謹(jǐn)防“蟻穴效應(yīng) ”確保云數(shù)據(jù)中心安全運(yùn)行
云計(jì)算的益處無(wú)需多言,然而云上數(shù)據(jù)中心帶來(lái)了更多的數(shù)字資產(chǎn)暴露面�,一臺(tái)被攻陷的云主機(jī)��,很可能造成云內(nèi)其他服務(wù)器的全部淪陷�,可謂“一招致命”�。
一方面持續(xù)變動(dòng)的網(wǎng)絡(luò)形態(tài)���,加大了網(wǎng)絡(luò)安全邊界延伸的不可預(yù)測(cè)性;此外�����,云主機(jī)�、容器、邊緣計(jì)算打破了設(shè)備單一的物理形態(tài)���,尤其是大量云主機(jī)的安全管理��,讓數(shù)據(jù)中心的安全運(yùn)營(yíng)出現(xiàn)了全新挑戰(zhàn)����。
失陷云主機(jī)��,隨時(shí)可能“叛變”
首先��,各類(lèi)操作系統(tǒng)與應(yīng)用組件漏洞的披露越來(lái)越頻繁���,安全運(yùn)維人員將面臨非常消耗人力的補(bǔ)丁管理工作����,一旦出現(xiàn)紕漏,就會(huì)讓整個(gè)數(shù)據(jù)中心的安全出現(xiàn)短板��。其次���,在整個(gè)云上攻擊事件中��,勒索病毒�、挖礦軟件攻擊依然相當(dāng)流行���,而遭到兩類(lèi)病毒入侵��,不僅會(huì)丟失算力����、消耗電力�����,更可能會(huì)出現(xiàn)文件被加密�����、交付巨額贖金���,業(yè)務(wù)停擺等情況��。最后����,云端存儲(chǔ)了大量機(jī)密數(shù)據(jù)以及用戶(hù)的個(gè)人隱私數(shù)據(jù)��,而數(shù)據(jù)泄露的結(jié)果不僅會(huì)讓企業(yè)面臨法律懲戒�,還會(huì)讓企業(yè)面臨嚴(yán)重的信任危機(jī),甚至從此一蹶不振�。
此外,一旦某臺(tái)云主機(jī)失陷����,就可能讓數(shù)據(jù)中心遭遇持久性攻擊。比如����,云架構(gòu)在創(chuàng)建新主機(jī)時(shí),提供了可以匹配所需任何硬件或軟件環(huán)境的靈活性����,這意味著如果黑客設(shè)法使用已傳遞到云主機(jī)惡意腳本,便會(huì)持續(xù)不斷地與外部服務(wù)器的連接(C&C通信),并且利用橫向移動(dòng)(LateralMovement)來(lái)達(dá)到控制更多主機(jī)的目的��,竊取機(jī)密數(shù)據(jù)��。
一體化管理����,杜絕“二次傷害”
產(chǎn)業(yè)互聯(lián)網(wǎng)時(shí)代,云已經(jīng)成為網(wǎng)絡(luò)安全的主戰(zhàn)場(chǎng)�。為此,亞信安全亞信安全提供了能夠全面覆蓋云工作負(fù)載保護(hù)平臺(tái)(CWPP)能力的信艙云主機(jī)安全(DeepSecurity)解決方案����,通過(guò)防病毒、防攻擊��、防漏洞��、行為監(jiān)控����、應(yīng)用控制、完整性保護(hù)���、微隔離��、主機(jī)加固����、日志審計(jì)����、EDR等保護(hù)能力,為云數(shù)據(jù)中心構(gòu)建出第二道防火墻����。
以漏洞管理為例,信艙DS能夠?qū)崿F(xiàn)對(duì)云主機(jī)及應(yīng)用的漏洞掃描��、風(fēng)險(xiǎn)評(píng)估�、修復(fù)建議,滿(mǎn)足用戶(hù)對(duì)漏洞修復(fù)的需求���,也能通過(guò)虛擬補(bǔ)丁能力���,在面對(duì)0Day漏洞無(wú)法快速防護(hù)漏洞、老舊操作系統(tǒng)及應(yīng)用無(wú)法修復(fù)補(bǔ)丁�����、關(guān)鍵服務(wù)器無(wú)法重啟的情況下,利用虛擬補(bǔ)丁實(shí)現(xiàn)服務(wù)器及應(yīng)用系統(tǒng)漏洞批量管理����。
其次,信艙DS提供了更自動(dòng)化的安全運(yùn)維配置方法�����。比如�����,云主機(jī)資產(chǎn)的自動(dòng)化盤(pán)點(diǎn)��,管理員可在此基礎(chǔ)上實(shí)現(xiàn)等保定級(jí)跟蹤����,并根據(jù)所選服務(wù)器的操作系統(tǒng)、軟件應(yīng)用等信息��,自動(dòng)篩選出該服務(wù)器上需要檢查的系統(tǒng)���、應(yīng)用基線�����,進(jìn)而制定出云主機(jī)安全加固模板���,迅速實(shí)現(xiàn)云端安全基線的一致化。
此外���,DS還攜帶了云主機(jī)EDR模塊����,這相當(dāng)于在每一臺(tái)云主機(jī)上安裝了高清雷達(dá)����,通過(guò)在每一臺(tái)云主機(jī)內(nèi)安裝一個(gè)極其輕量的探針,記錄著系統(tǒng)運(yùn)行過(guò)程中發(fā)生的所有事件�����,并將所有記錄的數(shù)據(jù)上傳至服務(wù)端長(zhǎng)期存儲(chǔ)�����,可以根據(jù)主機(jī)之間的事件關(guān)系���,還原出完整的攻擊鏈��,找到攻擊方��,嚴(yán)防命令外聯(lián)����、橫向移動(dòng)等“二次傷害”。
支持跨云策略一致性���,容器安全有保障
目前����,混合云的采用率正在大幅上升�,越來(lái)越多的企業(yè)進(jìn)入到私有云和公有云環(huán)境交織、私有云虛擬化平臺(tái)復(fù)雜多樣的“混合世界”中���。用戶(hù)不僅要面臨幾大公有云管理平臺(tái)上的“移動(dòng)目標(biāo)”���,內(nèi)部私有云中也會(huì)存在VMware、Citrix���、華為�、微軟��、KVM等虛擬化平臺(tái)的管理“煙囪”,這讓企業(yè)的安全策略幾乎無(wú)法實(shí)現(xiàn)統(tǒng)一����。
為此,亞信安全信艙DS提供了可以統(tǒng)一管控本地物理服務(wù)器����、近端和云端虛擬化服務(wù)器的管理平臺(tái)��,全面支持各大云服務(wù)商混合云方案和容器等開(kāi)源技術(shù)構(gòu)建的混合云�����。尤其是在容器安全方面���,可以對(duì)容器鏡像進(jìn)行持續(xù)的檢測(cè)和分析��,實(shí)現(xiàn)了容器環(huán)境的資源可視化管理����、鏡像風(fēng)險(xiǎn)管理�����、合規(guī)性檢測(cè)和微服務(wù)API風(fēng)險(xiǎn)管理,最終保障容器在構(gòu)建�、部署、遷移和運(yùn)行時(shí)都能滿(mǎn)足提前制定的安全標(biāo)準(zhǔn)��。