企业云安全实施路径二三话
2023-8-29 10:32:13 Author: www.freebuf.com(查看原文) 阅读量:8 收藏

freeBuf

主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

近年来,随着云计算技术的快速发展,云计算平台的优势也越来越凸显,继而大量企业选择自建私有云平台来承载业务。然而,随之而来的云安全威胁也在不断增加。各种类型的攻击和数据泄露事件层出不穷,给企业的数据和品牌声誉带来了巨大的风险。因此在这里提出一个云安全实施路径框架。

image

**一、**云安全组织策略
首先企业在进行云平台的建设初期就应该将安全嵌入到规划路径中,也就是业界说的“三同步”(同步规划、同步建设、同步运行),在企业实施云安全的策略首先应该建立一个专业组织机构进行管理,并且获得管理层的支持,之后根据职能划分人员,实时专岗专职的策略,制定管理制度明确管理职责,通过建立标准流程将人员的操作进行规范化,这样完成云安全的实施就完成了一大步。

二、云安全实施策略
在这里提出云安全实施策略应该是包括四个方面的内容,覆盖云计算平台的大部分安全需求:
2.1、安全能力策略
三分技术,七分管理。**将云安全能力划分为两个方面,分别是云产品能力和云服务能力,以产品来实现固定防护能力,以服务来提高高级防护能力。
云产品能力应该覆盖:
image
云服务能力应该覆盖:
image
首先明确企业业务所需的安全产品和安全服务能力,之后进一步契合安全与企业业务,在业务性能损失和安全之间寻找最佳平衡点。
2.2、云安全准入策略
践行六大策略,建设安全中台。在上面我们明确了需要添加的安全产品和安全服务能力,如何更好地将这些安全产品应用到我们的云计算平台成为这个阶段我们最应该关系的事情,在这里我们提出六点要求作为我们安全产品在云计算平台上的准入策略:
传输加密:在传输的两端采用加密传输的手段,可采用https协议的数据接口或采用端到端的小型VPN;
存储加密:针对敏感数据、重要数据在数据库中为密文存储;
身份体系:提供统一用户身份接口,包括云平台和云产品;
认证体系:提供统一认证管理接口,提供统一登录界面,只需登录一次即可实现全系统访问;
权限体系:提供统一权限策略接口,实现权限的归一,避免权限溢出;
能力体系:提供统一数据传输接口,将告警日志、操作日志、监控日志等信息统一上传,实现统一安全中台;
2.3、基础设施安全策略
安全产品、产品安全。在上面我们完成了更好地接入安全产品来保护我们的业务系统,在此我们也应该考虑安全产品自身是否安全:
2.3.1 安全开发:开发安全的产品需要在研发、测试、运行的各个阶段嵌入安全,研发阶段的漏洞解决成本是最低的,线上运行之后的解决成本是极高的;
2.3.2 供应链安全:随着心脏滴血、log4j等漏洞的爆发,我们发现开源组件也是不安全的,我们需要对安全产品的组件使用情况进行监控;
2.3.3 国产化支持:云计算平台开始适配国产芯片、系统、中间件、数据库等方面;
2.3.4 物理安全:作为最为基础的安全,如果物理安全无法保障也就是不用谈后面的安全,包括门禁系统、监控系统、安保人员等;
2.3.5 云平台安全:平台自身的安全也是极为重要的,大致可以分为三个方面:计算虚拟化安全、网络虚拟化安全和存储虚拟化安全;
2.4、安全访问策略
构建五道防线,实现纵深防御。单一节点安全设备被攻陷,可通过纵深理念减少安全危险。
第一道防火墙--网络安全连接:通过专线或者端到端VPN建立云计算平台与本地机房的安全隧道;
第二道防火墙--身份认证管理:在零信任的理念的支持下,用户通过终端实现5A的认证访问控制后在进入云平台网络;
第三道防火墙--纵深防护边界:包括WAF、防火墙等网络层安全设备防护;
第四道防火墙--终端安全防护:以EDR、防病毒、容器安全等为防护手段,保护业务系统的运行环境;
第五道防火墙--安全运营监控:安全运营监控,每日以自动化和手工方式对安全清单的内容进行检查和运维,每季度进行实战攻防演练,以安全服务提升安全产品能力;


文章来源: https://www.freebuf.com/consult/376430.html
如有侵权请联系:admin#unsafe.sh