随着企业陆续把应用迁移到云端,传统的数据安全措施面临巨大挑战,随“云”而来的资源弹性、多租户、全新的物理和逻辑架构及抽象层控制,迫切寻求新的数据安全策略。
在云计算时代,如何安全地管理信息是所有用户不得不面临的一项艰巨任务。华云数据作为云计算的独角兽,对云计算建设有自己独特、成熟的建设方案和成功案例,在方案设计过程中,发现大部分客户并不那么担心云计算的技术和成熟度,往往最关心的问题是:“你们对安全是怎么考虑的?”
基于此,本期大咖说邀请到华云数据高级售前技术经理李志明带来“浅谈客户眼中的云计算安全”。
精彩观点
1.当云平台逐渐成为互联网时代的IT基础设施,用户的需求也正在发生转变。据统计,云计算所面临的挑战中,75%的用户出于安全性考虑而犹豫不决,在这75%的用户中,对于数据安全问题抱有疑虑的用户又占到大多数。而在数据安全的考虑中,主要是针对数据和知识产权的保护、数据的非授权使用以及传统的CIA属性。
2.从目前来看,云平台安全威胁一般分为四个方面:在业务系统方面,如突发业务流高峰、DDoS攻击、存储介质故障等;在客户信息保密性方面,如剩余信息需要被保护、业务数据被外部窃取、系统快照被窃取等;在服务器被入侵方面,如网站入侵、密码暴力破解、网站存在漏洞、黑客扫描、应用系统端口开放不严、僵尸网络等;在云平台安全性方面,如云平台组件缺乏认证、云管理授权被非法获取、API认证不严、云资源安全隔离、云主机镜像篡改、宿主机故障、虚拟机逃逸等。
3. 为了全方面保护用户云安全,华云数据的云安全解决方案进行了多层面纵深安全防护,提升用户风险预测能力、纵深防御能力、持续检测能力、快速响应能力。在业务系统方面,提供弹性CLB服务(4-7层负载)、云集成DDoS防御系统、分布式存储数据三副本、副本校验机制等;在客户信息保密性方面,提供释放资源逻辑清零、磁盘物理消磁、主机系统及磁盘加密、数据库实例/用户隔离、主机与快照访问控制等;在服务器被入侵方面,提供云集成安全防御系统、密码策略/密钥对、漏洞扫描管理系统、集成云应用防火墙、端口检测服务触发告警、检测非法使用行为告警等;在云平台安全性方面,提供华云CIAM平台组件认证、用户/网络/计算资源隔离、未校验镜像无法创建主机、计算/网络/存储/管理HA、云主机/数据库/虚拟路由器,负载均衡HA/多副本等。
4. 用户对云计算技术其实还存在很多顾虑,比如数据集中化后,一但出现安全事故,造成的数据安全问题更重大;多业务、多租户共享资源,一但某业务和用户出现安全事件,将波及其他的用户和业务;业务之间的高度互联互通,同时也衍生出更多的安全风险点,承载安全攻击的范围将更大;对客户开放的服务更多样,同时将暴露更多的安全服务漏洞和风险点。
5.但云安全解决方案可通过编排调用现有内/外网云数据中心网络安全设备,防火墙,IPS,组建网络安全,通过流量引导以编排的形式为各种应用场景自定义不同的安全机制。除此之外,还可以通过虚拟局域网隔离应用流量,每个应用逻辑独立为独有安全中心的应用场景。
6.云安全解决方案应用三副本、纠删码存储方案,采用分布式架构,除本地应用的实际保护机制外同时实现异地周期快照,数据回滚,多云中同步能力,保障数据安全,实现10个9的数据保障性。
7.云安全解决方案拥有自动化运维,自动化迁移能力,配合高可用架构,负载均衡集群,打造RTO=0的应用安全。
8.云安全解决方案可以为用户提供妙计连续数据保护、多副本数据存储、系统架构高可用、自动伸缩、负载均衡群集等功能,实现妙计故障切换、数据秒级回复、数据永不丢失,全方位保障用户业务的连续性。
9. 在安全事件监控与告警方面,云安全解决方案可以对云平台及应用系统的运行状态进行监控,支持故障检测、流量统计与监控,发现各种攻击企图、攻击行为或攻击结果,以保证云平台及系统的机密性、完整性和可用性。同时,针对监控的结果,云平台提供报警功能,可通过邮件、短信的方式进行报警。
10.在数据备份与恢复方面,云安全解决方案采用B/S、C/S混合架构,提供三种备份类型,包括完全备份、增量备份、差异备份,采用数据保存副本策略设置,通过设置单个任务中备份数据副本的最大保存数量,控制备份数据的存储总量。而在数据传输和存储过程中,对于所有定时备份任务所产生的备份数据进行加密处理,确保备份数据安全,与此同时还对文件系统备份、操作系统系统备份、系统恢复、系统文件恢复。
