今年5月1日公安部釋出的等級保護2.0标準中明确提出了對雲安全的防護要求。本期主要從保障雲平台安全和雲租戶安全2個層面剖析雲安全整體解決方案。
無論公有雲、私有雲、行業雲、政務雲的雲安全防護,都是從雲平台和雲租戶2個次元來實作的。首先雲服務提供商若要保證雲平台的安全就要按照前面幾期推文中提到的,在資料中心網絡中在對應區域部署對應的安全裝置,如運維管理區域部署漏掃、堡壘機、資料庫審計,在WEB伺服器區域部署WAF、網頁防篡改、防火牆、主機加強等,在網際網路出口區域部署抗D、異構防火牆、IPS、IDS等,通過一系列安全裝置組合而成的安全防護矩陣來實作雲平台的安全防護。
在保證雲平台安全的同時租戶安全也是必選項,如租戶購買雲伺服器後還要訂購相應的安全服務目錄,來保證租戶層面的安全性。在安全服務目錄中主要包含虛拟化安全裝置,如V-FW、V-WAF、V-IPS、V-IDS、V-堡壘機、V-資料庫審計等,訂購相應的安全服務目錄後使用者流量會按照租戶要求有SDN控制器下發的轉發流表,進入相應的虛拟化安全裝置中保障租戶層面的安全。
保障租戶安全主要從租戶南北向安全、租戶東西向安全、租戶運維安全、應用開發安全4個次元綜合考慮,上文提到的安全服務目錄主要是保障東西向流量安全,租戶流量要進出資料中心,在南北向安全上可以通過部署南北向防火牆、負載均衡、網絡防病毒等多種安全防護手段進行南北向流量的安全防護。租戶運維安全主要是隻客戶可以在雲端運維管理自己的VPC(虛拟私有雲),傳統網絡有的運維管理裝置此處都有,隻是這裡的運維管理裝置以虛拟化的形式提供給租戶。租戶在購買的雲伺服器上可以進行相關的應用開發,這個過程中關鍵資料的安全性,如可以通過部署身份認證、資料加密、黑盒漏掃等保證應用開發安全。
按照等級保護2.0标準要求,通過雲平台安全和雲租戶安全的安全部署可以滿足等保要求和行業最佳實踐。
希望本文可以讓各位對雲安全解決方案有更加清晰的認識,溫馨提示:如果您覺得本文對您有幫助,請在右下角點選“在看”,并歡迎關注我的微信公衆号:“ICT售前新說”。