云環(huán)境數據存儲位置不受租戶(hù)控制產(chǎn)生的數據泄露、針對云環(huán)境發(fā)起的病毒與網(wǎng)絡(luò )攻擊、不同來(lái)源系統彼此靠近增加的系統漏洞……轉型發(fā)展,或是安全挑戰,面對這兩股持續對弈的力量,我們該如何平衡、化解?
云主機安全運維的5大“痛點(diǎn)”
歸納起來(lái),云主機安全運維將面對以下幾個(gè)方面問(wèn)題:
- 傳統與新生威脅共存:不但傳統環(huán)境下的安全問(wèn)題在云環(huán)境中仍然存在,比如DDoS攻擊、內部越權、數據泄露、數據篡改、漏洞攻擊等,攻擊者還可能利用微服務(wù)架構Web應用、服務(wù)網(wǎng)格、Serverless(無(wú)服務(wù)器運算)等新暴露面發(fā)動(dòng)攻擊。
- 資產(chǎn)管理范圍擴大:安全運營(yíng)中的“資產(chǎn)”發(fā)生了變化,以前在云下做安全的時(shí)候,資產(chǎn)主要是服務(wù)器、PC、打印機等硬件設施。而在公有云上, “資產(chǎn)”的概念擴大,比如說(shuō)一些PaaS層、SaaS層的服務(wù)、數據存儲等,這些新的服務(wù)或產(chǎn)品都屬于云資產(chǎn)的一部分。
- 配置風(fēng)險:每個(gè)云應用都會(huì )涉及到安全策略的配置,需要運維人員編寫(xiě)大量的安全基線(xiàn)腳本,而且完全依賴(lài)于運維人員的安全知識面,不僅工作不容易進(jìn)行標準化,其重復性造成的懈怠, 很容易造成疏漏,導致系統存在安全隱患。
- 跨平臺架構下的統一管理:在混合云架構下,難以跟蹤整個(gè)架構中的資產(chǎn)并監視眾多混合云連接的活動(dòng),而其錯誤配置,絕對是當今一些最具破壞性的云違規和數據泄露的主要原因。
- 漏洞修補的“時(shí)間差”:如果開(kāi)發(fā)人員在使用DevSecOps過(guò)程中忽略了集成、業(yè)務(wù)流程功能和控制,則可能很難在連續交付系統中提供安全性,而漏洞修補很難在線(xiàn)上完成,打補丁重啟等任務(wù)不僅造成業(yè)務(wù)中斷,還會(huì )引發(fā)系統崩潰等致命問(wèn)題。
信艙(DS 20),云環(huán)境下的首道外防
亞信安全為滿(mǎn)足云環(huán)境下衍生出的安全運維新需求,結合近年攻防對抗中的實(shí)際應用場(chǎng)景,正式推出亞信安全信艙(DS 20) - 云主機安全產(chǎn)品,在防病毒、入侵防護、完整性檢測、虛擬補丁、日志審計構建的縱深防御基礎上,形成了全面覆蓋云工作負載保護平臺(Cloud Workload Protection Platform,CWPP)能力的云主機安全方案。
1.以云主機安全加固為核心
云主機承載著(zhù)大量的核心數據和服務(wù)價(jià)值,是云安全系統核心構成。亞信安全信艙(DS?20)針對CWPP不同層面的安全能力實(shí)現了全面覆蓋,確保云主機安全防護不留死角。
2.資產(chǎn)管理和云主機安全聯(lián)動(dòng)
信艙提供了云主機資產(chǎn)自動(dòng)化盤(pán)點(diǎn),管理員可在此基礎上實(shí)現等保定級跟蹤,并根據所選服務(wù)器的操作系統、軟件應用等信息,自動(dòng)篩選出該服務(wù)器上需要檢查的系統、應用基線(xiàn),進(jìn)而制定出云主機安全加固模板,迅速實(shí)現云端安全基線(xiàn)的一致化。
3.使用安全基線(xiàn)實(shí)現統一管理
提供了大量滿(mǎn)足等級保護、不同級別基準要求的模板,涵蓋多個(gè)版本的主流操作系統、國產(chǎn)化平臺、Web應用、數據庫等。利用這些基線(xiàn)內容,用戶(hù)通過(guò)一鍵批量創(chuàng )建基線(xiàn)任務(wù),快速進(jìn)行企業(yè)內部風(fēng)險自測,發(fā)現問(wèn)題并及時(shí)修復,以滿(mǎn)足監管部門(mén)要求的安全條件。
4.支持混合云平臺及Docker配置安全
全面支持各大云服務(wù)商混合云方案和Docker等開(kāi)源技術(shù)構建混合云平臺。對于Docker的安全防護需求,信艙中的Deep Security for Docker可以保存Docker中鏡像的配置文件,并在主機上檢查網(wǎng)絡(luò )情況,洞悉Docker中流動(dòng)的網(wǎng)絡(luò )安全威脅,從而阻攔黑客從外部、內部(不受限制節點(diǎn))發(fā)動(dòng)的網(wǎng)絡(luò )攻擊,為混合云環(huán)境打造一體化的安全管理平臺。
5.漏洞管理配合虛擬補丁技術(shù)
信艙云主機漏洞風(fēng)險管理即能實(shí)現對服務(wù)器及應用的漏洞掃描、風(fēng)險評估、修復建議,滿(mǎn)足用戶(hù)對漏洞修復的需求,也能通過(guò)虛擬補丁能力,在面對0Day漏洞無(wú)法快速防護漏洞、老舊操作系統及應用無(wú)法修復補丁、關(guān)鍵服務(wù)器無(wú)法重啟的情況下,通過(guò)虛擬補丁幫助用戶(hù)在無(wú)須重啟的情況下,實(shí)現服務(wù)器及應用系統漏洞批量管理。
如今云上新型安全威脅層出不窮,為應對數據化進(jìn)程,應盡早構建云安全體系,這對于企業(yè)業(yè)務(wù)和發(fā)展,都是有必要的。未來(lái),亞信安全在堅持核心技術(shù)自主研發(fā)的同時(shí),積極擁抱和助推云安全生態(tài)建設,為企業(yè)數字化轉型提供安全保障,為云安全發(fā)展持續賦能。
關(guān)于亞信安全
亞信安全是中國網(wǎng)絡(luò )安全軟件領(lǐng)域的領(lǐng)跑者,作為“懂網(wǎng)、懂云”的安全公司,致力于護航產(chǎn)業(yè)互聯(lián),成為在 5G 云網(wǎng)時(shí)代,守護云、網(wǎng)、邊、端的安全智能平臺企業(yè)。以安全數字世界為愿景,以護航產(chǎn)業(yè)互聯(lián)為使命,亞信安全在云安全、身份安全、終端安全、安全管理、高級威脅治理和威脅情報等領(lǐng)域擁有核心技術(shù)。同時(shí)基于“安全定義邊界”的 發(fā)展理念,亞信安全以身份安全為基礎,以云網(wǎng)安全和端點(diǎn)安全為重心,以安全中臺為樞紐, 以威脅情報為支撐,構建“全云化、全聯(lián)動(dòng)、全智能”的產(chǎn)品技術(shù)戰略,賦能企業(yè)在 5G 時(shí)代 的數字化安全運營(yíng)能力。
