伴随新技术的诞生,新的安全问题陆续浮现。如今,各行各业正在掀起上云狂潮,云安全的概念随之爆发。
企业对云安全的市场需求也逐步迎来爆发期,越来越多的企业开始增加对安全方面的投入,同时细分领域和场景的安全实践推动云安全市场需求水涨船高。
6月27日,互联网科技运维经理王明松在FreeBuf甲方社群第十二期内部直播中担任主讲嘉宾,以“浅谈云安全”为主题进行分享,带大家系统的了解云安全。王明松讲述了云与传统IDC架构的区别、分析了云上安全的一些特点、并举例了一些经典的云安全"坑",以帮助更多企业的安全人员轻松上手云安全。
一、云服务的责任共担模型
AWS责任共担模型可以减轻客户的运营负担,因为 Aws 负责运行、管理和控制从主机操作系统和虚拟层到服务运营所在设施的物理安全性的组件。客户负责管理来宾操作系统(包括更新和安全补丁)、其他相关应用程序软件以及 Aws提供的安全组防火墙的配置。
客户应该仔细考虑自己选择的服务,因为他们的责任取决于所使用的服务,这些服务与其 IT 环境的集成以及适用的法律法规。
二、云安全的特点
Aws核心服务包括Config 跟踪资源库和变更、CloudTrail 跟踪用户活动和 API 使用情况、以及IAM 安全地管理身份以及对 Aws 服务和资源的访问、CloudFormation 为您的所有云基础设施资源建模并对其进行预置。
Config可以跟进云上资源变更,可以定期检查包括我现在有多少台服务器、有多少的对象存储、网络状况如何等等这些资源的情况,并且对它的一些配置做一些审计,为安全审计带来一定的便利。
CloudTrail是一项云审计功能,但这个审计主要针对操作而不是资源。比如我跟踪一些用户的活动、或者一些API使用,可能由机器发起、也可能由人发起。这就是我们传统意义上所指的那种操作的一种审计服务。
IAM是一项身份认证、身份管理服务,几乎所有云都有。该服务主要是针对管理能力,能够有效地去管理用户并提供临时的授权。
CloudFormation是偏向于资源编排的一项服务,你可以通过一些代码来把资源创建出来。不过这个在国内的应用场景不是特别多。只要拥有这项服务就可以通过代码把资源给编码出来。它们基于一些代码或者配置文件就把资源创建出来。好处在于如果你在做一些测试或者开发环境的时候想临时起一套环境或者有某个临时的服务,可以先在此做测试、压测,扫描,这项编排服务可以帮你把所有对应的资源都创建出来以提高效率。
三、云上的特色服务
云上特色服务最重要的是对象存储,几乎所有的公有云和私有云都有对象存储的服务。对象存储是一种以非结构化格式(称为对象)存储和管理数据的技术。现代组织需要创建和分析大量非结构化数据,例如照片、视频、电子邮件、网页、传感器数据和音频文件。
云对象存储系统将这些数据分布在多个物理设备上,但允许用户从单个虚拟存储库有效地访问内容。对象存储解决方案非常适合用于构建需要扩展和灵活性的云原生应用程序;您还可以使用这些解决方案导入现有数据存储以进行分析、备份或存档。
四、不同分类的云服务安全
要想实现云迁移,要分多个层次。首先第一层次是直接迁移,大多数使用的都是这个模式。相当于将云直接当成IDC去使用,直接将代码迁移当虚机,基本上修改一下配置即可成功实现迁移。
另外一个模式是直接使用SaaS,比如将数据库换成RDS,把存储换成对象存储,这就是一个更换的过程。
云安全在不同分类下有一些注意点,就是IaaS层次和SaaS层次。
IaaS层次跟IDC 比较相似,它有VPC的概念,等于所有的资源都是在一个虚拟的私有网络里边。作为甲方有足够的网络权限的话,那么防护重点是网络安全。
SaaS没有租户VPC的概念,可能有(区域Region)的概念,主要靠认证来保证安全,防护的重点是鉴权部分。
五、问答环节
在问答环节,有观众提到,如何做云安全产品的选型?对此,王明松表示理论上AWS所有的原生云安全产品应该都有功能更好的第三方替代,所以是选原厂还是选第三方取决于你的需求和预算。一般 Aws 自带的契合度好,但是功能略微简单一些,比较适合要求不高的团队简单使用。
还有用户提出,什么样的云是安全的?云的安全如何做评估?
王明松认为首先可以简单的看一下云服务和的相关认证,做一下简单对比,认证是一个比较好的评估手段。其次,尽量不要选择太小的服务商,也不要选择跟你有利益冲突的服务商。如果说的是自己的云服务,我觉得权限设计得当,不断更新维护的云服务才是安全的。
最后,主持人和演讲嘉宾们一起抽取了幸运互动观众,送出精美礼品。
六、加入FreeBuf甲方社群
本期直播精彩回顾到此结束啦~此外,FreeBuf会定期开展不同的甲方社群直播,想了解更多话题和观点,快来扫码免费申请加入FreeBuf甲方群吧!
更多精彩内容尽在FreeBuf甲方会员专属社群,小助手周周送福利,社群周周有惊喜,还不赶快行动?
【申请流程:扫码申请-后台审核(2-5个工作日)-邮件通知-加入会员俱乐部】
【如有疑问,也可扫描上方二维码添加小助手微信哦!】