雲計算技術正在不斷改變組織使用、存儲和共享數據、應用程序以及工作負載的方式。但是與此同時,它也引發了一系列新的安全威脅和挑戰。


雲安全聯盟(CSA)提出12大安全風險


為了讓企業了解雲安全問題,以便他們能夠就雲安全策略做出明智的決策,雲安全聯盟(CSA)于2018年1月發布了最新版本的《12大頂級雲安全威脅︰行業見解報告》,該報告重點聚焦了12個最嚴重的涉及雲計算共享和按需特性方面的威脅。


雲計算建設以及使用過程中的安全風險


在雲計算的建設以及使用過程中,每個環節都可能導致安全風險,諸如雲計算平台安全、管理平台的安全等,可能導致的安全風險可以歸結為傳統信息安全風險、雲計算安全平台風險、用戶訪問安全風險以及管理安全風險。



 
☆ 傳統信息安全風險


雖然雲計算給用戶提供了一種新型的計算、網絡、存儲環境,但是傳統的信息安全風險仍是不可忽視的,包括合規安全風險、數據安全風險以及安全管理風險等。


☆ 雲計算平台安全風險


虛擬化是目前雲計算供應商使用最廣泛的技術之一,服務器、存儲、網絡等虛擬化技術為雲計算服務提供了基礎技術支持,解決了資源利用率、資源提供的自動擴展等問題,虛擬化技術在提供便利的同時也帶來了大量安全風險,比如虛擬化自身的安全漏洞、虛擬機間流量交換等問題。


目前,在主流虛擬化技術(KVM、Xen、VMware等)中虛擬化漏洞廣泛存在。Hypervisor(虛擬化管理軟件)作為虛擬機的底層一旦存在漏洞,將危及運行其上的所有虛擬機本身,甚至將影響虛擬化以下的宿主機本身的安全。


同時,在雲計算環境中,有多種不同的虛擬化管理組件,比如虛擬機監視器、網絡策略控制器,存儲控制器等等,這些都是實現多租戶共享硬件並隔離業務和數據的核心組件,一旦這些虛擬化管理軟件類的漏洞被惡意人員所利用,那麼租戶的安全就無法得到有效保障。


在虛擬化環境下,單台物理服務器上的各虛擬機之間可能存在二層流量交換,而這部分流量對于管理員來說是不可見的。在這種情況下,管理員需要判斷虛擬機之間的訪問是否符合預定的安全策略,或者需要考慮如何設置策略以便實現對虛擬機之間流量的訪問控制。


服務提供商通過接口或者API讓客戶與雲平台進行交互,一些第三方組織基于這些接口為客戶提供增值服務,遠程訪問機制以及Web瀏覽器的使用也增加了這些接口的漏洞存在並被利用的可能性。


☆ 用戶訪問安全風險


雲環境中,各個雲應用屬于不同的安全管理域,每個安全域都管理著本地的資源和用戶。攻擊者可能會假冒合法用戶進行一些非法活動,例如竊取用戶數據、篡改用戶數據等等。


☆ 安全管理體系風險


客戶把大部分數據控制權交給了提供商,但服務水平協議中不可能面面俱到地詳細指明提供商對各安全問題的承諾。更進一步的,雲提供商可能把服務外包給第三方,而後者可能不提供在服務水平協議中指出的問題保證。


由于雲中存儲大量的用戶業務數據、隱私信息或其他有價值信息,因此很容易受到攻擊,這些攻擊可能來自于竊取服務或數據的惡意攻擊者、濫用資源的合法雲計算用戶或者雲計算運營商內部人員,當遇到嚴重攻擊時,雲計算系統將可能面臨崩潰的危險,無法提供高可靠性的服務。

雲計算安全防護理念


啟明星辰的安全防護理念從結構上保障雲系統及租戶的安全,將雲計算安全分為雲平台安全和雲租戶安全,雲服務商主要負責雲平台安全保障,雲安全服務商主要負責雲租戶安全保障,同時雲安全服務商協助租戶對雲服務商進行監督和審計,該異構模式可以保障租戶的安全能力最大化。



啟明星辰針對雲安全風險提供六大雲安全能力抵御各類風險與威脅,雲安全交付模式滿足雲平台安全和租戶個性化安全,同時滿足合規要求;

 
雲架構安全即雲自身物理環境安全及虛擬環境安全,雲架構安全能力是雲平台整體解決方案基礎;


雲邊界安全包括物理網絡邊界與雲內區域邊界;


● 雲租戶安全幫助保障雲內業務安全運行,對租戶雲上業務系統提供有效防護;


數據安全是雲上業務安全系統的核心,提供數據在雲環境下全生命周期安全防護能力;


雲安全管理平台通過統一安全運營中心管理多地多租戶的安全資源,對雲中安全事件和安全風險進行智能分析,感知雲內威脅並發現未知威脅,多維度分析結果動態關聯各項安全能力;


雲安全服務基于專業化安全分析團隊和自動化工具,可為雲租戶提供雲上等保合規咨詢、安全檢測、安全分析、安全響應及其他應急服務。

雲計算安全防護方案


雲安全方案架構


在雲計算的架構下,雲計算開放網絡和業務共享場景更加復雜多變,安全性方面的挑戰更加嚴峻,一些新型的安全問題變得比較突出,如多個虛擬機租戶間並行業務的安全運行,海量數據的安全存儲等。啟明星辰雲安全防護的主要對象分為︰雲平台、雲租戶、雲上業務系統等,以此滿足客戶的個性化安全需求。


雲安全方案建設



參考等保2.0標準規範基本要求及雲計算擴展要求,啟明星辰提出了從組織建設、制度流程、技術工具、人員能力四個維度出發,重點實現和評估雲安全等級保護能力。


☆ 南北向防護介紹


在雲平台出口,部署防火牆與抗DDOS等邊界防護產品,實現對南北向流量的拒絕服務攻擊防護、訪問控制、入侵檢測、入侵防御、WAF、防病毒、VPN和邊界隔離等安全防護。


在核心交換機旁,部署面向多租戶的安全資源池。安全資源池容納了專業而強大的安全產品,實現對南北向流量的防護、檢測與審計,也可同時對雲租戶、雲上業務系統進行防護。


☆ 東西向防護介紹


通過在核心交換機上設置策略路由,將東西流量牽引到安全資源池進行訪問控制和安全防護;


在租戶間使用虛擬防火牆、虛擬IPS等虛擬安全產品建立完善的軟件定義安全防護鏈實現租戶間東西向的安全防護;


同時,可對租戶雲安全資源池中的安全產品進行深度分析與聯動,實現整體閉環體系。

雲安全管理平台



雲安全管理平台可分別提供面向租戶的雲租戶安全門戶和面向雲安全管理員的安全管理門戶。相對傳統的網絡架構,雲環境在技術架構、管理架構、服務架構包括安全邊界方面都有很大的變化,對安全綜合監控管理也帶來了新的挑戰和要求。雲安全管理平台將綜合雲計算的特點,從雙視角出發,構建全方位防護體系,將安全能力統一管理,建立可視化運維及監控響應體系,滿足雲計算等級保護要求,實現雲安全的集中監測、運維管理、安全服務等能力。

雲計算安全實踐案例


典型拓撲


用戶價值



☆ 平台高效運行、有效提升資源利用率


通過在服務器上部署啟明安全資源池,實現計算資源、存儲資源、網絡資源池化,改變原有的 “單機單用”部署模式,可以做到按需分配資源、按需部署安全服務,大大提升了資源使用率。


☆ 統一雲管平台管理,實現便捷、高效運維管理 


通過啟明雲安全資源池管理平台軟件實現對虛擬資源、各安全服務統一監控和管理,借助訂單時流程實現一鍵式部署安全服務、自動化運維手段 ,大大降低運維管理難度,很好保證運維效率。

☆ 分布式部署、靈活擴展,持續提升安全能力 


通過虛擬化資源池實現,後期業務擴展和安全擴容,只需要增加硬件服務器及資源池相關授權即可實現快速安全能力橫向擴展。


☆ 立體式的安全防護,產生協同效應,並滿足合規需求 


劃分業務區域及邊界,進行全方位的安全防護,讓業務邊界清晰,業務安全得到保障,滿足信息化建設需要,保證企業利益。多個虛擬安全產品並行運行,不同種類的安全產品組合在一起,產生協同效應,不但可以產生出新的安全價值,而且可以更好的高級別的安全合規要求。 


典型案例


聯通產創雲114掛號系統
新疆電信
白銀聯通
國家藥監局
國家海洋衛星中心
貴州農商銀行數據中心
西安工程大學教育雲
四川政務雲

成功對接的平台