随着企业云化的深入,安全策略成为企业云上建设需要着重考虑的问题,如何安全有效的使用云计算开展自己的业务?本篇文章将简单分享云租户的安全建设思路:知己知彼,将安全风险控制在可接受范围之内。
<强>(一)知已
了解自己可能是最难的,也可能是最重要的。不同企业拥有不同的云上系统或项目,而业务系统或项目有着不同的重要程度,企业首先要做的就是分析自己的业务系统,根据业务系统的重要程度及安全收益率进行安全预算安排。
<强>(二)知彼
企业云上业务系统在运营过程中,面临诸多安全威胁,有效识别出可能的安全威胁来源,是构建云安全防御体系的前提。那么,企业云上业务系统可能面临哪些安全威胁?
* *(1)网络层:拒绝服务攻击
分布式拒绝服务<强> (DDoS),是最暴力,血腥,有效的 强方式,可直接导致企业云上业务系统带宽堵塞。
* *(2)主机层:云主机* * *攻击
云主机是企业云上业务系统的重要承载,攻击者通过暴力破解或配置漏洞等缺陷入侵云主机,用以构建僵尸网络,窃取数据及敲诈勒索等。
* *(3)应用层:网络应用漏洞攻击
企业云上业务系统对外提供服务的诸多系统采用HTTP/S应用协议(Web),攻击者利用Web服务可能存在的诸多漏洞进行攻击,窃取业务系统数据或权限等。
* *(4)数据层:数据窃取或篡改
云上业务系统数据在传输过程中经过互联网,可能被中途窃取或篡改,造成数据完整性和机密性受到影响。
<>强(5)运维层:运维人员违规风险操作
企业云上业务系统需要内部人员进行运维操作,如何防范高风险的运维操作至关重要。
<强>(6)合规层:国家等级保护
2017年6月,国家网络安全法开始实施,企业安全建设不仅仅是内部驱动,同时也有法律驱动。
<强>(三)安全风险控制
企业梳理了云上业务系统的重要程度,结合可能会面临的安全风险,开始构建云上的安全体系:
<强>(1)云上业务系统架构
通过使用云上VPC(私有网络),构建属于云租户的,逻辑隔离的网络环境。在私有网络中,创建指定网断的VPC,并在VPC中创建子网,自主管理云资源,同时可通过网络ACL实现安全防护。
<强>(2)服务端口梳理
企业梳理各业务系统的开放IP、端口及服务等,仅放开必须开放的IP,端口服务等,减小受* * *面。
<强>(3)安全配置基线
企业根据自身情况,制定云上系统的内部基线配置并落地实施,例如Linux系统安全配置基线(共享账号检查,多余账号锁定策略,根远程账户登录限制,口令复杂度策略,口令最长生存期策略,目录权限控制等)。
<>强(4)云安全方案
采用高防服务,控制网络层面临的拒绝服务<强> 风险;
采用网络应用防火墙,控制应用层面临的网络应用漏洞 风险;
采用主机<强> 检测、控制云主机面临的暴力破解,漏洞 强及* * *风险;
采用SSL证书和数据库审计,控制数据传输和处理过程中面临的窃取,篡改等风险;
采用堡垒机,控制企业内部运维人员违规运维风险;
采用等保咨询服务,满足国家网络安全等级保护合规要求。
网站图片压缩会导致部分内容不清晰,感兴趣的读者可以点击链接免费下载高清电子版:https://static.ucloud.cn/002cbba594444c92a18a59ee370e6254.jpg
