網路安全 | 雲上安全的舞步，能否跟上雲端計算的節奏？

每一個企業級的人 都置頂了 中國軟體網

中國軟體網 為你帶來最新鮮的行業乾貨

本文作者：劉學習

郵箱：lxx@soft6.com

微信：fiyinghare

---

企業上雲，繼而實現數字化轉型和智慧製造升級是目前中國企業發展的主流趨勢。進入數字經濟時代，傳統產業面臨改造升級，新技術、新產業、新業態、新模式不斷出現。以雲端計算為代表的IT技術成為企業數字化轉型和實現新舊動能轉換的重要驅動力。工信部《雲端計算髮展三年行動計劃》釋出後，浙江、江蘇、山東等多省市紛紛啟動企業上雲行動，通過企業上雲，推動企業轉型升級。

然而目前，制約企業上雲最關鍵的因素不是成本，而是企業資料的安全。雲端計算的安全對網路空間安全企業而言，既是機遇，也是挑戰。12月20日，在中關村創業大街3W咖啡舉行的“雲上安全分享會”，吸引上百名的企業資訊保安專業人士。綠盟科技創新中心劉文懋博士首先拋磚引玉，分享了“雲安全進展”，介紹了使用軟體定義的思想重構安全體系的最近進展。這場由綠盟科技主辦的分享會幹貨滿滿，令人目不暇接。

如何化解雲平臺的安全威脅？

綠盟科技的技術專家谷曉劍說，雲平臺面臨兩種不同的挑戰。一方面，傳統安全威脅在雲平臺上依然存在，包括：

第一，DDOS攻擊，依然是雲平臺面臨的主要威脅之一，尤其是針對雲平臺業務系統的攻擊行為以及由雲平臺內部外發的攻擊行為，成為整個雲平臺的安全隱患。

第二，僵木蠕威脅。在雲平臺內，如租戶隔離、區域隔離措施不當，僵木蠕威脅將會更快、更迅速的在雲平臺內部進行傳播，給雲平臺帶來極大安全隱患。

第三，業務系統威脅。雲上業務系統仍面臨著SQL隱碼攻擊、XSS、CSRF等傳統的Web應用攻擊威脅。

第四，主機威脅。包括各類作業系統、網路交換裝置、資料庫及中介軟體等都面臨著安全漏洞風險，傳統的漏洞利用方式攻擊手段依然有效。

第五，惡意程式碼病毒。惡意程式碼和病毒仍然會對雲內的業務系統、作業系統、雲管理平臺、hypervisor等造成安全威脅。

另一方面，雲上也出現了新的威脅，包括：

雲平臺自身安全漏洞/配置。雲平臺新增了新的元件（雲管理平臺、hyperviser、虛擬化網路裝置、SDN控制器、VXLAN閘道器等），仍存在漏洞、安全配置問題。

東西向流量安全監測、防護。部署在物理邊界的傳統安全裝置無法監測、過濾雲平臺內部的東西向流量。

安全能力開放和管理。安全資源共享和隔離，以及構建與雲平臺相適應的按需、彈性、可擴充套件的安全能力，需首先解決海量安全資源的安全管理問題。

惡意租戶/管理人員。授權使用者利用雲資源進行違法犯罪行為，以及攻擊雲平臺等。雲平臺管理人員利用管理許可權與便利竊取使用者資料，監守自盜。

那麼私有云/行業雲如何應對這些挑戰呢?目前，業界常用的方案包括基於虛擬化層深度結合的解決方案、基於輕代理的解決方案、基於安全資源池的解決方案三種。

SDN是未來網路的希望之路，能否在SDN網路中部署現有的安全產品？綠盟科技推出了基於SDS的安全資源池解決方案，安全資源池內部通過資源池控制器，實現安全能力的服務編排；並通過雲網路SDN對接，實現業務的無縫對接等。谷曉劍說該方案有許多優點，如提供雲安全租戶門戶、雲安全運維門戶，安全資源池提供預測、檢測、保護、相應的閉環能力，擁有多層級的高可用設計、資源池橫向相容設計等優勢。

 

怎麼實現雲等保落地？

伴隨著《網路安全法》在2017年的實施，等級保護工作進入2.0時代，其中有哪些最引人注目的變化？綠盟科技安全架構師劉炅總結了四個變化：等級保護制度上升到法律高度，等級保護物件擴充套件了，等級保護體系升級了，等級保護內涵升級了。

等級保護物件從原來單純的資訊系統擴充到了很多個領域，其中雲端計算系統是等級保護重點關注的一個領域。而等級保護的標準體系也進行了大的升級，在原等級保護核心標準（基本要求、測評要求、設計要求）的基礎上，進行重新修訂，整個標準體系制定為一個矩陣，針對每一個特定的安全領域，做了相應地擴充套件要求，比如雲端計算領域，制定雲端計算擴充套件要求。

同時，不同的服務模式下，不同責任主體的責任也是不同的。雲服務商與雲租戶的責任劃分需更明晰了。

在IaaS服務模式下，雲服務方責任硬體及虛擬化層的防護。虛擬化以上的客戶機的安全防護，資料庫防護以及中介軟體和應用及資料的防護，都是租戶需要去面對的問題。

在PaaS服務模式下，虛擬機器的安全防護責任交給了雲服務商，雲租戶更關心如軟體開發平臺以及應用和資料本身的安全防護。

在SaaS服務模式下，應用提供側相關的安全配置，以及資料安全的防護，都是租戶需要考慮的內容。

劉炅說，資料安全防護，無論IaaS、PaaS到SaaS，對於雲租戶來講，是始終要面對的重要問題。

在這種情況下，雲等保如何落地？雲服務商該如何做？雲租戶該如何做？

劉炅說，綠盟提供了大量的公有云安全解決方案包括公有云安全 SaaS 解決方案，網站安全解決方案包括評估、檢測、防護服務，DDOS雲清洗解決方案等。

綠盟雲是綠盟科技旗下的雲端安全服務專家，基於綠盟科技十幾年業界領先的安全產品技術與安全服務經驗，結合綠盟科技7*24小時遠端運營平臺與安全專家團隊，為企業客戶提供專業的SaaS安全服務。依託綠盟雲平臺，綠盟云為客戶提供網站安全SaaS解決方案、移動安全SaaS解決方案、資料中心異常流量清洗解決方案等。

目前，綠盟雲與眾多公有云、行業雲、資料中心等合作伙伴緊密合作，與合作伙伴一起構建網路安全服務生態系統，為客戶提供更加便捷、高效、安全的解決方案與服務。

重大事件時期的網站安全怎麼保障？

重保是網路安全領域一個熱點。僅十九大期間，綠盟網站安全監測服務在對全國5萬餘個重點單位的網站進行支撐時，就發現了近千次頁面篡改及黑鏈事件，同時通過多種渠道收集到黑客團隊將要發起攻擊的訊息。

重大事件時期的網站安全怎麼保障呢？綠盟科技的技術專家盧樑分享了2018年重大事件時期的網站安全保障實踐。

重大事件時期中使用者可能存在的問題，主要包括重保前，擔心無法掌控全域性資產的風險、事故，同時擔心應急機制不夠完善；重保中，擔心一旦發生安全事故或者緊急高危漏洞，不能快速感知和應急；重保後，擔心沒能把重保工作全程記錄，在彙報過程中讓領導感覺錢花得不值。

盧樑說，重大事件時期的網站安全分為基礎保障和進階保障。其中，在基礎保障階段，在重保前幫助使用者完成自查、防護、以及應急演練等工作；重保中幫助使用者完成威脅封禁，以及安全事故的監測及響應；重保後，幫助使用者完成重保工作覆盤以及彙報素材的輸出。

綠盟科技在重大事件時期的網站安全基礎保障方面，在保障前的檢查與整改階段，可以完成資產核查、隱患排查、內容檢查；保障期的預警與監控階段，完成7*24事件監測、安全預警、防護策略優化；保障後的總結與報告階段，及時提供總結報告，具有覆蓋全面、驗證準確、通報快速、管理閉環的優勢。

有這些基礎保障足夠了嗎？還能做些什麼讓重保更穩健？盧樑說，綠盟科技具有重大事件時期的網站安全進階保障的實踐，需要本地服務團隊深度參與，包括重保前的等保測評及整改、業務流程梳理、基礎安全自查整改、安全保障應急演練等；重保中的安全駐場團隊現場保障，提供對不同型別攻擊、事件的審計、應急、及快速封堵；重保後本地駐場團隊可以對於彙報素材再加工。

作為中國安全領頭羊，綠盟科技曾多次參與國家多項重保支撐活動。結合綠盟科技17年來服務大客戶的能力以及綠盟雲創新的雲端安全服務體系，綠盟科技的服務和實踐經驗經受得住考慮。

 

一場雲安全分享會，很多技術與方案被討論。這種討論對技術和產業發展都是一個好的開始。

---

 中國軟體網 

專注有深度的

網際網路軟體趨勢分析

 延伸閱讀 

（點選圖片直接閱讀）

掃描二維碼，關注我們吧