摘要:如果把雲安全比作“冰山”,不僅要關注冰山上的“安全服務和特性”,還要關注冰山下各種基礎安全建設。
本文分享自華爲雲社區《深入原生冰山安全體系,詳解華爲雲安全服務如何構築全棧安全》,原文作者: 華爲雲社區精選。
近年來,隨着全球網絡空間快速發展,高危漏洞、大流量DDoS攻擊、數據泄露事件頻發。在高速變化的網絡威脅態勢中,僅僅依靠對漏洞的補救,或針對已知遠遠不夠了,新的威脅還在不斷湧現。企業客戶在數字化轉型和上雲過程中,需要系統化構建安全體系以應對新的安全挑戰。
如果把雲安全比作“冰山”,那雲安全服務及雲服務的安全特性屬於“冰山”上的可見部分。而“冰山”下90%部分的安全能力,往往不爲人所知,但正是這“冰山”下的部分,承載着整個公有云的安全性。
華爲雲構築的原生冰山安全體系,通過四大能力:自主研發的安全服務,覆蓋全球的安全認證、覆蓋全球的安全保障能力和全生命週期的數據安全治理,幫助企業抵禦網絡攻擊,從複雜專業的安全工作中解放出來,快速、便捷地獲取到普惠、合規、高效的安全服務。(詳見《厚積薄發,華爲雲構築原生冰山安全體系,守護雲上安全》)。
華爲雲安全服務全解析
華爲雲基於20多年安全積累,自主研發的20+款雲安全服務是華爲雲冰山安全體系中,最重要的能力之一,通過安全服務將華爲安全能力共享給用戶,幫助用戶高效穩定地發展業務。
華爲雲安全服務覆蓋“保護雲工作負載、保護應用服務、保護數據資產、管理安全態勢、業務合規上雲”五大領域,,從計算層、網絡層、數據層再到安全管理層,積累了不同維度的雲安全經驗,形成了協同聯動的雲安全服務體系,爲用戶提供優秀實踐,構築全棧安全。
爲了更具象的理解,我們以典型的電商場景爲例,來詳細瞭解這五大安全服務是如何爲企業保駕護航的。
保護雲工作負載
計算機和網絡運轉的核心是數據,而數據的歸屬則是主機,這其中包括個人電腦、服務器以及一些大型的磁盤陣列。對企業而言,主機既是承載公司業務及內部運轉的底層平臺,也是承載企業數據和服務的核心,其穩定、安全地運行是公司正常運轉的前提保障。
例如電商在大促期間,會有數以萬計的用戶下單信息存儲在服務器中。如果沒有主機安全防護體系,黑客就可以利用密碼破解、社工攻擊或漏洞攻擊等手段入侵服務器數據庫,獲取大量數據資產。電商在被攻擊的過程中,業務會被中斷,大量惡意文件佔用系統資源,也會導致服務器不能正常運行,影響用戶的購買下單。
新時代的主機安全素養:防得住暴力破解、查得出挖礦木馬、守得住後門漏洞,不可或缺、一樣都不能少。華爲雲企業主機安全(HSS)以服務器貼身安全管家的身份,實現病毒木馬查殺、漏洞一鍵修復、入侵檢測、防勒索等安全防護保障。其旗艦版及網頁防篡改版,還增加反彈Shell、高危命令執行、自啓動檢測等能力,防止網頁被篡改,有效應對APT攻擊等高級威脅,全方位爲雲上企業保駕護航。
很多企業會在多個雲平臺部署業務,一來享受不同雲廠商的產品和服務優勢;二來分散和減少業務系統風險。但多雲部署也會帶來主機安全管理難度陡增的難題。蘑菇街讓你更美麗,華爲雲讓蘑菇街更安全,蘑菇街通過華爲雲HSS實現了對多雲平臺主機的統一安全防護和管理,安全管理效率提升了3倍。同時,蘑菇街安全團隊豐富的安全實戰經驗結合華爲雲HSS強大的入侵檢測能力,提升了蘑菇街的安全防護等級。
除了要防護外部的安全問題,對於企業內部的身份、權限和資產等IT運維安全問題,同樣也要時刻關注。有調查顯示,有超過半數的企業網絡安全事件並非是因爲外部攻擊所導致,而是由於企業內部的不安全、不合規運維操作所造成的。
堡壘機在企業安全運維內需和法律合規的雙要求下,成爲每個企業都需要的安全產品。華爲雲堡壘機無須安裝部署,一站式運維和安全管理,降低企業運維成本;實時記錄所有操作和日誌,並提供實時監控、錄屏和回放等功能,便於事後審計和取證;同時產品安全合規,三大特點讓雲堡壘機成爲企業必備的安全運維爆品。
保護應用服務
許多企業的關鍵業務依賴於Web應用,而互聯網75%的攻擊都集中在應用層。以電商來說,在618、雙11期間經常會發布秒殺活動應用頁面,一些不法攻擊者會藉助代理服務器生成指向受害主機的合法請求,對Web服務器進行大量訪問請求,導致正常用戶無法正常訪問。最終就會出現秒殺活動一開始,頁面就 404無法訪問的現象。
網頁被篡改,訪問被釣魚、一做活動就宕機…其實,這些背後都是因爲Web應用的防護沒有做到位。
針對Web應用防護,Web應用防火牆可用於常見攻擊的檢測和阻斷,支持識別並阻攔常見的Web攻擊。幫助用戶應對網站入侵、漏洞利用、網頁篡改、後門植入、CC攻擊等安全問題,爲企業Web業務安全運營保駕護航。
以華爲雲的Web應用防火牆爲例,它首先分析Web攻擊行爲,對具體業務場景設置動態防護,智能防禦CC功能在第一時間開啓。在不斷對抗的過程中,基於靈活的自定義策略配置,摸清黑產的攻擊策略,從而進行抵禦。同時幫助客戶梳理清楚業務邏輯,爲業務調整優化提供依據。小心!網站遭遇Web攻擊!謹防數據泄露,網頁篡改!中通過漫畫的方式,形象的展示了華爲雲Web應用防火牆是如何幫助用戶應對網站入侵、漏洞利用、網頁篡改、後門植入、CC攻擊等安全問題,爲企業Web業務安全運營保駕護航。
不僅如此,電商平臺往往還會遭受惡意競爭者或黑客利用大量“受控主機”發出惡意攻擊,導致平臺網站無法訪問導致業務中斷,帶來的經濟損失以及客戶流失。大規模網絡攻擊隨時到來,中槍了咋整?華爲雲DDoS高防服務幫您輕鬆解決!除了這些能夠防護外部攻擊的安全保障,企業還需要漏洞掃描,自動發現網站或服務器在網絡中的安全風險,爲雲上業務提供多維度的安全檢測服務,讓安全弱點無所遁形保護數據資產。
我們都知道,數據是企業的核心信息,數據存儲的關鍵位置仍然在數據庫中。而現狀則是,大量互聯互通的企業環境中,數據庫普遍缺乏有效安全防護。一些不法分子會利用拖庫洗庫撞庫的方式攻擊數據庫盜取信息。
我們知道電商企業的數據不僅包含商品信息,還有大量的註冊用戶、用戶行爲等相關隱私數據。數據隱私需要存儲和流通,但是不能“裸奔”。
數據金礦如何守?雲上數據可以通過密鑰技術、新算法和加密算法等身份驗證手段來保護數據隱私,同時對數據本身增強了保護。數據傳輸、存儲及處理的各個階段對數據進行加密,利用雲技術對信息進行處理,實現信息隱蔽,保護用戶數據安全。
爲保障雲上數據庫的安全,我們可以基於反向代理及機器學習機制,進行敏感數據監測、數據脫敏、數據庫審計和防注入攻擊,詳細可以瞭解數據庫安全服務(Database Security Service,DBSS)。
如果擔憂數據泄露,數據加密服務(Data Encryption Workshop, DEW)可以爲你快速解決這個難題,提供專屬加密、密鑰管理、密鑰對管理功能,讓你免除數據泄露憂愁。
不僅如此,在釣魚網站氾濫的今天,企業還需要防止網站被仿冒、被篡改,而引發用戶的信息數據被盜竊,對用戶造成經濟上的損失。
管理安全態勢
在企業的日常安全運維工作中,各種安全產品每日會產生海量的威脅告警,需要花費大量人力去人工排查真實威脅和誤報,時間久了會產生“狼來了”的效果。如何能夠真正知道什麼人在攻擊你、攻擊的全局態勢是什麼樣的,甚至要能根據現有信息預測出來攻擊者可能的行動方向,成爲企業安全防護的重點工作。
態勢感知就是對能夠引起用戶雲上系統的安全態勢發生變化的所有安全要素進行獲取、理解以及預測未來的發展趨勢,並通過可視化技術呈現出來,爲安全防護行動提供決策。它擁有感知、理解、預測、呈現、決策等四大核心點。
擔心未知風險,決策錯誤?態勢感知讓安全運維不再摸黑!態勢感知基於大數據安全分析能力,彙總和關聯分析了雲中資產、日誌、告警等多維度的信息,改變過去運維人員淹沒在海量數據中的窘境,最終降低主動發現安全威脅的時間。並且,可視化的態勢感知的大屏,就像一個作戰指揮中心,能夠呈現全局視角的網絡安全的防護水平和短板,對於管理層衡量安全投資價值及決策具有重要指導意義。
基於態勢感知,電商企業就可以清楚的瞭解到雲上攻擊從哪兒來,如何防,資產安全態勢如何?讓企業輕鬆感知現在,預知未來!
除了態勢感知,堪稱雲上風險“聽診器”的華爲雲威脅檢測服務(MTD)可以持續監控惡意活動和未經授權的行爲,補足其他服務檢測能力,第一時間識別風險,規避由潛在威脅造成的安全事件,幫助企業提升安全運營效率,保障業務的連續性。
業務合規上雲
當然,除了網絡安全和業務安全需要得到保障,對於電商企業而言,最好的安全保護是制度保護。早在2017年6月,《中華人民共和國網絡安全法》就正式實施,等級保護制度也成爲國家網絡安全的基本制度。2019年,等保2.0提出新的技術要求和管理要求,強調“一箇中心,三重防護”,企業在安全防護體系建設、風險評估和管理上需要更加全面。
爲此,華爲云爲客戶提供了等保安全(DJC)解決方案,幫助企業提升安全防護能力,滿足等保合規要求。過等保其實不難,找對幫手很重要!在服務客戶之前,華爲雲所有大區都通過等保3級,部分安全性要求高的大區、節點過等保4級,爲用戶順利、高分過等保打下基礎。爲了讓用戶更省心省事,華爲雲更是以100%滿足等保條款要求部署的各類安全防護產品。
並且,結合華爲30年的安全經驗,華爲雲推出管理檢測與響應服務(MDR),以雲服務的形式,爲客戶建立由管理、技術與運維構成的安全風險管控體系,結合企業與機構業務的安全需求反饋和防控效果對用戶安全防護進行持續改進,幫助企業與機構實現對安全風險與安全事件的有效監控,並及時採取有效措施持續降低安全風險並消除安全事件帶來的損失。
爲了更好地幫助企業做好安全防護工作,開啓雲端安全模式。在華爲雲TechWave全球技術峯會安全專題日,華爲雲聚焦應用安全防護,發佈四大安全新品:安全智能分析平臺ISAP、威脅檢測 MTD、應用信任中心ATC和安全運營中心 SOC,爲企業的雲上安全防護再添新的武器。
雲原生時代下,無處不在的雲原生安全
隨着雲原生技術的成熟和市場需求的升級,雲計算的發展已步入新的階段——雲原生2.0時代。越來越多的企業及個人選擇使用雲原生技術來構建業務。企業在享受雲原生紅利的同時,也對安全防護有了更高的需求,因爲需更契合雲原生業務發展的安全服務。
作爲雲原生代表技術之一的容器,每個企業都應該對容器安全有所瞭解。雲原生2.0時代,企業都應該瞭解的容器安全,從容器與虛擬機的對比,爲我們介紹了容器更便攜和高效特點。華爲雲容器安全服務CGS構建了容器安全威脅縱深防禦體系,提供包括鏡像掃描、威脅檢測與威脅防護的一整套容器安全能力,提供針對容器的Build、Ship、Run全生命週期保護能力,滲透到整個容器DevOps流程,保證容器虛擬環境從開發到生產整個流程的安全。在2020可信雲大會上,經信通院嚴格檢測,49項安全能力全部過檢,華爲雲容器安全服務獲可信雲最高級的先進級認證。
不僅如此,在雲原生安全方面,華爲雲推出了CFW雲防火牆、DSC數據安全中心服務和ATC應用信任中心三款產品。
在華爲雲TechWave雲原生2.0專題日上,爲給企業業務提供多場景全流量防護,築牢網絡安全的第一道防線,華爲雲CFW雲防火牆正式發佈!華爲雲CFW雲防火牆作爲新一代雲原生防火牆,提供雲上互聯網邊界和VPC邊界的防護,兼具“極簡、智能、可視、開放”四大特點。
傳統的安全防護基於網絡邊界構建,但隨着雲計算和移動互聯網的興起,傳統網絡邊界逐漸模糊,基於網絡邊界的防禦理念難以適應雲環境下的需求。零信任“從不信任、永遠驗證”的理念應勢而起,即基於身份而非網絡位置來構建訪問控制體系。
華爲雲基於零信任理念,依託雲原生安全能力,對網絡隱身、自適應風險控制等關鍵技術進行創新,在安全運維、遠程接入等衆多場景進行大量實踐,讓應用更安全,華爲雲應用信任中心ATC正式公測。ATC服務是圍繞用戶應用打造的安全服務,通過構建應用安全威脅全景拓撲,實現細粒度訪問控制,滿足客戶對零信任訪問控制能力的需求。
在2021年6月,十三屆全國人大常委會第二十九次會議通過了《中華人民共和國數據安全法》(以下簡稱數據安全法),並將於9月1日起施行。數據是當今時代的金礦,保護數據安全更是企業的核心訴求。企業用雲數字化轉型的同時,如何保障企業數據資產的全生命週期安全?
今天雲上的數據安全能力其實一直是分散在各個服務之中,例如VPN、安全組、SSL證書以及諸如ECS、RDS、OBS等集成的加密能力。數據安全是一個管道,整體的安全能力是由每個階段的安全能力共同組成的,換言之,如果某一個階段做的很強,而另一個階段沒有任何保護措施,那麼對於整體數據安全狀態來說也是於事無補。企業缺少一個對整體安全能力審視統一視角,這個時候企業就需要一名數據資產“貼身守衛”——數據安全中心。
作爲2019年9月份開始內測,2020年年底正式推出的雲原生華爲雲數據安全中心服務。該服務能夠提供數據分級分類、數據安全風險識別、數據水印溯源和數據脫敏等基礎數據安全能力,通過構建數據安全統一入口,圍繞數據全生命週期,幫助用戶實現雲上數據安全可視化管理服務。而且還能夠爲企業提供數據資產的全生命週期全景圖,讓客戶清楚知道自己的數據從哪裏來、到哪裏去、有無安全問題。保障雲上數據在產生、採集、傳輸、存儲、使用、交換、銷燬各階段的安全。真正的幫助企業做到:數據安全中心在手,保護數據方案都有。
最後
安全是個需要持續投入、持續演進、持續提升的系統性工程,不積跬步無以至千里。新興技術高速發展的同時也帶了未知安全威脅的頻發,華爲雲安全繼承華爲20多年的安全能力積累,逐步打造完善雲安全服務矩陣,構築全棧安全防線,在雲原生時代幫助客戶高效安全地上雲。