隨著企業(yè)云化的深入���,安全策略成為企業(yè)云上建設需要著重考慮的問題��,如何安全有效的使用云計算開展自己的業(yè)務���?本篇文章將簡單分享云租戶的安全建設思路:知己知彼����,將安全風險控制在可接受范圍之內(nèi)���。
成都創(chuàng)新互聯(lián)專注為客戶提供全方位的互聯(lián)網(wǎng)綜合服務����,包含不限于成都網(wǎng)站建設�、成都網(wǎng)站制作���、忠縣網(wǎng)絡推廣、微信小程序開發(fā)���、忠縣網(wǎng)絡營銷�����、忠縣企業(yè)策劃��、忠縣品牌公關��、搜索引擎seo����、人物專訪����、企業(yè)宣傳片、企業(yè)代運營等���,從售前售中售后�,我們都將竭誠為您服務�����,您的肯定�����,是我們最大的嘉獎�����;成都創(chuàng)新互聯(lián)為所有大學生創(chuàng)業(yè)者提供忠縣建站搭建服務���,24小時服務熱線:028-86922220�����,官方網(wǎng)址:www.cdcxhl.com
(一)知已
了解自己可能是最難的�,也可能是最重要的��。不同企業(yè)擁有不同的云上系統(tǒng)或項目����,而業(yè)務系統(tǒng)或項目有著不同的重要程度,企業(yè)首先要做的就是分析自己的業(yè)務系統(tǒng)��,根據(jù)業(yè)務系統(tǒng)的重要程度及安全收益率進行安全預算安排。
(二)知彼
企業(yè)云上業(yè)務系統(tǒng)在運營過程中�����,面臨諸多安全威脅�,有效識別出可能的安全威脅來源,是構建云安全防御體系的前提���。那么�����,企業(yè)云上業(yè)務系統(tǒng)可能面臨哪些安全威脅���?
**(1)網(wǎng)絡層:拒絕服務 攻 擊
分布式拒絕服務(DDoS),是最暴力���、血腥�����、有效的方式�����,可直接導致企業(yè)云上業(yè)務系統(tǒng)帶寬堵塞�。
**(2)主機層:云主機*** 攻 擊
云主機是企業(yè)云上業(yè)務系統(tǒng)的重要承載,攻 擊 者通過暴力破解或配置漏洞等缺陷 入 侵云主機��,用以構建僵尸網(wǎng)絡�、竊取數(shù)據(jù)及敲詐勒索等��。
**(3)應用層:Web應用漏洞 攻 擊
企業(yè)云上業(yè)務系統(tǒng)對外提供服務的諸多系統(tǒng)采用HTTP/S應用協(xié)議(Web)���,攻 擊 者利用Web服務可能存在的諸多漏洞進行攻 擊�����,竊取業(yè)務系統(tǒng)數(shù)據(jù)或權限等�����。
**(4)數(shù)據(jù)層:數(shù)據(jù)竊取或篡改
云上業(yè)務系統(tǒng)數(shù)據(jù)在傳輸過程中經(jīng)過互聯(lián)網(wǎng)�����,可能被中途竊取或篡改��,造成數(shù)據(jù)完整性和機密性受到影響�。
(5)運維層:運維人員違規(guī)風險操作
企業(yè)云上業(yè)務系統(tǒng)需要內(nèi)部人員進行運維操作,如何防范高風險的運維操作至關重要����。
(6)合規(guī)層:國家等級保護
2017年6月,國家網(wǎng)絡安全法開始實施�,企業(yè)安全建設不僅僅是內(nèi)部驅(qū)動,同時也有法律驅(qū)動���。
(三)安全風險控制
企業(yè)梳理了云上業(yè)務系統(tǒng)的重要程度�,結合可能會面臨的安全風險����,開始構建云上的安全體系:
(1)云上業(yè)務系統(tǒng)架構
通過使用云上VPC(私有網(wǎng)絡),構建屬于云租戶的�、邏輯隔離的網(wǎng)絡環(huán)境。在私有網(wǎng)絡中��,創(chuàng)建指定網(wǎng)斷的VPC�,并在VPC中創(chuàng)建子網(wǎng)、自主管理云資源��,同時可通過網(wǎng)絡ACL實現(xiàn)安全防護�。
(2)服務端口梳理
企業(yè)梳理各業(yè)務系統(tǒng)的開放IP����、端口及服務等��,僅放開必須開放的IP����、端口服務等,減小受***面����。
(3)安全配置基線
企業(yè)根據(jù)自身情況��,制定云上系統(tǒng)的內(nèi)部基線配置并落地實施�����,例如Linux系統(tǒng)安全配置基線(共享賬號檢查�、多余賬號鎖定策略、ROOT遠程賬戶登錄限制�、口令復雜度策略、口令最長生存期策略����、目錄權限控制等)��。
(4)云安全方案
采用高防服務��,控制網(wǎng)絡層面臨的拒絕服務風險��;
采用Web應用防火墻���,控制應用層面臨的Web應用漏洞風險;
采用主機檢測�����,控制云主機面臨的暴力破解�����、漏洞及***風險�����;
采用SSL證書和數(shù)據(jù)庫審計�����,控制數(shù)據(jù)傳輸和處理過程中面臨的竊取����、篡改等風險����;
采用堡壘機���,控制企業(yè)內(nèi)部運維人員違規(guī)運維風險�;
采用等保咨詢服務�����,滿足國家網(wǎng)絡安全等級保護合規(guī)要求����。
UCloud安全產(chǎn)品選型指南
(5)應急響應方案
安全是相對的���,沒有絕對的安全�。企業(yè)應構建自己的安全應急響應團隊或采用第三方應急響應服務��,應對可能發(fā)生的安全事件�����。
(四)寫在最后
安全體系的建設離不開對安全技術知識的全面了解,除了相關的思路方法�����,我們也整理了一張安全工程師的技術學習圖譜��,希望這張圖譜能幫助大家更好的理解���、掌握安全領域知識體系���。需要明確的是,世間萬事不可一概而論����,具體問題下還需要結合實際情況具體分析,實踐方能出真知���。
網(wǎng)站圖片壓縮會導致部分內(nèi)容不清晰�����,感興趣的讀者可以點擊鏈接免費下載高清電子版:https://static.ucloud.cn/002cbba594444c92a18a59ee370e6254.jpg
當前題目:關于云租戶安全建設的思路分享
文章轉載:
http://weahome.cn/article/gsopgi.html
重慶分公司
重慶分公司
