1 华为云对公有云安全运维的思考#
2 目录#
- 云环境下的安全风险
- 华为云安全运维体系建设思路
- 华为云安全运维实践
- 总结建议
2. 云环境下的安全风险#
2.1 云服务面临的主要安全挑战#
安全与挑战
-
来自于外部的入侵攻击
流量攻击,中断服务
账号窃取,获取权限
漏洞入侵,偷取数据 -
云平台的内部风险
共享环境下隔离问题
如何保障数据的合法使用 -
租户层的安全服务
需要快捷,简单,易用,按需
需要统一管理
传统安全产品很难部署在云中 -
安全意识 / 技能待提高
租户数据防护不足
多数住户的安全意识有待提高
多数租户的安全技能有待提升
3. 公有云环境 VS 传统 IT 环境#
3.1 传统 IT 环境 - 客家围楼#
-
特点
边界清晰,安全全责,业务可知 -
策略
围墙式防护,安全可端对端覆盖,基础业务部署精细化防护策略 -
技术
APT 攻击检测,钓鱼邮件防护,DLP
3.2 公有云 — 开放式小区#
- 特点
边界不清晰,安全责任共但,业务不可知 - 策略
轻管控,重检测,快速响应。强调时候取证。 - 技术
防 DDOS 攻击,防暴力破解及基础漏洞攻击入侵,防云资源滥用等
4. 公有云环境下的安全运维与传统环境下的安全运维的差异#
| 类型 | 公有云安全运营 | 传统安全运营 |
|---|---|---|
| 防护环境 | 黑盒业务不可知 | 白盒业务可知 |
| 安全边界 | 责任共但,运维及网络边界模糊 | 边界清晰,端对端责任承担 |
| 安全目标 | 防攻击,防入侵,防滥用 | 防泄密,防攻击,防入侵 |
| 主要职责 | 检测,响应,安全咨询,安全服务,威胁建模开发等 | 监控,响应,配置安全策略 |
| 主要风险 | 拒绝攻击服务,弱密码及漏洞导致主机被入侵,云服务滥用 | 数据泄露,APT 寄生虫,弱密码或漏洞导致入侵 |
| 安全产品 | 以自研产品为主,业务复杂,行业广,产品自身建模需要支持快速迭代,内容安全以违法违规检测为主 | 采用成熟的第三方解决方案和产品,安全能力受制于第三方产品的能力,内容安全采用 DLP 防止关键资产 |
| 技术手段 | 弱管制,注意检测,快速响应,控制防御通常采用黑白名单机制,业务及用户相对固定,一般通过业务属于制定安全策略,端到端可视 | |
| 典型技术 | DDos 防御,暴力破解防御,WEB 应用防护,内容检测,c&c 通讯,网流分析可视 | 邮件安全,DLP,WEB 应用防护,IPS,移动端安全,主机安全 |
5. 公有云安全运维挑战#
- 自动化程度要求高
- 对业务不了解
- 业务连续性高
- 安全责任共担模式
6. 华为云安全运维体系建设思路#
6.1 救火阶段#
快速识别 TOP 风险,优化解决业务 "痛点",做一些基础的 "保命" 工作
6.2 体系化建设#
扎实安全基础建设,建立安全运维流程体系 + 少量自研发工具 + 第三方安全产品
6.3 安全高阶#
自我研发和自动化安全大数据持续安全运维关键能力矩阵布局
6.4 安全智能#
安全自适应,智能化,阻止,检测,响应,溯源,预测
7. 华为云安全运维体系框架#
7.1 组织人员#
流程体系,架构
7.2 安全治理#
安全运营,运维工具化,自动化
8. 安全运维流程体系#
8.1 优秀实践,案例#
AWS,Azure
8.2 法律 + 政策要求#
国内立法机构敏感国家立法机构
8.3 行业要求#
行业政策,标准发布机构
8.4 执法要求,案例#
国家监管执行机构国家审查机构
8.5 历史案例#
媒体事件,安全事件,运营事件