域名預(yù)訂/競價，好“米”不錯過

云計算、大數(shù)據(jù)、人工智能的飛速發(fā)展，給從云到端的安全及個人信息等方面帶來極大挑戰(zhàn)。數(shù)字化時代，由于云計算風(fēng)險集中，導(dǎo)致大規(guī)模安全風(fēng)險的出現(xiàn)，讓網(wǎng)絡(luò)安全形勢更加嚴(yán)峻，企業(yè)對云安全也越來越重視。華云數(shù)據(jù)本期“智匯華云”專欄將為您解讀云安全運營管理架構(gòu)及實踐。

云安全是信息化建設(shè)中的大型工程，一個可管理、可運營的服務(wù)平臺是保障云系統(tǒng)安全、持續(xù)、有序運轉(zhuǎn)的基石。同時，安全服務(wù)能力需要考慮云計算環(huán)境的攻擊特點，構(gòu)建網(wǎng)絡(luò)、主機(jī)、應(yīng)用和數(shù)據(jù)等立體化的防護(hù)手段。

那么，如何構(gòu)建一個穩(wěn)定可運營的云安全平臺，為企業(yè)業(yè)務(wù)保駕護(hù)航？本期華云大咖說將與您分享華云數(shù)據(jù)云安全運營管理解決方案。

精彩言論

1、不同的組織對云安全有相應(yīng)的定義，但邏輯上是一致的，是一脈相承的。

云安全聯(lián)盟CSA標(biāo)準(zhǔn)根據(jù)ISO/IEC（國際電工委員會）17789:2014定義的云計算層次框架（資源層、服務(wù)層、訪問層、用戶層和跨層功能），并結(jié)合安全業(yè)務(wù)特點，定義云計算安全技術(shù)要求框架。用戶層是用戶接口。通過該接口，云服務(wù)客戶和云服務(wù)提供者及其云服務(wù)進(jìn)行交互，執(zhí)行與客戶相關(guān)的管理活動，監(jiān)控云服務(wù)。訪問層提供對服務(wù)層能力進(jìn)行手動和自動訪問的通用接口。這些能力既包含服務(wù)能力，也包含管理能力和業(yè)務(wù)能力。物理層分為物理資源和資源抽象與控制兩部分。服務(wù)層是對云服務(wù)提供者所提供服務(wù)的實現(xiàn)，包含和控制實現(xiàn)服務(wù)所需的軟件組件，并安排通過訪問層為用戶提供云服務(wù)。安全服務(wù)即以服務(wù)的方式提供的安全能力，云服務(wù)提供者可通過提供安全服務(wù)協(xié)助客戶做好客戶安全責(zé)任范圍內(nèi)的安全防護(hù)。

云等保2.0對云計算安全防護(hù)的定義是用戶通過安全的通信網(wǎng)絡(luò)以網(wǎng)絡(luò)直接訪問、API接口訪問和Web服務(wù)訪問等方式安全地訪問云服務(wù)商提供的安全計算環(huán)境。安全計算環(huán)境包括資源層安全和服務(wù)層安全。資源層分為物理資源和虛擬資源，需要明確物理資源安全設(shè)計技術(shù)要求和虛擬資源安全設(shè)計要求。服務(wù)層是對云服務(wù)商所提供服務(wù)的實現(xiàn)，包含實現(xiàn)服務(wù)所需的軟件組件，根據(jù)服務(wù)模式不同，云服務(wù)商和云服務(wù)客戶承擔(dān)的安全責(zé)任不同。服務(wù)層安全設(shè)計需要明確云服務(wù)商控制的資源范圍內(nèi)的安全設(shè)計技術(shù)要求，并且云服務(wù)商可以通過提供安全接口和安全服務(wù)為云服務(wù)客戶提供安全技術(shù)和安全防護(hù)能力。云計算環(huán)境的系統(tǒng)管理、安全管理和安全審計由安全管理中心統(tǒng)一管控。結(jié)合本框架對不同等級的云計算環(huán)境進(jìn)行安全技術(shù)設(shè)計，同時通過服務(wù)層安全支持對不同等級云服務(wù)客戶端(業(yè)務(wù)系統(tǒng))的安全設(shè)計。

2、華云數(shù)據(jù)云安全設(shè)計思路遵循了提升風(fēng)險預(yù)測能力、提升縱深防御能力、提升持續(xù)檢測能力和提升快速響應(yīng)能力四大部分。其中，風(fēng)險預(yù)測包含了制定應(yīng)急預(yù)案、安全應(yīng)急演練、滲透測試與攻防演練、業(yè)務(wù)/平臺安全評估四部分。全面防御包括 按照等保要求設(shè)計云平臺內(nèi)部云化防御手段，云平臺邊界、通信網(wǎng)絡(luò)防御手段，針對業(yè)務(wù)與數(shù)據(jù)提供配套防御手段，以及提供配置權(quán)限防御手段。快速相應(yīng)包括對安全事件研判、對安全事件處置，進(jìn)行事件分析總結(jié)與改進(jìn)。而持續(xù)檢測包括按等保要求提供多種實時告警方式，進(jìn)行安全監(jiān)測信息與審計集中管理，以及分層、分權(quán)、分級進(jìn)行安全審計。

3、華云數(shù)據(jù)進(jìn)行了多層面縱深安全防護(hù)：華云云平臺底層采用安全的操作系統(tǒng)、中間件和數(shù)據(jù)庫系統(tǒng)，同時對系統(tǒng)內(nèi)核進(jìn)行加固。華云云平臺底層操作系統(tǒng)，根據(jù)系統(tǒng)功能最小化原則進(jìn)行優(yōu)化，只安裝所需的組件，不安裝其它無關(guān)組件，降低被攻擊風(fēng)險。配置底層操作系統(tǒng)的服務(wù)和端口，禁用不必要的服務(wù)，修改必要服務(wù)的端口。對系統(tǒng)文件進(jìn)行有效的保護(hù)，防止被篡改和替換。設(shè)置操作系統(tǒng)的賬號密碼策略，配置賬號密碼強(qiáng)度、賬號鎖定策略。修改操作系統(tǒng)默認(rèn)權(quán)限值。 開啟操作系統(tǒng)安全審計，設(shè)置操作系統(tǒng)安全審計策略。集成第三方漏洞掃描和防病毒等技術(shù)。

4、在保證平臺高可用方面需要很多辦法：首先要保證故障自動恢復(fù)。計算節(jié)點宕機(jī)，運行在該節(jié)點上的VM會在其他計算節(jié)點重新啟動；重啟系統(tǒng)大約在3分鐘以內(nèi)，服務(wù)啟動取決于服務(wù)本身；所有需要高可用保護(hù)的業(yè)務(wù)云主機(jī)。在線遷移是一個內(nèi)存同步的過程；內(nèi)存切換過程所產(chǎn)生的延時微小，對用戶無感知；適用于計算節(jié)點需要維護(hù)、或者負(fù)載過高，需要將VM遷移至其他計算節(jié)點位置的場景。之后，需要豐富的數(shù)據(jù)可靠技術(shù)，包括多副本技術(shù)、端到端校驗、數(shù)據(jù)重建恢復(fù)以及全冗余架構(gòu)。此外，還需要保證組件的高可用。

5、在安全防護(hù)領(lǐng)域，安全的區(qū)域邊界的保護(hù)非常重要，包括了身份認(rèn)證、基于角色的訪問控制、密鑰對訪問、Https傳輸協(xié)議。

6、云上租戶安全包含了數(shù)據(jù)安全、應(yīng)用安全、主機(jī)安全和網(wǎng)絡(luò)安全四部分。其中網(wǎng)絡(luò)安全是用戶非常重視的。為了保障網(wǎng)絡(luò)安全，可以采用多種方式。租戶隔離：確保不同的租戶只能訪問自身的資源，不可訪問其他租戶的資源。針對不同租戶可以設(shè)定資源配額，有效在租戶間控制資源使用。安全組：允許或禁止安全組內(nèi)的云主機(jī)對公網(wǎng)或私網(wǎng)的訪問。安全組是重要的網(wǎng)絡(luò)安全隔離手段，用于在云端劃分安全域。云防火墻：云防火墻可以統(tǒng)一管理互聯(lián)網(wǎng)到業(yè)務(wù)的訪問控制策略（南北向）和業(yè)務(wù)與業(yè)務(wù)之間的微隔離策略（東西向）。流量隔離：生產(chǎn)網(wǎng)絡(luò)與非生產(chǎn)網(wǎng)絡(luò)進(jìn)行安全隔離，從非生產(chǎn)網(wǎng)絡(luò)不能直接訪問生產(chǎn)網(wǎng)絡(luò)的任何服務(wù)器和網(wǎng)絡(luò)設(shè)備,確保云服務(wù)網(wǎng)絡(luò)無法法訪問物理網(wǎng)絡(luò)。

7、主機(jī)安全提供一種全方位服務(wù)器安全平臺，旨在保護(hù)數(shù)據(jù)中心和云平臺免遭數(shù)據(jù)泄露和業(yè)務(wù)中斷，提供防惡意軟件、Web信譽、防火墻、入侵阻止、完整性監(jiān)控和日志檢查，以確保物理、虛擬和云環(huán)境中服務(wù)器的應(yīng)用程序以及數(shù)據(jù)的安全。

8、在保證應(yīng)用安全方面，會采用系統(tǒng)漏洞掃描、WEB安全漏洞監(jiān)控，并采用云Web應(yīng)用防火墻的部署、網(wǎng)頁防篡改等方式來進(jìn)行。

9、保證數(shù)據(jù)安全，需要進(jìn)行鏡像加固、剩余信息保護(hù)、數(shù)據(jù)保密性、數(shù)據(jù)備份恢復(fù)。運維安全要注重日志記錄、平臺監(jiān)控、三權(quán)分立以及操作安全管理。

10、隨著混合云的廣泛應(yīng)用，法律風(fēng)險增高，管理更復(fù)雜、故障定位難、而且安全新隱患會層出不窮，如云計算的開放性對接口安全提出新的要求；基于云的業(yè)務(wù)模式，給數(shù)據(jù)安全的保護(hù)提出了更高的要求；傳統(tǒng)基于物理安全邊界的防護(hù)機(jī)制在云計算的環(huán)境難以得到有效的應(yīng)用。

11、華云數(shù)據(jù)混合云平臺擁有完備的云安全管理架構(gòu)，華云數(shù)據(jù)新一代云平臺CloudUltra®4為客戶提供對私有云資源和公有云資源的統(tǒng)一管理能力，例如，資源配額統(tǒng)一劃分，統(tǒng)一計量，統(tǒng)一Web界面。支持納管的華云公有云服務(wù)包括：云主機(jī)、云硬盤、私有網(wǎng)絡(luò)、路由器、公網(wǎng)IP、防火墻、鏡像、密鑰對。華云云安全平臺關(guān)注運營、關(guān)注資產(chǎn)，采用立體防護(hù)的方式，誤報率極低，能夠做到提升效率，關(guān)注外部風(fēng)險的同事對內(nèi)部違規(guī)事件進(jìn)行審計。

關(guān)于華云數(shù)據(jù)：

華云數(shù)據(jù)集團(tuán)專注于為客戶提供 “自主、安全、可控”的云計算服務(wù)，以幫助用戶采用云計算提升IT能力，實現(xiàn)業(yè)務(wù)變革。華云數(shù)據(jù)主要面向企業(yè)級用戶提供定制化私有云、混合云解決方案，同時還可以提供大數(shù)據(jù)服務(wù)、超融合產(chǎn)品、公有云、IDC轉(zhuǎn)云等服務(wù)。自2010年成立以來，華云數(shù)據(jù)不斷深入了解企業(yè)用戶需求和行業(yè)特性，是一家追求卓越的云計算服務(wù)提供商。

成立八年來，華云數(shù)據(jù)堅持自主研發(fā)，獲得了512項知識產(chǎn)權(quán)，在私有云、混合云、公有云和超融合領(lǐng)域均通過了相關(guān)可信云認(rèn)證，獲得了軟件能力成熟度模型集成CMMI5證書，是國家課題承接單位、中國十大云計算解決方案提供商。2016年起，華云數(shù)據(jù)集團(tuán)連續(xù)三年被評為中國獨角獸企業(yè)； 2018年5月，進(jìn)入 “中國大數(shù)據(jù)獨角獸企業(yè)TOP20榜”, 2018年7月，榮膺“2018中國互聯(lián)網(wǎng)百強(qiáng)企業(yè)”稱號，2018年8月，入圍“中國大數(shù)據(jù)企業(yè)50強(qiáng)”。2018年11月，權(quán)威咨詢機(jī)構(gòu)發(fā)布《2018年私有云市場各品牌競爭力分析》，華云數(shù)據(jù)躍入領(lǐng)導(dǎo)者象限，成為中國私有云廠商前三甲。2019年3月，華云數(shù)據(jù)宣布對國際領(lǐng)先超融合軟件廠商Maxta, Inc.全部資產(chǎn)完成了合法合規(guī)收購。

申請創(chuàng)業(yè)報道，分享創(chuàng)業(yè)好點子。點擊此處，共同探討創(chuàng)業(yè)新機(jī)遇！