クラウドコンピューティングは傾向は、IDCの統計分析によると2016年に注目されます。
わずか3%の2015-- 2020間の全IT市場化合物の成長率
19%のグローバルパブリッククラウド市場の複合成長率
クラウドを信頼できる中国企業の74%
企業の62%は、専門家チームの固有の利点と防衛、安定したプラットフォームに基づいて、その雲を、信じています。
そのため、主要なクラウド・ベンダーの開発とプラットフォーム、ローカルコンピュータルームからクラウド上でアプリケーションを移行しようとしているより多くの企業を曇らせます。
ちょうど45年前、パブリッククラウドが国内市場に登場すると、企業の大半は様子見の状態を維持しています。結局のところ、情報技術の急速な発展、今日は、データはビジネスの生命線です。伝統的な経営者が安心して病気に抱いようにパブリッククラウド上のデータを、。しかし、近年のエンタープライズアプリケーションに水をテストし、徐々により多くのビジネスマネージャがパブリッククラウドを信じて、データをより安全になることを可能にするクラウドと。
クライアントとの最近のチャットでは、彼女は奇妙なアイデアを発見し、顧客が質問を:
今ではない、すべての雲は、宣伝は、なぜ我々はセキュリティ製品を購入する必要がない、独自のパブリッククラウド広告時間でそれを確保するためであるベンダー???
実際には、理解に差がある、クラウド、パブリッククラウドは安全性と信頼性であると一般に呼ばメーカーが、実際には、私はほとんどの時間は、私たちのローカルコンピュータ室に対して時間的に参照すると思います。
彼らは今、テナントのSaaS形式に作られた物理的な状態をサポートするために必要なリソースを持っていたので、私たちは、サーバやクラウドに保存されたデータの安全性と信頼性です置きます。大手メーカー体調の巨大な雲が、当然のことながら、ローカライズされた小さな部屋の安定性よりも高くなる一方、実際には、リスクは、主要なクラウド部屋体調のメーカーに依存します。
国立インターネット救急センター8月の13リリース「2019年の前半、中国のインターネットのネットワークセキュリティ状況は、」 2019年の前半には、さらに2018年に比べて状況を悪化させるネットワークセキュリティインシデントの私たちのクラウドプラットフォームで発生しました。
主流のネットワークセキュリティインシデントのすべての種類の当社のクラウドプラットフォームでデータ、テイク場所を監視国家インターネット応急センターによると数を占めているが、DDoS攻撃は、クラウドプラットフォーム上で攻撃被った、高いままで、口座数は倍の内部に69.6パーセントの攻撃のターゲットは、注入されましたリンクの数がドアをバックリンクのすべて移植されるバックドア数の63.1パーセントの領土を占め、国土の62.5%を改ざんするページ数は、ページ数が改ざんされています。
当社のアプリケーションシステムは、部屋内のローカルまたはパブリッククラウドかどうか、実際には、リスクが同じ面です。私たちは、パブリッククラウド上のアプリケーションを入れてちょうどその時、我々は簡単に私たちのSaaSアプリケーションに直接クラウドセキュリティ製品を提供するために、大手メーカーの使用を指示することができ、環境を守るために自分自身を準備し、自分自身の安全のボックスを購入する必要はありません保護のために。
私たちのアプリケーションは、どのようなリスクに直面するだろうか?
図から導入された寸法は、我々は明らかにアプリケーションシステムのリスクが4次元に分割して直面することができます。すなわち:ネットワークセキュリティ、ビジネスセキュリティ、ホストセキュリティ、APPのセキュリティ。我々のアプリケーションは、B / Sのアーキテクチャであれば実際には、我々はローカルコンピュータ室、またはパブリッククラウド上のアプリケーションに適用され、すべてが私たちのアプリケーションであるかどうかのリスク、これらの4つのカテゴリが、当然のことながら、顔に必要な、 APPは、セキュリティ上のリスクを持っていません。
過去の経験に基づいて、我々はオンラインの隣の部屋、我々はハードウェアボックスの範囲を購入し、私たちのローカルネットワーク、サーバーアップし、使用してこれらのセキュリティハードウェアボックスの組み合わせができることを知っている、セキュリティ保護する役割を果たしました。だから私たちはより良い保護のためにクラウド上のアプリケーションを許可するために最低限の設定を必要とするものを上記の当社のパブリッククラウド環境では?
それ以降は、我々はセキュリティアプリケーションを保護するためのセキュリティ対策を採用する必要があるものを、より直感的に導入反映させるためには、私は彼のアシスタントに次の簡単な例を使用し、アーキテクチャの図について説明します。
1.ホストレベル
ウイルス対策ソフトウェア:公式サイトサーバーに、例えば(アーキテクチャ図の右下隅に)、サーバー上のウイルス対策ソフトウェアをインストールする必要があります。一般的なクラウド・ベンダーは、自社開発のウイルス対策ソフトウェアを持っています。クラウドアンチウイルスソフトウェアメーカーは、従来のウイルス対策ソフトウェアの機能よりも強くなります。アンチウイルス機能に加えて、一般的に、また、脆弱性スキャンと修復、サーバーのセキュリティベースラインスキャン、資産管理などの機能が含まれます。ホストレベルからより良い保護システム。
クラウドデータベース監査は:記録とアラーム用のデータベース、データベースオペレーショナルリスク行動およびその他のリスク操作のためにSQLを注入することができます。サポートクラウドデータベース、クラウドデータベース診断、メンテナンスおよび管理機能のためのセキュリティを提供するために、自作のデータベース。
2.ネットワークアクセスレベル
在架构图中从终端用户到应用访问的网络路径中,会先经过多个云安全产品从网络数据传输上对应用进行防护。此处,我们列举常用的三款云安全产品:
Web应用防火墙:
基于云安全大数据能力,有效防御各类OWASP常见Web attack并过滤海量恶意CC attack,实现网站防篡改,避免您的网站资产数据泄露,保障网站业务安全性与可用性。
DDoS防护:
有效防火DDoS attack,保护应用不受DDoS attack影响。
证书服务:
以最小的成本将您的服务从HTTP转换成HTTPS,实现网站的身份验证和数据加密传输。
3. 运维安全管理层面
这一个防范措施往往是用户容易忽略的,甚至很多用户会认为,这些防护手段在传统IDC机房惯用的防护手段,在云环境中没有必要去做,其实这是对云上运维工作错误的理解。上云后解决的是我们对物理环境的运维,以及减轻大量的手工运维工作。
堡垒机:
集中了运维身份鉴别、账号管控、系统操作审计等多种功能。基于协议正向代理实现,通过正向代理可实现对SSH、Windows远程桌面、SFTP等常见运维协议的数据流进行全程记录,再通过协议数据流重组的方式进行录像回放,达到运维审计的目的。
安全加固:
通过堡垒机,对包括了操作系统、数据库、中间件等的安全参数、日志审计、账号审计、登录审计等进行配置
漏洞修复:
通过堡垒机,对包括操作系统、数据库、中间件、应用等的漏洞进行修复。
子网划分:
通过不同的子网,规范云资源的管理工作,对云资源进行访问控制。
总结上述三种安全保护措施,当我们在公有云上发布应用时候,为了保障应用安全性以及合规性。我们最小需要配置的云安全产品应包括:杀毒软件、DDoS防护、Web应用防火墙、证书服务、数据库审计、堡垒机等云安全产品。同时还需要云服务器、数据库、中间件等资源进行安全加固和漏洞修复等运维工作。
作者:林伟栋
———— / END / ————
更多讨论
嘉为出席GOPS全球运维大会:运维巅峰时代,研运中台或是唯一选择
エラー:ネットワーク接続の問題?ネットワークの監視netstatコマンド接続してみてください!