关键词:
随着企业云化的深入,安全策略成为企业云上建设需要着重考虑的问题,如何安全有效的使用云计算开展自己的业务?本篇文章将简单分享云租户的安全建设思路:知己知彼,将安全风险控制在可接受范围之内。
(一)知已
了解自己可能是最难的,也可能是最重要的。不同企业拥有不同的云上系统或项目,而业务系统或项目有着不同的重要程度,企业首先要做的就是分析自己的业务系统,根据业务系统的重要程度及安全收益率进行安全预算安排。
(二)知彼
企业云上业务系统在运营过程中,面临诸多安全威胁,有效识别出可能的安全威胁来源,是构建云安全防御体系的前提。那么,企业云上业务系统可能面临哪些安全威胁?
**(1)网络层:拒绝服务 攻 击
分布式拒绝服务(DDoS),是最暴力、血腥、有效的方式,可直接导致企业云上业务系统带宽堵塞。
**(2)主机层:云主机*** 攻 击
云主机是企业云上业务系统的重要承载,攻 击 者通过暴力破解或配置漏洞等缺陷 入 侵云主机,用以构建僵尸网络、窃取数据及敲诈勒索等。
**(3)应用层:Web应用漏洞 攻 击
企业云上业务系统对外提供服务的诸多系统采用HTTP/S应用协议(Web),攻 击 者利用Web服务可能存在的诸多漏洞进行攻 击,窃取业务系统数据或权限等。
**(4)数据层:数据窃取或篡改
云上业务系统数据在传输过程中经过互联网,可能被中途窃取或篡改,造成数据完整性和机密性受到影响。
(5)运维层:运维人员违规风险操作
企业云上业务系统需要内部人员进行运维操作,如何防范高风险的运维操作至关重要。
(6)合规层:国家等级保护
2017年6月,国家网络安全法开始实施,企业安全建设不仅仅是内部驱动,同时也有法律驱动。
(三)安全风险控制
企业梳理了云上业务系统的重要程度,结合可能会面临的安全风险,开始构建云上的安全体系:
(1)云上业务系统架构
通过使用云上VPC(私有网络),构建属于云租户的、逻辑隔离的网络环境。在私有网络中,创建指定网断的VPC,并在VPC中创建子网、自主管理云资源,同时可通过网络ACL实现安全防护。
(2)服务端口梳理
企业梳理各业务系统的开放IP、端口及服务等,仅放开必须开放的IP、端口服务等,减小受***面。
(3)安全配置基线
企业根据自身情况,制定云上系统的内部基线配置并落地实施,例如Linux系统安全配置基线(共享账号检查、多余账号锁定策略、ROOT远程账户登录限制、口令复杂度策略、口令最长生存期策略、目录权限控制等)。
(4)云安全方案
采用高防服务,控制网络层面临的拒绝服务风险;
采用Web应用防火墙,控制应用层面临的Web应用漏洞风险;
采用主机检测,控制云主机面临的暴力破解、漏洞及***风险;
采用SSL证书和数据库审计,控制数据传输和处理过程中面临的窃取、篡改等风险;
采用堡垒机,控制企业内部运维人员违规运维风险;
采用等保咨询服务,满足国家网络安全等级保护合规要求。
UCloud安全产品选型指南
(5)应急响应方案
安全是相对的,没有绝对的安全。企业应构建自己的安全应急响应团队或采用第三方应急响应服务,应对可能发生的安全事件。
(四)写在最后
安全体系的建设离不开对安全技术知识的全面了解,除了相关的思路方法,我们也整理了一张安全工程师的技术学习图谱,希望这张图谱能帮助大家更好的理解、掌握安全领域知识体系。需要明确的是,世间万事不可一概而论,具体问题下还需要结合实际情况具体分析,实践方能出真知。
网站图片压缩会导致部分内容不清晰,感兴趣的读者可以点击链接免费下载高清电子版:https://static.ucloud.cn/002cbba594444c92a18a59ee370e6254.jpg
有容云:上车|听老司机谈docker安全合规建设
编者注:本文根据7月19日DockOne社群分享内容整理而成,分享嘉宾蒋运龙,有容云高级咨询顾问,一个IT的老兵,十年来混迹于存储、三网融合、多屏互动、智能穿戴、第三方支付、Docker等行业;经历过测试... 查看详情
关于私有云专有云公有云saas独立部署多租户
私有云:就是客户自己的机器(服务器)专有云:类似私有云,只不过机器是阿里云提供的、标准化的(不是租用,是客户直接买,所有基础设施都由阿里云提供,一套下来上千万,只有大企业才用得起。... 查看详情
关于云音乐数据治理的实践与思考
导读:本文结合过去一段时间云音乐数据开发团队在数仓建设、数据治理方面的具体实践,分享我们在数据治理方面的一些思路。如今的云音乐已经成为一款大众产品,用户每天来云音乐听歌、看评论、逛社区,... 查看详情
关于云音乐数据治理的实践与思考
导读:本文结合过去一段时间云音乐数据开发团队在数仓建设、数据治理方面的具体实践,分享我们在数据治理方面的一些思路。如今的云音乐已经成为一款大众产品,用户每天来云音乐听歌、看评论、逛社区,... 查看详情
关于云音乐数据治理的实践与思考
导读:本文结合过去一段时间云音乐数据开发团队在数仓建设、数据治理方面的具体实践,分享我们在数据治理方面的一些思路。如今的云音乐已经成为一款大众产品,用户每天来云音乐听歌、看评论、逛社区,... 查看详情
光环:软件工程环境堆栈建设思路——徐磊
...徐磊老师的分享,原分享名称为"企业开发者平台建设思路,云原生技术如何赋能开发者"。简述当前软件工程中Devops平台还缺少一个软件调试环境环节,这个环境其实尤为重要,它使得落地性更好。1、目前De... 查看详情
“工业4.0”下的可视化工厂建设方案
...些环节以数据量化、呈现成了很多企业争先探讨的主题。关于制造业可视化建设,泰尔重工有着自己独特的发展思路,以下将分享泰尔重工股份有限公司CIO卢林在帆软百城巡展上关于信息化建设的案例分享和宝贵经验。关于泰尔... 查看详情
多租户私有云和多租户公有云的区别
1、公有云(PublicClouds):“公有”反映了这类云服务并非用户所拥有,公有云是面向大众提供计算资源的服务。是由IDC服务商或第三方提供资源,如应用和存储,这些资源是在服务商的场所内部署。用户通过Internet互联网来获取... 查看详情
云上安全三字经
...担模型,简单说就是云平台的安全由阿里云负责,但云上租户自己的网络、主机、业务、数据的安全,需要租户自己负责,那作为一个租户,具体该怎么做呢? 记得小时候的“三字经”郎朗上口,至今不忘。因此我就想,云... 查看详情
论文阅读《supportingsecuritysensitivetenantsinabare-metalcloud》
0Abstract Bolted是用于裸机云的新体系结构,使租户可以控制安全性,价格和性能之间的权衡。对安全敏感的租户可以最大程度地减少对公共云提供商的信任,并可以在自己的私有数据中心中获得类似级别的安全性和控制权。同... 查看详情
关于红日
...干货分享:或者访问红日的博客http://qiyuanxuetang.net解更多关于红日的故事。 查看详情
k8s实践|如何解决多租户集群的安全隔离问题?
...***的可能,因此这里也需要更严格的隔离作为安全保障。关于多租户的不同应用场景,在下节会有更细致的介绍。多租户应用场景下面介绍一下典型的两种企业多租户应用 查看详情
k8s实践|如何解决多租户集群的安全隔离问题?
...击的可能,因此这里也需要更严格的隔离作为安全保障。关于多租户的不同应用场景,在下节会有更细致的介绍。多租户应用场景下面介绍一下典型的两种企业多租户应用场景和 查看详情
「360企业安全云」上线,免费护航中小微企业数字化建设
3月1日,360集团推出“360企业安全云”,面向中小微企业免费提供企业级数字安全与管理解决方案,全面助力中小微企业数字化建设。行业人士表示,该产品的推广对资金、技术和人力有限的中小微企业无疑是一... 查看详情
光环:软件工程环境堆栈建设思路——徐磊
...E作为一个入口,云化后可以更好数据落地和对质量、安全有保障。徐磊老师在过去20年只做了一件事情,就是软件工程方面咨询及工具落地。软件工程和软件开发还是有很大的区别。简单来说软件开发服务的对象是大众... 查看详情
主数据管理项目建设经验分享
一、主数据建设的术法道随着企业信息化系统建设逐渐增多,领导、业务部门对信息系统支撑决策、管控、业务运行难度也随之提高,导致解决业务系统间的交互困难和数据多头管理不一致等问题成为信息化建设的难点和重点。... 查看详情
主数据管理项目建设经验分享
一、主数据建设的术法道随着企业信息化系统建设逐渐增多,领导、业务部门对信息系统支撑决策、管控、业务运行难度也随之提高,导致解决业务系统间的交互困难和数据多头管理不一致等问题成为信息化建设的难点和重点。... 查看详情
关于安全运维中,网络及安全设备基线设置的方法和必要性。
企业网络建设过程中,随着业务项目的增加,网络的拓展组网网络的设备会随着规模不断增加。今天分享给大家的就是在增加的设备中,一个好的运维习惯可以提高企业内部安全网络属性,从大多网络设备及安全设备受... 查看详情