域名預(yù)訂/競(jìng)價(jià)，好“米”不錯(cuò)過

云計(jì)算、大數(shù)據(jù)、人工智能的飛速發(fā)展，給從云到端的安全及個(gè)人信息等方面帶來(lái)極大挑戰(zhàn)。數(shù)字化時(shí)代，由于云計(jì)算風(fēng)險(xiǎn)集中，導(dǎo)致大規(guī)模安全風(fēng)險(xiǎn)的出現(xiàn)，讓網(wǎng)絡(luò)安全形勢(shì)更加嚴(yán)峻，企業(yè)對(duì)云安全也越來(lái)越重視。華云數(shù)據(jù)本期“智匯華云”專欄將為您解讀云安全運(yùn)營(yíng)管理架構(gòu)及實(shí)踐。

云安全是信息化建設(shè)中的大型工程，一個(gè)可管理、可運(yùn)營(yíng)的服務(wù)平臺(tái)是保障云系統(tǒng)安全、持續(xù)、有序運(yùn)轉(zhuǎn)的基石。同時(shí)，安全服務(wù)能力需要考慮云計(jì)算環(huán)境的攻擊特點(diǎn)，構(gòu)建網(wǎng)絡(luò)、主機(jī)、應(yīng)用和數(shù)據(jù)等立體化的防護(hù)手段。

那么，如何構(gòu)建一個(gè)穩(wěn)定可運(yùn)營(yíng)的云安全平臺(tái)，為企業(yè)業(yè)務(wù)保駕護(hù)航？本期華云大咖說將與您分享華云數(shù)據(jù)云安全運(yùn)營(yíng)管理解決方案。

精彩言論

1、不同的組織對(duì)云安全有相應(yīng)的定義，但邏輯上是一致的，是一脈相承的。

云安全聯(lián)盟CSA標(biāo)準(zhǔn)根據(jù)ISO/IEC（國(guó)際電工委員會(huì)）17789:2014定義的云計(jì)算層次框架（資源層、服務(wù)層、訪問層、用戶層和跨層功能），并結(jié)合安全業(yè)務(wù)特點(diǎn)，定義云計(jì)算安全技術(shù)要求框架。用戶層是用戶接口。通過該接口，云服務(wù)客戶和云服務(wù)提供者及其云服務(wù)進(jìn)行交互，執(zhí)行與客戶相關(guān)的管理活動(dòng)，監(jiān)控云服務(wù)。訪問層提供對(duì)服務(wù)層能力進(jìn)行手動(dòng)和自動(dòng)訪問的通用接口。這些能力既包含服務(wù)能力，也包含管理能力和業(yè)務(wù)能力。物理層分為物理資源和資源抽象與控制兩部分。服務(wù)層是對(duì)云服務(wù)提供者所提供服務(wù)的實(shí)現(xiàn)，包含和控制實(shí)現(xiàn)服務(wù)所需的軟件組件，并安排通過訪問層為用戶提供云服務(wù)。安全服務(wù)即以服務(wù)的方式提供的安全能力，云服務(wù)提供者可通過提供安全服務(wù)協(xié)助客戶做好客戶安全責(zé)任范圍內(nèi)的安全防護(hù)。

云等保2.0對(duì)云計(jì)算安全防護(hù)的定義是用戶通過安全的通信網(wǎng)絡(luò)以網(wǎng)絡(luò)直接訪問、API接口訪問和Web服務(wù)訪問等方式安全地訪問云服務(wù)商提供的安全計(jì)算環(huán)境。安全計(jì)算環(huán)境包括資源層安全和服務(wù)層安全。資源層分為物理資源和虛擬資源，需要明確物理資源安全設(shè)計(jì)技術(shù)要求和虛擬資源安全設(shè)計(jì)要求。服務(wù)層是對(duì)云服務(wù)商所提供服務(wù)的實(shí)現(xiàn)，包含實(shí)現(xiàn)服務(wù)所需的軟件組件，根據(jù)服務(wù)模式不同，云服務(wù)商和云服務(wù)客戶承擔(dān)的安全責(zé)任不同。服務(wù)層安全設(shè)計(jì)需要明確云服務(wù)商控制的資源范圍內(nèi)的安全設(shè)計(jì)技術(shù)要求，并且云服務(wù)商可以通過提供安全接口和安全服務(wù)為云服務(wù)客戶提供安全技術(shù)和安全防護(hù)能力。云計(jì)算環(huán)境的系統(tǒng)管理、安全管理和安全審計(jì)由安全管理中心統(tǒng)一管控。結(jié)合本框架對(duì)不同等級(jí)的云計(jì)算環(huán)境進(jìn)行安全技術(shù)設(shè)計(jì)，同時(shí)通過服務(wù)層安全支持對(duì)不同等級(jí)云服務(wù)客戶端(業(yè)務(wù)系統(tǒng))的安全設(shè)計(jì)。

2、華云數(shù)據(jù)云安全設(shè)計(jì)思路遵循了提升風(fēng)險(xiǎn)預(yù)測(cè)能力、提升縱深防御能力、提升持續(xù)檢測(cè)能力和提升快速響應(yīng)能力四大部分。其中，風(fēng)險(xiǎn)預(yù)測(cè)包含了制定應(yīng)急預(yù)案、安全應(yīng)急演練、滲透測(cè)試與攻防演練、業(yè)務(wù)/平臺(tái)安全評(píng)估四部分。全面防御包括 按照等保要求設(shè)計(jì)云平臺(tái)內(nèi)部云化防御手段，云平臺(tái)邊界、通信網(wǎng)絡(luò)防御手段，針對(duì)業(yè)務(wù)與數(shù)據(jù)提供配套防御手段，以及提供配置權(quán)限防御手段。快速相應(yīng)包括對(duì)安全事件研判、對(duì)安全事件處置，進(jìn)行事件分析總結(jié)與改進(jìn)。而持續(xù)檢測(cè)包括按等保要求提供多種實(shí)時(shí)告警方式，進(jìn)行安全監(jiān)測(cè)信息與審計(jì)集中管理，以及分層、分權(quán)、分級(jí)進(jìn)行安全審計(jì)。

3、華云數(shù)據(jù)進(jìn)行了多層面縱深安全防護(hù)：華云云平臺(tái)底層采用安全的操作系統(tǒng)、中間件和數(shù)據(jù)庫(kù)系統(tǒng)，同時(shí)對(duì)系統(tǒng)內(nèi)核進(jìn)行加固。華云云平臺(tái)底層操作系統(tǒng)，根據(jù)系統(tǒng)功能最小化原則進(jìn)行優(yōu)化，只安裝所需的組件，不安裝其它無(wú)關(guān)組件，降低被攻擊風(fēng)險(xiǎn)。配置底層操作系統(tǒng)的服務(wù)和端口，禁用不必要的服務(wù)，修改必要服務(wù)的端口。對(duì)系統(tǒng)文件進(jìn)行有效的保護(hù)，防止被篡改和替換。設(shè)置操作系統(tǒng)的賬號(hào)密碼策略，配置賬號(hào)密碼強(qiáng)度、賬號(hào)鎖定策略。修改操作系統(tǒng)默認(rèn)權(quán)限值。 開啟操作系統(tǒng)安全審計(jì)，設(shè)置操作系統(tǒng)安全審計(jì)策略。集成第三方漏洞掃描和防病毒等技術(shù)。

4、在保證平臺(tái)高可用方面需要很多辦法：首先要保證故障自動(dòng)恢復(fù)。計(jì)算節(jié)點(diǎn)宕機(jī)，運(yùn)行在該節(jié)點(diǎn)上的VM會(huì)在其他計(jì)算節(jié)點(diǎn)重新啟動(dòng)；重啟系統(tǒng)大約在3分鐘以內(nèi)，服務(wù)啟動(dòng)取決于服務(wù)本身；所有需要高可用保護(hù)的業(yè)務(wù)云主機(jī)。在線遷移是一個(gè)內(nèi)存同步的過程；內(nèi)存切換過程所產(chǎn)生的延時(shí)微小，對(duì)用戶無(wú)感知；適用于計(jì)算節(jié)點(diǎn)需要維護(hù)、或者負(fù)載過高，需要將VM遷移至其他計(jì)算節(jié)點(diǎn)位置的場(chǎng)景。之后，需要豐富的數(shù)據(jù)可靠技術(shù)，包括多副本技術(shù)、端到端校驗(yàn)、數(shù)據(jù)重建恢復(fù)以及全冗余架構(gòu)。此外，還需要保證組件的高可用。

5、在安全防護(hù)領(lǐng)域，安全的區(qū)域邊界的保護(hù)非常重要，包括了身份認(rèn)證、基于角色的訪問控制、密鑰對(duì)訪問、Https傳輸協(xié)議。

6、云上租戶安全包含了數(shù)據(jù)安全、應(yīng)用安全、主機(jī)安全和網(wǎng)絡(luò)安全四部分。其中網(wǎng)絡(luò)安全是用戶非常重視的。為了保障網(wǎng)絡(luò)安全，可以采用多種方式。租戶隔離：確保不同的租戶只能訪問自身的資源，不可訪問其他租戶的資源。針對(duì)不同租戶可以設(shè)定資源配額，有效在租戶間控制資源使用。安全組：允許或禁止安全組內(nèi)的云主機(jī)對(duì)公網(wǎng)或私網(wǎng)的訪問。安全組是重要的網(wǎng)絡(luò)安全隔離手段，用于在云端劃分安全域。云防火墻：云防火墻可以統(tǒng)一管理互聯(lián)網(wǎng)到業(yè)務(wù)的訪問控制策略（南北向）和業(yè)務(wù)與業(yè)務(wù)之間的微隔離策略（東西向）。流量隔離：生產(chǎn)網(wǎng)絡(luò)與非生產(chǎn)網(wǎng)絡(luò)進(jìn)行安全隔離，從非生產(chǎn)網(wǎng)絡(luò)不能直接訪問生產(chǎn)網(wǎng)絡(luò)的任何服務(wù)器和網(wǎng)絡(luò)設(shè)備,確保云服務(wù)網(wǎng)絡(luò)無(wú)法法訪問物理網(wǎng)絡(luò)。

7、主機(jī)安全提供一種全方位服務(wù)器安全平臺(tái)，旨在保護(hù)數(shù)據(jù)中心和云平臺(tái)免遭數(shù)據(jù)泄露和業(yè)務(wù)中斷，提供防惡意軟件、Web信譽(yù)、防火墻、入侵阻止、完整性監(jiān)控和日志檢查，以確保物理、虛擬和云環(huán)境中服務(wù)器的應(yīng)用程序以及數(shù)據(jù)的安全。

8、在保證應(yīng)用安全方面，會(huì)采用系統(tǒng)漏洞掃描、WEB安全漏洞監(jiān)控，并采用云Web應(yīng)用防火墻的部署、網(wǎng)頁(yè)防篡改等方式來(lái)進(jìn)行。

9、保證數(shù)據(jù)安全，需要進(jìn)行鏡像加固、剩余信息保護(hù)、數(shù)據(jù)保密性、數(shù)據(jù)備份恢復(fù)。運(yùn)維安全要注重日志記錄、平臺(tái)監(jiān)控、三權(quán)分立以及操作安全管理。

10、隨著混合云的廣泛應(yīng)用，法律風(fēng)險(xiǎn)增高，管理更復(fù)雜、故障定位難、而且安全新隱患會(huì)層出不窮，如云計(jì)算的開放性對(duì)接口安全提出新的要求；基于云的業(yè)務(wù)模式，給數(shù)據(jù)安全的保護(hù)提出了更高的要求；傳統(tǒng)基于物理安全邊界的防護(hù)機(jī)制在云計(jì)算的環(huán)境難以得到有效的應(yīng)用。

11、華云數(shù)據(jù)混合云平臺(tái)擁有完備的云安全管理架構(gòu)，華云數(shù)據(jù)新一代云平臺(tái)CloudUltra®4為客戶提供對(duì)私有云資源和公有云資源的統(tǒng)一管理能力，例如，資源配額統(tǒng)一劃分，統(tǒng)一計(jì)量，統(tǒng)一Web界面。支持納管的華云公有云服務(wù)包括：云主機(jī)、云硬盤、私有網(wǎng)絡(luò)、路由器、公網(wǎng)IP、防火墻、鏡像、密鑰對(duì)。華云云安全平臺(tái)關(guān)注運(yùn)營(yíng)、關(guān)注資產(chǎn)，采用立體防護(hù)的方式，誤報(bào)率極低，能夠做到提升效率，關(guān)注外部風(fēng)險(xiǎn)的同事對(duì)內(nèi)部違規(guī)事件進(jìn)行審計(jì)。

關(guān)于華云數(shù)據(jù)：

華云數(shù)據(jù)集團(tuán)專注于為客戶提供 “自主、安全、可控”的云計(jì)算服務(wù)，以幫助用戶采用云計(jì)算提升IT能力，實(shí)現(xiàn)業(yè)務(wù)變革。華云數(shù)據(jù)主要面向企業(yè)級(jí)用戶提供定制化私有云、混合云解決方案，同時(shí)還可以提供大數(shù)據(jù)服務(wù)、超融合產(chǎn)品、公有云、IDC轉(zhuǎn)云等服務(wù)。自2010年成立以來(lái)，華云數(shù)據(jù)不斷深入了解企業(yè)用戶需求和行業(yè)特性，是一家追求卓越的云計(jì)算服務(wù)提供商。

成立八年來(lái)，華云數(shù)據(jù)堅(jiān)持自主研發(fā)，獲得了512項(xiàng)知識(shí)產(chǎn)權(quán)，在私有云、混合云、公有云和超融合領(lǐng)域均通過了相關(guān)可信云認(rèn)證，獲得了軟件能力成熟度模型集成CMMI5證書，是國(guó)家課題承接單位、中國(guó)十大云計(jì)算解決方案提供商。2016年起，華云數(shù)據(jù)集團(tuán)連續(xù)三年被評(píng)為中國(guó)獨(dú)角獸企業(yè)； 2018年5月，進(jìn)入 “中國(guó)大數(shù)據(jù)獨(dú)角獸企業(yè)TOP20榜”, 2018年7月，榮膺“2018中國(guó)互聯(lián)網(wǎng)百?gòu)?qiáng)企業(yè)”稱號(hào)，2018年8月，入圍“中國(guó)大數(shù)據(jù)企業(yè)50強(qiáng)”。2018年11月，權(quán)威咨詢機(jī)構(gòu)發(fā)布《2018年私有云市場(chǎng)各品牌競(jìng)爭(zhēng)力分析》，華云數(shù)據(jù)躍入領(lǐng)導(dǎo)者象限，成為中國(guó)私有云廠商前三甲。2019年3月，華云數(shù)據(jù)宣布對(duì)國(guó)際領(lǐng)先超融合軟件廠商Maxta, Inc.全部資產(chǎn)完成了合法合規(guī)收購(gòu)。

申請(qǐng)創(chuàng)業(yè)報(bào)道，分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處，共同探討創(chuàng)業(yè)新機(jī)遇！