V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
wxxshu
V2EX  ›  推广

关于云租户安全建设的思路分享

  •  
  •   wxxshu · 2018-10-24 19:05:12 +08:00 · 1341 次点击
    这是一个创建于 2206 天前的主题,其中的信息可能已经有所发展或是发生改变。

    随着企业云化的深入,安全策略成为企业云上建设需要着重考虑的问题,如何安全有效的使用云计算开展自己的业务?本篇文章将简单分享云租户的安全建设思路:知己知彼,将安全风险控制在可接受范围之内。

    (一)知已

    了解自己可能是最难的,也可能是最重要的。不同企业拥有不同的云上系统或项目,而业务系统或项目有着不同的重要程度,企业首先要做的就是分析自己的业务系统,根据业务系统的重要程度及安全收益率进行安全预算安排。

    (二)知彼

    企业云上业务系统在运营过程中,面临诸多安全威胁,有效识别出可能的安全威胁来源,是构建云安全防御体系的前提。那么,企业云上业务系统可能面临哪些安全威胁?

    ( 1 )网络层:拒绝服务攻击

    分布式拒绝服务攻击( DDoS ),是最暴力、血腥、有效的攻击方式,可直接导致企业云上业务系统带宽堵塞。

    ( 2 )主机层:云主机入侵攻击

    云主机是企业云上业务系统的重要承载,攻击者通过暴力破解或配置漏洞等缺陷入侵云主机,用以构建僵尸网络、窃取数据及敲诈勒索等。

    ( 3 )应用层:Web 应用漏洞攻击

    企业云上业务系统对外提供服务的诸多系统采用 HTTP/S 应用协议( Web ),攻击者利用 Web 服务可能存在的诸多漏洞进行攻击,窃取业务系统数据或权限等。

    ( 4 )数据层:数据窃取或篡改

    云上业务系统数据在传输过程中经过互联网,可能被中途窃取或篡改,造成数据完整性和机密性受到影响。

    ( 5 )运维层:运维人员违规风险操作

    企业云上业务系统需要内部人员进行运维操作,如何防范高风险的运维操作至关重要。

    ( 6 )合规层:国家等级保护

    2017 年 6 月,国家网络安全法开始实施,企业安全建设不仅仅是内部驱动,同时也有法律驱动。

    (三)安全风险控制

    企业梳理了云上业务系统的重要程度,结合可能会面临的安全风险,开始构建云上的安全体系:

    ( 1 )云上业务系统架构

    通过使用云上 VPC (私有网络),构建属于云租户的、逻辑隔离的网络环境。在私有网络中,创建指定网断的 VPC,并在 VPC 中创建子网、自主管理云资源,同时可通过网络 ACL 实现安全防护。

    ( 2 )服务端口梳理

    企业梳理各业务系统的开放 IP、端口及服务等,仅放开必须开放的 IP、端口服务等,减小受攻击面。

    ( 3 )安全配置基线

    企业根据自身情况,制定云上系统的内部基线配置并落地实施,例如 Linux 系统安全配置基线(共享账号检查、多余账号锁定策略、ROOT 远程账户登录限制、口令复杂度策略、口令最长生存期策略、目录权限控制等)。

    ( 4 )云安全方案

    采用高防服务,控制网络层面临的拒绝服务攻击风险; 采用 Web 应用防火墙,控制应用层面临的 Web 应用漏洞攻击风险; 采用主机入侵检测,控制云主机面临的暴力破解、漏洞攻击及木马风险; 采用 SSL 证书和数据库审计,控制数据传输和处理过程中面临的窃取、篡改等风险; 采用堡垒机,控制企业内部运维人员违规运维风险; 采用等保咨询服务,满足国家网络安全等级保护合规要求。

    UCloud 安全产品选型指南

    ( 5 )应急响应方案

    安全是相对的,没有绝对的安全。企业应构建自己的安全应急响应团队或采用第三方应急响应服务,应对可能发生的安全事件。

    (四)写在最后

    安全体系的建设离不开对安全技术知识的全面了解,除了相关的思路方法,我们也整理了一张安全工程师的技术学习图谱,希望这张图谱能帮助大家更好的理解、掌握安全领域知识体系。需要明确的是,世间万事不可一概而论,具体问题下还需要结合实际情况具体分析,实践方能出真知。

    网站图片压缩会导致部分内容不清晰,感兴趣的读者可以点击链接免费下载高清电子版: https://static.ucloud.cn/002cbba594444c92a18a59ee370e6254.jpg

    4 条回复    2018-10-31 11:01:38 +08:00
    realpg
        1
    realpg  
       2018-10-25 00:33:53 +08:00   ❤️ 1
    @livid spam
    Livid
        2
    Livid  
    MOD
       2018-10-25 04:31:18 +08:00
    @realpg 谢谢举报。

    @wxxshu 这个主题已经被移动到 /go/promotions

    营销类主题请只发送到 /go/promotions 而不是任何其他节点。这条规则之前已经和你们沟通过,但不知为何你们还是在持续地忽略规则。
    realpg
        3
    realpg  
       2018-10-31 10:19:34 +08:00   ❤️ 1
    @Livid #2
    这就是国内广告谁都不爱看的根本原因
    都只考虑效果,不考虑规则

    就 promotions 那里,说不好听的,没事儿有几个 S13 主动点进去看啊

    还是惩罚措施不够

    就像又到双十一了,马上会有一大波死全家的 affman 即将抵达本站 什么云计算返利啊 什么优惠啊 即将充斥版面
    Livid
        4
    Livid  
    MOD
       2018-10-31 11:01:38 +08:00 via iPhone
    @realpg 那些 aff URL 规则只要看到就会被加入黑名单,然后触发自动封 IP。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2497 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 15:45 · PVG 23:45 · LAX 07:45 · JFK 10:45
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.