上云用云:构建有效的云安全服务和防护体系要做对什么

从“建好云”、“用好云”这两方面来看,云服务商和云服务客户构建有效的云安全服务和防护体系需要分别做对什么,以及在云平台上各自开展的安全性工作和的责任边界。

构建有效的云安全服务和防护体系要做对什么
出处:数治网综合

近年来,云计算成为千行百业数字化转型的重要支撑,承载海量业务和数据,其安全性影响着企业的生产经营及社会稳定。与传统数据中心相比,云服务商与云服务客户对云及云上资产的可见性不同。上云后,部分IT资源的运营和管理模式与传统数据中心相比发生变化,一些安全责任转移至云服务商,但仍有一部分责任需由云服务客户承担。

随着我国安全政策法规不断健全,《网络安全法》对网络运营者等主体的法律义务和责任做了全面规定,是云服务商承担责任的最小集合;《数据安全法》对在我国境内开展数据处理活动的组织做出了数据安全权责规定,云服务客户上云后,虽然业务数据在云平台中存储和传输,云平台由云服务商运维运营,但云服务客户仍应承担数安法规定的数据安全责任。

一、“建好云”和“用好云”

云服务客户因不熟悉云环境进行错误配置,如开放过多访问端口、设置过低的权限控制,将导致数据泄漏等事件发生。调查显示,不合理的安全配置是过去一年中导致公有云发生安全事件的最主要因素。一方面,云服务商应“建好云”,优化云服务安全功能的设计,为云服务客户提供完善的、易用的用户友好型安全功能;另一方面,云服务客户应“用好云”,基于云服务商提供的云服务安全功能,建立合理的配置规范并切实执行。

我们就从“建好云”、“用好云”这两方面来看,云服务商和云服务客户构建有效的云安全服务和防护体系需要分别做对什么,以及在云平台上各自开展的安全性工作和的责任边界。

1、云服务商

在提升云平台自身安全性方面需要开展以下工作:

  • 建立企业级安全治理体系和安全管理框架,确保顶层设计和责任分配的科学性。
  • 在安全治理体系和安全管理框架的指引下,进行云平台安全、供应链安全、隐私保护、安全开发、访问控制等多个领域的安全工作。
  • 安全组织架构方面,建立多级安全架构,明确各层级如首席安全官、运维人员、审计人员的职责。
  • 制定安全管理制度,整合各项管理形成全平台治理体系。
  • 制定供应链安全策略,维护供应商管理机制,并对采购的产品和服务进行安全管理。
  • 确保云服务或软件的规范性和安全性,建立内部测试及验收措施。
  • 实施细粒度的身份权限管理体系,优化访问控制模型。
  • 云平台基础架构安全方面,实现资源逻辑隔离,提供分布式部署和容灾等解决方案。
  • 云服务功能安全方面,提供访问控制、身份鉴别、数据保护等功能。
  • 公有云安全运营和运维方面,实施证书与密钥管理,定义安全配置基线,支持日志监控和备份功能。

2、云服务客户

在增强云平台安全使用能力方面应承担的责任包括:

  • 建立组织内部安全管理制度,明确云安全责任人;
  • 遵守当地法律法规和云平台用户协议;
  • 正确评估上云需求,选择合适的云服务;
  • 引入安全咨询和培训机制,不断提升企业安全水平;
  • 建立安全运维运营团队,或引入外部专家服务;
  • 根据业务安全需求,选择合适的网络类型;
  • 正确配置防火墙,包括安全组、IP 黑白名单等,减少非必要端口暴露;
  • 合理管理公网 IP,关注云主机、负载均衡、NAT 等公网 IP 绑定情况;
  • 选择功能、性能与需求相符的计算资源;
  • 合理选择与配置操作系统,包括系统文件权限、账户分配、更新规则等;
  • 开启镜像备份并关注备份情况;
  • 确保数据访问安全,合理使用访问凭据,开启凭据轮转;
  • 执行数据变更、迁移、销毁等敏感操作时明确操作后果;
  • 合理配置数据备份并关注备份情况;
  • 合理配置 IAM,确保用户权限分配最小化;
  • 妥善保存凭证和密钥信息,视情况开启多因子认证;
  • 配置远程访问方式和参数,关闭非必要服务;
  • 使用 API 和 SDK 服务符合规范要求;
  • 开启审计功能,定期查看日志记录;
  • 留意安全通知和平台告警,及时更新云资源版本,安装补丁修复漏洞。

二、云安全服务和防护体系构建

1、云安全服务

云安全服务不仅涉及云工作负载保护、云网络防护、数据安全、安全运营,还包括应用安全、身份与访问管理、全局数据分析与展示、全局统一操控、自动化数据分析、自动化安全处理等多个能力域的安全服务。

  • 云工作负载保护:确保云平台中虚拟机、容器和容器编排服务等基础设施层和平台软件层的安全,实现云工作负载的统一安全管理与操作。
  • 云网络防护:监控与过滤网络流量,完成不同地域与不同云平台上的统一网络安全管理,防止未授权访问和其他网络威胁。
  • 数据安全:对数据流转全生命周期建立安全防护,确保数据收集、存储、处理、传输、共享、销毁阶段的安全。
  • 安全运营:提供云资源的监控与维护、计量与优化等管理能力的服务,安全策略的实施和维护,以及安全事件的响应和处理,帮助客户提升用云过程的安全。

2、云上持续安全防护体系

构建云上持续安全防护体系并确保其有效性,可以通过以下步骤实现:

  • 识别云安全防护能力域,包括云工作负载安全、云网络安全、应用安全、数据安全和身份与访问管理能力,以此来打造安全履责能力。
  • 依托云安全服务构建安全防护体系,可以选择使用云服务商提供的云安全服务,或者选择具备定制化解决方案的安全厂商。
  • 选择合适的安全服务供应商,这可以是云服务商或安全厂商,取决于客户实际生产场景与业务需要。
  • 进行责任划分,明确云安全厂商与云服务客户之间的责任,确保双方明确自身责任。
  • 建立信息传递机制,促进云服务客户与云服务商、云安全厂商之间的信息互通和责任划分。
  • 持续提供技术支持,云安全厂商应在服务期内持续提供技术支持,定期更新升级规则库,保证工具先进性。
  • 及时解决客户反馈的问题,云安全厂商应及时响应云服务客户的问题并进行处理。
  • 强化标准引领作用,提升云服务客户安全责任意识与能力。
  • 完善保险机制,构建事前、事中、事后云安全闭环体系。
  • 促进生态圈建设,提升安全能力整体水平。

3、确保数据安全性的方式

云安全防护体系确保数据安全性的方式主要包括以下几个方面:

  • 数据加密:云安全服务通常提供数据加密功能,确保数据在传输和存储过程中的安全性。
  • 访问控制:实施细粒度的身份权限管理,最小化授权,灵活运用访问控制模型,动态、持续对访问行为进行控制。
  • 数据备份与恢复:提供数据备份功能,以防止数据丢失,并能在数据丢失或损坏时迅速恢复。
  • 安全审计:开启审计功能,定期查看日志记录,留意安全通知和平台告警,及时更新云资源版本,安装补丁修复漏洞。
  • 安全监控:记录和监控数据访问和处理活动,以便在发生安全事件时进行追溯和分析,为云服务的部署、运行、维护提供高效稳定的云环境。

4、制定云平台安全管理制度

制定有效的云平台安全管理制度需要考虑以下步骤:

  • 风险评估:首先对云平台进行全面的风险评估,识别潜在的安全威胁和脆弱性。
  • 合规性要求:确保安全管理制度符合所有适用的法律法规和行业标准。
  • 安全策略制定:基于风险评估和合规性要求,制定详细的安全策略,包括访问控制、数据保护、事故响应等。
  • 角色和责任定义:明确云平台中各个角色的安全责任,包括云服务提供商、云服务客户和内部员工。
  • 安全培训和教育:对所有相关人员进行安全意识培训,确保他们了解并遵守安全政策和程序。
  • 监控和审计:实施持续的安全监控和定期审计,以检测和响应安全事件。
  • 应急响应计划:制定详细的应急响应计划,以便在发生安全事件时迅速采取行动。
  • 持续改进:定期审查和更新安全管理制度,以适应新的威胁和技术变化。

通过这些步骤,组织可以确保其云平台的安全管理制度既全面又有效。

三、云平台、云服务的安全质量评估

评估云平台的安全状况、云服务的安全性能以及质量,首先从合规性来说,确保遵守相关的法律法规和行业标准,如《网络安全法》、《数据安全法》等。云平台的安全评估通常涉及以下几个方面:

  • 物理和基础设施安全:评估数据中心的物理安全措施,包括访问控制、监控和环境控制等。
  • 网络安全:检查网络架构的安全性,包括防火墙配置、入侵检测系统(IDS)和入侵防御系统(IPS)的有效性。
  • 应用安全:评估云平台上运行的应用程序的安全性,包括代码审查、漏洞扫描和安全配置。
  • 数据安全和隐私保护:检查数据的加密措施、访问控制和数据备份策略。
  • 身份和访问管理:评估用户身份验证和授权机制的强度和有效性。
  • 安全监控和响应:检查云平台的安全日志记录和分析能力,以及事件响应计划的有效性。
  • 供应链安全:评估云服务提供商的安全措施,以及第三方服务和组件的安全性。

评估云服务的安全性能通常涉及以下几个方面:

  • 安全控制措施:评估云服务提供商的安全控制措施,包括物理安全、网络安全、数据安全和身份访问管理等。
  • 安全审计和监控:检查云服务提供商是否实施了有效的安全审计和监控机制,以确保安全事件能够被及时发现和响应。
  • 漏洞管理和补丁部署:评估云服务提供商对已知漏洞的管理和补丁部署的速度和效率。
  • 数据备份和恢复:确认云服务提供商是否有可靠的数据备份和灾难恢复计划。
  • 服务级别协议(SLA):审查云服务提供商的服务级别协议,特别是关于安全性能的承诺和保证。
  • 第三方安全评估报告:查看云服务提供商是否拥有第三方安全评估报告,如ISO 27001认证等。
  • 客户反馈和市场声誉:考虑其他客户的反馈和市场对云服务提供商安全性能的评价。

评估云安全服务的质量可以通过以下几个方面:

  • 安全功能:评估云安全服务提供的功能是否全面,是否能满足客户的安全需求。
  • 安全性能:测试云安全服务的响应时间、处理能力和稳定性。
  • 安全可靠性:考察云安全服务的故障恢复能力和数据备份机制。
  • 技术支持和服务:评估云安全厂商提供的技术支持和服务质量,包括漏洞响应速度、补丁更新频率等。
  • 用户反馈:收集其他用户对云安全服务的评价和反馈,了解服务的实际效果。

四、安全上云助力转型

云安全服务在助力企业数字化转型上,为企业提供了构建安全云计算环境的基础,保障了业务和数据的安全。通过提供高可用性和灾难恢复解决方案,确保企业业务的连续性和稳定性。云安全服务允许企业在安全的环境中尝试新技术和应用,从而推动创新和业务发展。

1、评估上云需求

云服务客户在评估上云需求时,应该遵循的合理步骤:

  • 正确评估上云需求,选择合适的云服务。
  • 遵守当地法律法规和云平台用户协议。
  • 引入安全咨询和培训机制,不断提升企业安全水平。
  • 建立安全运维运营团队,或引入外部专家服务。
  • 至于引入安全咨询和培训机制时的注意事项,可以概括为以下几点:
  • 明确安全咨询和培训的目标,确保与企业安全需求相匹配。
  • 选择具备专业资质和丰富经验的咨询服务提供商。
  • 确保培训内容的实用性和针对性,能够解决企业实际面临的安全问题。
  • 培训应覆盖所有相关人员,提升整个组织的安全意识和技能。
  • 定期评估安全咨询和培训的效果,并根据反馈进行必要的调整。

2、云服务安全咨询服务流程

通常包括以下几个步骤:

  • 需求分析:与客户沟通,了解其业务需求、安全目标和现有的安全状况。
  • 风险评估:对客户的云环境进行安全风险评估,识别潜在的安全威胁和脆弱性。
  • 策略制定:基于风险评估的结果,制定相应的安全策略和解决方案。
  • 实施规划:设计安全措施的实施计划,包括技术解决方案和安全管理体系建设。
  • 执行与部署:协助客户实施安全措施,包括配置安全设备、部署安全软件等。
  • 培训与意识提升:为客户的员工提供安全培训,提高他们对云安全的认识和技能。
  • 持续监控与优化:在服务期间持续监控云环境的安全状况,并根据新的威胁和漏洞进行优化。

3、引入安全运维运营团队的成本

根据组织的规模、业务需求、云环境的复杂性以及安全团队的能力等因素,具体的成本会有所不同。引入安全运维运营团队的成本可能包括以下几个方面:

  • 人力成本:安全专家和技术人员的薪资和福利。
  • 培训成本:为团队成员提供必要的安全培训和认证的费用。
  • 工具和软件成本:购买和维护安全工具和软件的费用。
  • 运营成本:包括日常运营中的硬件、软件许可、网络带宽等费用。
  • 管理和协调成本:团队管理和项目协调相关的行政和管理费用。
  • 应急响应成本:应对安全事件时可能产生的额外成本,如法律咨询、数据恢复等。
  • 持续改进成本:随着安全威胁的变化,持续更新和改进安全措施的成本。

最后,云安全服务提供商通常会提供培训和咨询服务,帮助企业提升员工的安全意识和安全操作能力。通过自动化和智能化的安全工具,企业可以更有效地分配安全资源和预算,提高安全投资的回报率。


来源:华为云、中国信通院云大所发布的《云安全责任共担模型》,本篇针对全文由生成式 AI 做出的核心摘要和解答,仅作为参考,请以原文为准。


在此声明以上观点和内容,仅代表原作者和出处,与数治网DTZed 无关,如有出错或侵害到相关合法权益,请通过电邮与我们联系:cs@dtzed.com。

欢迎领取数字人才中国方案,一起产研内训、知识平台共建!请在我们的微信公众号“idtzed”对话框内,发送“入”添加老邪企业微信获取。

欢迎先注册登录后即可下载检索上云用云等相关标准、白皮书及报告。更多高质量纯净资料下载,进入公众号菜单“治库”。

发条评论

你的电邮不会被公开。有*标记为必填。