欧美,精品,综合,亚洲,好吊妞视频免新费观看,免费观看三级吃奶,一级a片女人自慰免费看

 首頁(yè) > 新聞 > 專家觀點(diǎn) >

云計(jì)算安全感——政務(wù)云安全實(shí)踐介紹

2014-06-18 15:25:14   作者:沈錫鏞   來源:aliyun.com   評(píng)論:0  點(diǎn)擊:


  1、 攻擊類型復(fù)雜并且變換速度加快,在上面的案例中13分鐘攻擊者就變換了3次攻擊方式,基于人工響應(yīng)、再行操作安全設(shè)備的方式一定無法保障業(yè)務(wù);

  2、 CC攻擊是攻擊者最后的底牌,眾說周知CC攻擊的防御是一個(gè)業(yè)界難題,因?yàn)椴坏舻陌l(fā)起來自于真實(shí)的地址,其惡意訪問請(qǐng)求也很難從訪問流量中剝離,除了通過網(wǎng)站服務(wù)器擴(kuò)容來和攻擊者比拼資源消耗外,還沒有很好的方法;

  3、 攻擊規(guī)模大,60Gbps只是我們常態(tài)防御中遇到的中等攻擊流量,在今年的2月我們還遭遇過160Gbps的大規(guī)模攻擊,而從未來趨勢(shì)來看黑客將更多地運(yùn)用DNS、NTP等協(xié)議進(jìn)行分布式反射放大拒絕服務(wù)攻擊,能輕易把攻擊流量放大幾十倍到幾百倍,打出幾百G的流量耗盡有限的服務(wù)器資源,而政務(wù)網(wǎng)站現(xiàn)在的主要職能也逐步轉(zhuǎn)移到了服務(wù)民生,這就對(duì)網(wǎng)站的可用性也提出了很高的要求,而現(xiàn)有能抗100G的防DDoS設(shè)備也是非常貴,而攻擊者所費(fèi)的成本可能只有安全設(shè)備價(jià)格的萬(wàn)分之一。

  再說回國(guó)家為單位發(fā)動(dòng)的APT攻擊,攻擊者的攻擊目標(biāo)聚焦一旦聚焦在地方政府的網(wǎng)站上,就可以通過所有的聊天工具、郵件、論壇和線下的社會(huì)工程等手段試探、滲透、攻擊管理者和IT基礎(chǔ)設(shè)施,而每種手段孤立的看不但無害而且無法被現(xiàn)有的安全手段檢測(cè)出來,但組合起來就能達(dá)到攻擊的目的,這種攻擊的特點(diǎn)就是:很難用原來安全防御體系的思維去找到一個(gè)可信源。正如賽門鐵克信息安全高級(jí)副總裁布萊恩·代伊前不久發(fā)表關(guān)于“殺毒軟件已死”的言論,其實(shí)也是由于APT攻擊被廣泛應(yīng)用,導(dǎo)致各類安全防御產(chǎn)品基于簽名的技術(shù)模式遇到了挑戰(zhàn),但大數(shù)據(jù)的運(yùn)用可以給我們不一樣的解決之道,如果我們不再糾結(jié)于如何尋找信任源,而是通過大量的防御數(shù)據(jù)建模和大數(shù)據(jù)處理能力對(duì)信息進(jìn)行抓取和分析,可能更迅速的識(shí)別出早期攻擊意圖并能實(shí)施阻斷。

  總結(jié)以上大規(guī)模的復(fù)雜模式DDoS攻擊和以國(guó)家為單位發(fā)動(dòng)的APT攻擊特點(diǎn),我們可以得出云安全防御架構(gòu)應(yīng)具備的基本要求:

  1、大規(guī)模:應(yīng)具備幾百G防御DDoS攻擊的清洗能力;

  2、低成本:應(yīng)采用軟件分布式+X86服務(wù)器架構(gòu),擺脫硬件定制、具備彈性擴(kuò)展能力;

  3、高精度:應(yīng)運(yùn)用大數(shù)據(jù)分析技術(shù)實(shí)現(xiàn)攻擊的預(yù)警和實(shí)時(shí)阻斷;

  4、全方位:應(yīng)具備應(yīng)用、系統(tǒng)、網(wǎng)絡(luò)全面防御能力;

  例如阿里云的云安全服務(wù)——云盾就完全具備以上特點(diǎn):

  云盾是阿里巴巴完全自主開發(fā)、采用軟件+X86服務(wù)器架構(gòu),依托云計(jì)算的高彈性擴(kuò)展和大數(shù)據(jù)挖掘能力,推出的云安全服務(wù)。在網(wǎng)絡(luò)安全方面具備海量的DDoS攻擊全自動(dòng)防御服務(wù);在系統(tǒng)安全方面:由主機(jī)密碼防暴力破解、網(wǎng)站后門檢測(cè)和處理、異地登錄提醒共同組成主機(jī)入侵防御系統(tǒng);在應(yīng)用安全方面采用大數(shù)據(jù)分析技術(shù)構(gòu)建WEB應(yīng)用防火墻(WAF)和網(wǎng)站漏洞檢測(cè);

  以上介紹的還是基于外部攻防的云安全體系構(gòu)建,但是用戶最擔(dān)心的還是云服務(wù)商是否會(huì)從內(nèi)部竊取數(shù)據(jù),因此結(jié)合政務(wù)行業(yè)數(shù)據(jù)敏感的特點(diǎn)和運(yùn)營(yíng)實(shí)踐,我們認(rèn)為應(yīng)構(gòu)建覆蓋從數(shù)據(jù)訪問、數(shù)據(jù)傳輸、數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)隔離到數(shù)據(jù)銷毀各環(huán)節(jié)的云端數(shù)據(jù)安全基線框架。

  數(shù)據(jù)訪問:客戶訪問云端資源均需通過同公有云隔離的專屬控制臺(tái)進(jìn)行日常操作和運(yùn)維,客戶身份鑒別均采用口令結(jié)合動(dòng)態(tài)令牌的雙因素認(rèn)證,客戶同所購(gòu)買的云服務(wù)對(duì)應(yīng)關(guān)系采用對(duì)稱加密對(duì)實(shí)現(xiàn)身份抗抵賴;客戶云端資源訪問操作均需通過堡壘機(jī)進(jìn)行并支持實(shí)時(shí)操作審計(jì)。云平臺(tái)運(yùn)維人員對(duì)政務(wù)云的運(yùn)維操作均需通過數(shù)據(jù)證書結(jié)合動(dòng)態(tài)令牌實(shí)現(xiàn)雙因素認(rèn)證,操作權(quán)限均需經(jīng)過多層安全審批并進(jìn)行命令級(jí)規(guī)則固化,違規(guī)操作實(shí)時(shí)審計(jì)報(bào)警。

  數(shù)據(jù)傳輸:針對(duì)用戶個(gè)人賬戶數(shù)據(jù)和云端生產(chǎn)數(shù)據(jù)兩種不同的數(shù)據(jù)對(duì)象,分別從用戶端到云端、云端各服務(wù)間、云服務(wù)到云服務(wù)控制系統(tǒng)三個(gè)層次進(jìn)行傳輸控制。其中個(gè)人賬戶數(shù)據(jù)從客戶端到云端傳輸均采用ssl加密,從云端各子系統(tǒng)間、云服務(wù)到云服務(wù)控制系統(tǒng)間均采用程序加密保證客戶個(gè)人賬戶數(shù)據(jù)云端不落地。云端生產(chǎn)數(shù)據(jù)從用戶端到云端傳輸均只可通過VPN或?qū)>進(jìn)行,云端存儲(chǔ)應(yīng)采用服務(wù)端加密并支持用戶自行密鑰加密數(shù)據(jù)后云端存儲(chǔ)。

  數(shù)據(jù)存儲(chǔ):所有用戶云端生產(chǎn)數(shù)據(jù)不論使用何種云服務(wù)應(yīng)采用碎片化分布式離散技術(shù)保存,數(shù)據(jù)被分割成許多數(shù)據(jù)片段后遵循隨機(jī)算法分散存儲(chǔ)在不同機(jī)架上,并且每個(gè)數(shù)據(jù)片段會(huì)存儲(chǔ)多個(gè)副本。云服務(wù)控制系統(tǒng)應(yīng)依據(jù)不同客戶ID隔離其云端數(shù)據(jù),云存儲(chǔ)可依據(jù)客戶對(duì)稱加密對(duì)進(jìn)行云端存儲(chǔ)空間訪問權(quán)限控制,保證云端存儲(chǔ)數(shù)據(jù)的最小授權(quán)訪問。

  數(shù)據(jù)隔離:政務(wù)云數(shù)據(jù)隔離應(yīng)分為物理資源隔離、云端資源隔離兩個(gè)方面。物理資源隔離方面針對(duì)行業(yè)監(jiān)管要求構(gòu)建政務(wù)云專屬集群,并采用鐵籠包圍結(jié)合掌紋識(shí)別實(shí)現(xiàn)同公有云集群物理隔離和訪問控制。云端資源隔離方面針對(duì)同一物理服務(wù)器上的不同虛擬主機(jī)可在其生產(chǎn)環(huán)節(jié)由可云服務(wù)器的生產(chǎn)系統(tǒng)依據(jù)訂單自動(dòng)給每個(gè)用戶的云服務(wù)器打上標(biāo)簽,不同的用戶間通過由數(shù)據(jù)鏈路層和網(wǎng)絡(luò)層訪問控制技術(shù)組成的安全組進(jìn)行隔離;采用虛擬化重定向技術(shù)(沙盒技術(shù))隔離云平臺(tái)內(nèi)承載信息資源的虛擬主機(jī)對(duì)平臺(tái)物理資源的直接訪問。不同客戶的數(shù)據(jù)庫(kù)服務(wù)通過實(shí)例隔離,僅給客戶分配實(shí)例權(quán)限。我們通過二層隔離技術(shù),讓不同的用戶處于不同的私網(wǎng)。同時(shí),只允許以太網(wǎng)承載白名單中的上層協(xié)議如ARP、IPV4,其它的一概禁止。最后為防范云服務(wù)器被入侵后成為對(duì)外攻擊源,我們過濾了ARP、IPV4或者以太網(wǎng)協(xié)議的任何欺騙性質(zhì)的攻擊報(bào)文,并且對(duì)云服務(wù)器對(duì)外的高危端口的訪問速度做了偵測(cè)。

  數(shù)據(jù)銷毀:政務(wù)云應(yīng)采用高級(jí)清零手段在用戶要求刪除數(shù)據(jù)或設(shè)備在棄置、轉(zhuǎn)售前將其所有數(shù)據(jù)徹底刪除。針對(duì)云計(jì)算環(huán)境下因大量硬盤委外維修或服務(wù)器報(bào)廢可能導(dǎo)致的數(shù)據(jù)失竊風(fēng)險(xiǎn),數(shù)據(jù)中心全面貫徹替換磁盤每盤必消、消磁記錄每盤可查、消磁視頻每天可溯的標(biāo)準(zhǔn)作業(yè)流程,強(qiáng)化磁盤消磁作業(yè)視頻監(jiān)控策略,聚焦監(jiān)控操作的防抵賴性和視頻監(jiān)控記錄保存的完整性。

  以上介紹了從外部安全攻防和內(nèi)部數(shù)據(jù)安全分別如何構(gòu)建政務(wù)云的云安全體系,但作為行業(yè)用戶要使用云平臺(tái),并將關(guān)鍵數(shù)據(jù)放入云中,就需要對(duì)云服務(wù)商有所信任。如果構(gòu)建這樣的信任關(guān)系?第三方權(quán)威認(rèn)證是很必要的?紤]到政務(wù)行業(yè)的監(jiān)管特點(diǎn),我們認(rèn)為等保、ISO27001、云安全國(guó)際認(rèn)證(CSA-STAR)分別覆蓋了國(guó)內(nèi)、國(guó)際、云安全這三個(gè)方面的合規(guī)安全要求,拿等保來講云服務(wù)商應(yīng)保證其提供的云服務(wù)支撐系統(tǒng)通過公安部信息系統(tǒng)等級(jí)保護(hù)三級(jí)評(píng)測(cè);ISO27001方面云服務(wù)商提供的云服務(wù)不但應(yīng)將相關(guān)的物理基礎(chǔ)納入認(rèn)證范圍,更應(yīng)將所提供的云服務(wù)信息安全管理過程體現(xiàn)在證書上,以便用戶從開發(fā)、設(shè)計(jì)、運(yùn)維和交付個(gè)環(huán)節(jié)驗(yàn)證云服務(wù)的安全性;最后重點(diǎn)介紹下云安全國(guó)際認(rèn)證(CSA-STAR),這是一項(xiàng)全新而有針對(duì)性的國(guó)際專業(yè)認(rèn)證項(xiàng)目,由全球標(biāo)準(zhǔn)奠基者——英國(guó)標(biāo)準(zhǔn)協(xié)會(huì)(bsi)和國(guó)際云安全權(quán)威組織云安全聯(lián)盟(CSA)聯(lián)合推出,旨在應(yīng)對(duì)與云安全相關(guān)的特定問題。其以ISO/IEC 27001認(rèn)證為基礎(chǔ),結(jié)合云端安全控制矩陣CCM的要求,運(yùn)用成熟度模型和評(píng)估方法,對(duì)提供和使用云計(jì)算的任何組織,綜合評(píng)估組織云端安全管理和技術(shù)能力,最終給出“不合格-銅牌-銀牌-金牌”四個(gè)級(jí)別的獨(dú)立第三方外審結(jié)論。就安全認(rèn)證來講也是首度通過引入成熟度評(píng)估來實(shí)現(xiàn)對(duì)云服務(wù)商安全管理能力的量化、持續(xù)評(píng)價(jià),能有助于用戶了解各云服務(wù)商對(duì)照業(yè)界最佳實(shí)踐的具體差距,提升云服務(wù)商安全管理的透明度。阿里云已早在去年獲得全球首張?jiān)瓢踩珖?guó)際認(rèn)證(CSA-STAR)金牌,這是bsi向全球云服務(wù)商頒發(fā)的首張金牌。這也是中國(guó)企業(yè)在信息化、云計(jì)算領(lǐng)域安全合規(guī)方面第一次取得世界領(lǐng)先成績(jī)。

  總結(jié)下今天分享,政務(wù)行業(yè)真正需要的云應(yīng)該具備以下幾點(diǎn):

  1、 低成本可彈性擴(kuò)展架構(gòu)、高精度的大數(shù)據(jù)運(yùn)用技術(shù)、大規(guī)模DDoS防御能力、全方位的安全服務(wù)內(nèi)容;

  2、 云服務(wù)具備完整的數(shù)據(jù)安全保護(hù)能力;

  3、 全面符合國(guó)家、國(guó)際、云安全合規(guī)要求。

  希望通過這次分享,能使各位不但能了解政務(wù)行業(yè)實(shí)際的安全需求、政務(wù)云應(yīng)該如何構(gòu)建,更能體會(huì)到云在安全防御上給廣大用戶帶來的價(jià)值。

  若非建云、焉知安全;若非安全、焉敢入云。

分享到: 收藏

專題