授权下对系统账户,计划任务,关键文件等事项的检查并结合华为云米兰达大数据平台排查主机是否被黑客入侵。
    • 一旦确认入侵,华为安全专家会立刻采取措施对正在进行的攻击进行处理,阻止黑客的进一步攻击。
    • 查找和清理病毒,蠕虫等恶意程序以及WEB站点中的Web shell,挂马等,帮助客户快速恢复业务。
    • 分析黑客的入侵手法,尽可能定位入侵原因
    • 提供修复建议,进行加固,防止再次入侵
    • 撰写安全应急报告

     

    展开全文
  • 1、云安全在信息安全领域所处位置 2、云计算环境面临的威胁和挑战 2.1 云安全发展史 2.2 云计算安全与传统计算安全区别[5] 2.3 从顶层框架的角度看云安全研究目标 3、研究进展和解决方案 3.1 虚拟化、数据、...
  • ACP 云安全 题库

    千次阅读 2021-03-12 20:06:10
    1.关于云安全中心的客户端(安装在ECS的软件)说法正确的是? A.默认强制安装的 B.在购买ECS的时候可选安装 C.都需要客户手动安装 D.不需要安装agent软件 1.B 2.客户在开通高防IP时,除了弹性带宽外,还可以选择抗...
  • 云安全学习相关书籍

    千次阅读 2021-12-01 15:27:51
    1.docker 技术入门与实践 2.k8s权威指南 3.原生安全
  • 阿里云 ACP 云安全 题库总结

    千次阅读 2021-03-04 11:19:21
    【参考解析】《网络安全法》明确了国家落实网络安全工作的职能部门和职责,其中明确规定由国家网信部门负责统筹协调网络安全工作和相关监督管理工作。 关于实人认证产品的解决方案,以下说法错误的是________。 A....
  • 云安全相关技术介绍

    千次阅读 多人点赞 2020-05-21 18:17:54
    随着云计算逐渐成为主流,云安全也获得了越来越多的关注,传统和新兴的云计算厂商以及安全厂商均推出了大量云安全产品。但是,与有清晰定义的“云计算”(NIST SP 800-145和ISO/IEC 17788)不同,业界对“云安全”从...
  • 如何打开阿里云安全

    千次阅读 2022-01-28 17:17:48
    阿里地址 控制台–>搜索服务器ECS 点击进入实例 添加安全组, 端口范围输入要开放的端口,授权对象选择0.0.0.0/0表示不限制
  • “你打算怎么构建云安全资源池”

    千次阅读 2021-03-04 10:32:25
    安全资源的池化、安全过程的自动化、安全服务的高可用,这是企业业务上云之后构建云安全资源池、保障云服务安全需要重点关注的技术问题。 “你打算怎么构建云安全资源池” 云计算以其按需购买、弹性扩展、价格低廉...
  • 有信息传输的地方就存在安全问题,云安全就是云计算环境下面临的安全问题。 云安全到底是什么?云安全与传统安全有什么区别? 一、云计算的基本概念 谈到云安全的概念就不得不聊一下云计算了。 简而言之,云计算就是...
  • -企业核心应用“化”,包括企业内部应用化以及外部应用的互联网 -业务场景“边缘化”,越来越多的数据处理和计算下沉到边缘节点完成 -办公场景“多样化”,移动办公、远程办公、总部/分支机构协同办公 这种...
  • Gartner云安全理念解读

    千次阅读 2021-12-11 15:12:43
    云安全理念
  • 8个顶级云安全解决方案

    千次阅读 2019-04-28 16:41:54
    8个顶级云安全解决方案 云计算如今已经成为一个拥有众多子行业的广阔市场,因此保持云计算的安全性也是云安全解决方案的多种技术和功能的广泛领域。人们需要了解领先的云安全解决方案,包括各种供应商方法以及如何...
  • 阿里云 ACP 云安全 题库 -- WAF

    千次阅读 2021-03-06 22:03:24
    【参考解析】按照等保的相关要求,等保是必须选择态势感知产品和WAFWeb应用防火墙产品(不一定是阿里提供的,可以是自己自建的平台或者是其他公司平台提供的同样的产品 一般网站类接入Web应用防火墙都包括以下四...
  • 阿里云安全恶意程序检测冠军经验分享(万字长文)

    万次阅读 多人点赞 2021-02-04 19:34:50
      最近收到不少收费用户的私信,想要学习我是如何拿到阿里云安全恶意程第一名的优异成绩的经验。大家渴望学习的热情感染了我,所以特意整理了一篇详尽的经验分享博客,希望能对大家有所帮助。 文章目录1. 任务...
  • ACA考试名称为阿里助理工程师认证ACA级别(Alibaba Cloud Certified Associate),是阿里专业技术认证的其中一个分支。如果能拿到证书,起码去阿里面试也是一个有含金量的证书,所以老魏特意总结了一部分考题...
  • 目前,云安全主要体现在用户数据的隐私保护和传统互联网、硬件设备的安全这两方面 (1)用户数据的隐私保护。在云计算出来之前,用户信息存储于自己的电脑中,是受法律保护的,任何人不经许可是不能查看、使用这些...
  • 云安全中心是阿里云云上安全监控和诊断服务,面向云上资产提供安全事件检测、漏洞扫描、基线配置核查等服务。云安全中心结合了阿里自主研发的大数据和机器学习算法,通过多引擎查杀帮助您实时全面了解和有效处理...
  • 阿里云的云安全防护产品有哪些?都有什么作用? 阿里云的云安全防护产品有以下产品,不同的云安全防护产品有不同的安全防护作用,分别详细介绍如下 (注:点击产品名称,可进入产品页购买或了解详情): DDoS...
  • 阿里云ACA试题-云安全典型试题

    千次阅读 2019-11-10 08:09:48
    ACA考试名称为阿里云助理工程师认证ACA级别(Alibaba Cloud Certified Associate),是阿里云专业技术认证的其中一个分支。...以下试题为阿里云ACA考试云安全内容典型试题。 1.如果企业云上的架构选择的是Al...
  • 近日,忆享科技与腾讯云达成战略合作,成为腾讯云安全服务合作伙伴,为客户提供高质量、高效率、全方位的安全服务,携手共筑数字经济安全屏障,为我国网络强国战略和国家大数据战略,建设数字中国、智慧社会,加快推进数字...
  • 阿里云/腾讯云/华为云安全组配置开放端口1. 阿里云安全组端口开放教程1.1 进入配置规则1.2 添加安全组规则1.2.1 规则填写说明2. 腾讯云安全组端口开放教程2.1 进入安全组2.2 添加安全组规则2.2.1 配置说明3. 华为...
  • 云安全初识之云计算篇

    千次阅读 2019-06-06 15:41:01
    云安全初识之云计算篇 首发于https://www.freebuf.com/column/204786.html,转载记录在个人博客。 等保2.0已经正式发布,12月1日开始实施,随着国内数字经济的发展和云计算的深入推进,云计算基础设施将得到进一步...
  • 阿里云安全组概述 阿里云服务器安全组设置规则分享,阿里云服务器安全组如何放行端口设置教程 在购买阿里云ECS服务器的时候,阿里云会要求客户设置安全组,如果不设置,阿里云会指定默认的安全组。那么,这个安全...
  • 概述本文主要介绍云安全中心检测和告警异常登录的功能原理。详细信息以下是关于云安全中心检测、告警异常登录的功能原理和告警策略。说明:线下服务器在安装云安全Agent之后,也支持异常登录检测和告警。功能原理...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 428,665
精华内容 171,466
关键字:

云安全

友情链接: binary_search-master.zip