本文分析了混合云架构下的安全风险,包括公有云厂商选择、私有云安全防护、服务器容器安全、数据安全、统一安全管理、运维通道安全和合规需求。建议企业根据业务需求选择具备合适安全服务的公有云厂商,构建私有云安全能力,并采用多阶段实施混合云安全解决方案,确保数据安全和合规性。同时,推荐使用统一的多云管理平台提高运维和安全管理效率。
01.混合云架构下的安全风险分析
1. 混合云架构下的安全风险分析
企业混合云环境,一般包括一个或多个公有云厂商以及自建的私有云平台,从信息安全风险管理角度来看,实施混合云涉及到IT基础架构和应用架构的重大变更,因此需要重新进行风险评估。混合云环境下需要考虑到的安全风险包括:
• 公有云厂商及其安全服务的选择
• 私有云安全防护能力建设
• 混合云环境下的服务器、容器、无服务器应用安全
• 混合云环境下的数据安全
• 统一的混合云安全管理和运营平台
• 统一的混合云运维管理通道
• 混合云环境下的安全合规需求
• 云原生安全产品的选择
1.1 公有云厂商及其安全服务的选择
1) 公有云厂商是否具备合适的认证资质
认证资质体现了公有云服务商自身在信息安全管理、云平台基础架构管理、安全运维和运营、用户个人信息保护、特定行业领域安全保障、灾难恢复和业务连续性管理及法律合规风险等方面的服务能力。
如果企业上云业务涉及到用户信用卡支付,则需要提供基础架构服务的公有云厂商具备PCI DSS认证资质;如果企业上云业务需要通过国家等级保护认证,则需要需要提供基础架构服务的公有云厂商具备不低于企业应用系统等保定级级别的网络安全等级保护资质。因此企业需根据自身单位性质,行业要求,业务模式和具体安全需求选择合适的公有云厂商。
公有云厂商申请的常见安全资质包括:ISO 20000(IT服务管理体系),ISO 27001认证(信息安全管理体系),ISO 22301(业务连续性管理),ISO 27017(云计算信息安全),ISO 27018(公有云个人身份信息安全防护),CSA STAR金牌认证(BSI+CSA云安全认证),ITSS(工信部云计算服务能力评估)(1级)网络安全等级保护(3级,4级),可信云服务认证资质等。
一般来说,公有云厂商拥有的资质种类多少,某种程度上表明其对云平台基础建设和保障、用户服务、信息安全和法律法规遵循性方面的重视,从而能够为云租户提供更好的运维和安全服务。
2) 公有云厂商是否能够提供企业需要的安全服务项目
不同公有云厂商由于战略目标和业务发展规划不同,在信息安全理念、安全团队、安全技术能力沉淀、安全软硬件产品线等方面也存在差别,因此对外提供的安全产品和安全服务内容也会不一样。如阿里云的IDaaS可以为混合云应用提供统一的身份认证和授权管理,腾讯云防病毒引擎服务可以对用户上传文件进行安全扫描等,但并非所有的公有云厂商均可提供类似的安全服务。
因此企业选择公有云厂商之前,应预先通过公有云厂商网站对其能够提供的安全产品和安全服务进行全面了解,并根据自身的业务安全风险、安全需求和安全技术经验,初步规划后续需要使用的安全产品和安全服务,对可能使用到的一些安全产品或安全服务内容存在疑问时,应积极和公有云厂商或其服务代理商进行深入沟通,比如支持的数据库类型,是否提供网络层的流量入侵检测服务,是否提供虚拟化补丁服务,是否提供统一的安全管理平台等,以便后续有需求时能够确保选择的公有云厂商可以提供需要的服务能力。
3) 公有云厂商安全服务协议和SLA是否满足自身安全需求
上云企业应仔细检查公有云厂商提供的各类安全服务协议和SLA内容,确认是否满足自身的安全基线、安全检查、安全审计、安全合规、事件处理、灾难恢复时的服务要求。
1.2 私有云安全防护能力建设
1) 私有云产品选型
国内私有云解决方案包括商业性质的VMware vCloud Suite产品 ,以及基于开源云计算管理平台Openstack进行二次开发的多家私有云厂商产品,如EaskStack,青云等。与此同时,不少公有云厂商也推出了自己的混合云解决方案,包括华为云Stack、阿里云Apsara Stack、腾讯云TCE、AWS Outposts、Azure Stack等,以帮助企业用户解决私有云产品选型,并可通过一致的产品和服务控制台统一管理企业混合云,同时进一步提升自己的公有云市场占比。
2) 如何构建私有云安全能力
企业自建私有云时,应同时考虑私有云平台的自身安全性以及可以提供给云租户的安全服务内容,私有云安全能力和私有云产品的最终选型紧密相关。
私有云安全体系建设包括整体网络架构设计、安全硬件设备部署、服务器硬件安全加固(安全引导技术如TPM,UEFI等)、网络设备安全、操作系统安全、通信安全、统一身份认证和授权、应用安全、中间件安全、存储和数据安全、API安全等多方面内容。如使用原生openstack自建私有云,可参考https://docs.openstack.org/security-guide/进行安全检查和安全加固,如使用第三方厂商的私有云解决方案,需要参考厂商提供的私有云平台安全要求进行检查和加固。
对于为租户提供的安全服务,使用openstack构建的私有云,可考虑集成一些安全开源软件(如pfsense,VeryN
最低0.47元/天 解锁文章
扫一扫
633
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
