共有云的數(shù)據(jù)安全概述

1、共有云的數(shù)據(jù)安全概述技術(shù)創(chuàng)新 變革未來云里的數(shù)據(jù)是安全的咨詢的云安全最佳實踐云戰(zhàn)略在開始云之旅之前:1. 定義業(yè)務(wù)目標2. 梳理應(yīng)用和數(shù)據(jù)組合評估企業(yè)的運營和敏捷性成熟度和安全態(tài)勢評估當前運營（運行）上下文 和環(huán)境評估當前的敏捷性/自動化水平應(yīng)用 + 基礎(chǔ)架構(gòu) + 安全運營管理配置管理警告 / 事件 管理IT 服務(wù)目錄基礎(chǔ)架構(gòu) 自動化供應(yīng)應(yīng)用自動化發(fā)布管理安全服務(wù) 自動化云之旅方向:目標 IaaSAWS, 私有云, 混合云服務(wù)交付模式速度 & 步伐多速業(yè)務(wù)配套的多速IT目標運營模型人員, 流程, 技術(shù)云安全目標企業(yè)云之旅 哪里是起點?遷移到 公有云托管的服務(wù)或者 用公有云擴展企業(yè)的基礎(chǔ)架構(gòu)傳統(tǒng)

2、的場內(nèi)虛擬化基礎(chǔ)架構(gòu)應(yīng)用非關(guān)鍵應(yīng)用SAP DB, DWH基礎(chǔ)設(shè)施 & 應(yīng)用 托管的服務(wù)公有云IaaS建立安全的 IaaS 平臺可用性: 容錯, HA, 手動故障處理, 災(zāi)難恢復(fù) 機密行 & 完整性1應(yīng)用利用遷移工廠遷移應(yīng)用2基礎(chǔ)設(shè)施 & 應(yīng)用 公有云托管的服務(wù)在公有云上運行基礎(chǔ)設(shè)施和應(yīng)用3使用計量計量 成本分析抵消儀表盤服務(wù)管理SLA服務(wù)臺 配置 & 變更許可儀表臺監(jiān)控24*7 監(jiān)控服務(wù)器,操作系統(tǒng),存儲, 網(wǎng)絡(luò), 安全,備份,日志分析基礎(chǔ)設(shè)施管理鏡像設(shè)計服務(wù)器,操作系統(tǒng),存儲,網(wǎng)絡(luò), 安全,備份,應(yīng)用安全 合規(guī)管理FW, IDS, networkAV, WA,加密CASB治理服務(wù)自動化服務(wù)目

3、錄基礎(chǔ)架構(gòu) & 安全自動化供應(yīng)公有云IaaS應(yīng)用基礎(chǔ)設(shè)施 & 應(yīng)用云托管服務(wù)平臺公有云托管的服務(wù)SLA管理、治理、計量、計費、監(jiān)控、報告和容量規(guī)劃遷移到 共有云托管的服務(wù)或者 用公有云擴展企業(yè)的基礎(chǔ)架構(gòu)3 families of Cloud Security Services5 pillarsGartner “Operational Technology (OT): industrial systems and manufacturing IT systems SDDC: SW-Defined Data CentreIAM: identity & Access Management云安全服務(wù)的

4、3個關(guān)鍵領(lǐng)域公有云安全框架GovernProtectMonitorDetectRespondRecover15controlsSecurity IN the cloudPrivate cloud SDDCOT & IoT Systems & ProductsPublic CLOUDData治理1. 全局治理 - 設(shè)計公有云ISMS(Information Security management System) 資產(chǎn)定義 & 分類支撐敏感信息的組件 (HW, SW) ISMS的建設(shè)階段定義范圍和邊界定義ISMS策略 (目標; 法務(wù), 履約, 法律合規(guī) 需求;,)確定風(fēng)險評估方法: Octave,

5、 ISO31000:2009, ENISA, IRAM, NIST SP 800-30.識別風(fēng)險 (資產(chǎn), 威脅, 可被利用的漏洞, 后果)分析 & 評價 風(fēng)險風(fēng)險處置 (安全控制; 風(fēng)險接受, 風(fēng)險規(guī)避, 風(fēng)險轉(zhuǎn)嫁)確定安全控制框架: ISO 27002, NIST SP 800-53, COBIT, CSA-CCM (最佳實踐)獲得管理層審批實用性聲明(你選擇哪種控制，為什么，被排除在外，為什么？)云安全服務(wù)的3個關(guān)鍵領(lǐng)域公有云安全框架治理2.應(yīng)用: 安裝軟件更新每天都有新的安全漏洞被發(fā)現(xiàn) - 必須盡快安裝更新來修復(fù)漏洞:操作系統(tǒng), 軟件 OpenSSL 庫, 環(huán)境，例如 Java, Ap

6、ache, and PHP; 或者 應(yīng)用程序，例如：WordPress.制定一個如何應(yīng)用更新所有運行中的服務(wù)器的工作計劃檢測軟件更新在服務(wù)器啟動時安裝安全更新在運行的服務(wù)器上安裝安全更新例如: AWS config, AWS Config 規(guī)則強制執(zhí)行最佳實踐AWSConfig云安全服務(wù)的3個關(guān)鍵領(lǐng)域公有云安全框架定義數(shù)據(jù)的本地性評估數(shù)據(jù)泄露的影響定義不同的數(shù)據(jù)敏感度級別定義機密性和完整性目標 不同的敏感度等級 ( 訪問控制, 加密, 標識化) 定義數(shù)據(jù)可用性目標 (數(shù)據(jù)備份和恢復(fù))確定合規(guī)要求治理3. 數(shù)據(jù)保護的目標基礎(chǔ)設(shè)施模板和應(yīng)用程序包 通過設(shè)計實現(xiàn)安全性的過程 （security by

7、 design）治理4. 安全過程云安全服務(wù)的3個關(guān)鍵領(lǐng)域公有云安全框架防護1. 共享責(zé)任模型 云的安全性 云中安全性企業(yè)和云服務(wù)提供商之間的責(zé)任限制并不總是相同的：基礎(chǔ)服務(wù)、容器服務(wù)、應(yīng)用服務(wù)AWS 基礎(chǔ)服務(wù)計算存儲數(shù)據(jù)庫網(wǎng)絡(luò)AWS 全球基礎(chǔ)架構(gòu)RegionsAvailability ZonesEdge LocationsAWS 負責(zé)云的 安全企業(yè)網(wǎng)絡(luò)安全身份 & 訪問 控制客戶的應(yīng)用和內(nèi)容庫存 & 配置數(shù)據(jù)加密企業(yè)負責(zé)云中 的安全性云安全服務(wù)的3個關(guān)鍵領(lǐng)域公有云安全框架防護1.1 共享責(zé)任模型 云的安全性 云中安全性哪些是企業(yè)的責(zé)任?加密網(wǎng)絡(luò)流量 防止攻擊者竊聽或中間人方式進行攻擊獲取數(shù)據(jù)

8、 (例如, HTTPS)配置防火墻 用安全權(quán)組和ACL控制虛擬專有網(wǎng)的進出流量管理OS和附加軟件的補丁 虛擬服務(wù)器的補丁需要及時更新部署訪問控制 用IAM限制對S3和虛擬服務(wù)器等AWS資源的訪問云供應(yīng)商的責(zé)任:保護網(wǎng)絡(luò)以防止分布式拒絕服務(wù)（DDoS）攻擊對有敏感區(qū)域的員工進行背景調(diào)查通過物理摧毀來解除退役存儲設(shè)備確保數(shù)據(jù)中心的物理和環(huán)境安全，包括消防和安全人員AWS takes care of the security OF the CloudYouAWS Foundation ServicesComputeStorageDatabaseNetworkingAWS GlobalGlobal i

9、nfrastructureRegionsAvailability ZonesEdge LocationsClient-SideEncryptionServer-Side EncryptionNetwork Traffic ProtectionCustomer DataYou get to define your controls IN the CloudOSNetworkFirewallApplicationsIdentityAccess management云安全服務(wù)的3個關(guān)鍵領(lǐng)域公有云安全框架云發(fā)布工具模型、提供和更新資源的全寬度，包括安全服務(wù)穿件模板描述用來保護云安全（例如數(shù)據(jù)保護）的C

10、SP資源基礎(chǔ)架構(gòu) & 安 全 服務(wù)供應(yīng)EC2SQS, SNS,Amazon Kinesis, etc.DatabasesVPCIAM應(yīng)用 發(fā)布 下載軟件包，安裝軟 件，配置應(yīng)用程序， 引導(dǎo)應(yīng)用程序，更新 軟件，重新啟動應(yīng)用程序等CloudFormation TemplatizeReplicateAutomate防護2. 安全 & 基礎(chǔ)架構(gòu) 即代碼IaaS, PaaS 和其他托管服務(wù)的安全配置和架構(gòu)架構(gòu) 最佳設(shè)計面向高可用性的多個AZ架構(gòu)在私有/公共子網(wǎng)之間隔離實例安全組限制只訪問必要服務(wù)網(wǎng)絡(luò)訪問控制列表（ACL）作為網(wǎng)絡(luò)安全的附加層安全的堡壘主機實例,以便于系統(tǒng)管理員受限登錄訪問的操作標準IA

11、M策略,具有相關(guān)組和角色的最小特權(quán)監(jiān)視和日志記錄；關(guān)鍵事件的警報和通知用于日志記錄、存檔和應(yīng)用數(shù)據(jù)的S3桶（啟用安全特性）實現(xiàn)適當?shù)呢撦d平衡和自動縮放功能啟用HTTPS的彈性負載均衡（ELB）負載均衡策略Amazon RDS 數(shù)據(jù)庫加密和備份JSON (JavaScript Object Notation) or YAML-formatted text file that describes the AWS infra needed to run an application or service along with any interconnections among infrastruc

12、ture components.云安全服務(wù)的3個關(guān)鍵領(lǐng)域公有云安全框架UsersArchive Logs BucketS3 Lifecycle Policies to GlacierCloudTrailAWS Config RulesCloudWatch AlarmsNATManagement VPCus-east-1bBastionus-east-1cPotential use for security appliances for monitoring, logging, etc.CloudTrailAWSConfigCloudWatch AlarmsArchive Logs Bucket

13、S3Lifecycle Policies to Glacierus-east-1bus-east-1cProxiesNATRDS DBDMZ SubnetPrivate SubnetPrivate SubnetRDS DBPrivate SubnetPrivate SubnetProduction VPCDMZ SubnetProxiesThree-tier web archi depicting integration with multiple VPCsProduction VPC designAWS AccountAppDBMulti-AZ archi, Auto-scaling, EL

14、BBasic AWS Identity and Access Management (IAM) configuration with custom (IAM) policies, with associated groups, roles, and instance profilesS3 buckets for encrypted web content, logging,Encrypted, Multi-AZ (AWS RDS) MySQL DBbastion login host to facilitate SSH access to Amazon EC2 instances for tr

15、oubleshooting and systems administration activitiesLogging, monitoring, and alerts云安全服務(wù)的3個關(guān)鍵領(lǐng)域公有云安全框架在AWS云中部署多層、基于Linux的Web應(yīng)用程序基礎(chǔ)安全AWS云安全架構(gòu)網(wǎng)絡(luò)安全Config RulesTrusted AdvisorInspectorCloudTrailShieldAWS 托管的服務(wù)RegionsAvailability ZonesEdge LocationsComputeDatabase企業(yè)使用的AWS安全服務(wù)數(shù)據(jù)安全與隱私保護KMSCloud HSMEncrypted

16、 Data Storage治理與風(fēng)險管理合規(guī)風(fēng)險培訓(xùn)Direct Connect區(qū)域 & AZVPCNACLsVPNSecurity Groups賬戶與組織應(yīng)用安全Storage NetworkWAFEC2 ContainerService身份和訪問控制IAMMFADirectory ServiceFederation Certificate ManagerCASB/CSG云安全服務(wù)目 錄供應(yīng)和編排CASB APICASB Proxy數(shù)據(jù)防泄露終端防護加密托管的 安全服務(wù)高級惡意 軟件防范身份認證CASBCSG只能訪問可以允許的端口如果運行一個Web服務(wù)器，您需要向外部開放的唯一端口是HTTP

17、流量的80端口和HTTPS流量的443端口。 關(guān)閉所有不必要的端口!過濾流量例如，可以在安全組的幫助下，基于協(xié)議、端口、源或目的地過濾對AWS資源的訪問，例如EC2實例。堡壘主機一個堡壘主機是一個定義良好的單點訪問系統(tǒng)。它可以用來確保SSH訪問您的服務(wù)器.可以用安全組或ACL來完成安全防護防護3.基礎(chǔ)架構(gòu) - 控制虛擬服務(wù)器的網(wǎng)絡(luò)流量云安全服務(wù)的3個關(guān)鍵領(lǐng)域公有云安全框架公有云內(nèi)實現(xiàn)網(wǎng)絡(luò)隔離確定一個私有網(wǎng)絡(luò)IP地址端通過互聯(lián)網(wǎng)連接到您的VPC：互聯(lián)網(wǎng)上的IPSec，AWS Direct Connect(IPsSec)將此段劃分為子網(wǎng)以部署計算實例網(wǎng)絡(luò)分割很容易實現(xiàn)將一個網(wǎng)絡(luò)與另一個網(wǎng)絡(luò)進行隔離

18、安全區(qū)域是具有類似的安全級別的系統(tǒng)組件，這些安全級別具有應(yīng)用于它們的公共控件。防護4. 基礎(chǔ)設(shè)施 - 在AWS（VPC）中創(chuàng)建專用網(wǎng)絡(luò): VPC是公共云中的一個專用網(wǎng)絡(luò)，在那里您擁有完全的控制權(quán)。云安全服務(wù)的3個關(guān)鍵領(lǐng)域公有云安全框架IAM,AWS CloudTrail, Amazon SNS, Amazon VPC, NACLInfrastructur e securityCloud InfrastructureApplicationsData OperatingSystemFile SecurityNetwork SecurityLog Inspection and Application

19、 ScanningAnti-malware and Integrity MonitoringIntrusion prevention, FirewallAnti- malwareIntegrityMonitoringIntrusion PreventionLog InspectionWeb ReputationHost FirewallSeamlessly integrated withEC2Deploy as AMI, SaaS or softwareCASBPreventBlockDetect OSShield App防護5. 基礎(chǔ)設(shè)施 利用云安全市場MaliciousRemoteand

20、AppVulnerabilitiescodeExploitschangesexecution云安全服務(wù)的3個關(guān)鍵領(lǐng)域公有云安全框架CASB連續(xù)(2017,2016,2014) 入選GARTNER“10大信息安全技術(shù)”。CASB概念在2012年由 Gartner 提出，定義了在新的云計算時代，企業(yè)或用戶掌控云上數(shù)據(jù)安全的解決方案。企業(yè)內(nèi)網(wǎng)CASB代理CASB APICASB策略服務(wù)器IDaaS門戶外網(wǎng)終端云安全服務(wù)的3個關(guān)鍵領(lǐng)域公有云安全框架實現(xiàn)IAM服務(wù)的最佳實踐Root Reduce or remove use of root.Users Create individual users.Ro

21、les Use IAM roles for Amazon EC2 instancesSharing Use IAM roles to share access. Password Configure a strong password policy. Rotate Rotate security credentials regularly.MFA Enable MFA for privileged users.Auditing Enable AWS CloudTrail to get logs of API calls.Federate with SAML to your own pre-ex

22、isting directories of user account information, such as AD orOpenLDAP5. IAM: 用戶/組 策略防護對AWS API的每一個請求都通過IAM來檢查是否允許該請求。在AWS帳戶，內(nèi)IAM控制誰可以做什么。創(chuàng)建和管理公共云用戶/組，并定義權(quán)限/策略，允許和拒絕資源訪問（通過訪問密鑰、密碼和MFA設(shè)備等）認證: 用來組織用戶或角色的用戶、組授權(quán): 允許或拒絕特定動作的策略GroupsPermissions/policies Grant least privilege.Groups Manage permissions withg

23、roups.Conditions Restrict privileged access further with conditions.云安全服務(wù)的3個關(guān)鍵領(lǐng)域公有云安全框架AWS原生靜態(tài)數(shù)據(jù)加密服務(wù) (AES 256) - (EBS/S3/Glacier/RDS)Amazon S3Amazon EBSAmazon RDSAWS原生動態(tài)數(shù)據(jù)加密利用VPN， IPSec隧道，或端到端的SSL/TLS（AWS ACM)來供應(yīng)，管理和發(fā)布ELB以及CDN的證書可擴展密鑰管理AWS管理的密鑰管理服務(wù)（KMS由AWS區(qū)域）提供可擴展的、低成本的密鑰管理或第三方解決方案加密密鑰的存儲與管理AWS Culd

24、HSM提供基于硬件、高保證的密鑰生成、存儲和管理或第三方解決方案防護6. 數(shù)據(jù)保護1 加密靜態(tài)或動態(tài)數(shù)據(jù)使用服務(wù)器端加密與AWS S3托管密鑰，您自己的加密密鑰與客戶提供的密鑰（SSE-C），或KMS管理的密鑰使用您的操作系統(tǒng)或KMS提供的卷加密。例如，Windows EFS，Micrososft Bitlocker，Linux DM-crypt，HSM, Safenet ProtectV使用數(shù)據(jù)庫特定的加密功能，或KMS EMR / DynamoDB云安全服務(wù)的3個關(guān)鍵領(lǐng)域公有云安全框架Regions根據(jù)地理位置我們把某個地區(qū)的基礎(chǔ)設(shè)施服務(wù)集合稱為一個區(qū)域Availability zones

25、設(shè)計為獨立失效區(qū)（物理分離）， 可用區(qū)與可用區(qū)之間在設(shè)計上是相互獨立 的，也就是說它們會有獨立的供電、獨立的網(wǎng)絡(luò)等，這樣假如一個可用區(qū)出 現(xiàn)問題時也不會影響另外的可用區(qū)。防護5.1 數(shù)據(jù)保護2- 數(shù)據(jù)存儲地點云安全服務(wù)的3個關(guān)鍵領(lǐng)域公有云安全框架防護6. 數(shù)據(jù) & 應(yīng)用 可用性The recovery time objective (RTO): 系統(tǒng)從故障中恢復(fù)所需的時間;The recovery point objective (RPO) 是由故障引起的可接受的數(shù)據(jù)丟失時間: 到最后一次數(shù)據(jù)備份的時間INFRA in the cloudAWS services默認情況下，故障不會從故障中恢復(fù)

26、，而是提供工具來在其之上構(gòu)建高度可用性手動故障處理容錯可以自動恢復(fù)故障而不停機Design 1高可用性基礎(chǔ)架構(gòu)可以在短時間內(nèi)自動從某些故障中恢復(fù).Design 2Design 3Recovery from a server failure withRecovery from an AWS DC outage云安全服務(wù)的3個關(guān)鍵領(lǐng)域公有云安全框架防護7. 操作系統(tǒng) & 應(yīng)用操作加固& 更新AWS AMIs使得部署標準化OS和應(yīng)用程序更容易AWS提供并維護預(yù)先配置的AMIS集，但您也可以為虛擬服務(wù)器創(chuàng)建自己的一套鏡像用WAF進行7層流量阻攔確保您自己開發(fā)的應(yīng)用程序的安全:檢查用戶輸入并只允許必要的

27、字符,不要用純文本保存密碼,使用SSL加密服務(wù)器和用戶之間的通信量.云安全服務(wù)的3個關(guān)鍵領(lǐng)域公有云安全框架監(jiān)控1. 云日志監(jiān)控為何不同?分布式的服務(wù)器處于動態(tài)的部署架構(gòu) (e.g., Auto Scaling, micro services)更多可見性在云計算中，我們比數(shù)據(jù)中心擁有更多的日志類型更多不同種類的數(shù)據(jù)。許多不同的日志源不被相同系統(tǒng)監(jiān)視.Networking (Amazon VPC Flow Logs)System/applicationConfiguration (very difficult on-premises)云安全服務(wù)的3個關(guān)鍵領(lǐng)域公有云安全框架Advanced cybe

28、r attacks) Detection終端防護ATP載荷分析 (Sandbox)IT / 安全設(shè)備LOGS安全分析DATA STORE多來源數(shù)據(jù)網(wǎng)絡(luò)NETFLOW外部威脅情報脆弱性管理安全監(jiān)控安全事件檢測安全更新, 文件隔離， IT系 統(tǒng)隔離,安全事件響應(yīng)和報告安全事件防范SOC*應(yīng)用系統(tǒng)LOGS*SOC: Security Operation Center公有云的日志1. 身份 & 訪問AWS-Cloudtrail: 記錄所有 API 調(diào)用 - API 使用& 日志誰正在訪問云資源? 在執(zhí)行什么操作?什么時候, 在什么地方?, 執(zhí)行了什么操作?AWS IAM 憑證報表2 & 3 基礎(chǔ)架構(gòu)

29、/ 系統(tǒng) / 應(yīng)用AWS config (賬戶配置 & 庫存)通知資源配置更改AWS ELB access logs 負載均衡日志數(shù)據(jù)AWS VPC flowlogs 捕獲有關(guān)IP流量的信息監(jiān)控2. 安全事件的檢測云安全服務(wù)的3個關(guān)鍵領(lǐng)域公有云安全框架公有云是增強企業(yè)安全態(tài)勢和數(shù)據(jù)保護的好機會原生安全功能特性和工具 內(nèi)置默認在部署/裝配工具（例如CuldDebug）建立控制要求，和可重用藍圖（質(zhì)量、效率和自動化，提高一致性方面）A獲得許多安全符合證書，法律、法規(guī)和框架合規(guī)ISO27001, SOC, PCI DSS, CSA, FedRamp,利用數(shù)百萬客戶的安全保障能力云安全服務(wù)的3個關(guān)鍵領(lǐng)

30、域公有云安全框架云安全需要端到端的集成解決方案 咨詢的云安全服務(wù)能力云服務(wù)的使命：通過云和敏捷轉(zhuǎn)型助力客戶實現(xiàn)業(yè)務(wù)價值最大化云戰(zhàn)略及云業(yè)務(wù)愿景云原生應(yīng)用 開發(fā)云遷移 及管理服務(wù)企業(yè)集成 即服務(wù)物聯(lián)網(wǎng)及 數(shù)字化制造信息安全服務(wù) 咨詢，集成，運營云安全服務(wù)：實現(xiàn)業(yè)務(wù)價值最大化客戶價值更有信心地使用云服務(wù)將云安全與業(yè)務(wù)目標對齊配套的云安全服務(wù)資產(chǎn)云服務(wù)管理平臺 能幫助客戶實現(xiàn)云轉(zhuǎn)型，實現(xiàn)業(yè)務(wù)價值最大化.在SOC 和 IDaaS 的重大投資 在SOC 和 IDaaS的巨大投入可以有效地轉(zhuǎn)化為向客戶提供優(yōu)質(zhì)的服 務(wù).可重用資產(chǎn)庫，如安全框架、咨詢方法論等深入的行業(yè)和廣泛的客戶經(jīng)驗安全服務(wù)團隊是由行業(yè)專家和安全專家組成，以充分利用 我們對公司行業(yè)的深刻了解，并專注于商業(yè)價值。.利用其業(yè)務(wù)流程服務(wù)的深厚經(jīng)驗，幫助客戶根據(jù)自己的行業(yè) 定義其云業(yè)務(wù)。.在云安全方面的深厚的專業(yè)知識和經(jīng)驗咨詢利用其深厚的云安全知識，向客戶提供端到端安全云安全服務(wù)，