云计算已广泛应用于众多行业的信息化建设,云安全越来越受到云服务提供商和云用户的关注。从云安全挑战、云安全态势管理、云访问安全代理、零信任模型、微隔离等角度分析和研究云安全??。云基础设施保护概述明确目的网络安全的使命是保护集团网络环境中的用户(客户和员工),使业务能够安全运行。基础设施保护的首要任务是降低IT基础设施的风险暴露和攻击面。客户和集团职能部门协作,及时确定需要改进的领域,并在所有项目阶段支持技术解决方案的设计和实施。制定战略性安全管理策略主要考虑以下几个方面:终端保护、网络安全、系统和服务器安全、可信服务、云安全、编排和控制。要采用的关键措施包括:网络安全架构增强、安全远程访问、端点检测和响应与威胁搜索设置、网络访问控制增强、电子邮件安全增强、端点配置管理、攻击面可见性和智能、支持的云技术、云基础设施管理、数字密钥管理、策略协调器、漏洞管理等。转换视角以人为本,培养团队知识和技能、交叉能力和团队合作精神;风险视角,采用基于风险/优先级的方法;自动化,减少执行时间和整体操作工作量;标准化,降低流程和技术的复杂性,增强基础设施的弹性和控制;回归本源,打下坚实的基础。云基础设施安全管理的重点包括:系统安全、终端安全、网络安全、可信服务。整体架构如下图所示:在云安全管理中,需要从云安全态势管理、云访问安全代理、零信任和微隔离、硬件安全模块四个方面进行安全管控。01.CloudSecurityPostesManagementCloudSecurityPostureManagementCloudSecurityPostureManagement解决方案可以自动持续检查可能导致数据泄露的配置错误。这种自动化的、持续的监控可以帮助组织进行必要的持续改进。企业应用上云并不意味着云上的安全完全由云服务商负责。云服务提供商有责任保护基础设施云堆栈,但云租户也有责任构建云环境,保护云应用和云数据的安全。也就是说,无论是云服务提供商还是云用户的失误,都可能导致数据泄露等安全事件。02.CloudAccessSecurityBroker与传统的网络安全相比,CloudAccessSecurityBroker可以对用户、设备、应用、交易和敏感数据有更深入的理解,可以通过CASB整合现有的安全策略和工作流,并将安全措施扩展到云环境,在现有安全生态的基础上提升安全能力。CloudAccessSecurityBroker常见用例:可视化:正在使用哪些云服务以及对业务有哪些风险?影子IT安全态势管理数据安全:如何将安全控制和策略扩展到正在使用的云服务?数据丢失保护数据加密监管:云服务的使用是否符合合规要求?安全态势管理访问控制威胁防护:如何防御针对性攻击和高级威胁?用户行为分析访问控制03.零信任模型和微分段零信任模型和微分段零信任模型包括始终验证访问任何资源(软件和基础设施)的风险级别。它在网络级别的采用可以实现与网络部分的安全级别一致的网络微分段。零信任模型打破了传统的边界安全方法,该方法假设在企业边界进行的活动是可信的,并响应新的连接场景并扩展到云边界和第三方活动。微分段的好处包括:阻止未经授权的横向移动-减缓攻击启用完整的流量可见性基于上下文/标签而不是IP地址的规则最大限度地缩短自动部署时间利用原生云基础设施功能(例如Azure网络安全组)利用为私有云数据中心实施的技术04.硬件安全模块硬件安全模块(HSM)是防篡改硬件设备,可生成密钥、加密和解密数据以及创建和验证数字签名以实施加密实践。混合架构(公共和本地)中的HSM管理使密钥管理模型成为整个组织安全级别的关键决策。
