云上安全概论

Posted 2021-10-11 dream_heheda

IT系统风险构成

什么是风险

风险 = probability(概率) + outcome(后果)

规避风险：降低风险发生的概率，降低风险发生后导致的后果损失。比如数据勒索，可以通过端口配置等减少黑客黑入系统的概率，可以通过备份数据降低数据被勒索加密的损失。

风控及IT系统风控

IT系统风控 按照等保的划分维度，主要包含如下4个维度，我们在考虑安全问题时，要考虑如下4个维度。

• 物理和环境的安全
• 网络和通信安全：网络冗余搭建，保证网络高可用性；通信时数据有没有加密；
• 设备和计算安全：物理设备本身的安全
• 应用和数据安全：数据备份，加密

IT基础架构演进的趋势

IT基础架构演进的趋势

互联网数据中心

• 硬件的利用率不高，在30%-40%左右
• 业务发展过快，数据中心采购周期比较长，导致业务之后

云计算

• 随时随地 按需获取 硬件和软件资源等

云计算三种服务方式

• IAAS：基础设施即服务：虚拟的服务器，存储，网络
• PAAS：平台即服务：中间件，数据库服务，应用服务器平台等
• SAAS：软件即服务：行业应用，CRM，ERP，OA等

 企业在云上常见架构

• All in one 部署
• 应用与数据分离
• 应用集群部署：解决前端访问压力
• 动静资源分离：数据库存储结构化数据，OSS存储非结构化数据

 

信息安全现状和形势

安全现状

• 重大安全事件
• 重点信息泄露

攻击类型

• DDoS攻击：使得服务不可用
• Web渗透攻击：SQL注入，命令执行，XSS跨站脚本，WebShell通信，本地文件包含，远程文件包含，CRLF注入等

阿里云云盾每天的安全防护量

• DDoS攻击：成功过滤2000次DDoS攻击
• Web渗透攻击：成功拦截300万次web渗透攻击
• 高危漏洞：成功修复6000条高危漏洞

风险类型的演变

早期互联网时代的安全

背景：WEB服务商业化程度低，没有专有的防火墙设备

形势：木马，蠕虫病毒

目标：操作系统权限

危害：个人能力展现

WEB2.0时代的安全

背景：WEB商业化程度高，防火墙，入侵检测等安全设备普及

形式：网页挂马，DDOS，SQL注入

目标：窃取数据，再利用，售卖

危害：业务系统不可用，数据泄露

移动互联网的安全

移动物联网的安全主要包括3个方面：

1. 终端安全
2. 接入点安全
3. 后端服务（服务器）安全 

 云计算主要的安全威胁

云计算面临的主要安全威胁

• 破坏可用性：DDoS拒绝服务式攻击，导致网站业务不可用
• 破坏完整性：通过跨站脚本或SQL注入，篡改系统数据等，导致网站页面被篡改和植入后门
• 破坏保密性：通过网站后门，数据库非法访问等，导致用户的账户信息和敏感数据泄露

产生安全风险的主要原因：

云平台，ISV，用户每个环节都可能会产生风险

• 云平台
• ISV：独立软件开发商；专门从事软件的开发，生产，销售和服务的企业
• 用户

阿里云安全态势

云上安全防护的关键点

云上与云下安全区别

与传统IT系统相比，云计算平台面临的风险点主要表现在以下方面：

• 业务层面：交付形态变化。原来是封闭的数据中心，现在是云上数据中心
• 技术层面：安全边界的消失。传统IDC系统以边界为核心，为部署防火墙，物理边界等。云上是共享一套基础设施
• 管理层面：数据权限分离。云计算将资源、数据的管理权和使用权进行了分离

云上常见的安全问题

• 业务安全问题：虚假注册，薅羊毛等
• 技术安全问题：云安全产品和云产品本身的安全措施
• 安全管理问题

云上安全原则

云上资源访问和管理应遵从以下云上安全原则

• 网络隔离-纵深防御
• 认证授权-最小权限
• 安全加密
• 监控告警

云上安全服务方式：责任分担，共建安全

• 云服务平台负载管理云本身的安全
• 云内部的安全由客户负责

企业 云上安全防护 注意事情

应用集群部署：

• 服务器安全区域隔离：多个ECS放入安全组，
• 负载均衡加密访问：Https访问SLB

动静资源分离：

• 存储资源备份和加密
• 存储资源容灾

阿里云安全架构

阿里云安全架构五横：云平台安全和用户安全

1. 阿里云云平台安全
2. 阿里云用户 基础安全
3. 阿里云用户 数据安全
4. 阿里云用户 应用安全
5. 阿里云用户 业务安全

阿里云安全架构两纵

1. 阿里云 用户账户安全
2.  阿里云用户 安全监控和运营

1.阿里云云平台安全

阿里云作为云平台，默认提供的基础安全能力，是云平台内部提供的自身安全能力

 2.阿里云用户 基础安全

主机安全：入侵检测-安骑士

 3.阿里云用户 数据安全

数据：机密性，完整性，可用性

 4.阿里云用户 应用安全

 5.阿里云用户 业务安全

 1.阿里云 用户账户安全

 2.阿里云用户 安全监控和运营

信息安全合规及其它法律发规