云安全常见威胁及管控
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
关键词:云安全;物理安全;信息安全 中图分类号:TP309 文献标识码:A 文章编号:1003-9767(2018)07-179-02
Cloud Security Common Threats and Controls
He Wenfeng
(Customer Response Center, China Mobile Communications Corporation Guangdong Co., Ltd., Guangzhou Guangdong 518000, China)
Key words: cloud security; physical security; information security
1 物理安全常见威胁及管控
物理安全是一切 IT 服务安全的基石,如果物理安全相 关威胁得不到管控,将直接影响云服务的可用性,带来重大 灾难性事件。常见的物理安全威胁有:电力及空调系统故障、 出入管控不足、火灾及盗窃及自然灾害(地震、雷击等)等。
2018 年第 7 期
信息与电脑 China Computer&Communication
云安全常见威胁及管控
信息安全与管理
何文锋 (中国移动通信集团广东有限公司客户响应中心,广东 广州 518000)
摘 要:如今,云计算正在不断改变组织使用、存储和共享数据、应用程序及工作负载的方式。但同时,其也引发 了一系列新的安全威胁和挑战。随着越来越多的数据进入云端,尤其是进入公共云服务,这些资源自然而然地就成为网 络犯罪分子的目标。云服务平台自下而上由物理基础设施、网户数据等都是云服务的重要组成部分。基于此,笔者将自下而上,结合重点领域对云安全 面临的常见威胁进行分析,并提出管控方案。
第二,对于出入的管控,建议采用门禁系统进行管理。
并详细规划好各门禁点权限分配,定期进行门禁权限评审, 及时删除过期门禁权限。对临时来访人员做好详细审批登记, 必要时全程陪同。
第三,对于火灾及盗窃的威胁,建议配备机房气体消防 设施及早期报警系统,并对消防设备进行定期巡查。同时, 可安装红外报警系统,视频监控系统,配合保安定期巡逻。
针对物理安全常见的威胁,对应的需要采取技术手段进 行控制,常见的控制手段有以下几种。
第一,对于电力系统故障,可采用全多路电路冗余的方 式保障单点故障不影响系统运行。从不同的变电站接入双路 或多路市电,并配备冗余的柴油发电机,同时,UPS 也应采 取 2N+1 的配备,列头柜配备 AB 两路 PDU,服务器配备双 电源接入不同的 PDU。同时,应制订定期的电力及空调系统 维护巡检计划,并严格按计划进行检修维护,保障电力及空 调系统正常运行。
第四,对于自然灾害的威胁,应在机房选址时进行综合 评估,每年对建筑防雷设施进行检查测试。
2 网络及主机安全常见威胁及管控
与所有 IT 系统类似,网络及主机安全是云平台安全的基 础。网络中时刻存在着大量的重要数据交换,主机操作系统 更是管控着云平台各软件及数据。如果网络及主机安全失控, 将会直接影响系统的可用性、完整性及保密性。常见的网络 及主机威胁有:黑客入侵、DDOS 攻击和恶意代码、DNS 篡 改及非法操作。
Abstract: Today, cloud computing is changing the way organizations use, store, and share data, applications, and workloads. At the same time, it also triggered a series of new security threats and challenges. As more and more data enters the cloud, especially into public cloud services, these resources naturally become targets for cybercriminals. The cloud service platform is composed of physical infrastructure, network and host, virtualization, and cloud application platforms from the bottom up. At the same time, the communication and interfaces among various system platforms, cloud platforms, and tenant data are all important components of cloud services. Based on this, the author will analyze the common threats faced by cloud security from the bottom up, combined with the key areas, and put forward the management and control plan.
作者简介:何文锋(1982-),男,广东佛山人,硕士研究生。研究方向:云计算。
— 179 —
信息安全与管理
信息与电脑 China Computer&Communication
2018 年第 7 期
可以通过以下技术手段对网络及主机中常见威胁进行管控。 第一,黑客入侵的形式繁多,从防范角度来说,可以通 过配置防火墙,设定好合适的防火墙规则,并对规则进行审 批及定期评审,以最大化地保障数据流的合法性。同时,可 以配备 IPS 入侵检测系统,并及时升级最新规则库,可对隐 藏在合法数据流中的非法操作进行实施监测并阻断。通过防 火墙结合 IPS,能有效管控黑客入侵带来的威胁。 第二,在信息安全的三要素“保密性”“完整性”和“可 用性”中,DDOS 攻击,针对的目标正是“可用性”。该攻 击方式利用目标系统网络服务功能缺陷或者直接消耗其系统 资源,使得该目标系统无法正常提供服务。针对 DDOS 攻击, 目前业界还没有特别行之有效的解决方案,但通过进行 IP 封 堵,部署流量清洗设备,采用 CDN 流量分发,对特定流量 采用黑洞路由策略等可有效缓解 DDOS 攻击压力。同时,考 虑到云平台的特殊性,还应考虑购买针对应用型 DDOS 攻击 (如针对自服务平台的 CC 攻击等)的防护服务。 第三,主机及网络中的恶意代码也是十分常见的安全威 胁。针对该问题,可以部署统一的防病毒网关对全网段内的 恶意代码进行监控查杀,必要时可在重要的主机中额外部署 客户端杀毒软件。同时,鉴于云平台(特别是自服务门户) 中严重依赖 DNS 进行访问,需要选择安全的供应商购买域名, 并部署 DNS 防护软件。此外,可通过部署堡垒机或 4A 平台 等对运维操作进行审计记录,同时可部署 ELK 等日志审计系 统对网络及主机日志进行安全审计,及时发现非法操作,保 障网络及主机安全。
Cloud Security Common Threats and Controls
He Wenfeng
(Customer Response Center, China Mobile Communications Corporation Guangdong Co., Ltd., Guangzhou Guangdong 518000, China)
Key words: cloud security; physical security; information security
1 物理安全常见威胁及管控
物理安全是一切 IT 服务安全的基石,如果物理安全相 关威胁得不到管控,将直接影响云服务的可用性,带来重大 灾难性事件。常见的物理安全威胁有:电力及空调系统故障、 出入管控不足、火灾及盗窃及自然灾害(地震、雷击等)等。
2018 年第 7 期
信息与电脑 China Computer&Communication
云安全常见威胁及管控
信息安全与管理
何文锋 (中国移动通信集团广东有限公司客户响应中心,广东 广州 518000)
摘 要:如今,云计算正在不断改变组织使用、存储和共享数据、应用程序及工作负载的方式。但同时,其也引发 了一系列新的安全威胁和挑战。随着越来越多的数据进入云端,尤其是进入公共云服务,这些资源自然而然地就成为网 络犯罪分子的目标。云服务平台自下而上由物理基础设施、网户数据等都是云服务的重要组成部分。基于此,笔者将自下而上,结合重点领域对云安全 面临的常见威胁进行分析,并提出管控方案。
第二,对于出入的管控,建议采用门禁系统进行管理。
并详细规划好各门禁点权限分配,定期进行门禁权限评审, 及时删除过期门禁权限。对临时来访人员做好详细审批登记, 必要时全程陪同。
第三,对于火灾及盗窃的威胁,建议配备机房气体消防 设施及早期报警系统,并对消防设备进行定期巡查。同时, 可安装红外报警系统,视频监控系统,配合保安定期巡逻。
针对物理安全常见的威胁,对应的需要采取技术手段进 行控制,常见的控制手段有以下几种。
第一,对于电力系统故障,可采用全多路电路冗余的方 式保障单点故障不影响系统运行。从不同的变电站接入双路 或多路市电,并配备冗余的柴油发电机,同时,UPS 也应采 取 2N+1 的配备,列头柜配备 AB 两路 PDU,服务器配备双 电源接入不同的 PDU。同时,应制订定期的电力及空调系统 维护巡检计划,并严格按计划进行检修维护,保障电力及空 调系统正常运行。
第四,对于自然灾害的威胁,应在机房选址时进行综合 评估,每年对建筑防雷设施进行检查测试。
2 网络及主机安全常见威胁及管控
与所有 IT 系统类似,网络及主机安全是云平台安全的基 础。网络中时刻存在着大量的重要数据交换,主机操作系统 更是管控着云平台各软件及数据。如果网络及主机安全失控, 将会直接影响系统的可用性、完整性及保密性。常见的网络 及主机威胁有:黑客入侵、DDOS 攻击和恶意代码、DNS 篡 改及非法操作。
Abstract: Today, cloud computing is changing the way organizations use, store, and share data, applications, and workloads. At the same time, it also triggered a series of new security threats and challenges. As more and more data enters the cloud, especially into public cloud services, these resources naturally become targets for cybercriminals. The cloud service platform is composed of physical infrastructure, network and host, virtualization, and cloud application platforms from the bottom up. At the same time, the communication and interfaces among various system platforms, cloud platforms, and tenant data are all important components of cloud services. Based on this, the author will analyze the common threats faced by cloud security from the bottom up, combined with the key areas, and put forward the management and control plan.
作者简介:何文锋(1982-),男,广东佛山人,硕士研究生。研究方向:云计算。
— 179 —
信息安全与管理
信息与电脑 China Computer&Communication
2018 年第 7 期
可以通过以下技术手段对网络及主机中常见威胁进行管控。 第一,黑客入侵的形式繁多,从防范角度来说,可以通 过配置防火墙,设定好合适的防火墙规则,并对规则进行审 批及定期评审,以最大化地保障数据流的合法性。同时,可 以配备 IPS 入侵检测系统,并及时升级最新规则库,可对隐 藏在合法数据流中的非法操作进行实施监测并阻断。通过防 火墙结合 IPS,能有效管控黑客入侵带来的威胁。 第二,在信息安全的三要素“保密性”“完整性”和“可 用性”中,DDOS 攻击,针对的目标正是“可用性”。该攻 击方式利用目标系统网络服务功能缺陷或者直接消耗其系统 资源,使得该目标系统无法正常提供服务。针对 DDOS 攻击, 目前业界还没有特别行之有效的解决方案,但通过进行 IP 封 堵,部署流量清洗设备,采用 CDN 流量分发,对特定流量 采用黑洞路由策略等可有效缓解 DDOS 攻击压力。同时,考 虑到云平台的特殊性,还应考虑购买针对应用型 DDOS 攻击 (如针对自服务平台的 CC 攻击等)的防护服务。 第三,主机及网络中的恶意代码也是十分常见的安全威 胁。针对该问题,可以部署统一的防病毒网关对全网段内的 恶意代码进行监控查杀,必要时可在重要的主机中额外部署 客户端杀毒软件。同时,鉴于云平台(特别是自服务门户) 中严重依赖 DNS 进行访问,需要选择安全的供应商购买域名, 并部署 DNS 防护软件。此外,可通过部署堡垒机或 4A 平台 等对运维操作进行审计记录,同时可部署 ELK 等日志审计系 统对网络及主机日志进行安全审计,及时发现非法操作,保 障网络及主机安全。