我们来看看云服务及系统的相关安全方面。先看“事前”。
不得不承认,若干年来,各大安全硬件厂商都讳莫如深的形成了所谓的“联盟”极力想企业兜售安全硬件产品。而今,既然已经是云时代了,成千上万的多租户共享着相同的物理资源,云平台提供商已经为我们准备好了前端的安全硬件“黑盒子”,提供了接入端的一揽子解决方案。他们通过整合各种物理资源(如加解密类硬件设备)、虚拟资源(如虚拟IDS、IPS、WAF)以及提供专业技术支持方面的人力资源(如安全事件管理员、漏洞分析员),采用虚拟化技术构建了统一的资源池,并对资源采用均衡负载、灵活调配以及最大化利用等方式,实现对租户安全功能的便捷交付。可以毫不客气的说,由于面对多租户环境,云服务提供商可能会比我们自己传统的IT部门更加及时和专业。他们通过云端强大的服务器,实时处理随时爆发的新型攻击,更新信息数据,能够有效控制危险事件的大规模发生和传播。
所以我们真心没有必要再花大力气去为自己的云平台考虑购置安全硬件了,只要守护好自己的“一亩三分地”便可。大家都知道软件定义网络(SDN)技术吧?个人觉得它已经不只是简单的实现“Bridge”或“vSwitch”的基本功能了。它是安全界的一股清流。对于实力雄厚且富有开发经验的企业来说,可以运用SDN的技术,通过软件编程等方式,定义自己的虚拟防火墙、入侵检测、DDoS检测、流量清洗甚至解决各种QoS问题;而对于“只愿出钱不远出力”的企业,也可以通过购买集成了IPS功能的软件来进行深度流量报文检测,从而发现虚拟机上是否存在漏洞。这里要多说一点的是:由于离开了企业传统的较为封闭的系统环境,这些基于云端的安全软件网络防护所设置的规则、漏洞库等数据不再受本地数据源限制而依赖于小范围数据采集,也摆脱了服务器定时或者手动更新的性能瓶颈。各种安全知识库,病毒特征码、URL黑名单、垃圾邮件指纹集,Web 攻击特征等,可以通过云的方式实现第一时间的更新,也就是在和0 day攻击者赛跑时穿上了跑鞋。
为了防止由于各种外部攻击或者是云服务提供商自身的原因所导致的租用空间的隔离失效的情况,必要的纵深防御是个趋势。我们企业安全人员在学会善用各种云安全相关工具的同时,要花时间制定和最终践行一个适合自身企业的“安全基线”。它也可作为上述服务连续性和灾备计划的一个重要参考依据。下面给大家简单列举一个范例供大家批判性的接受哦:
· 网络层面:
o 运用防火墙策略隔离出用于平台管理的网络。
o 启用VPN或者是双因素认证的访问接入控制。
· 操作系统层面:
o 调整默认设置,关闭不必要的服务,定期打系统补丁等系统加固。
o 安装基于主机的IDS。
o 开启详细的日志服务,并定期将日志离线导入中央日志管理平台或聚合到安全信息事件管理SIEM,以防日志被篡改。
o 定期审查系统级别的管理员权限。
