云环境下,企业该如何进行安全建设?

2019 年 10 月 12 日

云环境下,企业该如何进行安全建设?

前言:


在数字化浪潮下,企业纷纷进行转型,采用云计算技术,“上云”成为趋势。



然而,“上云”在给企业带来诸多好处的同时,也带来新的安全风险。有人说,相比传统 IDC,云环境更安全;也有人说,云没有本地 IDC 更安全。无论观点是否对错,云环境的安全确实是每一个“上云企业”必须考虑的重点。现在,云安全问题不断出现,比如云平台错误配置、数据泄露等。



对企业来说,在云环境下如何进行安全建设?对此,InfoQ 记者专门采访猎豹移动安全总监林鹏。如下为采访原文:


InfoQ云计算在中国不断发展,“上云”成为大势所趋。请问,企业上云一般会遇到哪些安全挑战和安全问题?


林鹏:


第一个是监管方面,即数据上的一些问题;第二个是传统企业上云,面临的边界问题。其中,这个边界问题比较严重。传统上,企业使用 IDC,这个是本地环境,可能一条或几条专线直接通到 IDC,管理等比较容易,我们对边界好控制。上云的话,这个边界问题就变得越来越模糊。这是一个主要问题。


还有一个问题是,比如说主机的管控,需格外花费心思。尤其是流量采集的问题,以前的 IDC,可能基本上很简单的一条流量镜向,就能把所有流量采集过来,然后进行分析。因为,流量这个东西对安全来说比较重要。


但如果是上云,尤其是像多云情况,其实对流量的采集是一个比较大的问题。在其他公司,也会存在一个类似的问题。


infoQ:近几年,这些安全问题中最重要的哪个方面?


林鹏:


对我个人而言,我认为还是流量采集的问题比较严重。我对主流几家云服务商(包括腾讯云、AWS)都咨询过,这个问题基本上无解。


除非是像腾讯那种黑石专用服务器可能把流量收集起来。其他的话,再收集自己公司的流量同时,可能也会把别人的流量也收集进来,那网络层面很难做到区分。而对我们来说,这个流量收集不过来,可能会牵涉到后续的很多风险,无法做攻击的识别和攻击的防护,因此,第一道防线也是我认为最重要的防线就失效了。


InfoQ:流量采集方面,多云环境是不是可能会遇到更大的问题?比如,我只用一个云,或者我用 AWS、Azure 和阿里云,情况会变更复杂吗?


林鹏:


可以这么说。不过,单一云环境也不一定是非常好。这种单一的云,是看单区域还是多区域。


举个例子,我们使用腾讯云,在国内用的最多就是腾讯云。这样就有北京的腾讯云、上海的腾讯云,广州的腾讯云,如果是这个情况,相当于一个国家三个 IDC。这样流量统一采集也很比较麻烦,牵涉到费用问题,咨询过腾讯,例如从北京到广州,服务器之间的流量也要额外收费。所以,如果是云,在业务允许的情况下,尽量还是部署在单区域比较好(其他区域可以用于异地备份/多活)。


InfoQ:你们对流量采集的这个难题有哪些应对方式


林鹏:


我们尝试了几种方案,从分布式接收数据包,到 PACEKTBEAT。最终使用了 PACKETBEAT 这套方案。我们要采用这个方案,不像是传统的情况,我们可能只要交换机做一个镜像,在交换机上做一个镜像就行了。只要考虑这个交换机的这个性能,而且一般来说,核心交换机的处理能力都比较强。


但如果在云环境,我们想收集流量就必须把 Agent 部署到本地服务器上。本地服务器需要考虑这个 Agent 的性能会对主机产生多少影响。甚至有时候,网络流量会产生的一些费用也需要在我们这个考虑范围内。


InfoQ:目前,云上主机的安全技术都有哪些?


林鹏:


作为云用户来说,云上主机安全技术,还是传统那些,但我觉得核心技术,是 HIDS 的技术和 SOC。


HIDS,全称Host-based Intrusion Detection System,即基于主机型入侵检测系统。作为计算机系统的监视器和分析器,它并不作用于外部接口,而是专注于系统内部,监视系统全部或部分的动态行为以及整个计算机系统的状态。


InfoQ:企业上云,从非核心业务到核心业务,整个云安全的环境建设有什么样的思路?


林鹏:


首先从资产识别方面,资产识别相当于了解自己公司的云这个范围有多大。尤其是边界模糊、IP 地址不固定的情况下,更应该明确自己公司的这个资产边界是什么情况。


从这个角度出发,做先期的规划,规划好护城河范围,再采用不同的技术手段与控制手段,例如是否采用 WAF、HIDS、规划内部与外部的访问端口等等。


InfoQ:以猎豹移动为例,您入职猎豹移动后怎么进行公司云安全的环境建设?


林鹏:


刚开始走了一点弯路。第一次接触云,我也有点“懵圈”,不知道怎么入手。刚开始以传统的 IDC 思维去做这个流量采集,有点难,后来转成了从资产识别入手。


首先,我们先确定我们的边界是什么,收集一下,并认为要一些资产的清单。


然后再去看哪些资产暴露于外,哪些资产是我们内部。我们先去对这些方面进行整理,目前也在持续做这方面的事情。在做这个同时,我们其次部署了各种 Agent,像流量采集的 Agent、HIDS 等等。


我们还做了一些其他的访问控制,比如缩紧之前做的比较宽泛的一些访问控制策略等等,另外对重要端口的一些识别,也做了相应的限制,其他方面跟传统安全建设就一样了,包括漏洞收集、基于流量、HIDS 等等数据源建立各种监控报警平台,日常漏洞挖掘,应急响应等等。


InfoQ:从酷 6、当当到万达和猎豹移动,你经历了中国安全产业的发展,您是如何理解云安全的?


林鹏:


云计算确实能给企业带来很多好处与便利,但是云给安全带来较大的考验,比如流量采集、访问、边界等方面。传统上,我们可以自己控制我们的边界,比如对外我只需规范一下端口。


但是对云来说,除了考虑 80 和 443 端口,我们还要考虑一些访问的问题、资产识别的问题。


而且,很多公司都是从 IDC 上云,以前 IDC 的安全问题都没有解决,上了云还要面对云的这些问题,确实存在更大的风险了。


InfoQ:猎豹移动既使用了腾讯云,也用 AWS。像这种多云环境下,如何保障云安全?


林鹏:


首先,云厂商提供了一些基础的安全服务,但这还远远不够,我们也组建了安全团队,通过技术、制度等手段保证公司的安全。


除此之外,还通过安全周、公众号宣传、安全周播报等手段提高员工的安全意识。另外,还积极参与安全认证体系,希望通过学习外部的先进经验,把公司的安全做好。


InfoQ:在云环境的安全建设中,数据安全处于一种什么样的角色?


林鹏:


数据安全确实非常重要。如今,我们国家也越来越重视这方面。数据安全这块,尤其对用户数据,对个人隐私的这个数据。比如国外的《GDPR》。中国也不断加强数据方面的检查,制定一些个人数据的法律法规。


InfoQ:对企业而言,在云环境的安全建设中,应该如何做数据安全?


林鹏:


这是一个比较大的范围。数据安全可以理解为我们资产的一部分。做安全,主要是保护这方面的东西。这是多方面的,总体来说就是,该做检查就做检查,该做审计做审计,该做防护策略做防护策略,围绕数据安全,我们需要做多种安全的防护,不求无事故,这其实也很难,只求提高攻击者的门槛,或尽量提前一步 ,比黑客更快发现风险并修复。


InfoQ:不同企业或者不同类型的企业,在上云后,这种云环境的安全建设有没有一些共同点?


林鹏:


共同点都是一样,从自己的资产识别和业务角度出发去做安全建设。


现在来说,对自己的资产识别是非常重要的一个环节。如此,首先要明白自己的这个资产都有什么东西,这样才好用一些技术来保护这些资产。


第二,如果可以的话,云服务商提供一些安全防护,每个厂商可能都提供了或多或少的一些安全服务。在价格允许的情况下,可以适当的去购买一些,比如说云厂商提供的一些技术。


当然,光靠服务商提供的还不够,有些需要自己的安全团队来做这些安全建设,或者安全运营时需要考虑自己的公司一些业务情况。或者根据不同业务模式,找不同的侧重点,再去部署一些防御策略。


今年 10 月,林鹏将在QCon全球软件开发大会(上海站)2019分享题为《云环境的安全建设思考》的演讲。


采访嘉宾:


林鹏,猎豹移动安全总监,SECURITY CCIE,曾任当当网安全经理,网信金融安全专家,万达电商信息安全部总经理等职位,长达 8 年的一线安全攻防实战经验,擅长日志分析,安全体系建立,经历了多次从无到有的安全建设,也经历了从 IDC 到云的安全技术转变,经历过万达电商活动期间与黄牛羊毛的业务风控挑战,也经历过与国外黑客组织对抗的应急响应和调查取证。


在 QCon 上海 2019 的演讲中,林鹏老师将介绍云安全与传统 IDC 安全中的不同、云上主机的一些安全技术和云安全的一些思考,点此了解详情


2019 年 10 月 12 日 14:20967
用户头像
万佳 InfoQ编辑

发布了 446 篇内容, 共 160.8 次阅读, 收获喜欢 898 次。

关注

评论

发布
暂无评论
发现更多内容

Spring Boot + Vue前后端分离项目,Maven自动打包整合

xcbeyond

maven 前后端分离 springboot 部署

Go: 通过代码学习 Map 的设计 — Part II

陈思敏捷

go golang map

Redis系列(七):缓存只是读写回种这么简单吗?如果是,那么请你一定看看这篇文章!

z小赵

redis 分布式 高并发系统设计

英特尔中国研究院宋继强:芯片、系统、软件成为异构计算的三层级

飞天鱼2017

IO系列——UNIX五种IO模型

Java联盟

io 多路复用 异步IO

Nginx 限流配置

Bruce Duan

Nginx限流

架构师那些不能碰的禁忌

曲水流觞TechRill

架构师

IO系列——用户空间与内核空间

Java联盟

io 零拷贝 用户空间 内核空间 zero copy

国产开源流媒体SRS4.0对视频监控GB28181的支持

潇湘落木

音视频 云直播 短视频 流媒体

阿里巴巴大规模应用 Flink 的实战经验:常见问题诊断思路

Apache Flink

flink

ARTS 第 5 周

乌拉里

HTTPS详解

Bruce Duan

https 对称加密 非对称加密

[POJ 1002] 487-3279 C++解题报告

一直AC一直爽

POJ ACM

主宰操作系统的经典算法

cxuan

后端 操作系统

节约60%成本!虎牙直播云端大数据是怎么做到的?

小小的一朵云

Kafka两个高性价比的参数调优

大数据学徒

Java 大数据 kafka

week8 作业

Shawn

一文带你了解Zookeeper所有核心概念

小隐乐乐

zookeeper 分布式 分布式架构

上海首批金融科技“监管沙盒”应用名单出炉 区块链技术备受青睐

CECBC区块链专委会

金融科技 金融监管 创新与安全 智能多元化

华为云FusionInsight MRS融合大数据平台进阶之路

FI洞见

大数据 新特性 FusionInsight 华为云 智能数据湖

干货分享丨玩转物联网IoTDA服务系列四-智能网关

华为云开发者社区

物联网 智能设备 应用场景 华为云 mqtt

一个好用的工作生活平衡方式

泰稳@极客邦科技

职场求生攻略答疑篇之 1 —— 加班沉思录

臧萌

程序员 加班

CDN百科第七期 | 关于CDN的原理、术语和应用场景那些事

巨侠说

CDN

Flink Weekly | 每周社区动态更新

Apache Flink

flink

Linux服务器存在某进程CPU过高如何追溯其问题根源?

Nick

Java Linux centos

Java架构-Java代码规范那些事

我是苞谷

Java

胡继晔:发挥我国优势把依法治网落实到区块链管理中

CECBC区块链专委会

CECBC 胡继晔 依法治网 数字货币监管

API接口限流

Bruce Duan

分布式限流 单体限流 限流算法

如何消灭飞机的“黑色十分钟”,AI来帮忙

华为云开发者社区

华为 AI 智能时代 模型 华为云

正则表达式基础详解

懒猫

Java 正则表达式 前端 前端开发 正则

云环境下,企业该如何进行安全建设?-InfoQ