首页>会议文档 >

青藤云安全 程度 - 云工作负载安全保护最佳实践

page:
青藤云安全 程度 - 云工作负载安全保护最佳实践
青藤云安全 程度 - 云工作负载安全保护最佳实践
青藤云安全 程度 - 云工作负载安全保护最佳实践
青藤云安全 程度 - 云工作负载安全保护最佳实践
青藤云安全 程度 - 云工作负载安全保护最佳实践
青藤云安全 程度 - 云工作负载安全保护最佳实践
青藤云安全 程度 - 云工作负载安全保护最佳实践
青藤云安全 程度 - 云工作负载安全保护最佳实践
青藤云安全 程度 - 云工作负载安全保护最佳实践
青藤云安全 程度 - 云工作负载安全保护最佳实践
青藤云安全 程度 - 云工作负载安全保护最佳实践
青藤云安全 程度 - 云工作负载安全保护最佳实践
青藤云安全 程度 - 云工作负载安全保护最佳实践
青藤云安全 程度 - 云工作负载安全保护最佳实践
青藤云安全 程度 - 云工作负载安全保护最佳实践
青藤云安全 程度 - 云工作负载安全保护最佳实践
青藤云安全 程度 - 云工作负载安全保护最佳实践

青藤云安全 程度 - 云工作负载安全保护最佳实践

所属会议:2017可信云大会会议地点:北京


下载

手机看
活动家APP客户端

扫二维码下载
或点击下载
Android iOS

3306次
浏览次数
2017可信云大会所有文档 北京中油瑞飞 孙杰 - 大型企业云化2.0的现状、思考与未来 广电总局 孙黎丽 - 广电云平台视频基础能力需求分析与测试评估 烽火通信 涂文杰 - 烽火FitDP容器解决方案 北京AA投资 王浩泽 - 企业服务的投资逻辑 GrowingIO 王硕 - Auto Scaling System for AWS 中国电信 王萧 - 中国电信政务云的探索与实践 中国信息通信研究院 王秀梅 - 云计算在医疗行业应用及医疗云可信选型标准发布 中联润通 肖力 - 大型OpenStack私有云运维项目角度实践 中国信息通信研究院 徐恩庆 - 政务云建设焦点分析和评价机制 映客直播 薛宁 - 映客直播调度系统实践 中国信息通信研究院 闫丹 - 《企业级SaaS服务调查报告(2017年)》发布 中国信息通信研究院 闫丹 - 可信云•企业级SaaS评估 中国信息通信研究院 闫丹 - 云计算在金融行业发展现状 浪潮云 颜亮 - 浪潮云 引领中国云浪潮 腾讯互娱 杨文兵 - 从0到1构建企业自动化运维系统的PaaS 人民在线 杨耀武 - 重要业务系统如何顺利上云 北京邮电大学 杨义先 - 《安全简史》之大数据隐私新视角 七牛云 袁晓沛 - 七牛容器云大规模线上实践 亚数信息科技翟新元 - 现代化的HTTPS运维 云栈科技 张春源 - 容器技术在地震系统中的实践 企事录 张广彬 - 超融合架构及其发展方向 乐视 张建蕊 - 多场景时代的视频云架构 网易云 张亮 - 使用容器应对业务快速迭代和大规模部署的运维挑战 思科 张亦安 - 思科HyperFlex,高性能省硬盘的超融合 中央国家机关政府 张智慧 - 政府采购软件及云计算服务相关政策介绍 思科 朱立新 - 网络 全智慧 全景洞悉 心想事成 中国通信标准化协会 代晓慧 - 可信云认证总体发展情况通报 迅达云 董伟 - 如何打造一款轻量级的在线教育视频解决方案 国家行政学院 杜庆昊 - 超融合应用实践与体会分享 UCloud 方勇 - 政务云建设的CBA演化 联通云数据公司 房秉毅 - 可信云端 与沃共建 中国信息通信研究院 封莎 - 云深不知处——云计算的数据安全能力构建 中国信息通信研究院 韩涵 - 政务大数据建设的推进思路 博彦科技衡跃辉 - 博彦科技之大数据时代下的混合云应用 中国信息通信研究院 姜春宇 - 大数据产品能力评测-赋能企业大数据能力建设 联通云 靳宏亮 - 云维护面临的挑战和机遇 百度云 李诚 - 公有云的安全产品体系建设 中国信息通信研究院 李海英 - 《网络安全法》与云安全 中国信息通信研究院 栗蔚 - 《中国公有云发展调查报告(2017)》 可信云评估观察 中国电信 刘杰 - 推动CDN联盟,共建大视频平台 恒丰银行 柳东 - 基于OpenStack构建金融云实践 随锐科技 罗庆欣 - 瞩目实时通信云架构 中国信息通信研究院 马飞 - 可信云•混合云解决方案评估方法 中国医学装备协会 孟为民 - IHE中国与医学装备信息交互集成规范 中国信息通信研究院 牛晓玲 - 可信云金牌运维专项评估 云安全联盟 钱晓斌 - CSA国际云安全标准暨云安全全球最佳实践 中国信息通信研究院 卿苏德 - 可信金融区块链测试的设计思路 中国信息通信研究院 曹峰 - 超融合发展趋势及云计算超融合架构可信评估情况通报 云智慧 曹国喜 - 云环境下端到端应用运维监控平台 中国信息通信研究院 陈凯 - 云分发评估标准(2017版)解读 UCloud 陈晓建 - 云汉灿烂,通向U Defined Cloud之路 中国信息通信研究院 陈屹力 - 可信云容器评估方法 Udesk 程俊来 - Udesk如何帮助企业的客服团队成功 青藤云 崔晶炜 - 网络安全趋势与金融行业云安全思考

文档介绍

我今天讲的是云工作负载安全的保护。因为云工作负载我也理解了很久,是这样子的,以前我在研究生期间是在航天五院实习过一段时间,有一位老师就告诉我,卫星和火箭还有这一些东西没有区别,底下的东西都是一样,只有上面的东西不一样。

演讲实录

我今天讲的是云工作负载安全的保护。因为云工作负载我也理解了很久,是这样子的,以前我在研究生期间是在航天五院实习过一段时间,有一位老师就告诉我,卫星和火箭还有这一些东西没有区别,底下的东西都是一样,只有上面的东西不一样。就是可以理解下面的东西就是火箭的工作负载,上面的就是载荷,它上面可以换成卫星、可以换成核弹头、可以换成导弹都可以。不管是飞向月球的也好,底下的推进系统都是一样,它就相当于工作负载。

大家可以看一下上面负载的各种类型,就相当于在工程领域这说法已经非常成熟了,这上面就叫工作载荷,这是有中国、有苏联,还有美国的这一些东西。其实打着最常见的一个例子,负载什么东西呢?相当于一个卡车它可以拉货的东西。在说到工作云工作负载,在国外我看了很多文章,因为我看的国外文章比较多。大家都说上云,中国人说话比较简约。什么叫上云其实一部分描述就叫MoCloud就相当于把你之前的业务工作负载上面,它这工作负载准确了一个英文解释在后面,就是相当于是支撑你业务的技术,因为这之前来说就是服务器,不可能把服务器搬到云上面,其实另外一个说法就是超融合所谓的。但实际上你不可能把服务器直接搬到云上,只能支撑你业务的技术这东西搬上云。再举一个例子做IT都知道,比如说电商的小网站,它怎么把以前电商的小网站在工作,它就有可能负载均衡,它有它的连接层、DB,它这每一块支撑电商的工作负载,它要把这一些东西搬到云上这就是所谓的工作负载。

因为这东西每一次跟所有人解释都是费力气,为什么云上的东西很重要,因为上云之后大家对安全的形态是有很大的变化,所以说扣上云的帽子,但是实际上云安全的本质没有变化,除了形态有变化,所以说云的形态发生变化一个最大的是什么呢?就是它的资源可控性非常大,而且它的边界变的非常模糊,就很多特点决定让它之前的安全做法是不适应现在云的环境,但是它的理念是一样的。

这就是云工作负载的模型这是IBM的东西,因为没有翻译。中间我画了一个圈地方就是核心的地方,1576这一些都是周边,你可以保护它工作负载正常运载的保护措施,它里面保护了三大块,第一块就是展现层,这个东西核心层,再下面就是Deploy,就是刚才我举的电商的网站小例子有点像。DE就引出来了这是翻译的,是一个独立的服务或者能力,运行在云计算的实例上。包括Docker、大数据Hadoop Role的就是每一个都是工作负载。

现在就说到怎么做工作负载的安全,现在云安全我觉得最核心的一个出发点就是认知到,要分清责任和角色。就是在可信云的时候,我跟工程师我们一块在做表的时候有发现一个问题,就是说这责任得划清楚,就是云厂商用公有云、私有云之后,这安全责任分的还是比较清楚的。就是云的公有云的运营商它会承担很大的一块安全的责任。还有另外一部分是你的使用者承担了这样一个角色,这个图就是这样一个意思。它这图是之前Laas、Paas、还有Ssas的,还有Delivery、Lisers的代码。就不需要什么Docker,就传上一个代码就运出来一个结构,你告诉我里面有几个人就立马高了,提供了一个计算能力,让你看不到实际的实体这样的一个东西。

就是说它这划分的意思是什么的?你看红的就是说CSP,就是它应该承担的角色是什么,它给你服务的越底层你的责任就越高,如果提供的服务越上层,你承担的安全责任就越低于比如说你自己技术比较强,你就会说我就买它的一个云储机上面的业务中间键什么的东西,我都自己。它从Iaas往下的问题全是自己承揽,包括供电、制冷的。但是再往上的一直到业务上所有的东西全部都是你应该负责的。

再一个上面最极端的比如说中国有一些厂商做CIM这标准,因为Saas标杆性比较强,它就相当于直接提供到点,这样的话你就不需要对服务做任何的安全需求,但是保证接入就行了,它里面的所有安全都是自己负责,中间的过程都是随着提供服务的不同,承担的安全责任是划开,你应该承担什么安全责任,它应该承担什么责任,这是考虑安全一个出发点。我不知道为什么在标准领域会提到,但是在厂商是不会提,应该对于客户来说它应该庆祝这东西,一定要划清楚是厂商提供到责任提到什么位置。说到底就是要对工作负载负责。因为不管怎么样都是相当于是你自己的对你自己的工作负载负责。我现在就是讲几个工作负载,第一个就是,你不能保护你看不到的东西,因为我遇到很多自己的客户,就是他不知道他现在多少服务器,他自己预估都不准,比如说比较落后的文档,他不知道他有多少服务器,装了多少软件他完全不清楚,如果不清楚的情况下你如何保护它,我觉得最核心的一点就是不能保护看不见的东西,首先第一点就是资产清点和资产发现。你有哪一些window服务器。第二点就是做好IAM机制,最好的就是最小权限原则,大家说的都挺好,有个叫权限爬升的问题,或者说其他地方都是要处理,它不会有剥夺的过程,大部分人都是这么做,所以都是要把做的更严格一些,不管是离职还是转岗,很多时候Iaas权限离职很就还可以操作这就很危险,需要帐号管理、权限管理还有OTP二次认证这种东西。

还有就是加入自动化安全机制,为什么这么说?这并不是说现在的噱头,但是云计算起来之后虚拟化大家都知道,但是它其实最重要的另外一个特点提到编排,比如说我想申请一个资源,要像以前的话填一个工单申请一个服务器人工处理,但是现在云服务器都是自助服务,我只要申请服务器立马就过来了,就是里面的那一套流程是非常自动化。导致我们要做安全的时候也必须得有安全化的机制做配合才可以,所以叫Dev SecOps,但是你要跟这种云的方式去思要吻合必须是使用安全的流程自动化才可以。建议使用脚本,或者自动化的安全产品,而不是按手动配其实不符合云的安全形式。

应该是No Patch策略,并不是给系统打补丁这什么意思?因为我经常遇到的一个问题,就是线上的时候系统从来不关,关了之后就在线上打补丁。除了把这服务停一下重启。其实在国外的很多比较严格的金融机构或者政府机构,他们打补丁怎么打?他们打补丁就是业务正常运行没问题,在镜像上打补丁作为测试测试完了之后没问题,直接把服务下架,把镜像直接上线,就是给线上打补丁,应该是Nopatch,就是线上生产的地方打补丁,只是挪下来,全都是这种策略,就是保证了它的服务完整性或者可靠性。一旦发生它里面有一丁点的问题那就是有问题,因为我一起来镜像章就是这样的。它就是使用最新的镜像应用,持续进行漏洞扫描。这就是整个的流程。

这一点就是VPC,之前炒的也挺热国内的几家运营商做的挺好,相当于VPN五+NAME的隔离,就是网络层加密的手段。这一点就是微隔离这在国外炒的比较火,相当于是利用了一些主机层面的防火墙,并不是盒子的方式。这是一个单独的品类,因为在服务端领域的话按理说这业务非常稳定、非常不可变的,你不可能在服务端装很多,你自己改进,只能在PC端做这事情。你看底下的运维习惯,再往上是越来越不重要配置、隔离。

然后就是静态数据加密,也不能做到百分之百,就是你自己存储的时候,要注意有这东西,要选择自己云上的时候一定要加密。这一点就是应用安全,应用安全就是相对熟悉了一些,比如说有一些WAF、 DNS、DHCP会有一些考虑。

就是说一定要采用云化的产品,为什么这么说呢?因为之前的一些合作方面的东西,你要采用云化不能直接搬过去,你看现在的传播厂商已经看到这趋势都在虚拟化,证明它之前的合作X86的结构就是镜像还有上面的软件做什么,因为它的业务上云、它的安全没有上云这是不可以接受,因为这中间的图片就是云化的保留项目,现在就是找一个封闭的小空间,就跟表演行为意识的就是把盒子砸了,就是大家一定上云的时候考虑这一点,如果是传统厂商他没有做云化的产品,其实对你的云安全没有保障的。

好,我今天的分享就到这儿,谢谢。

×

打开微信扫一扫,分享到朋友圈