企业遭遇勒索病毒,关键数据和文件信息被锁定,动辄被攻击者勒索成百上千万赎金。在云计算大规模应用之前,企业可能会选择“乖乖”交纳赎金取回数据。
但在云计算普及之后,企业的业务和数据迁移到云上,被锁定的文件则可利用CDP恢复到锁定之前的任意版本,有效降低企业损失。
可见云计算的应用有利于提升安全,而安全发展也将助力云计算行稳致远,二者相互融合相互促进,才能更好地推动各行各业走向数字经济新时代。
△ 天融信科技集团高级副总裁毕学尧
天融信科技集团高级副总裁毕学尧用上述例子对FreeBuf阐述云计算的应用场景之一。云计算作为近十年发展最快的技术之一,经历了多个发展历程。毕学尧认为,随着信息基础设施的迭代和云原生技术的应用,
企业数字化转型和上云需求日渐迫切,但不同类型和规模的企业上云前后面临的问题不同。
政府单位和特大型企业对云的规模要求更高,更加关注云服务商的专业能力、产品性能和业务安全。中小规模企事业单位更看重性价比,简化建设和运维,特别是云计算和安全一体化交付。
不同的企业需要不同的云计算服务,催生出不同的云产品甚至融合产品。毕学尧表示,天融信的网络安全产品已完成云化,可以保障云内外的安全。同时,天融信还利用自身在网络安全领域的深厚积累,将安全和云结合,在融合架构下提供集成
虚拟服务器、分布式存储、SDN网络、云桌面、容器、微服务等 多种能力的云计算平台。
一、云计算的五大趋势
公有云、私有云、混合云、云原生、云安全等等,都是当下行业内应用最广、关注度最高的热词。毕学尧分析,多云管理、国产化、超融合、云原生和安全合规是云计算发展的五大趋势。当下的企业大多数都同时使用公有云和私有云,由于业务规模庞大,混合云的体量也越来越大,随之带来的挑战是基础设施异构环境的管理越来越复杂。他表示,
在多云环境下简化集中管理和多云治理是行业重要的发展趋势之一 。
第二是 **国产化趋势
。**从底层上来说,无论是硬件还是操作系统、数据库都在走国产化路线,云计算的发展同样也呈现国产化趋势。毕学尧表示,天融信的太行云也在积极开展国产化生态建设,推进与国产软硬件产品的适配工作,目前已经取得
六十多项兼容性认证
,并且针对企业越来越多的国产化硬件适配国产化软件需求,天融信在产品交付上,既可以单独软件交付,也可软硬件一体化交付,实现了便捷、灵活的交付模式。
第三是 超融合架构趋势 。
超融合架构利用软件定义的技术,将计算、存储、网络等整合成一个易于管理的集成系统,实现IT基础架构的真正融合,为云计算数据中心的实施和部署扫清障碍,有力推动私有云和混合云的发展。毕学尧举例道,存储和云桌面结合可以更好地满足用户的数据安全性需求,还可以使桌面管理更加智能化。
第四是 云原生趋势 。
有别于上述私有云和混合云的超融合趋势,云原生强调为云而生,充分发挥云平台的弹性和分布式优势。毕学尧举例道,部分应用从开发环节就建立在云平台上,例如:北京健康宝就是基于PaaS云平台开发的应用,充分利用云平台的高弹性特点支撑海量用户的访问和查询。
第五是 **安全合规
。**随着2021年下半年《数据安全法》、《关键信息基础设施安全保护条例》、《个人信息保护法》等配套法规的陆续出台,在我国范围内安全合规越来越受重视,规定越来越细致,合规难度逐渐提升。
二、不同规模企业上云面临的问题和阻力
毕学尧介绍,政企单位对云的安全和可管理性要求较高,所以这类单位倾向于建设私有云,少数同时使用公有云服务。例如:铁路应用12306,为用户提供服务侧的入口使用公有云,内部的关键数据则存储在私有云。
中小企业更看重云服务的可用性、追求更高性价比的云服务,最好能做到开箱即用。其内部应用使用私有云,一些对互联网资源要求较高的业务会选择公有云。毕学尧举例道,服务商交付时把软件、硬件和安全能力统一组合打包,同时帮助企业跟进设计和实施,提供运维管理的支持文档,帮助中小企业实现快速上云和自主管理。
对政企行业大客户来说,推行云计算服务的阻力主要来自三方面, 一是应用迁移,二是安全性问题,三是多云管理。
毕学尧向FreeBuf解释,企业选择业务上云后会面临应用迁移问题。原先在各平台运行的应用, 上云之后能否像之前运行一样稳定可靠是一大挑战。
**安全性问题是第二个挑战
。**业务和应用迁移到云上,应用和数据安全性产生了分离,数据集中在云上,只能远程管理。在虚拟化的环境中,安全问题更为突出,一旦系统安全出问题,会影响更多同一集群的任务。再者,在多租户的云环境下,每个租户能否有安全远程管理的能力也是一大问题。
**第三个挑战是多云管理
。**企业可能同时使用公有云和私有云服务,企业能不能统一集中管理多云的使用,在保证数据安全的前提下进行弹性扩展、互联互通等操作都是亟待解决的问题。
对于中小企业来说,主要面临的三个问题是网络存储的规划设计、应用迁移、运维管理。
毕学尧介绍,中小企业上云 首先面临着规划设计问题 ,上云后如何规划网络存储、服务器选择等问题对企业的技术人员是挑战。
第二,应用迁移问题。 企业应用逐渐迁移到云端后,会面临数据库、性能等问题。基础设施更换以后,企业的IT技术人员需要重新适应学习。
第三,运维管理问题。
上云意味着软件化,软件定义的架构对运维管理人员来说学习难度较大,需要学习的新知识更多,但它实际也是对企业管理力度和能力的提升。
三、顺势而为,天融信的“云”化之路
思路转变:从防火墙到云安全
“天融信是做防火墙起家,自2000年起至今已连续21年国内防火墙市场占有率第一。但在IT基础设施变化以后,防火墙产品也需顺势而为。”
毕学尧举例,当业务上云之后,服务器上的若干虚拟服务器靠软件隔离,如果某一虚拟服务器被攻击,攻击者接着横向移动攻击其他服务器,硬件防火墙很难对云内进行防护。
为了让防火墙适应云资产防护,天融信开始 **启动云安全业务
,**让主力产品防火墙在东西向防护上发挥作用。“目前我们的防火墙安全防护能力可以应用到四至七层。”随后,毕学尧补充道,天融信还有硬件交付的安全资源池,为用户的本地化部署提供南北向的安全防护。
另外一个转变就是天融信开始考虑 将安全能力服务化
。“我们在自有云服务的基础上,开展远程安全服务,例如网站扫描、远程监控等,服务几十万量级的用户,算是对安全能力云化服务化的一个探索。”
再者,转变的原因之一还 **来自企业需求端的转变 。**天融信经过调研发现,有些中小企业希望将安全和云一体化交付,简化安全建设和云端运维。
毕学尧透露,当时计算虚拟化和网络虚拟化技术都已经比较成熟,但在融合架构中, **存储虚拟化是一个难点
。**早期做云计算的团队在存储部分都使用开源的解决方案,它的缺点是性能和灵活性比较差。随后,天融信开始组建开发团队,2019年推出了内置安全的超融合产品,2020年推出了云桌面产品,实现了多集群统一管理,随后又发布了企业云解决方案太行云1.0。2021年,天融信进一步推出了太行云2.0,新系统更强调
高性能、高可靠与高安全,为用户构建一套敏捷、开放、安全、云化的数字化创新平台。
天融信超融合产品将分布式存储和计算网络虚拟化结合,以软件定义数据中心,并通过统一管理平台实现可视化集中运维管理,具有非常广泛的适用性,其中云桌面是超融合产品最为普及的应用场景,据了解目前已广泛应用于政府、教育、医疗、企业和军工等领域。
值得一提的是,天融信在容器云方面与腾讯云展开深度合作,并联合打造了太行云数据中心一体机,其可提供集IaaS、PaaS为一体的综合私有云解决方案。
融合发展:云和安全成为“驱动双轮”
云上的安全包含两部分,一部分 集成的云安全 ,现有的安全产品在云上以虚拟化的形式继续发挥作用;另一部分是 **云原生安全能力
,**根植在云计算内部对底层系统进行安全保障和防护。
天融信针对云计算产品的关键模块做自主研发,避免使用开源。天融信于2006年推出国内首套自主知识产权安全操作系统TOS,2014年推出下一代安全操作系统NGTOS,多年来始终坚持自主创新。毕学尧认为,自主研发核心软件正是保障企业乃至国家信息安全的重要举措,实现了自主研发,系统的稳定性、安全性才会得到保障,才不会被卡脖子。目前天融信所有的安全产品都是在该操作系统的基础上进行研发,充分考虑用户的数据安全问题。
毕学尧表示,云和安全的关系,从产品和技术角度来看二者是融合发展,从广义上看则是“驱动双轮”。天融信用云来做安全,既可以用云计算提升网络安全能力、研发安全产品,又可以提供云安全服务。此外,云内的安全也是一大结合点,云平台和云原生框架需要和安全结合,不论是通过集成还是自研的方式,都需要配备完善的安全能力满足合规需求。
最后,毕学尧称,天融信将持续加大云计算领域的研发投入,为行业提供 更高效、更便捷、更安全 的云计算产品及解决方案。
通过集成还是自研的方式,都需要配备完善的安全能力满足合规需求。
最后,毕学尧称,天融信将持续加大云计算领域的研发投入,为行业提供 更高效、更便捷、更安全 的云计算产品及解决方案。
学习网络安全技术的方法无非三种:
第一种是报网络安全专业,现在叫网络空间安全专业,主要专业课程:程序设计、计算机组成原理原理、数据结构、操作系统原理、数据库系统、 计算机网络、人工智能、自然语言处理、社会计算、网络安全法律法规、网络安全、内容安全、数字取证、机器学习,多媒体技术,信息检索、舆情分析等。
第二种是自学,就是在网上找资源、找教程,或者是想办法认识一-些大佬,抱紧大腿,不过这种方法很耗时间,而且学习没有规划,可能很长一段时间感觉自己没有进步,容易劝退。
如果你对网络安全入门感兴趣,那么你需要的话可以点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!
第三种就是去找培训。
接下来,我会教你零基础入门快速入门上手网络安全。
网络安全入门到底是先学编程还是先学计算机基础?这是一个争议比较大的问题,有的人会建议先学编程,而有的人会建议先学计算机基础,其实这都是要学的。而且这些对学习网络安全来说非常重要。但是对于完全零基础的人来说又或者急于转行的人来说,学习编程或者计算机基础对他们来说都有一定的难度,并且花费时间太长。
第一阶段:基础准备 4周~6周
这个阶段是所有准备进入安全行业必学的部分,俗话说:基础不劳,地动山摇
第二阶段:web渗透
学习基础 时间:1周 ~ 2周:
① 了解基本概念:(SQL注入、XSS、上传、CSRF、一句话木马、等)为之后的WEB渗透测试打下基础。
② 查看一些论坛的一些Web渗透,学一学案例的思路,每一个站点都不一样,所以思路是主要的。
③ 学会提问的艺术,如果遇到不懂得要善于提问。
配置渗透环境 时间:3周 ~ 4周:
① 了解渗透测试常用的工具,例如(AWVS、SQLMAP、NMAP、BURP、中国菜刀等)。
② 下载这些工具无后门版本并且安装到计算机上。
③ 了解这些工具的使用场景,懂得基本的使用,推荐在Google上查找。
渗透实战操作 时间:约6周:
① 在网上搜索渗透实战案例,深入了解SQL注入、文件上传、解析漏洞等在实战中的使用。
② 自己搭建漏洞环境测试,推荐DWVA,SQLi-labs,Upload-labs,bWAPP。
③ 懂得渗透测试的阶段,每一个阶段需要做那些动作:例如PTES渗透测试执行标准。
④ 深入研究手工SQL注入,寻找绕过waf的方法,制作自己的脚本。
⑤ 研究文件上传的原理,如何进行截断、双重后缀欺骗(IIS、PHP)、解析漏洞利用(IIS、Nignix、Apache)等,参照:上传攻击框架。
⑥ 了解XSS形成原理和种类,在DWVA中进行实践,使用一个含有XSS漏洞的cms,安装安全狗等进行测试。
⑦ 了解一句话木马,并尝试编写过狗一句话。
⑧ 研究在Windows和Linux下的提升权限,Google关键词:提权
以上就是入门阶段
第三阶段:进阶
已经入门并且找到工作之后又该怎么进阶?详情看下图
给新手小白的入门建议:
新手入门学习最好还是从视频入手进行学习,视频的浅显易懂相比起晦涩的文字而言更容易吸收,这里我给大家准备了一套网络安全从入门到精通的视频学习资料包免费领取哦!
如果你对网络安全入门感兴趣,那么你需要的话可以点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!
1134
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
