<listing id="7zvzr"></listing>
<var id="7zvzr"><video id="7zvzr"><thead id="7zvzr"></thead></video></var><var id="7zvzr"></var>
<var id="7zvzr"><strike id="7zvzr"><listing id="7zvzr"></listing></strike></var><var id="7zvzr"></var> <var id="7zvzr"><strike id="7zvzr"></strike></var>
<cite id="7zvzr"><strike id="7zvzr"></strike></cite>
<menuitem id="7zvzr"><strike id="7zvzr"><listing id="7zvzr"></listing></strike></menuitem><menuitem id="7zvzr"></menuitem><cite id="7zvzr"></cite>
<var id="7zvzr"></var>
<cite id="7zvzr"></cite>
<var id="7zvzr"></var><var id="7zvzr"><strike id="7zvzr"></strike></var><menuitem id="7zvzr"><strike id="7zvzr"></strike></menuitem>
登錄 用戶注冊
工業APP開發工具
工業APP運行工具
云平臺服務
資訊活動

如何讓云工作負載比本地數據中心更安全?

發布時間:2021-08-11 來源:金屬加工

隨著《網絡安全法》、《信息安全技術 網絡安全等級保護基本要求》等法律法規的實施,云計算已經成為了國家重點監管對象,網信辦更是對每個行業云都提出新的監管要求。因此,將業務從傳統IDC遷移到云上最大的挑戰就是要滿足眾多的合規要求。例如,全國信息安全標準化技術委員會(TC260)針對政府上云出臺了GB/T 31167《信息安全技術 云計算服務安全指南》和GB/T 31168《信息安全技術 云計算服務安全能力要求》等規范, 對政府部門采用的云計算服務提出了新要求。


“云”到底面臨哪些安全挑戰?


盡管上云對許多企業來說都是一個不錯的選擇,但也存在一定的風險。大量有價值的數據涌入云中,使得云服務商成為黑客攻擊的主要目標。

舉個簡單例子,如果每個人都將存款存放在各自家中的保險箱中(本地數據中心),這意味著每個房主都要對自己的錢完全負責。然而,大多數人更愿意把大部分錢存在第三方銀行(云服務)。雖然銀行會提供更多的安全保障,并有更安全的保護措施,但這也意味著銀行成為了專業劫匪襲擊的首要目標。

根據云安全聯盟(CSA)列出的“十二大云安全威脅”,云安全的主要威脅包括數據泄露,數據丟失,帳戶劫持,不安全的應用程序接口(API)以及可能危及云安全的共享技術等,具體如下:

1. 數據泄露;

2. 憑證被盜和身份驗證如同虛設;

3. 界面和API被黑;

4. 系統漏洞利用;

5. 賬戶劫持;

6. 惡意內部人士;

7. APT(高級持續性威脅)寄生蟲;

8. 永久的數據丟失;

9. 調查不足;

10. 云服務濫用;

11. 拒絕服務(DoS)攻擊;

12. 共享技術,共享危險;


云安全最佳實踐:云工作負載保護平臺(CWPP)

云正持續改變企業機構使用、存儲和共享數據、應用程序和工作負載的方式。這帶來了一系列新的安全威脅和挑戰。在現代混合的數據中心架構中,主要的保護目標是服務器的工作負載。這種架構是由本地服務器、虛擬服務器以及不同私有云、公有云組成。因此,針對云計算的安全防護正發生重大轉變,從“安全的網絡”到“安全的工作負載”。

但是,在虛擬化或云環境下,邊界和硬件安全不再有效,而是需要一個產品在工作負載層面進行保護來適應于這種動態的環境,這個產品能夠自動化進行安全保護。

根據抽象度的不同,工作負載分為物理機、虛擬機、容器和Serverless??梢钥闯鲞@幾種工作負載從虛擬化水平到單位的計量再到生命周期都有很大的區別。如果只是服務器安全或者云主機安全,是無法覆蓋容器以及Serverless場景的。

工作負載粒度和抽象度

不同的工作負載需要不同級別的安全保護,對于承載核心敏感數據的工作負載需要更多安全組件。云工作負載保護平臺(CWPP)的層次結構如下圖所示,對其安全投資進行優先級排序。如下圖所示,金字塔底部是那些更為基礎的安全防護策略,金字塔頂端是次重要的一些防護策略。因此企業需要根據服務器的特定風險配置以及工作負載和合規要求采用合適策略。


云工作負載保護平臺的核心組件有:

(1)加固、配置和漏洞管理?;诓渴鹪诜掌鲀炔緼gent,“由內而外”評估系統配置和漏洞,以可視化方式展現。

(2)網絡防火墻、可視化及微隔離。支持對數據中心東西流量的“微隔離”,并提供工作負載之間的網絡流量加密和保護運轉中的數據。

(3)系統信任保證。

I.在加載BIOS、Hypervisor、VM和容器系統鏡像前,通過基于物理系統硬件的信任度量來度量它們的能力,并且在掛載之前測量系統鏡像和容器的完整性。

II.在工作負載啟動后對關鍵系統文件的完整性進行實時監控??梢员O視Windows注冊表、啟動文件夾、驅動程序和引導加載程序的完整性。

(4)應用控制(白名單)。白名單可對在服務器上運行的可執行文件提供強大的安全保護策略。

(5)漏洞入侵防護和內存保護。內存自省技術可為虛擬基礎設施提供額外的安全層,防止黑客利用零日漏洞或未修復漏洞進行的攻擊。

(6)威脅檢測和響應/行為監控。側重于檢測和響應,從白名單應用程序中建立預期的行為模式,并查找行為中的偏差。

(7)基于主機的入侵防御系統。能夠實時、準確地感知入侵事件,發現失陷主機,并提供對入侵事件的響應手段。

(8)反惡意軟件掃描。

云工作負載保護平臺(CWPP)強調了混合數據中心架構需要統一的管理、Linux系統的重點支持、殺毒軟件的無效、定價靈活性以及跟云平臺的對接和API與DevSecOps的結合等。從技術角度來看,最重要是和云平臺原生的對接,利用云廠商提供的接口來進行相關安全措施的處理。比如說通過VPC接口可以做到相關業務的微隔離,也可以通過traffic flow log來進行流量的安全分析。


寫在最后

作為Gartner 全球云安全市場指南???,青藤云安全已經連續三年進入CWPP。青藤的云工作負載保護平臺(CWPP)是基于Agent底層技術的主機解決方案,能夠很好滿足現代混合數據中心架構中服務器工作負載的保護要求??梢詭椭鷾y評機構全面了解云上資產、協助檢查配置漏洞管理,同時讓流量清晰可見,也可以讓監管單位對云資產、測評過程、云運營商等清晰可見;還能夠讓用戶對所有云端資產、合規狀況一目了然,同時可以協助用戶對云主機進行實時監控,了解其安全狀態。

青藤的云工作負載保護平臺(CWPP)采用自內而外的防護方法,通過先進算法形成的眾多微小指標,持續感知客戶業務端工作負載的運行狀態,第一時間識別攻擊并迅速響應。相比傳統防御只關注外部黑客攻擊方式的做法,青藤這種自適應安全防護能更快、更準地檢測并響應未知威脅。此外,青藤的云工作負載保護平臺(CWPP)支持本地、物理和虛擬機(VM)、公有云、私有云等環境,支持基于容器的應用程序架構。


最新高清无码专区在线视频_光根电影院yy11111推荐_国产乱子伦最新免费视频_绝望的主妇在线播放中字_床震吻胸吃胸视频大全_住在隔壁的人在线播放免费