隨著數(shù)字化轉(zhuǎn)型的深入,云計(jì)算已成為支撐業(yè)務(wù)創(chuàng)新和彈性擴(kuò)展的核心基礎(chǔ)設(shè)施。公有云、私有云、混合云及多云架構(gòu)的廣泛應(yīng)用,越來(lái)越多的關(guān)鍵業(yè)務(wù)系統(tǒng)和敏感數(shù)據(jù)向云端遷移,云安全也因此成為業(yè)界關(guān)注的焦點(diǎn),主要挑戰(zhàn)包括:
1、業(yè)務(wù)數(shù)據(jù)高度集中在云平臺(tái),極易成為勒索攻擊、APT攻擊或大規(guī)模數(shù)據(jù)竊取的目標(biāo),可能導(dǎo)致服務(wù)中斷、數(shù)據(jù)損毀或大規(guī)模泄露等
2、云環(huán)境普遍采用虛擬化、容器化等新技術(shù),傳統(tǒng)依賴物理邊界的靜態(tài)防護(hù)模式不再適用,需要應(yīng)用更為靈活和精細(xì)的防護(hù)措施
3、云上數(shù)據(jù)流動(dòng)頻繁且路徑復(fù)雜,訪問(wèn)方式多種多樣,數(shù)據(jù)泄露風(fēng)險(xiǎn)難以有效識(shí)別與管控
針對(duì)云平臺(tái)數(shù)據(jù)面臨的數(shù)據(jù)安全風(fēng)險(xiǎn),建立數(shù)據(jù)全生命周期的監(jiān)控與防御體系。通過(guò)定期開(kāi)展云上資產(chǎn)數(shù)據(jù)安全漏洞掃描,及時(shí)發(fā)現(xiàn)配置錯(cuò)誤、未授權(quán)訪問(wèn)、弱口令等安全隱患;對(duì)數(shù)據(jù)庫(kù)進(jìn)行統(tǒng)一監(jiān)控,直觀展示數(shù)據(jù)庫(kù)運(yùn)行的健康狀態(tài);嚴(yán)格落實(shí)基于最小權(quán)限原則的細(xì)粒度訪問(wèn)控制機(jī)制,結(jié)合身份認(rèn)證與行為審計(jì),防止內(nèi)部濫用; 針對(duì)數(shù)據(jù)共享外發(fā)以及實(shí)時(shí)訪問(wèn)的場(chǎng)景,實(shí)現(xiàn)敏感數(shù)據(jù)脫敏。
1、對(duì)內(nèi)外部人員的訪問(wèn)權(quán)限進(jìn)行控制,結(jié)合操作行為審計(jì)告警,有效防范高危操作風(fēng)險(xiǎn)
2、在開(kāi)發(fā)測(cè)試、數(shù)據(jù)分析過(guò)程中,針對(duì)敏感數(shù)據(jù)在數(shù)據(jù)共享前進(jìn)行脫敏處理,嵌入可追溯的水印標(biāo)識(shí),防止數(shù)據(jù)共享流轉(zhuǎn)過(guò)程中被非法獲取
3、業(yè)務(wù)人員實(shí)時(shí)訪問(wèn)云上數(shù)據(jù)庫(kù)或應(yīng)用系統(tǒng)進(jìn)行報(bào)表查詢、客戶服務(wù)等場(chǎng)景下實(shí)時(shí)脫敏數(shù)據(jù),確保數(shù)據(jù)在使用過(guò)程中不暴露明文信息,降低數(shù)據(jù)泄露風(fēng)險(xiǎn)
4、通過(guò)漏洞掃描和狀態(tài)監(jiān)控,全面展示數(shù)據(jù)庫(kù)的安全漏洞和運(yùn)行狀態(tài),為運(yùn)維人員核查脆弱性修復(fù)情況和規(guī)劃擴(kuò)容提供數(shù)據(jù)支撐
不同云租戶提供權(quán)限分離策略,確保各租戶之間的權(quán)責(zé)完全分離
支持VMware vCloud、Openstack、KVM、RHEV、Hyper-V、CloudStack等
采用與云平臺(tái)解耦的獨(dú)立架構(gòu),由用戶自主管控安全日志,確保安全防護(hù)結(jié)果的客觀中立性。支持安全能力單元的自主維護(hù)、升級(jí)
題-4.jpg)
