欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

深入分析一波,你们说的云安全到底是什么鬼

来源:本站整理 作者:佚名 时间:2017-07-04 TAG: 我要投稿

云安全到底是什么?是传统厂商的盒子的iso化?是云厂商自身具备的安全能力?还是SaaS提供安全服务?这些观点都比较片面,作为聊天话题还可以,但落地还需要认真讨论。
一、云安全标准
要想了解云安全真正的含义,首先要了解云计算本身。根据NIST定义,云计算按照服务模式分为IaaS、PaaS和SaaS,按照部署模式分为私有云、公有云、社区云和混合云,按照用户角色分为消费者、供应商、代理商、运营商和审计方。
云安全的定义根据国际的CSA TCI-RA、NIST SP500-292、NIST SP 500-29,以及国内的GB/T 31167-2014、GB/T 31168-2014等标准来看,简单来说就是根据云计算的服务模式、部署方式以及角色,提供有针对性的安全方案。
然而,实际的云安全建设往往错综复杂,把握几个关键的观点,有助于大家更了解云安全。
云安全责任共担

用户和使用的云服务商不同,安全的责任也不同。如果用户只是使用IaaS层的服务,IaaS层安全由云服务商提供,之上的所有中间件以及业务安全责任全部由用户自己承担;如果使用的是SaaS层的服务,云服务商就要提供云相关全栈的服务;PaaS层的情况介于这两者之间。
这不同于IDC环境下的安全。从用户角度来说,安全责任变轻了:以前从建设机房到部署应用的安全全部由用户自己承担,现在云服务提供商要承担相关的安全职责
组织要评估和满足合规与审核要求
将业务从传统IDC迁移到云的一个重大挑战是:要遵守众多的合规和审核的约束。尤其在国内的环境,监管方存在“九龙治水”的情况。《网络安全法》已经开始正式执行;公安方面的等级保护针对云方面也推出了等保2.0;以覆盖等保1.0在云计算领域的缺失;大数据中心联盟也推出了可信云的相关标准;网信部门更是对每个行业都提出新的监管要求;TC260针对政府上云提出了GB/T 31167和31168。这些规定都意味着组织要承担更重大的监管责任。
合规可定义为对企业义务(企业社会责任、适用法律,道德指南)的感知和遵循,包括对适当和必要的纠正性措施的评估和排序。在某些高度监管的环境下,透明度可以对内部特定策略进行补充,成为组织效率的优势而非制约。
总体上,组织要保证合规性和完成审核,需要评估自身合规状态,借此感知和履行企业义务(社会责任、道德标准、法律责任等);评估风险、不合规代价以及合规成本,从而评估是否采取适当或必要的纠错性措施。
对于客户和服务提供商而言,内审和外审以及各种控制措施都合情合理、可为云计算效力。目前对于云计算厂商的审计并不充分,大多情况都是通过一次性的测评来证明云计算的安全性和可靠性。对于客户而言,更有保障的方法是通过认证方式对云计算厂商进行持续的认证。
事件响应
信息安全领域不存在无懈可击的防御,无论是周详的计划还是周全的预防性措施,都无法完全避免信息资产遭到攻击。正因如此,致力于减少组织受攻击损失程度的事件响应,成为了信息安全管理的重要基石。
云计算不需要一个新的事件响应框架,只需将原有的响应程序、处理机制和工具与云计算相关的环境对应起来。与此同时,组织也要意识到,云计算的某些特征会影响事件响应的效果。
首先,云计算属于按需自服务,客户在处理安全事件的时候很难甚至不可能从云服务商那里获得协助;第二,云服务的资源池化可能会导致 事件响应过程复杂化;第三、在多租户场景下,如果没有关于隐私信息的处理和资源池化的云服务方式,收集和分析事故的非直接数据和原始数据可能造成对隐私问题的担忧。
另一方面,云计算也给事件响应带来了新的机会。对于云的持续监控机制,可以减少事件处理时间或者事件响应频率。虚拟化技术和云计算平台固有的弹性特质,相比传统数据中心技术减少了服务中断时间,让遏制和恢复措施变得更有效率和效果。此外,由于虚拟机可以很容易地被移动到试验环境中并管理运行环境、取得鉴定映像及进行检查,这些都使得事件调查更容易开展。
目前情况并不太乐观,国内云计算厂商对于事故响应的手段极其有限,大部分是通过人工服务的情况进行解决,责任无法定位,造成的损失也无法衡量,导致用户和云服务提供商之间的不信任感。
二、云安全挑战

为了安全地使用公有云、私有云、混合云等丰富多样的数字化服务,越来越多的企业需要满足不断增多的各种安全要求。企业要满足这些需求,必须首先意识到云安全方面的三大挑战:保护多租户环境下的信息,虚拟化和私有云安全,以及SaaS可视化和控制。这三大挑战将为企业的云安全建设提供实用的分类方法。
评估和控制多租户环境下的安全和合规风险
安全管理人员关注公有云的相关安全问题。缺乏持续性的合规和风险的评估以及安全过程,使得一些敏感的场景无法迁移到公有云。
使用多租户的云服务并不直接导致安全问题,跟云厂商采取的安全措施有关,对云厂商的形成强大的挑战。持续的对云厂商进行风险监控还需要一段路。
安全管理人员甚至所有IT人员都关注公有云厂商是否安全。实际上,没有直接证据证明公有云厂商自身安全不到位会对用户造成重大影响。然而,如何评估公有云厂商安全性以及监管机构对公有云的接受度仍然值得探讨。公有云厂商缺乏透明度,合规状态不明确,风险评估和安全过程不成熟,使得一些敏感场景无法迁移到公有云。
对于企业而言,使用多租户的云服务并不会直接导致安全问题,还得看云厂商采取哪些安全措施。综合评估云厂商提供的服务和安全性,持续对云厂商进行风险监控,能够让企业在享受优质云服务的同时做到安全、合规。不过,市场对云厂商的评估和持续监控还没有形成最佳实践。
使用CWPP和微隔离等新技术保护虚拟环境下的工作负载
对硬件资源的虚拟化催生了新的安全技术,比如工作负载安全。工作负载指的是服务器、虚拟机和容器等系统核心业务的载体。云服务商的安全措施在某种意义来说比自建IDC机房的安全措施更好,但这并不意味着把工作负载从本地迁移到公有云上就能自动获得安全保障。实际上,云服务使用者应该利用好云厂商的安全特点和优势,由此产生效果也会更好。比如,利用好云厂商的安全自动化,能够大幅减少配置错误、管理错误、补丁缺失、人工操作失误等造成安全漏洞数量,从而大大提高云的安全特性。云工作负载保护平台(CWPP, cloud workload protection platform)和微隔离等新的技术能够在保证各种云环境下的安全,越来越受到国内外组织重视。

[1] [2]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载