摘要:如果把雲安全比作“冰山”,不僅要關注冰山上的“安全服務和特性”,還要關注冰山下各種基礎安全建設。
本文分享自華為雲社群《深入原生冰山安全體系,詳解華為雲安全服務如何構築全棧安全》,原文作者: 華為雲社群精選。
近年來,隨著全球網路空間快速發展,高危漏洞、大流量DDoS攻擊、資料洩露事件頻發。在高速變化的網路威脅態勢中,僅僅依靠對漏洞的補救,或針對已知遠遠不夠了,新的威脅還在不斷湧現。企業客戶在數字化轉型和上雲過程中,需要系統化構建安全體系以應對新的安全挑戰。
如果把雲安全比作“冰山”,那雲安全服務及雲服務的安全特性屬於“冰山”上的可見部分。而“冰山”下90%部分的安全能力,往往不為人所知,但正是這“冰山”下的部分,承載著整個公有云的安全性。
華為雲構築的原生冰山安全體系,通過四大能力:自主研發的安全服務,覆蓋全球的安全認證、覆蓋全球的安全保障能力和全生命週期的資料安全治理,幫助企業抵禦網路攻擊,從複雜專業的安全工作中解放出來,快速、便捷地獲取到普惠、合規、高效的安全服務。(詳見《厚積薄發,華為雲構築原生冰山安全體系,守護雲上安全》)。
華為雲安全服務全解析
華為雲基於20多年安全積累,自主研發的20+款雲安全服務是華為雲冰山安全體系中,最重要的能力之一,通過安全服務將華為安全能力共享給使用者,幫助使用者高效穩定地發展業務。
華為雲安全服務覆蓋“保護雲工作負載、保護應用服務、保護資料資產、管理安全態勢、業務合規上雲”五大領域,,從計算層、網路層、資料層再到安全管理層,積累了不同維度的雲安全經驗,形成了協同聯動的雲安全服務體系,為使用者提供優秀實踐,構築全棧安全。
為了更具象的理解,我們以典型的電商場景為例,來詳細瞭解這五大安全服務是如何為企業保駕護航的。
保護雲工作負載
計算機和網路運轉的核心是資料,而資料的歸屬則是主機,這其中包括個人電腦、伺服器以及一些大型的磁碟陣列。對企業而言,主機既是承載公司業務及內部運轉的底層平臺,也是承載企業資料和服務的核心,其穩定、安全地執行是公司正常運轉的前提保障。
例如電商在大促期間,會有數以萬計的使用者下單資訊儲存在伺服器中。如果沒有主機安全防護體系,黑客就可以利用密碼破解、社工攻擊或漏洞攻擊等手段入侵伺服器資料庫,獲取大量資料資產。電商在被攻擊的過程中,業務會被中斷,大量惡意檔案佔用系統資源,也會導致伺服器不能正常執行,影響使用者的購買下單。
新時代的主機安全素養:防得住暴力破解、查得出挖礦木馬、守得住後門漏洞,不可或缺、一樣都不能少。華為雲企業主機安全(HSS)以伺服器貼身安全管家的身份,實現病毒木馬查殺、漏洞一鍵修復、入侵檢測、防勒索等安全防護保障。其旗艦版及網頁防篡改版,還增加反彈Shell、高危命令執行、自啟動檢測等能力,防止網頁被篡改,有效應對APT攻擊等高階威脅,全方位為雲上企業保駕護航。
很多企業會在多個雲平臺部署業務,一來享受不同雲廠商的產品和服務優勢;二來分散和減少業務系統風險。但多雲部署也會帶來主機安全管理難度陡增的難題。蘑菇街讓你更美麗,華為雲讓蘑菇街更安全,蘑菇街通過華為雲HSS實現了對多雲平臺主機的統一安全防護和管理,安全管理效率提升了3倍。同時,蘑菇街安全團隊豐富的安全實戰經驗結合華為雲HSS強大的入侵檢測能力,提升了蘑菇街的安全防護等級。
除了要防護外部的安全問題,對於企業內部的身份、許可權和資產等IT運維安全問題,同樣也要時刻關注。有調查顯示,有超過半數的企業網路安全事件並非是因為外部攻擊所導致,而是由於企業內部的不安全、不合規運維操作所造成的。
堡壘機在企業安全運維內需和法律合規的雙要求下,成為每個企業都需要的安全產品。華為雲堡壘機無須安裝部署,一站式運維和安全管理,降低企業運維成本;實時記錄所有操作和日誌,並提供實時監控、錄屏和回放等功能,便於事後審計和取證;同時產品安全合規,三大特點讓雲堡壘機成為企業必備的安全運維爆品。
保護應用服務
許多企業的關鍵業務依賴於Web應用,而網際網路75%的攻擊都集中在應用層。以電商來說,在618、雙11期間經常會發布秒殺活動應用頁面,一些不法攻擊者會藉助代理伺服器生成指向受害主機的合法請求,對Web伺服器進行大量訪問請求,導致正常使用者無法正常訪問。最終就會出現秒殺活動一開始,頁面就 404無法訪問的現象。
網頁被篡改,訪問被釣魚、一做活動就當機…其實,這些背後都是因為Web應用的防護沒有做到位。
針對Web應用防護,Web應用防火牆可用於常見攻擊的檢測和阻斷,支援識別並阻攔常見的Web攻擊。幫助使用者應對網站入侵、漏洞利用、網頁篡改、後門植入、CC攻擊等安全問題,為企業Web業務安全運營保駕護航。
以華為雲的Web應用防火牆為例,它首先分析Web攻擊行為,對具體業務場景設定動態防護,智慧防禦CC功能在第一時間開啟。在不斷對抗的過程中,基於靈活的自定義策略配置,摸清黑產的攻擊策略,從而進行抵禦。同時幫助客戶梳理清楚業務邏輯,為業務調整優化提供依據。小心!網站遭遇Web攻擊!謹防資料洩露,網頁篡改!中通過漫畫的方式,形象的展示了華為雲Web應用防火牆是如何幫助使用者應對網站入侵、漏洞利用、網頁篡改、後門植入、CC攻擊等安全問題,為企業Web業務安全運營保駕護航。
不僅如此,電商平臺往往還會遭受惡意競爭者或黑客利用大量“受控主機”發出惡意攻擊,導致平臺網站無法訪問導致業務中斷,帶來的經濟損失以及客戶流失。大規模網路攻擊隨時到來,中槍了咋整?華為雲DDoS高防服務幫您輕鬆解決!除了這些能夠防護外部攻擊的安全保障,企業還需要漏洞掃描,自動發現網站或伺服器在網路中的安全風險,為雲上業務提供多維度的安全檢測服務,讓安全弱點無所遁形保護資料資產。
我們都知道,資料是企業的核心資訊,資料儲存的關鍵位置仍然在資料庫中。而現狀則是,大量互聯互通的企業環境中,資料庫普遍缺乏有效安全防護。一些不法分子會利用拖庫洗庫撞庫的方式攻擊資料庫盜取資訊。
我們知道電商企業的資料不僅包含商品資訊,還有大量的註冊使用者、使用者行為等相關隱私資料。資料隱私需要儲存和流通,但是不能“裸奔”。
資料金礦如何守?雲上資料可以通過金鑰技術、新演算法和加密演算法等身份驗證手段來保護資料隱私,同時對資料本身增強了保護。資料傳輸、儲存及處理的各個階段對資料進行加密,利用雲技術對資訊進行處理,實現資訊隱蔽,保護使用者資料安全。
為保障雲上資料庫的安全,我們可以基於反向代理及機器學習機制,進行敏感資料監測、資料脫敏、資料庫審計和防注入攻擊,詳細可以瞭解資料庫安全服務(Database Security Service,DBSS)。
如果擔憂資料洩露,資料加密服務(Data Encryption Workshop, DEW)可以為你快速解決這個難題,提供專屬加密、金鑰管理、金鑰對管理功能,讓你免除資料洩露憂愁。
不僅如此,在釣魚網站氾濫的今天,企業還需要防止網站被仿冒、被篡改,而引發使用者的資訊資料被盜竊,對使用者造成經濟上的損失。
管理安全態勢
在企業的日常安全運維工作中,各種安全產品每日會產生海量的威脅告警,需要花費大量人力去人工排查真實威脅和誤報,時間久了會產生“狼來了”的效果。如何能夠真正知道什麼人在攻擊你、攻擊的全域性態勢是什麼樣的,甚至要能根據現有資訊預測出來攻擊者可能的行動方向,成為企業安全防護的重點工作。
態勢感知就是對能夠引起使用者雲上系統的安全態勢發生變化的所有安全要素進行獲取、理解以及預測未來的發展趨勢,並通過視覺化技術呈現出來,為安全防護行動提供決策。它擁有感知、理解、預測、呈現、決策等四大核心點。
擔心未知風險,決策錯誤?態勢感知讓安全運維不再摸黑!態勢感知基於大資料安全分析能力,彙總和關聯分析了雲中資產、日誌、告警等多維度的資訊,改變過去運維人員淹沒在海量資料中的窘境,最終降低主動發現安全威脅的時間。並且,視覺化的態勢感知的大屏,就像一個作戰指揮中心,能夠呈現全域性視角的網路安全的防護水平和短板,對於管理層衡量安全投資價值及決策具有重要指導意義。
基於態勢感知,電商企業就可以清楚的瞭解到雲上攻擊從哪兒來,如何防,資產安全態勢如何?讓企業輕鬆感知現在,預知未來!
除了態勢感知,堪稱雲上風險“聽診器”的華為雲威脅檢測服務(MTD)可以持續監控惡意活動和未經授權的行為,補足其他服務檢測能力,第一時間識別風險,規避由潛在威脅造成的安全事件,幫助企業提升安全運營效率,保障業務的連續性。
業務合規上雲
當然,除了網路安全和業務安全需要得到保障,對於電商企業而言,最好的安全保護是制度保護。早在2017年6月,《中華人民共和國網路安全法》就正式實施,等級保護制度也成為國家網路安全的基本制度。2019年,等保2.0提出新的技術要求和管理要求,強調“一箇中心,三重防護”,企業在安全防護體系建設、風險評估和管理上需要更加全面。
為此,華為云為客戶提供了等保安全(DJC)解決方案,幫助企業提升安全防護能力,滿足等保合規要求。過等保其實不難,找對幫手很重要!在服務客戶之前,華為雲所有大區都通過等保3級,部分安全性要求高的大區、節點過等保4級,為使用者順利、高分過等保打下基礎。為了讓使用者更省心省事,華為雲更是以100%滿足等保條款要求部署的各類安全防護產品。
並且,結合華為30年的安全經驗,華為雲推出管理檢測與響應服務(MDR),以雲服務的形式,為客戶建立由管理、技術與運維構成的安全風險管控體系,結合企業與機構業務的安全需求反饋和防控效果對使用者安全防護進行持續改進,幫助企業與機構實現對安全風險與安全事件的有效監控,並及時採取有效措施持續降低安全風險並消除安全事件帶來的損失。
為了更好地幫助企業做好安全防護工作,開啟雲端安全模式。在華為雲TechWave全球技術峰會安全專題日,華為雲聚焦應用安全防護,釋出四大安全新品:安全智慧分析平臺ISAP、威脅檢測 MTD、應用信任中心ATC和安全運營中心 SOC,為企業的雲上安全防護再添新的武器。
雲原生時代下,無處不在的雲原生安全
隨著雲原生技術的成熟和市場需求的升級,雲端計算的發展已步入新的階段——雲原生2.0時代。越來越多的企業及個人選擇使用雲原生技術來構建業務。企業在享受雲原生紅利的同時,也對安全防護有了更高的需求,因為需更契合雲原生業務發展的安全服務。
作為雲原生代表技術之一的容器,每個企業都應該對容器安全有所瞭解。雲原生2.0時代,企業都應該瞭解的容器安全,從容器與虛擬機器的對比,為我們介紹了容器更便攜和高效特點。華為雲容器安全服務CGS構建了容器安全威脅縱深防禦體系,提供包括映象掃描、威脅檢測與威脅防護的一整套容器安全能力,提供針對容器的Build、Ship、Run全生命週期保護能力,滲透到整個容器DevOps流程,保證容器虛擬環境從開發到生產整個流程的安全。在2020可信雲大會上,經信通院嚴格檢測,49項安全能力全部過檢,華為雲容器安全服務獲可信雲最高階的先進級認證。
不僅如此,在雲原生安全方面,華為雲推出了CFW雲防火牆、DSC資料安全中心服務和ATC應用信任中心三款產品。
在華為雲TechWave雲原生2.0專題日上,為給企業業務提供多場景全流量防護,築牢網路安全的第一道防線,華為雲CFW雲防火牆正式釋出!華為雲CFW雲防火牆作為新一代雲原生防火牆,提供雲上網際網路邊界和VPC邊界的防護,兼具“極簡、智慧、可視、開放”四大特點。
傳統的安全防護基於網路邊界構建,但隨著雲端計算和移動網際網路的興起,傳統網路邊界逐漸模糊,基於網路邊界的防禦理念難以適應雲環境下的需求。零信任“從不信任、永遠驗證”的理念應勢而起,即基於身份而非網路位置來構建訪問控制體系。
華為雲基於零信任理念,依託雲原生安全能力,對網路隱身、自適應風險控制等關鍵技術進行創新,在安全運維、遠端接入等眾多場景進行大量實踐,讓應用更安全,華為雲應用信任中心ATC正式公測。ATC服務是圍繞使用者應用打造的安全服務,通過構建應用安全威脅全景拓撲,實現細粒度訪問控制,滿足客戶對零信任訪問控制能力的需求。
在2021年6月,十三屆全國人大常委會第二十九次會議通過了《中華人民共和國資料安全法》(以下簡稱資料安全法),並將於9月1日起施行。資料是當今時代的金礦,保護資料安全更是企業的核心訴求。企業用雲數字化轉型的同時,如何保障企業資料資產的全生命週期安全?
今天雲上的資料安全能力其實一直是分散在各個服務之中,例如VPN、安全組、SSL證照以及諸如ECS、RDS、OBS等整合的加密能力。資料安全是一個管道,整體的安全能力是由每個階段的安全能力共同組成的,換言之,如果某一個階段做的很強,而另一個階段沒有任何保護措施,那麼對於整體資料安全狀態來說也是於事無補。企業缺少一個對整體安全能力審視統一視角,這個時候企業就需要一名資料資產“貼身守衛”——資料安全中心。
作為2019年9月份開始內測,2020年年底正式推出的雲原生華為雲資料安全中心服務。該服務能夠提供資料分級分類、資料安全風險識別、資料水印溯源和資料脫敏等基礎資料安全能力,通過構建資料安全統一入口,圍繞資料全生命週期,幫助使用者實現雲上資料安全視覺化管理服務。而且還能夠為企業提供資料資產的全生命週期全景圖,讓客戶清楚知道自己的資料從哪裡來、到哪裡去、有無安全問題。保障雲上資料在產生、採集、傳輸、儲存、使用、交換、銷燬各階段的安全。真正的幫助企業做到:資料安全中心在手,保護資料方案都有。
最後
安全是個需要持續投入、持續演進、持續提升的系統性工程,不積跬步無以至千里。新興技術高速發展的同時也帶了未知安全威脅的頻發,華為雲安全繼承華為20多年的安全能力積累,逐步打造完善雲安全服務矩陣,構築全棧安全防線,在雲原生時代幫助客戶高效安全地上雲。