这套安全上云的武功秘籍,请收好
2020-04-15
4月9日,工信部下发《工业和信息化部办公厅关于开展2020年中小企业公共服务体系助力复工复产重点服务活动的通知》。该通知将推动实施《中小企业数字化赋能专项行动》,支持中小企业设备上云和业务系统向云端迁移。
当设备上云和业务系统上云迁移时,安全风险并没有随之而消失,一次安全事件就可能影响到企业为复工复产所作的努力。为此,建议中小企业在上云前,做好合理的安全规划并逐步实施,实现安全复工复产。
第一步 制定上云计划
在企业将业务系统向云迁移前,应提前做好合理的上云计划和技能储备,有计划、有准备的上云,避免因上云带来的业务影响。
上云计划:梳理企业的业务系统,从业务系统重要性和业务特点等方面,确定哪些业务系统可以上云,选择业务系统整体上云,还是部分(如对延迟敏感)部署在本地数据中心,选择使用IaaS服务还是PaaS模式等。
安全培训:统计数据显示,云上安全事件的发生多数是由于错误配置和管理不善造成的,建议业务系统上云时,安全管理人员了解云计算安全风险,掌握一定的云计算安全知识,从而降低安全事件发生的可能性。
第二步 评估安全风险
尽管不同的云计算服务模式确定了企业应该承担不同的安全职责,但数据安全责任最终是由企业承担的。因此,当业务系统上云前,企业应进行风险评估,选择合理的风险处置方法,降低安全风险。
云服务商风险评估:云平台的安全程度决定了云上业务系统的安全。在选择云服务商时,应评估云平台和云服务产品安全情况,一种简便的方式是了解云服务商所获得的安全认证,如ISO 27000,CSA STAR,网络安全等级保护级别,PCI DSS等,这些认证是云服务商安全情况的证明,可为业务系统安全打好基础。
业务系统风险评估:评估业务系统存在的脆弱性和威胁,确定安全风险和业务影响,从而确定风险处置方式,以及实施怎样的安全控制措施。
第三步 实施安全措施
根据业务系统风险评估结果、业务系统和数据的重要性,充分利用云服务商提供的基础安全能力,合理规划网络结构,并选择相应的安全产品,为业务系统建立纵深安全防护。
多层网络结构:利用VPC、ACL和安全组,从业务系统及其组件等层面,分别进行网络隔离,缩小攻击面。
l 业务系统隔离:根据业务量大小和部署等要求,利用VPC实现业务隔离,比如将不同业务系统部署在不同VPC内,从而实现业务间隔离。
l 业务组件间隔离:根据业务系统内组件用途(如WEB/应用/数据库),将不同类型的组件加入到不同子网,并添加ACL实现不同类型组件间的网络隔离,如Web服务器可以访问应用服务器,但不能访问数据服务器。
l 管理网络和业务网络隔离:采用管理网络和业务网络分离的原则,增加管理子网和ACL,只能通过管理网络对业务系统进行管理。
建立纵深防护:据《2019年上半年我国互联网网络安全态势》数据显示,发生在我国云平台上的网络安全事件相比2018年进一步增加,安全事件涉及DDoS攻击、网页被篡改、存在恶意程序、木马和僵尸网络恶意程序等。因此,建议企业上云时为业务系统建立基础、纵深的安全防护。
l DDoS防护:利用DDoS防护产品,监控和清洗包括畸形报文过滤、网络层DDoS和应用层DDoS等不同类型攻击,保护业务系统。
l Web应用防护: 利用Web应用防护产品,防御SQL注入、XSS跨站脚本和漏洞等OWASP常见攻击,全面防护网站的系统及业务安全。
l 主机安全:利用主机安全产品,检测云服务器是否存在漏洞和弱配置,是否被入侵,解决云服务器面临的主要安全风险,以及避免被利用成为攻击工具引起的额外损失。
l 数据安全:利用数据加密产品,对企业敏感数据进行加解密,尽量自己保管密钥或使用自己的密钥,以及做好数据备份,从而保护企业敏感数据。
l 运维安全:利用堡垒机产品,建设安全和高效的运维通道,运维人员通过管理网络对云产品进行安全运维,全程记录操作数据。
第四步 安全监控和优化
现在,网络环境日益严峻,安全防护的建设是一个持续的过程。为实现有效、主动的安全防护,企业应该持续监控业务系统的安全状态,及时响应安全事件,以及调整和优化安全防护体系。
安全状态监控:利用安全管理中心类产品,统一收集和分析业务系统的各类安全相关数据,建立统一的安全管理和态势,实现云上安全事件的监控和展示,全面了解云上业务系统的威胁和脆弱性。
安全事件响应:不断增加的安全事件和告警信息,运维人员难以有效处置,利用安全管理中心类产品的安全编排与自动化响应能力,自动化实现对安全事件的研判和处置,提升运维人员的工作效率。
安全持续优化:根据云上业务系统的安全趋势和各种安全指标,在掌握业务系统的安全状态的基础上,主动调整业务系统的防护重点和方向,提升业务系统的安全防护能力。
经过上述建设,业务系统得到一定的安全保障。然而,安全建设是一项系统性工程,不仅仅只是部署几项安全措施,还涉及到管理和运营等内容,企业在实现复工复产后,应该更系统的考虑安全建设,建立企业安全架构,让业务系统更规范、快速、安全的上云,帮助企业实现数字化转型。
——
尊龙凯时科技于2010年启动云安全研究,现已覆盖云安全前沿技术研究、攻防、解决方案和产品等多个领域,提倡软件定义安全的理念,先后发布了软件定义安全相关报告和专著,以及尊龙凯时云和云安全集中管理系统等多款产品,推动云安全在私有云、行业云和公有云的应用,已为电信运营商、金融和政府等多个行业客户提供方案,助力业务安全上云。