1 華為雲對公有雲安全運維的思考#
2 目錄#
- 雲環境下的安全風險
- 華為雲安全運維體系建設思路
- 華為雲安全運維實踐
- 總結建議
2. 雲環境下的安全風險#
2.1 雲服務面臨的主要安全挑戰#
安全與挑戰
-
來自於外部的入侵攻擊
流量攻擊,中斷服務
帳號竊取,獲取權限
漏洞入侵,偷取數據 -
雲平台的內部風險
共享環境下隔離問題
如何保障數據的合法使用 -
租戶層的安全服務
需要快捷,簡單,易用,按需
需要統一管理
傳統安全產品很難部署在雲中 -
安全意識 / 技能待提高
租戶數據防護不足
多數住戶的安全意識有待提高
多數租戶的安全技能有待提升
3. 公有雲環境 VS 傳統 IT 環境#
3.1 傳統 IT 環境 - 客家圍樓#
-
特點
邊界清晰,安全全責,業務可知 -
策略
圍牆式防護,安全可端對端覆蓋,基礎業務部署精細化防護策略 -
技術
APT 攻擊檢測,釣魚郵件防護,DLP
3.2 公有雲 — 開放式小區#
- 特點
邊界不清晰,安全責任共擔,業務不可知 - 策略
輕管控,重檢測,快速響應。強調時候取證。 - 技術
防 DDOS 攻擊,防暴力破解及基礎漏洞攻擊入侵,防雲資源濫用等
4. 公有雲環境下的安全運維與傳統環境下的安全運維的差異#
| 類型 | 公有雲安全運營 | 傳統安全運營 |
|---|---|---|
| 防護環境 | 黑盒業務不可知 | 白盒業務可知 |
| 安全邊界 | 責任共擔,運維及網絡邊界模糊 | 邊界清晰,端對端責任承擔 |
| 安全目標 | 防攻擊,防入侵,防濫用 | 防洩密,防攻擊,防入侵 |
| 主要職責 | 檢測,響應,安全諮詢,安全服務,威脅建模開發等 | 監控,響應,配置安全策略 |
| 主要風險 | 拒絕攻擊服務,弱密碼及漏洞導致主機被入侵,雲服務濫用 | 數據洩露,APT 寄生蟲,弱密碼或漏洞導致入侵 |
| 安全產品 | 以自研產品為主,業務複雜,行業廣,產品自身建模需要支持快速迭代,內容安全以違法違規檢測為主 | 采用成熟的第三方解決方案和產品,安全能力受制於第三方產品的能力,內容安全采用 DLP 防止關鍵資產 |
| 技術手段 | 弱管制,注意檢測,快速響應,控制防禦通常采用黑白名單機制,業務及用戶相對固定,一般通過業務屬性制定安全策略,端到端可視 | |
| 典型技術 | DDos 防禦,暴力破解防禦,WEB 應用防護,內容檢測,c&c 通訊,網流分析可視 | 郵件安全,DLP,WEB 應用防護,IPS,移動端安全,主機安全 |
5. 公有雲安全運維挑戰#
- 自動化程度要求高
- 對業務不了解
- 業務連續性高
- 安全責任共擔模式
6. 華為雲安全運維體系建設思路#
6.1 救火階段#
快速識別 TOP 風險,優化解決業務 "痛點",做一些基礎的 "保命" 工作
6.2 體系化建設#
扎實安全基礎建設,建立安全運維流程體系 + 少量自研工具 + 第三方安全產品
6.3 安全高階#
自我研發和自動化安全大數據持續安全運維關鍵能力矩陣佈局
6.4 安全智能#
安全自適應,智能化,阻止,檢測,響應,溯源,預測
7. 華為雲安全運維體系框架#
7.1 組織人員#
流程體系,架構
7.2 安全治理#
安全運營,運維工具化,自動化
8. 安全運維流程體系#
8.1 優秀實踐,案例#
AWS,Azure
8.2 法律 + 政策要求#
國內立法機構敏感國家立法機構
8.3 行業要求#
行業政策,標準發布機構
8.4 執法要求,案例#
國家監管執行機構國家審查機構
8.5 歷史案例#
媒體事件,安全事件,運營事件