隨著數(shù)字化轉(zhuǎn)型的深入,云計算已成為支撐業(yè)務(wù)創(chuàng)新和彈性擴展的核心基礎(chǔ)設(shè)施。公有云、私有云、混合云及多云架構(gòu)的廣泛應(yīng)用,越來越多的關(guān)鍵業(yè)務(wù)系統(tǒng)和敏感數(shù)據(jù)向云端遷移,云安全也因此成為業(yè)界關(guān)注的焦點,主要挑戰(zhàn)包括:
1、業(yè)務(wù)數(shù)據(jù)高度集中在云平臺,極易成為勒索攻擊、APT攻擊或大規(guī)模數(shù)據(jù)竊取的目標(biāo),可能導(dǎo)致服務(wù)中斷、數(shù)據(jù)損毀或大規(guī)模泄露等
2、云環(huán)境普遍采用虛擬化、容器化等新技術(shù),傳統(tǒng)依賴物理邊界的靜態(tài)防護(hù)模式不再適用,需要應(yīng)用更為靈活和精細(xì)的防護(hù)措施
3、云上數(shù)據(jù)流動頻繁且路徑復(fù)雜,訪問方式多種多樣,數(shù)據(jù)泄露風(fēng)險難以有效識別與管控
針對云平臺數(shù)據(jù)面臨的數(shù)據(jù)安全風(fēng)險,建立數(shù)據(jù)全生命周期的監(jiān)控與防御體系。通過定期開展云上資產(chǎn)數(shù)據(jù)安全漏洞掃描,及時發(fā)現(xiàn)配置錯誤、未授權(quán)訪問、弱口令等安全隱患;對數(shù)據(jù)庫進(jìn)行統(tǒng)一監(jiān)控,直觀展示數(shù)據(jù)庫運行的健康狀態(tài);嚴(yán)格落實基于最小權(quán)限原則的細(xì)粒度訪問控制機制,結(jié)合身份認(rèn)證與行為審計,防止內(nèi)部濫用; 針對數(shù)據(jù)共享外發(fā)以及實時訪問的場景,實現(xiàn)敏感數(shù)據(jù)脫敏。
1、對內(nèi)外部人員的訪問權(quán)限進(jìn)行控制,結(jié)合操作行為審計告警,有效防范高危操作風(fēng)險
2、在開發(fā)測試、數(shù)據(jù)分析過程中,針對敏感數(shù)據(jù)在數(shù)據(jù)共享前進(jìn)行脫敏處理,嵌入可追溯的水印標(biāo)識,防止數(shù)據(jù)共享流轉(zhuǎn)過程中被非法獲取
3、業(yè)務(wù)人員實時訪問云上數(shù)據(jù)庫或應(yīng)用系統(tǒng)進(jìn)行報表查詢、客戶服務(wù)等場景下實時脫敏數(shù)據(jù),確保數(shù)據(jù)在使用過程中不暴露明文信息,降低數(shù)據(jù)泄露風(fēng)險
4、通過漏洞掃描和狀態(tài)監(jiān)控,全面展示數(shù)據(jù)庫的安全漏洞和運行狀態(tài),為運維人員核查脆弱性修復(fù)情況和規(guī)劃擴容提供數(shù)據(jù)支撐
不同云租戶提供權(quán)限分離策略,確保各租戶之間的權(quán)責(zé)完全分離
支持VMware vCloud、Openstack、KVM、RHEV、Hyper-V、CloudStack等
采用與云平臺解耦的獨立架構(gòu),由用戶自主管控安全日志,確保安全防護(hù)結(jié)果的客觀中立性。支持安全能力單元的自主維護(hù)、升級
題-4.jpg)
