中文字幕无码久久精品,13—14同岁无码A片,99热门精品一区二区三区无码,菠萝菠萝蜜在线观看视频高清1

您當(dāng)前的位置是:  首頁 > 新聞 > 專家觀點(diǎn) >
 首頁 > 新聞 > 專家觀點(diǎn) >

構(gòu)筑智能的深層防御安全體系、實(shí)現(xiàn)云可信

2017-02-15 15:34:40   作者:   來源:CTI論壇   評論:0  點(diǎn)擊:


  每一次革命性的技術(shù)變革都面臨各種挑戰(zhàn),也帶來新的優(yōu)勢。云計(jì)算在幫助客戶提供高效便捷、成本低廉的IT服務(wù)的同時,也引起人們對安全的關(guān)注。云時代面臨安全的新挑戰(zhàn),只有深刻認(rèn)識到這些安全挑戰(zhàn),采用綜合的深層防御體系,才能夠?qū)崿F(xiàn)云可信。
  對客戶而言,云時代帶來安全挑戰(zhàn)的同時,在安全方面也帶來很多優(yōu)勢。大的云服務(wù)商都有很強(qiáng)的安全團(tuán)隊(duì),有能力構(gòu)筑基于深層防御的云安全解決方案,可更好地應(yīng)對安全威脅;也有強(qiáng)大的應(yīng)急響應(yīng)能力,可提供更好的安全保障能力;同時,云服務(wù)商通常也會將自己保護(hù)云基礎(chǔ)設(shè)施的安全能力延伸到其客戶,提供豐富的安全服務(wù),讓客戶按需選用,比如云服務(wù)商提供的漏洞掃描、安全配置檢查和補(bǔ)丁服務(wù)等;另外,也會將業(yè)界最好的第三方安全產(chǎn)品集成進(jìn)來提供安全服務(wù),方便客戶選用,比如WAF、DLP和殺毒等產(chǎn)品。由于安全人才稀缺,薪酬也比較高,大多數(shù)客戶并沒有配備經(jīng)驗(yàn)豐富的安全團(tuán)隊(duì),將業(yè)務(wù)遷移到云端以后,由于云服務(wù)商提供了安全解決方案部署的便利性、更強(qiáng)的安全技術(shù)和人才保障,其實(shí)更安全。
\
  云的主要安全威脅
  數(shù)據(jù)安全
  2016年9月22日,雅虎公司承認(rèn)兩年前其5億用戶的信息被黑客盜竊,該消息導(dǎo)致Verizon可能會放棄對其48億美元的收購計(jì)劃;此前,已經(jīng)發(fā)生過MySpace的3.6億郵件泄露、LinkedIn的1.67億用戶信息泄露,以及EBay的1.45億用戶信息泄露等類似事件。
  部分企業(yè)CIO認(rèn)為,遷移到云服務(wù)將使保存在云端的數(shù)據(jù)更容易受到黑客的攻擊。數(shù)據(jù)泄露和其他攻擊經(jīng)常與身份驗(yàn)證不嚴(yán)格、弱密碼橫行以及密鑰或憑證管理松散有關(guān)。
  正因?yàn)閿?shù)據(jù)安全如此重要,因此最近幾年,業(yè)界很關(guān)注“以數(shù)據(jù)安全為中心”進(jìn)行風(fēng)險分析和安全架構(gòu)設(shè)計(jì)。數(shù)據(jù)的安全防護(hù)是重中之重。
  數(shù)據(jù)操作不透明,擔(dān)心失去數(shù)據(jù)控制權(quán)和隱私保護(hù)問題
  企業(yè)客戶希望能夠獨(dú)立驗(yàn)證其數(shù)據(jù)是如何存儲、訪問和加密的,以消除其對于數(shù)據(jù)安全性的擔(dān)心。另外,斯諾登事件后,很多企業(yè)擔(dān)心政府會通過合法或者非法的手段查看其數(shù)據(jù),同時也擔(dān)心企業(yè)的數(shù)據(jù)會被云管理員等查看。另外,數(shù)據(jù)存儲在云端后,租戶無法確定其具體的存儲位置,擔(dān)心數(shù)據(jù)被人轉(zhuǎn)移;也擔(dān)心數(shù)據(jù)刪除時,云端物理存儲設(shè)備是否真正徹底地進(jìn)行了同步刪除。華為的公有云非常重視用戶隱私保護(hù),絕對不允許觸碰租戶數(shù)據(jù)。華為在國外開展公有云業(yè)務(wù),通常是交給合作伙伴去運(yùn)營。比如德國電信公有云,是由德國電信這樣在當(dāng)?shù)叵碛行抛u(yù)的電信公司來負(fù)責(zé),更容易贏得客戶的信賴。
  界面和API被黑
  API和界面通常都可以從公網(wǎng)訪問,也就成為了系統(tǒng)對外暴露的部分,成為攻擊風(fēng)險最大的部分。
  對于公有云,租戶和互聯(lián)網(wǎng)用戶能直接訪問到這些服務(wù),比如用戶要登錄Web頁面訂購云服務(wù),這些Web服務(wù)是面向所有互聯(lián)網(wǎng)用戶的,其風(fēng)險比較大。另外,租戶本身也可能是攻擊者,故意訂購一些云業(yè)務(wù),其實(shí)是測試其中的漏洞,然后利用租戶身份發(fā)動攻擊。PaaS服務(wù)主要以API為服務(wù)的載體,API的設(shè)計(jì)和使用不當(dāng)容易引入風(fēng)險。
  共享技術(shù),共享危險
  公有云是眾多租戶共享的一個大系統(tǒng)。云服務(wù)共享基礎(chǔ)設(shè)施、平臺和應(yīng)用,一旦其中任何一個出現(xiàn)嚴(yán)重漏洞,則每個人都可能會受到影響。
  比如,最近幾年,虛擬化平臺出現(xiàn)多個嚴(yán)重漏洞,可以導(dǎo)致虛擬機(jī)逃逸?蛻舯容^常見的問題之一就是如何解決虛擬機(jī)逃逸問題?
  拒絕服務(wù)(DoS)攻擊
  DDoS攻擊是云服務(wù)面臨的最常見的攻擊,影響到可用性,使網(wǎng)絡(luò)帶寬被大量占用甚至擠滿,造成業(yè)務(wù)癱瘓系統(tǒng);或者響應(yīng)會被拖慢,消耗大量處理能力。
  DDoS攻擊在數(shù)據(jù)中心中非常頻繁,消耗了管理員大量運(yùn)維時間。國內(nèi)攻擊流量達(dá)到數(shù)百Gbps已不少見,當(dāng)攻擊流量帶寬超過云服務(wù)商的數(shù)據(jù)中心入口帶寬時,要依賴和運(yùn)營商等合作。華為在抗DDoS產(chǎn)品上有十多年研發(fā)經(jīng)驗(yàn),產(chǎn)品在國內(nèi)外運(yùn)營商網(wǎng)絡(luò)、數(shù)據(jù)中心均有廣泛部署,具有業(yè)界領(lǐng)先優(yōu)勢;并發(fā)起“云清聯(lián)盟”, 通過全球運(yùn)營商、MSSP、IDC合作,構(gòu)成一個云端的“DDoS防御生態(tài)系統(tǒng)”, 實(shí)現(xiàn)“近源清洗”,更好的解決DDoS攻擊問題。
  惡意內(nèi)部人士
  內(nèi)部人員威脅擁有很多張面具:現(xiàn)員工或前雇員、系統(tǒng)管理員、承包商和商業(yè)合作伙伴等,惡意行為可以從單純的數(shù)據(jù)偷盜到報復(fù)公司。
  這是公有云非常不同于傳統(tǒng)網(wǎng)絡(luò)的地方,公有云管理員管理的租戶數(shù)據(jù)并不屬于云服務(wù)商。公有云設(shè)計(jì)的重要前提就是要防止內(nèi)部人員“作惡”,因此對傳統(tǒng)管理員的內(nèi)部調(diào)試和定位問題的能力都要進(jìn)行限制。好的公有云設(shè)計(jì)要能夠做到除非得到客戶授權(quán),否則無法進(jìn)入客戶系統(tǒng)窺探數(shù)據(jù)。
  云服務(wù)濫用
  租戶本身的安全意識薄弱,則租戶自己的虛擬機(jī)就有可能被入侵,并被用于支持違法活動;當(dāng)然,也可能是租戶自身的惡意企圖。
  作為云服務(wù)商,也要具備對租戶虛擬機(jī)“作惡”行為的監(jiān)控能力。當(dāng)然,這種監(jiān)控不能超越必要權(quán)限,比如獲取租戶的隱私信息就不允許。另外,國內(nèi)的公有云出口國家都會強(qiáng)制部署信安系統(tǒng)進(jìn)行檢測,對反動、黃賭毒等內(nèi)容進(jìn)行識別。
  合規(guī)的擔(dān)心
  在國外,許多上市公司、政府機(jī)構(gòu)和醫(yī)院等客戶面臨很多法律法規(guī)的合規(guī)要求,IT設(shè)施和運(yùn)維必須要滿足這些要求。對于把業(yè)務(wù)遷移到云業(yè)務(wù)后是否滿足合規(guī)要求,客戶是有顧慮的。國內(nèi)對一些行業(yè)也有等級保護(hù)等各種要求。業(yè)界有眾多公司提供合規(guī)方面的認(rèn)證和咨詢服務(wù),可以幫助客戶減少這方面的擔(dān)心。
\
  實(shí)現(xiàn)云安全的主要策略
  為了應(yīng)對上述安全風(fēng)險,解決用戶信任問題,云服務(wù)商要綜合技術(shù)、合規(guī)運(yùn)營、信息透明和宣傳等多種手段。做好云的安全防御工作,要以黑客的視角看問題——“不知攻,焉知防”。漏洞無處不在,攻擊技術(shù)不斷演變,靠單一的手段防御很難奏效,需要綜合的解決思路來構(gòu)建深層防御體系。
  • 總體策略
  • 以數(shù)據(jù)安全為核心,構(gòu)建端到端的深層防御體系;
  • 綜合機(jī)器學(xué)習(xí)和大數(shù)據(jù)等技術(shù),實(shí)現(xiàn)智能的風(fēng)險感知;
  • 安全運(yùn)維的自動化、可視化和合規(guī)運(yùn)營;
  • 選擇可信的合作伙伴。
  • 安全技術(shù)策略
  推行SDL,以數(shù)據(jù)安全防護(hù)為核心,在設(shè)計(jì)中構(gòu)筑安全質(zhì)量,從源頭提升安全質(zhì)量:推行SDL(Secure Development Lifecycle)安全研發(fā)流程很重要,很多人理解不了SDL的重要性。實(shí)際上業(yè)界主要的大軟件公司都將此作為重要基礎(chǔ)手段。沒有SDL的推行,開發(fā)出的產(chǎn)品會漏洞百出;A(chǔ)軟件安全質(zhì)量差,靠其他防御手段很難彌補(bǔ)。比如,這些年緩沖區(qū)溢出造成的高危漏洞居高不下,這與沒有推行SDL或者推行SDL落地不到位有很大關(guān)系。前面提到的界面和API的風(fēng)險,就需要依賴良好的安全設(shè)計(jì)和編程才能有效減少漏洞。
  2016年10月21日,美國很多城市出現(xiàn)網(wǎng)絡(luò)癱瘓,起因是大量IoT設(shè)備的漏洞被利用,造成DDoS攻擊所致。根本原因就在于眾多研發(fā)IoT設(shè)備的小公司沒有安全研發(fā)流程,造成很多低級漏洞。比如,一些IoT設(shè)備上存在硬編碼的默認(rèn)賬號,還沒法修改密碼,必須要升級固件才能解決,這是非常低級的設(shè)計(jì)錯誤。華為公司嚴(yán)格推行SDL流程落地,這對于安全質(zhì)量的提升提供了重大保障。
  從設(shè)計(jì)上講,強(qiáng)調(diào)以數(shù)據(jù)安全為核心來端到端設(shè)計(jì)安全架構(gòu),涉及到密鑰的分發(fā)和管理、身份認(rèn)證、管理員賬戶的管理、數(shù)據(jù)加密和安全域隔離等各個環(huán)節(jié)。任何環(huán)節(jié)疏漏均可能造成數(shù)據(jù)泄露。華為為了增強(qiáng)對租戶隱私數(shù)據(jù)的保護(hù),還采用了加密態(tài)搜索技術(shù),確保管理員也無法獲取。
  對于云這樣的大型系統(tǒng)來說,開發(fā)系統(tǒng)上要盡量歸一,才能減少漏洞引入和對專家的依賴。比如開發(fā)語言、操作系統(tǒng)、Web框架、API框架和虛擬化平臺等要盡量歸一。對于云產(chǎn)品,一般開發(fā)都采用了DevOps研發(fā)模式,為滿足快速交付,研發(fā)要增強(qiáng)安全自動化測試能力。
  建立深層防御,防止單點(diǎn)突破,提升黑客攻擊難度:無論是單產(chǎn)品還是解決方案,架構(gòu)上都要設(shè)立多層次的防御系統(tǒng),提升黑客攻擊的難度。比如,對于主機(jī)防護(hù)可以通過SELinux對操作系統(tǒng)進(jìn)行加固;打開DEP和ASLR等提升漏洞利用的難度;運(yùn)用可信計(jì)算技術(shù)防止代碼被篡改;關(guān)鍵數(shù)據(jù)進(jìn)行加密讓黑客拿到數(shù)據(jù)也難以破解等等;解決DDoS問題也要建立層次化防御,比如,與運(yùn)營商在骨干網(wǎng)進(jìn)行合作,防止入口帶寬打滿;在數(shù)據(jù)中心內(nèi)部也要建立抗DDoS清洗系統(tǒng)。深層防御已經(jīng)成為業(yè)界公認(rèn)的安全架構(gòu)設(shè)計(jì)的一個基本原則。當(dāng)然在安全設(shè)計(jì)上還有最小權(quán)限等業(yè)界公認(rèn)的8大安全設(shè)計(jì)原則,但是把軍事上的縱深防御思想引入到安全架構(gòu)設(shè)計(jì)原則是一個重大進(jìn)步。
  建立“隔離艙”,避免影響整體安全或者避免關(guān)鍵域被攻擊:隔離涉及到網(wǎng)絡(luò)層面的隔離和軟件層面的隔離。其中的網(wǎng)絡(luò)隔離,比如劃分安全域,做好安全域隔離。網(wǎng)絡(luò)隔離的設(shè)計(jì)是安全方案最基礎(chǔ)的工作,具體做到什么程度還要兼顧成本和管理等多方面進(jìn)行考慮,但是安全等級不一樣的域和業(yè)務(wù)差別較大的域最好還是隔離開。比如,要把用戶訪問界面與運(yùn)營和認(rèn)證系統(tǒng)做好隔離;而提供給用戶的API必要時也需要通過代理(Proxy),并做好權(quán)限控制,以實(shí)現(xiàn)隔離。
  軟件層面的隔離,比如應(yīng)用程序運(yùn)行在容器中,可以在應(yīng)用程序與其他系統(tǒng)之間建立一定的隔離墻,以減少彼此影響。比如,應(yīng)用程序不要以Root權(quán)限運(yùn)行,分配權(quán)限應(yīng)盡可能的小,盡可能實(shí)現(xiàn)與操作系統(tǒng)的隔離;隔離,也可以結(jié)合最新的硬件技術(shù),比如,運(yùn)用Intel芯片的SGX技術(shù)將要保護(hù)的軟件和數(shù)據(jù)位于Enclave中,這樣即便操作系統(tǒng)或者Hypervisor被滲透,也無法影響Enclave中的代碼和數(shù)據(jù)。
  假定系統(tǒng)已經(jīng)被入侵,關(guān)鍵點(diǎn)全面部署威脅感知系統(tǒng):無法攻破的大型系統(tǒng)是不存在的,這已經(jīng)被無數(shù)案例證明。只能假定系統(tǒng)肯定會被入侵,那么我們的防御思路就會有徹底改變。
  首先,我們要假定任何關(guān)鍵區(qū)域都有可能被突破,那么就不能出現(xiàn)監(jiān)控盲點(diǎn)。要對基礎(chǔ)設(shè)施、平臺和應(yīng)用全面實(shí)施安全監(jiān)控,消除監(jiān)控盲點(diǎn)。比如服務(wù)器可以考慮部署AGENT,輸出配置、進(jìn)程和訪問日志等信息,對這些信息進(jìn)行系統(tǒng)分析可以有效發(fā)現(xiàn)入侵,這也是防止內(nèi)部作惡的有效審計(jì)手段,同時也可以監(jiān)控云服務(wù)是否被濫用。但對于涉及到VM以上的租戶系統(tǒng),要取得租戶許可,租戶可以根據(jù)需要選用。
  前面談到虛擬機(jī)逃逸問題,業(yè)界主要就要靠監(jiān)控手段,比如在Hypervisor或更底層設(shè)置監(jiān)控。如果沒有這些監(jiān)控,則一旦突破之后就可能造成嚴(yán)重危害。這就好比我們在房子關(guān)鍵位置都設(shè)置了攝像頭和紅外傳感器,入侵者通常很難逃避這兩種傳感器,除非傳感器被破壞了。但是我們設(shè)置這些監(jiān)控,當(dāng)然不會把監(jiān)控技術(shù)公開,以免被入侵者找到規(guī)避的方法。
  在假定系統(tǒng)肯定被入侵的基礎(chǔ)上,則系統(tǒng)的安全設(shè)計(jì)要全面增強(qiáng)。比如,對于機(jī)密數(shù)據(jù),我們要假定操作系統(tǒng)已經(jīng)被入侵了,此時如何防范?首先就要對重要數(shù)據(jù)進(jìn)行加密,密鑰不能存儲在本地,讓入侵者拿到數(shù)據(jù)也沒法破解;其次,原來傳統(tǒng)認(rèn)為只有管理員才可能接觸到的區(qū)域,也要進(jìn)行深度防范,對于內(nèi)部機(jī)-機(jī)之間的通信也要認(rèn)證和加密。
  云安全解決方案上還要應(yīng)用欺騙技術(shù)(Deception)。Gartner將欺騙技術(shù)列為2016年的10大信息安全技術(shù)之一。這個屬于威脅感知中很重要的主動防御技術(shù)之一,在云系統(tǒng)中很重要。偽裝的越真實(shí),越能吸引攻擊者現(xiàn)身或者延緩對真實(shí)目標(biāo)的攻擊時間。傳統(tǒng)的蜜罐屬于這類技術(shù),但蜜罐技術(shù)手段比較單一,容易被攻擊者識破。欺騙技術(shù)的發(fā)展方向?qū)⒏鼜?qiáng)調(diào)以各種綜合手段達(dá)到以假亂真的目的。
  部署機(jī)器學(xué)習(xí)和大數(shù)據(jù)安全分析系統(tǒng),實(shí)現(xiàn)安全智能化:云系統(tǒng)每天產(chǎn)生的安全日志數(shù)量已經(jīng)遠(yuǎn)遠(yuǎn)超出人工能分析的范圍,運(yùn)維人員很難知道哪些是真正有威脅的攻擊,應(yīng)用機(jī)器學(xué)習(xí)和大數(shù)據(jù)分析系統(tǒng)已經(jīng)必不可少。華為已經(jīng)在國內(nèi)的公有云中部署了大數(shù)據(jù)分析平臺來輔助安全運(yùn)維,該系統(tǒng)可以輔助人工決策,提高安全分析能力,是新一代智能SOC(Security Operation Center)的核心技術(shù)。另外,業(yè)界也強(qiáng)調(diào)SOC系統(tǒng)要和威脅情報結(jié)合到一起,威脅情報的核心是要做到“知己知彼”,不能被動防御,而要主動分析和了解攻擊者的最新攻擊態(tài)勢、攻擊方法、攻擊工具以及位置和身份等。云服務(wù)商要自己積累這方面能力,也需要與業(yè)界合作,獲取最新信息。機(jī)器學(xué)習(xí)和大數(shù)據(jù)分析是建立威脅情報的一個重要手段。
  安全運(yùn)維要實(shí)現(xiàn)安全的自動化和可視化:云規(guī)模龐大,但卻只有為數(shù)不多的安全運(yùn)維人員,必須盡可能實(shí)現(xiàn)安全運(yùn)維的自動化和可視化,能自動化的就不要靠手工。另外,這對云安全運(yùn)維人員提出了比較高的技能要求。新一代的安全運(yùn)維人員一般要求有比較熟練的編程能力,隨時可以根據(jù)需要編一些腳本或者開發(fā)一些工具,來滿足自動化需要。
  下面列舉幾個典型的例子
  (1)全面監(jiān)控整網(wǎng)的安全狀態(tài),實(shí)現(xiàn)安全的可視化。比如對整網(wǎng)的各個部件的應(yīng)用軟件、操作系統(tǒng)版本和補(bǔ)丁狀況要一目了然,一旦爆出漏洞,監(jiān)控系統(tǒng)就能通報哪些設(shè)備需要打補(bǔ)丁,并自動生成工單,推動補(bǔ)丁的快速修補(bǔ)。事實(shí)上,業(yè)界絕大部分入侵并非0DAY漏洞造成,而是已知漏洞未及時打補(bǔ)丁造成的。
  (2)引入在線的安全自動測試方法,比如實(shí)時探測系統(tǒng)漏洞、探測弱密碼賬號和錯誤配置導(dǎo)致的安全隱患等等,搶在黑客之前發(fā)現(xiàn)風(fēng)險。公有云每天會受到無數(shù)黑客工具的掃描,只要不是深層次漏洞,很快就會被黑客發(fā)現(xiàn),對此不能存在僥幸心理。作為自動測試工具,要快速跟進(jìn)黑客的工具,因?yàn)楹诳偷墓ぞ吣芰Ω滤俣瘸33瞿愕南胂蟆?/div>
  (3)實(shí)現(xiàn)安全策略監(jiān)控、自動分析、編排和下發(fā)。比如數(shù)量眾多的防火墻,修改安全策略就比較容易出錯,特別是隨著虛擬機(jī)動態(tài)遷移,安全策略也要實(shí)現(xiàn)動態(tài)遷移,最終實(shí)現(xiàn)安全策略的編排和自動下發(fā)、安全策略監(jiān)控和自動分析,也可以稱之為軟件定義安全。
  采用自適應(yīng)的安全架構(gòu):對于公有云的攻擊無時無刻不在,入侵和反入侵的工作是常態(tài)。為此業(yè)界提出了自適應(yīng)安全架構(gòu),云時代的安全服務(wù)應(yīng)該以“持續(xù)監(jiān)控和分析為核心”,覆蓋防御、檢測、響應(yīng)和預(yù)測4個維度。此外,該架構(gòu)還多出了“預(yù)測”,旨在加強(qiáng)“威脅情報”,更加主動地發(fā)現(xiàn)和應(yīng)對風(fēng)險,提前采取行動。
\
  對于租戶系統(tǒng)的安全,提供安全方案支持:對于VM之上租戶系統(tǒng)的安全,原則上由租戶自己負(fù)責(zé),但很多租戶缺乏安全能力。一方面,我們可以將應(yīng)用在云平臺的安全方案能力開放出來,讓用戶可以自行選擇,比如用戶可以選擇安裝我們開發(fā)的主機(jī)AGENT,以增強(qiáng)主機(jī)入侵檢測能力;另外,也可以與業(yè)界安全廠商廣泛合作,比如把DLP和入侵檢測等安全產(chǎn)品引入到解決方案中來,做好解決方案的集成工作,以方便用戶選用。
  強(qiáng)化漏洞管理能力,加快應(yīng)急響應(yīng):公有云軟件體量龐大、業(yè)務(wù)快速迭代上線,而且還采用了不少開源軟件,這就需要采用有效措施來降低漏洞風(fēng)險。
  首先,應(yīng)加強(qiáng)漏洞情報工作,同時也可以考慮實(shí)行漏洞獎勵計(jì)劃。與業(yè)界漏洞組織合作,確保開源漏洞爆發(fā)的第一時間通知到云服務(wù)商;構(gòu)建安全生態(tài),讓業(yè)界白帽子在第一時間把漏洞報過來。此外,對于主動上報云漏洞的可以給予獎勵。這本質(zhì)是一種眾測模式,是一個雙贏的方法。
  其次,應(yīng)建設(shè)適應(yīng)互聯(lián)網(wǎng)模式的快速應(yīng)急響應(yīng)能力。公有云應(yīng)急響應(yīng)的本質(zhì)是與黑客賽跑,一旦爆出高危漏洞,常常需要24小時內(nèi)解決問題,需要高水平的專家、工具、技術(shù)和必要的強(qiáng)制運(yùn)維要求。公有云業(yè)務(wù)要有批量自動化打補(bǔ)丁的工具;要盡可能支持熱補(bǔ)丁技術(shù);要支持業(yè)務(wù)熱遷移,通過熱遷移解決打冷補(bǔ)丁導(dǎo)致的業(yè)務(wù)中斷問題;在運(yùn)維要求上,云中的OS要盡量歸一,用白名單來管理;要實(shí)現(xiàn)OS和上層業(yè)務(wù)的版本發(fā)布解耦,實(shí)現(xiàn)各自的補(bǔ)丁獨(dú)自發(fā)布。
  合規(guī)運(yùn)營
  合規(guī)運(yùn)營是取信于人的基礎(chǔ),也是防止“內(nèi)鬼”的重要手段,既要有運(yùn)營/運(yùn)維的管理制度和執(zhí)行要求,也牽涉到云平臺的基礎(chǔ)技術(shù)要求。業(yè)界有很多相關(guān)的安全認(rèn)證,通過這些認(rèn)證,既能提升自己的合規(guī)運(yùn)營能力,也能幫助客戶減少對合規(guī)和數(shù)據(jù)泄露的擔(dān)心。事實(shí)上,很多客戶的信任很大程度上會參考云服務(wù)通過了哪些權(quán)威認(rèn)證。
  華為作為全球領(lǐng)先的ICT解決方案供應(yīng)商,不僅自身的產(chǎn)品和云服務(wù)獲得了多項(xiàng)國際和國內(nèi)的安全認(rèn)證,還協(xié)助全球合作伙伴獲取了多項(xiàng)云安全認(rèn)證,包括ISO27001、CSA STAR和TUV Trusted Cloud等。
  信息透明和信任
  客戶使用云的最大問題是信任。云服務(wù)商需要提供云基礎(chǔ)設(shè)施的安全、隱私保護(hù)和合規(guī)等足夠信息,使客戶確信云服務(wù)商是值得信賴的。對于云服務(wù)商來說,解決問題應(yīng)積極主動,比如可通過安全白皮書等形式將云安全相關(guān)信息傳遞出去;建立網(wǎng)站提供安全和隱私保護(hù)的相關(guān)信息,并及時公布客戶關(guān)心的安全問題的信息,做到透明可信;積極參與安全會議的宣講或者媒體宣傳等等。此外,盡可能地通過各種安全認(rèn)證也有助于很好地建立客戶信任。
  華為云安全解決方案
\
  華為云安全解決方案由租戶安全、基礎(chǔ)設(shè)施安全和安全管理3部分組成。在租戶安全方面,華為提供開放的平臺,聯(lián)合合作伙伴一起為租戶提供豐富的安全服務(wù);在基礎(chǔ)設(shè)施安全上,華為提供從網(wǎng)絡(luò)到應(yīng)用再到數(shù)據(jù)的全棧式安全防護(hù)體系,實(shí)現(xiàn)基礎(chǔ)設(shè)施的縱深防護(hù);在安全管理上,華為實(shí)現(xiàn)了安全的可視化,做到風(fēng)險可呈現(xiàn)、策略可聯(lián)動和態(tài)勢可評估。
  華為云安全解決方案不僅保護(hù)了華為企業(yè)云的安全,更為中國電信天翼云、德國電信Open Telekom Cloud和西班牙電信Telefonica Cloud的安全提供了堅(jiān)實(shí)保障。
  總結(jié)與展望
  “與時俱進(jìn)”是應(yīng)對安全威脅的唯一方法。要及時跟進(jìn)業(yè)界最新的攻防技術(shù),比如,機(jī)器學(xué)習(xí)和大數(shù)據(jù)應(yīng)用在安全上是非常有前途的技術(shù),機(jī)器自動攻防也同樣值得關(guān)注。此外,業(yè)界還應(yīng)該加強(qiáng)在威脅情報方面的合作,共同提高安全防御能力。
  楊勇/文

專題