云上安全概论
Posted dream_heheda
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了云上安全概论相关的知识,希望对你有一定的参考价值。
IT系统风险构成
什么是风险
风险 = probability(概率) + outcome(后果)
规避风险:降低风险发生的概率,降低风险发生后导致的后果损失。比如数据勒索,可以通过端口配置等减少黑客黑入系统的概率,可以通过备份数据降低数据被勒索加密的损失。
风控及IT系统风控
IT系统风控 按照等保的划分维度,主要包含如下4个维度,我们在考虑安全问题时,要考虑如下4个维度。
- 物理和环境的安全
- 网络和通信安全:网络冗余搭建,保证网络高可用性;通信时数据有没有加密;
- 设备和计算安全:物理设备本身的安全
- 应用和数据安全:数据备份,加密
IT基础架构演进的趋势
IT基础架构演进的趋势
互联网数据中心
- 硬件的利用率不高,在30%-40%左右
- 业务发展过快,数据中心采购周期比较长,导致业务之后
云计算
- 随时随地 按需获取 硬件和软件资源等
云计算三种服务方式
- IAAS:基础设施即服务:虚拟的服务器,存储,网络
- PAAS:平台即服务:中间件,数据库服务,应用服务器平台等
- SAAS:软件即服务:行业应用,CRM,ERP,OA等
企业在云上常见架构
- All in one 部署
- 应用与数据分离
- 应用集群部署:解决前端访问压力
- 动静资源分离:数据库存储结构化数据,OSS存储非结构化数据
信息安全现状和形势
安全现状
- 重大安全事件
- 重点信息泄露
攻击类型
- DDoS攻击:使得服务不可用
- Web渗透攻击:SQL注入,命令执行,XSS跨站脚本,WebShell通信,本地文件包含,远程文件包含,CRLF注入等
阿里云云盾每天的安全防护量
- DDoS攻击:成功过滤2000次DDoS攻击
- Web渗透攻击:成功拦截300万次web渗透攻击
- 高危漏洞:成功修复6000条高危漏洞
风险类型的演变
早期互联网时代的安全
背景:WEB服务商业化程度低,没有专有的防火墙设备
形势:木马,蠕虫病毒
目标:操作系统权限
危害:个人能力展现
WEB2.0时代的安全
背景:WEB商业化程度高,防火墙,入侵检测等安全设备普及
形式:网页挂马,DDOS,SQL注入
目标:窃取数据,再利用,售卖
危害:业务系统不可用,数据泄露
移动互联网的安全
移动物联网的安全主要包括3个方面:
- 终端安全
- 接入点安全
- 后端服务(服务器)安全
云计算主要的安全威胁
云计算面临的主要安全威胁
- 破坏可用性:DDoS拒绝服务式攻击,导致网站业务不可用
- 破坏完整性:通过跨站脚本或SQL注入,篡改系统数据等,导致网站页面被篡改和植入后门
- 破坏保密性:通过网站后门,数据库非法访问等,导致用户的账户信息和敏感数据泄露
产生安全风险的主要原因:
云平台,ISV,用户每个环节都可能会产生风险
- 云平台
- ISV:独立软件开发商;专门从事软件的开发,生产,销售和服务的企业
- 用户
阿里云安全态势
云上安全防护的关键点
云上与云下安全区别
与传统IT系统相比,云计算平台面临的风险点主要表现在以下方面:
- 业务层面:交付形态变化。原来是封闭的数据中心,现在是云上数据中心
- 技术层面:安全边界的消失。传统IDC系统以边界为核心,为部署防火墙,物理边界等。云上是共享一套基础设施
- 管理层面:数据权限分离。云计算将资源、数据的管理权和使用权进行了分离
云上常见的安全问题
- 业务安全问题:虚假注册,薅羊毛等
- 技术安全问题:云安全产品和云产品本身的安全措施
- 安全管理问题
云上安全原则
云上资源访问和管理应遵从以下云上安全原则
- 网络隔离-纵深防御
- 认证授权-最小权限
- 安全加密
- 监控告警
云上安全服务方式:责任分担,共建安全
- 云服务平台负载管理云本身的安全
- 云内部的安全由客户负责
企业 云上安全防护 注意事情
应用集群部署:
- 服务器安全区域隔离:多个ECS放入安全组,
- 负载均衡加密访问:Https访问SLB
动静资源分离:
- 存储资源备份和加密
- 存储资源容灾
阿里云安全架构
阿里云安全架构五横:云平台安全和用户安全
- 阿里云云平台安全
- 阿里云用户 基础安全
- 阿里云用户 数据安全
- 阿里云用户 应用安全
- 阿里云用户 业务安全
阿里云安全架构两纵
- 阿里云 用户账户安全
- 阿里云用户 安全监控和运营
1.阿里云云平台安全
阿里云作为云平台,默认提供的基础安全能力,是云平台内部提供的自身安全能力
2.阿里云用户 基础安全
主机安全:入侵检测-安骑士
3.阿里云用户 数据安全
数据:机密性,完整性,可用性
4.阿里云用户 应用安全
5.阿里云用户 业务安全
1.阿里云 用户账户安全
2.阿里云用户 安全监控和运营
信息安全合规及其它法律发规
以上是关于云上安全概论的主要内容,如果未能解决你的问题,请参考以下文章