如何讓雲工作負載比本地數據中心更安全?
隨著《網路安全法》、《信息安全技術 網路安全等級保護基本要求》等法律法規的實施,雲計算已經成為了國家重點監管對象,網信辦更是對每個行業雲都提出新的監管要求。因此,將業務從傳統IDC遷移到雲上最大的挑戰就是要滿足眾多的合規要求。例如,全國信息安全標準化技術委員會(TC260)針對政府上雲出臺了GB/T 31167《信息安全技術 雲計算服務安全指南》和GB/T 31168《信息安全技術 雲計算服務安全能力要求》等規範, 對政府部門採用的雲計算服務提出了新要求。
「雲」到底面臨哪些安全挑戰?
儘管上雲對許多企業來說都是一個不錯的選擇,但也存在一定的風險。大量有價值的數據湧入雲中,使得雲服務商成為黑客攻擊的主要目標。
舉個簡單例子,如果每個人都將存款存放在各自家中的保險箱中(本地數據中心),這意味著每個房主都要對自己的錢完全負責。然而,大多數人更願意把大部分錢存在第三方銀行(雲服務)。雖然銀行會提供更多的安全保障,並有更安全的保護措施,但這也意味著銀行成為了專業劫匪襲擊的首要目標。
根據雲安全聯盟(CSA)列出的「十二大雲安全威脅」,雲安全的主要威脅包括數據泄露,數據丟失,帳戶劫持,不安全的應用程序介面(API)以及可能危及雲安全的共享技術等,具體如下:
1. 數據泄露;
2. 憑證被盜和身份驗證如同虛設;
3. 界面和API被黑;
4. 系統漏洞利用;
5. 賬戶劫持;
6. 惡意內部人士;
7. APT(高級持續性威脅)寄生蟲;
8. 永久的數據丟失;
9. 調查不足;
10. 雲服務濫用;
11. 拒絕服務(DoS)攻擊;
12. 共享技術,共享危險;
雲安全最佳實踐:雲工作負載保護平臺(CWPP)
雲正持續改變企業機構使用、存儲和共享數據、應用程序和工作負載的方式。這帶來了一系列新的安全威脅和挑戰。在現代混合的數據中心架構中,主要的保護目標是伺服器的工作負載。這種架構是由本地伺服器、虛擬伺服器以及不同私有雲、公有雲組成。因此,針對雲計算的安全防護正發生重大轉變,從「安全的網路」到「安全的工作負載」。
但是,在虛擬化或雲環境下,邊界和硬體安全不再有效,而是需要一個產品在工作負載層面進行保護來適應於這種動態的環境,這個產品能夠自動化進行安全保護。
根據抽象度的不同,工作負載分為物理機、虛擬機、容器和Serverless。可以看出這幾種工作負載從虛擬化水平到單位的計量再到生命週期都有很大的區別。如果只是伺服器安全或者雲主機安全,是無法覆蓋容器以及Serverless場景的。