融媒體平臺安全解析

融媒體平臺安全解析百度智能云安全解決方案架構(gòu)師翟耐棟安全的演進0107云上安全行業(yè)趨勢–等保2.0云計算服務(wù)模式與控制范圍的關(guān)系云計算安全擴展要求控制項目分布02云上安全行業(yè)趨勢–等保2.0云平臺自身安全要求面向云租戶的安全能力物理環(huán)境應(yīng)確保云計算基礎(chǔ)設(shè)施位于中國境內(nèi)網(wǎng)絡(luò)架構(gòu)a)

確保云計算平臺不承載高于其安全保護等級的業(yè)務(wù)應(yīng)用系統(tǒng)；b)

繪制與當(dāng)前運行情況相符的虛擬化網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖，并能對虛擬化網(wǎng)絡(luò)資源、網(wǎng)絡(luò)拓?fù)溥M行實時更新和集中監(jiān)控；c)

實現(xiàn)不同云租戶虛擬網(wǎng)絡(luò)之間的隔離；d)

保證虛擬機只能接收到目的地址包括自己地址的報文；e)

保證云計算平臺管理流量與云租戶業(yè)務(wù)流量分離；f)

能識別、監(jiān)控虛擬機之間、虛擬機與物理機之間的流量；g)

提供開放接口或開放性安全服務(wù)，允許云租戶接入第三方安全產(chǎn)品或在云平臺選擇第三方安全服務(wù)；h)

根據(jù)云租戶業(yè)務(wù)需求自主設(shè)置安全策略集，包括定義訪問路徑、選擇安全組件、配置安全策略。訪問控制a)

禁止云租戶虛擬機訪問宿主機；b)

在虛擬化網(wǎng)絡(luò)邊界部署訪問控制機制，并設(shè)置訪問控制規(guī)則；c)

保證當(dāng)虛擬機遷移時，訪問控制策略隨其遷移；e)

在不同等級的網(wǎng)絡(luò)區(qū)域邊界部署訪問控制機制，設(shè)置訪問控制規(guī)則。d)

允許云租戶設(shè)置不同虛擬機之間的訪問控制策略；入侵防范a)

能監(jiān)測到云租戶的網(wǎng)絡(luò)攻擊行為，并能記錄攻擊類型、攻擊時間、攻擊流量等；b)

能檢測到虛擬機與宿主機之間的異常流量，并進行告警；c)

向云租戶提供互聯(lián)網(wǎng)發(fā)布內(nèi)容監(jiān)測功能，便于云租戶對其發(fā)布內(nèi)容中的有害信息進行實時監(jiān)測和告警。安全審計a)

對云服務(wù)方和云租戶遠程管理時執(zhí)行特權(quán)命令進行審計，至少包括虛擬機刪除、虛擬機重啟；b)

根據(jù)云服務(wù)方和云租戶的職責(zé)劃分，收集各自控制部分的審計數(shù)據(jù)；c)

為安全審計數(shù)據(jù)的匯集提供接口，并可供第三方審計；d)

根據(jù)云服務(wù)方和云租戶的職責(zé)劃分，實現(xiàn)各自控制部分的集中審計身份鑒別a)

在網(wǎng)絡(luò)策略控制器和網(wǎng)絡(luò)設(shè)備（或設(shè)備代理）之間建立雙向驗證機制；b)

當(dāng)進行遠程管理時，管理終端和云計算平臺邊界設(shè)備之間建立雙向身份驗證機制。數(shù)據(jù)完整性和保密性a)

確保云租戶賬戶信息、鑒別信息、系統(tǒng)信息存儲于中國境內(nèi)；b)

確保運維過程產(chǎn)生的配置數(shù)據(jù)、日志信息等不出境；c)

確保虛擬機遷移過程中，重要數(shù)據(jù)的保密性，防止在遷移過程中的重要數(shù)據(jù)泄露；d)

支持云租戶部署密鑰管理解決方案，確保云租戶自行實現(xiàn)數(shù)據(jù)的加解密過程；e)

對網(wǎng)絡(luò)策略控制器和網(wǎng)絡(luò)設(shè)備（或設(shè)備代理）之間網(wǎng)絡(luò)通信進行加密。等保2.0，對云計算平臺提出了自身安全要求，要求面向云租戶提供相應(yīng)安全能力云上安全行業(yè)趨勢–前沿技術(shù)變遷20162017端點安全與響應(yīng)EDR云工作負(fù)載保護CWPP云安全態(tài)勢管理CSPM垂直細(xì)分容器安全EPP+EDRPCCloud2018IoT安全安全感知體系軟件定義邊界SDPCloud出現(xiàn)打破傳統(tǒng)安全基于邊界的體系Workload成為“新負(fù)載”定義容器安全和IoT安全融合成Workload安全的一部分基線、弱點、資產(chǎn)、情報軟件定義邊界SDP安全思維體系學(xué)習(xí)、分析、預(yù)測、聯(lián)動MDR用戶實體行為分析UEBA端點安全與響應(yīng)EDR“新計算”的普及安全信息和事件管理SIEM2019數(shù)據(jù)來源：Gartner

TOP安全技術(shù)2016

~

2018微分域和流量可視化被認(rèn)為是解決云計算內(nèi)部安全問題的最佳技術(shù)方案行業(yè)的安全風(fēng)險0201傳統(tǒng)安全風(fēng)險任然存在根據(jù)云安全聯(lián)盟（CSA）最新發(fā)布的網(wǎng)絡(luò)安全報告《TheTreacherous12》中，值得強調(diào)的安全威脅仍然是由企業(yè)內(nèi)部威脅、數(shù)據(jù)泄露和人員失職所帶來。

DDoS攻擊2018年，DDOS攻擊攻擊峰值超過T級，業(yè)內(nèi)防御最高峰值達到1980Gbps，同比增長200%，其中有超過2%的DDOS攻擊流量針對傳媒行業(yè)。

CC攻擊2018年，國內(nèi)共抵御超過1.6億IP發(fā)起的5千多億次的CC攻擊。WEB應(yīng)用攻擊2018年，國內(nèi)網(wǎng)站平均每日受到超過8億次攻擊，攻擊峰值單日達49億次。漏洞攻擊：2019年上半年，TLS協(xié)議漏洞，近3000網(wǎng)站受到影響；數(shù)據(jù)泄露近些年，發(fā)生在臉書、萬豪、B站等企業(yè)的數(shù)據(jù)泄露事件，造成了上千億美元的經(jīng)濟損失；01新的安全風(fēng)險正在產(chǎn)生根據(jù)CSC針對新聞媒體行業(yè)2018年度的網(wǎng)絡(luò)安全報告顯示，域名劫持、未經(jīng)授權(quán)變更以及重要域名刪除已經(jīng)成為擁有在線業(yè)務(wù)的新聞媒體必須面對和急需緩解的安全風(fēng)險。同時新聞媒體行業(yè)AI內(nèi)容安全審查日益凸顯其價值。安全流程的建立0301安全支撐--SDLCSDLC的全稱是SecurityDevelopmentLife

Cycle，即：安全開發(fā)生命周期。需求安全評估：評估需求的安全性質(zhì)，分析攻擊面，尋找安全嵌入的關(guān)鍵點和最優(yōu)方式安全開發(fā)規(guī)范：使用安全的開發(fā)實現(xiàn)框架，禁用不安全的函數(shù)和代碼實現(xiàn)安全驗證：黑白盒代碼掃描（百度自研安全掃描系統(tǒng)）、人工代碼審計，不帶安全問題上線應(yīng)急響應(yīng)：安全應(yīng)急響應(yīng)，軟件0day漏洞等安全事件跟蹤處理01安全支撐--DLMDLM的全稱是DataLifecycleManagement，即：數(shù)據(jù)全生命周期管理。21534DLM數(shù)據(jù)采集，按需采集，采集數(shù)據(jù)涉及PII需獲取授權(quán)數(shù)據(jù)傳輸，采用鏈路加密，確保數(shù)據(jù)CIA不被破壞數(shù)據(jù)存儲，對數(shù)據(jù)進行分級，對不同級別數(shù)據(jù)采取不同的存儲方案數(shù)據(jù)使用，遵循按需使用，嚴(yán)格控制權(quán)限數(shù)據(jù)回收，通過混淆、安全覆寫、物理粉碎等方式實現(xiàn)數(shù)據(jù)安全銷毀01安全支撐-縱深防御模型縱深防御模型是典型的網(wǎng)絡(luò)安全防護模型。因為所有的安全設(shè)備無法實現(xiàn)絕對的安全，所以通過分析已知的攻擊面、可能被攻擊者獲取或者利用的漏洞等因素來確定大概的風(fēng)險級別；基于風(fēng)險分析，通過部署多層防御措施，降低安全風(fēng)險。該模型是由基礎(chǔ)防御技術(shù)體系、高級防御技術(shù)體系、人三方面構(gòu)成?；A(chǔ)防御技術(shù)體系：由物理網(wǎng)絡(luò)基礎(chǔ)設(shè)施、物理網(wǎng)絡(luò)邊界、物理計算環(huán)境、虛擬網(wǎng)絡(luò)基礎(chǔ)設(shè)施、虛擬網(wǎng)絡(luò)邊界、虛擬計算環(huán)境及支撐性基礎(chǔ)設(shè)施七個方面的安全防護技術(shù)構(gòu)成，用于構(gòu)建基礎(chǔ)縱深防御架構(gòu)高級防御技術(shù)體系：包括安全態(tài)勢感知和集中安全策略管控等技術(shù)人：是整個縱深防御體系中的關(guān)鍵元素，可以對被保護信息系統(tǒng)環(huán)境及所有安全措施進行操作安全基礎(chǔ)設(shè)施建設(shè)04安全基礎(chǔ)設(shè)施建設(shè)密鑰管理服務(wù)KMS主機安全Hosteye安全服務(wù)應(yīng)用安全主機安全DDoS基礎(chǔ)防護DDoS高防服務(wù)網(wǎng)絡(luò)安全安全管理安全合規(guī)證書服務(wù)SSL虛擬網(wǎng)絡(luò)VPCVPN應(yīng)急響應(yīng)滲透測試數(shù)據(jù)庫審計DBAUDIT應(yīng)用防火墻WAF安全檢測服務(wù)SRD流量審計IDS業(yè)務(wù)安全反欺詐堡壘機應(yīng)用安全加固安全評估安全培訓(xùn)合規(guī)評估安全基礎(chǔ)設(shè)施建設(shè)-

DDoS百度云EIP最大5Gb防護檢測集群流量業(yè)務(wù)服務(wù)器核心路由優(yōu)勢更高最大1Tb的清洗能力更快靜態(tài)BGP，網(wǎng)速好5秒清洗更強精確清洗智能識別EIP和GIP之間，無感調(diào)度，自動切換檢測集群清洗后流量ISP高防IP最大1Tb防護功能常見網(wǎng)絡(luò)層DDoS攻擊防護，如SYN

Flood、ACKFlood、UDPFlood、ICMPFlood等常見應(yīng)用層DDoS攻擊防護，如HTTP

GET

Flood（CC攻擊）、Slowloris等業(yè)務(wù)前置，源站隱藏從域名解析出來的IP地址為高防IP，業(yè)務(wù)流量由高防中心清洗后再轉(zhuǎn)發(fā)回源站。攻擊者無法獲取源站的真實IP地址。清洗集群清洗集群安全基礎(chǔ)設(shè)施建設(shè)–主機安全HosteyeAPPWindowsAPPLinuxAPPWindows漏洞掃描一體化客戶端安全基線網(wǎng)站后門惡意進程查殺登錄管理資產(chǎn)清點百度云主機安全管理平臺通過一體化安全客戶端實現(xiàn)安全基線、漏洞掃描、惡意進程查殺、網(wǎng)站后門、登錄管理、資產(chǎn)監(jiān)控等功能；惡意進程查殺

-混合云云環(huán)境下的僵、木、蠕、毒的防護

-系統(tǒng)實時防護，云+本地雙重引擎保障漏洞掃描

-系統(tǒng)漏洞、web漏洞、軟件漏洞掃描

-

Windows系統(tǒng)漏洞補丁鏈接

-其它漏洞修復(fù)建議網(wǎng)站后門

-

Webshell檢測安全基線

-檢查云服務(wù)器及應(yīng)用安全配置風(fēng)險

-弱密碼檢測登錄管理

-登錄審計

-防暴力破解

-異地登錄識別資產(chǎn)清點

-清點端口、進程、啟動項、賬號、應(yīng)用安裝百度一體化安全客戶端至云服務(wù)器上，客戶端自動拉取控制中心策略，并上傳日志；1112RASP

-進程級惡意調(diào)用監(jiān)控RASP12安全基礎(chǔ)設(shè)施建設(shè)–應(yīng)用防火墻WAFXX云傳統(tǒng)云WAF百度云公網(wǎng)業(yè)務(wù)1xx.1xx.1xx.1xx公網(wǎng)業(yè)務(wù)1xx.1xx.1xx.1xx百度云WAF云WAF

IP2xx.2xx.2xx.2xx共享IP穩(wěn)定性差修改DNS繁瑣，部分地區(qū)生效慢黑客繞過WAF直攻源站黑客直攻源站修改DNS獨享資源無需修改DNS部署在網(wǎng)絡(luò)出口共享資源優(yōu)勢無需要修改域名解析，簡單新技術(shù)，黑客無法繞過WAF資源獨享，不混用功能Web攻擊防護為HTTP／HTTPS業(yè)務(wù)提供SQL注入、XSS、Webshell上傳、非授權(quán)訪問等各種Web服務(wù)攻擊提供安全防護高危0day防護迅速響應(yīng)獲取0day漏洞信息，快速更新Web應(yīng)用防火墻規(guī)則庫，降低0day漏洞攻擊帶來的影響自定義訪問策略支持客戶通過自定義規(guī)則，定制自己需要的防護策略旁路觀察模式支持旁路觀察模式，對于攻擊只記錄不阻斷，方便客戶進行觀察測試r安全需要一個大腦05云安全的困惑云架構(gòu)不統(tǒng)一導(dǎo)致的安全不統(tǒng)一私有云/行業(yè)云/公有云技術(shù)架構(gòu)差異大，云安全怎么適應(yīng)？如果用戶同時使用了私有云和公有云，安全怎么統(tǒng)一建設(shè)？安全能力分散，不協(xié)調(diào)安全能力形態(tài)各異、部署方式千差萬別，怎么做到有機統(tǒng)一和價值最大化？安全事件發(fā)生時該配置哪些設(shè)備以及怎么統(tǒng)一配置？云安全新業(yè)態(tài)云計算時代科技飛速發(fā)展，安全事件層出不窮而且越來越快，該怎么應(yīng)對？怎么“快速”鎖定影響范圍？怎么“快速”封堵漏洞？安全運營/運維困難云平臺當(dāng)前的安全狀態(tài)？企業(yè)當(dāng)前的安全狀態(tài)？誰在進行攻擊？通過什么方式攻擊？應(yīng)該怎么應(yīng)對？資產(chǎn)難覆蓋邊界難界定數(shù)據(jù)難流通影響難評估安全大腦的產(chǎn)品架構(gòu)公有云私有云物理服務(wù)器網(wǎng)絡(luò)安全套件流量牽引流量鏡像應(yīng)用安全套件Web安全網(wǎng)頁防篡改主機安全套件異地登錄暴力破解數(shù)據(jù)安全套件數(shù)據(jù)庫審計基線檢查DDoS預(yù)警DDoS清洗泛計算安全套件容器安全軟件清點補丁管理AV函數(shù)安全密鑰管理TOR交換機X86服務(wù)器存儲資源計算資源RESTfulAPIs安全資源（虛擬化、軟件化）云安全大腦安全評估套件（local）Web掃描POC掃描網(wǎng)站指紋安全沙盒感知匯聚系統(tǒng)漏洞資產(chǎn)識別Web漏洞安全事件用戶管理權(quán)限管理賬戶體系用戶管理功能管理策略管理生命周期管理組件管理license云+網(wǎng)+端思維引擎語義理解PVS被動感知可視化態(tài)勢可視化風(fēng)險可視化UBEA動態(tài)虛擬執(zhí)行行為識別特征檢測知識庫情報庫安全審計策略管理審計管理審計策略合規(guī)報表東西流量南北流量容器指紋主機指紋單點登錄OpenRASPFirewall事件跟蹤處理學(xué)習(xí)+分析+決策Iot安全業(yè)務(wù)安全套件人機識別設(shè)備指紋渠道反作弊數(shù)據(jù)匯聚