阿里云-企业云安全架构

=Start=

缘由:

在看云安全、企业安全相关的资料时看到的内容,之前可能看到了,但没怎么注意,今天仔细看了一下之后真的感觉阿里以及阿里云在这块的储备真的是很强,我需要学习、了解的知识还有很多!

正文:

参考解答:

在了解云安全架构之前,“云安全责任共担”,是一个必要的背景知识。

“云安全责任共担”简单来说就是云上的安全是由用户和云计算平台共同承担的。而具体的责任划分,用肖力的说法就是:云平台负责云基础设施层面的安全,用户负责虚拟化层以上的安全。

举个简单的例子,物业出租一套公寓给租户。为了安全,物业要保证门上的锁完全可靠,保证小区的保安尽职尽责;租户要保证自己保管好钥匙,出入注意锁门。

“云安全责任共担模型”已经被行业公认,企业云安全架构,也是建立在这个基础之上的。

下面看图:

企业云安全架构示意图

下方的云产品安全、虚拟化安全、硬件安全、物理安全,归为云计算厂商的职责范围;上方的业务安全、安全运营、数据安全、网络安全、应用安全、主机安全、身份管理,归为用户的职责范围。

据了解,阿里云企业云安全架构采用“平台-用户”双层安全保障模式,涵盖业务、运营、数据、网络、应用、主机、账号、云产品、虚拟化、硬件、物理安全等11个维度共45个模块,将安全武装到了“牙齿”。企业可以根据这份指南搭建一个更简单、更智能的安全架构,确保生产效率,创造更多的价值。

在平台方面,阿里云打好了安全的地基;在用户层面,用户可选择阿里云全栈安全模块快速提升业务安全能力。

具体来讲,可分为三部分:

  • 第一是硬件安全方面。做安全的人都知道,越往底层越安全,如果芯片能够提供安全功能,则可以说是最高顶级的安全保护。而这方面技术门槛非常高,且需要定制化。肖力对雷锋网表示,阿里云接下来会推出像芯片级加密的服务,直接在CPU在芯片里面提供直接加密的服务,做到足够的安全。
  • 第二,云产品层面。对像ECS、OSS存储、以及RDS类似的产品,在出厂之前会进行整个安全的设计,包括安全框架以及代码安全,确保用户使用产品时是默认安全的。
  • 第三,数据安全。肖力表示,数据安全最核心的一个点,是要做好加密。提出完整全链路的数据加密方案。数据链路的安全上来后,目前ECS支持整个存储盘的加密,对RDS支持整个透明加密,在存储方面,云产品支持全链路的加密。另一方面芯片级的加密,包括引入第三方的硬件加密机给用户提供更多更便捷不同安全等级的加密服务。

 

虽说上面内容中的“云安全架构”里的要点很简明,但是要把其中的每一项都做好且能做到相互联动,真的是非常非常难!!!

 

参考链接:

=END=

声明: 除非注明,ixyzero.com文章均为原创,转载请以链接形式标明本文地址,谢谢!
https://ixyzero.com/blog/archives/4293.html

《阿里云-企业云安全架构》上有6条评论

  1. 基于通用技术的企业安全运营架构
    https://mp.weixin.qq.com/s/WHhTZSf0JZK5KVH-o6NAoA

    SANS网络安全活动标尺模型将网络安全建设投入及工作方向划分为五个阶段:架构、被动、主动、情报和震慑。

    对于大多数传统企业(区别于安全企业和互联网企业)而言,经过一段时间的努力,都可以完成从无到有(架构)、从“救火”(被动)到正向建设(主动)的过程。处于这一阶段的企业,一般都具有了以下能力:
    基本攻防能力:了解常见网络攻防技术,能够开展渗透测试。
    威胁防护能力:对于常见网络攻击威胁,能够采用多种手段进行防护和监测,形成纵深架构。收集并运用威胁情报进行溯源分析和失陷检测。
    安全运营能力:对安全事件完成闭环处置,形成有效的风险控制机制。

    (四) 部署示例
    1、 采用LVS/Nginx为集群化部署的工具进行负载均衡。
    2、 采用Kubernetes为安全平台提供基础计算环境。
    3、 采用ZooKeeper对安全工具策略进行统一管理。
    4、 采用FileBeat采集并传输日志。
    5、 采用Kafka作为消息队列接收日志。
    6、 采用Flink对日志进行实时处理。
    7、 采用Hive作为大数据存储。
    8、 采用Logstash接收日志实时处理结果。
    9、 采用ElasticSearch存储实时处理结果,并提供全文检索。
    10、采用Kibana对ElasticSearch中的数据进行展现。
    11、采用Redis作为缓存数据库,MySql作为主要存储。
    12、采用Jira进行工单管理,对日志分析结果进行后续处置,与ZooKeeper对接,进行策略调整和下发。
    13、本文主要对于企业安全技术架构转型进行讨论,故不进行工具层面的具体选型。

    我的想法:
    此篇文章虽然内容看上去大而全,也挺唬人,但实际在一个大的企业安全部门做过的话就会理解——纸上得来终觉浅,绝知此事要躬行。

  2. 主机的零信任安全实践
    https://mp.weixin.qq.com/s/w70M07OCG70Kdcy7hdCXZg

    零信任安全(Zero Trust)是以身份为中心进行访问控制的安全概念,其核心观点是不自动信任何访问者或设备,任何访问都应该进行认证、授权或者访问控制,以避免内网渗透等安全风险。零信任代表未来安全架构的发展方向,在本文中,笔者主要从主机领域分析零信任框架的落地与实践。

    思考:如果没有零信任,我们将面临怎样的安全威胁?
    场景1:东西向移动
    解决主机间东西向移动的零信任架构是微隔离技术,微隔离从2016年开始连续三年入选Gartner 10大安全技术,其本质是基于主机agent的分布式防火墙技术,目标是解决进入云计算时代后安全边界模糊导致的防火墙策略丢失,以应对云计算时代的东西向流量防护。

    场景2:应用漏洞利用
    应对应用漏洞攻击的零信任架构,1,在内核层剥离应用过高权限;2,对在易受攻击应用中注入rasp应用运行时自我防护技术。

    结束语:
    主机是信息安全的最后一道防线,主机安全也必将成为零信任安全框架落地的重要构成。

  3. 【流沙】宜信安全数据平台实践
    https://mp.weixin.qq.com/s/3TDt4veunLZkVpzRqvnd0A

    OpenSOC是思科在BroCON大会上亮相了的一个安全大数据分析架构,它是一个针对网络包和流的大数据分析框架,它是大数据分析与安全分析技术的结合, 能够实时的检测网络异常情况并且可以扩展很多节点,它的存储使用开源项目Hadoop,实时索引使用开源项目ElasticSearch,在线流分析使用著名的开源项目Storm。

    宜信结合自己的实际情况,同样实现了一套集采集、分析和存储为一体的安全数据平台——流沙平台。本文重点介绍一下流沙平台的架构,相比于OpenSOC做了哪些优化及改进的地方以及流沙平台在落地过程中的经验总结。

    数据是安全分析的基础,有了数据以后,威胁情报、态势感知、黑客画像、业务风控、攻击溯源、攻击识别、资产发现都变得并非遥不可及。流沙平台结合宜信实际的场景,从效率、成本、功能三者之间综合考量,对OpenSOC进行了一些改良并落地。通过流沙平台,安全工作人员可以将大部分精力专注于数据分析上,弥补了商业安全产品的不足,更好的帮助安全防护同学全面的了解企业的安全状态。流沙平台不仅仅是一个数据平台,更是宜信现有安全措施的重要补充。

    在流沙平台落地的过程中,我们发现了一些问题,并总结出了一套落地的方式方法。我们在这里分享出来,希望可以为各位提供一些思路。流沙平台并不完美,若大家有疑问或想法请联系微信:gaozhi8963,我们会积极改进,不断完善该产品。

  4. 美团企业信息安全技术架构
    https://mp.weixin.qq.com/s/xFk7spcOkuZYSAawH6hZAg

    美团点评建立了纵深防御体系,从网络隔离、访问控制、入侵检测、病毒防护、漏洞检测、应用安全等方面抵御外界各种威胁,对产品和数据进行保护;并采用号码保护、数据加密、数据脱敏等多种隐私保护技术为用户的信息安全提供全方位保障。

    大数据时代,由于网络活动的随意性、不确定性,用户隐私保护的难度越来越大,为此政府相关部门正在不断完善法律法规,加强监管力度。而作为为用户提供服务的主体,企业也应承担相应监管责任,为保护用户信息安全贡献力量。

  5. 云安全相关技术介绍(六)
    https://paper.tuisec.win/detail/d1e4899eb52e190
    https://www.sec-un.org/%E4%BA%91%E5%AE%89%E5%85%A8%E7%9B%B8%E5%85%B3%E6%8A%80%E6%9C%AF%E4%BB%8B%E7%BB%8D%EF%BC%88%E5%85%AD%EF%BC%89/

    相关法规、标准和认证
    云等保,GA/T 1390.2-2017
    GB/T 31167-2014《信息安全技术云计算服务安全指南》
    GB/T 31168-2014《信息安全技术云计算服务安全能力要求》
    国家标准《信息安全技术 云计算安全参考架构》(征求意见稿)
    国家标准《信息安全技术 云计算服务安全能力评估方法》(征求意见稿)
    ISO/IEC 27001信息安全管理体系和认证
    ISO/IEC 27000 系列标准
    CSA-STAR
    C-STAR云安全评估
    CS-CMMI云安全能力成熟度模型集成
    可信云服务

发表评论

电子邮件地址不会被公开。 必填项已用*标注