深入原生冰山安全体系,详解华为云安全服务如何构筑全栈安全

654 阅读16分钟

​​摘要:如果把云安全比作“冰山”,不仅要关注冰山上的“安全服务和特性”,还要关注冰山下各种基础安全建设。

本文分享自华为云社区《深入原生冰山安全体系,详解华为云安全服务如何构筑全栈安全》,原文作者: 华为云社区精选。

近年来,随着全球网络空间快速发展,高危漏洞、大流量 DDoS 攻击、数据泄露事件频发。在高速变化的网络威胁态势中,仅仅依靠对漏洞的补救,或针对已知远远不够了,新的威胁还在不断涌现。企业客户在数字化转型和上云过程中,需要系统化构建安全体系以应对新的安全挑战。

如果把云安全比作“冰山”,那云安全服务及云服务的安全特性属于“冰山”上的可见部分。而“冰山”下 90%部分的安全能力,往往不为人所知,但正是这“冰山”下的部分,承载着整个公有云的安全性。

华为云构筑的原生冰山安全体系,通过四大能力:自主研发的安全服务,覆盖全球的安全认证、覆盖全球的安全保障能力和全生命周期的数据安全治理,帮助企业抵御网络攻击,从复杂专业的安全工作中解放出来,快速、便捷地获取到普惠、合规、高效的安全服务。(详见《厚积薄发,华为云构筑原生冰山安全体系,守护云上安全》)。

华为云安全服务全解析

华为云基于 20 多年安全积累,自主研发的 20+款云安全服务是华为云冰山安全体系中,最重要的能力之一,通过安全服务将华为安全能力共享给用户,帮助用户高效稳定地发展业务。

华为云安全服务覆盖“保护云工作负载、保护应用服务、保护数据资产、管理安全态势、业务合规上云”五大领域,,从计算层、网络层、数据层再到安全管理层,积累了不同维度的云安全经验,形成了协同联动的云安全服务体系,为用户提供优秀实践,构筑全栈安全。

为了更具象的理解,我们以典型的电商场景为例,来详细了解这五大安全服务是如何为企业保驾护航的。

保护云工作负载

计算机和网络运转的核心是数据,而数据的归属则是主机,这其中包括个人电脑、服务器以及一些大型的磁盘阵列。对企业而言,主机既是承载公司业务及内部运转的底层平台,也是承载企业数据和服务的核心,其稳定、安全地运行是公司正常运转的前提保障。

例如电商在大促期间,会有数以万计的用户下单信息存储在服务器中。如果没有主机安全防护体系,黑客就可以利用密码破解、社工攻击或漏洞攻击等手段入侵服务器数据库,获取大量数据资产。电商在被攻击的过程中,业务会被中断,大量恶意文件占用系统资源,也会导致服务器不能正常运行,影响用户的购买下单。

新时代的主机安全素养:防得住暴力破解、查得出挖矿木马、守得住后门漏洞,不可或缺、一样都不能少。华为云企业主机安全(HSS)以服务器贴身安全管家的身份,实现病毒木马查杀、漏洞一键修复、入侵检测、防勒索等安全防护保障。其旗舰版及网页防篡改版,还增加反弹 Shell、高危命令执行、自启动检测等能力,防止网页被篡改,有效应对 APT 攻击等高级威胁,全方位为云上企业保驾护航。

很多企业会在多个云平台部署业务,一来享受不同云厂商的产品和服务优势;二来分散和减少业务系统风险。但多云部署也会带来主机安全管理难度陡增的难题。蘑菇街让你更美丽,华为云让蘑菇街更安全,蘑菇街通过华为云 HSS 实现了对多云平台主机的统一安全防护和管理,安全管理效率提升了 3 倍。同时,蘑菇街安全团队丰富的安全实战经验结合华为云 HSS 强大的入侵检测能力,提升了蘑菇街的安全防护等级。

除了要防护外部的安全问题,对于企业内部的身份、权限和资产等 IT 运维安全问题,同样也要时刻关注。有调查显示,有超过半数的企业网络安全事件并非是因为外部攻击所导致,而是由于企业内部的不安全、不合规运维操作所造成的。

堡垒机在企业安全运维内需和法律合规的双要求下,成为每个企业都需要的安全产品。华为云堡垒机无须安装部署,一站式运维和安全管理,降低企业运维成本;实时记录所有操作和日志,并提供实时监控、录屏和回放等功能,便于事后审计和取证;同时产品安全合规,三大特点让云堡垒机成为企业必备的安全运维爆品。

保护应用服务

许多企业的关键业务依赖于 Web 应用,而互联网 75%的攻击都集中在应用层。以电商来说,在 618、双 11 期间经常会发布秒杀活动应用页面,一些不法攻击者会借助代理服务器生成指向受害主机的合法请求,对 Web 服务器进行大量访问请求,导致正常用户无法正常访问。最终就会出现秒杀活动一开始,页面就 404 无法访问的现象。

网页被篡改,访问被钓鱼、一做活动就宕机…其实,这些背后都是因为 Web 应用的防护没有做到位。

针对 Web 应用防护,Web 应用防火墙可用于常见攻击的检测和阻断,支持识别并阻拦常见的 Web 攻击。帮助用户应对网站入侵、漏洞利用、网页篡改、后门植入、CC 攻击等安全问题,为企业 Web 业务安全运营保驾护航。

以华为云的 Web 应用防火墙为例,它首先分析 Web 攻击行为,对具体业务场景设置动态防护,智能防御 CC 功能在第一时间开启。在不断对抗的过程中,基于灵活的自定义策略配置,摸清黑产的攻击策略,从而进行抵御。同时帮助客户梳理清楚业务逻辑,为业务调整优化提供依据。小心!网站遭遇Web攻击!谨防数据泄露,网页篡改! 中通过漫画的方式,形象的展示了华为云 Web 应用防火墙是如何帮助用户应对网站入侵、漏洞利用、网页篡改、后门植入、CC 攻击等安全问题,为企业 Web 业务安全运营保驾护航。

不仅如此,电商平台往往还会遭受恶意竞争者或黑客利用大量“受控主机”发出恶意攻击,导致平台网站无法访问导致业务中断,带来的经济损失以及客户流失。大规模网络攻击随时到来,中枪了咋整?华为云 DDoS 高防服务帮您轻松解决!除了这些能够防护外部攻击的安全保障,企业还需要漏洞扫描,自动发现网站或服务器在网络中的安全风险,为云上业务提供多维度的安全检测服务,让安全弱点无所遁形保护数据资产。

我们都知道,数据是企业的核心信息,数据存储的关键位置仍然在数据库中。而现状则是,大量互联互通的企业环境中,数据库普遍缺乏有效安全防护。一些不法分子会利用拖库洗库撞库的方式攻击数据库盗取信息。

我们知道电商企业的数据不仅包含商品信息,还有大量的注册用户、用户行为等相关隐私数据。数据隐私需要存储和流通,但是不能“裸奔”。

数据金矿如何守?云上数据可以通过密钥技术、新算法和加密算法等身份验证手段来保护数据隐私,同时对数据本身增强了保护。数据传输、存储及处理的各个阶段对数据进行加密,利用云技术对信息进行处理,实现信息隐蔽,保护用户数据安全。

为保障云上数据库的安全,我们可以基于反向代理及机器学习机制,进行敏感数据监测、数据脱敏、数据库审计和防注入攻击,详细可以了解数据库安全服务(Database Security Service,DBSS)

如果担忧数据泄露,数据加密服务(Data Encryption Workshop, DEW)可以为你快速解决这个难题,提供专属加密、密钥管理、密钥对管理功能,让你免除数据泄露忧愁。

不仅如此,在钓鱼网站泛滥的今天,企业还需要防止网站被仿冒、被篡改,而引发用户的信息数据被盗窃,对用户造成经济上的损失。

管理安全态势

在企业的日常安全运维工作中,各种安全产品每日会产生海量的威胁告警,需要花费大量人力去人工排查真实威胁和误报,时间久了会产生“狼来了”的效果。如何能够真正知道什么人在攻击你、攻击的全局态势是什么样的,甚至要能根据现有信息预测出来攻击者可能的行动方向,成为企业安全防护的重点工作。

**态势感知就是对能够引起用户云上系统的安全态势发生变化的所有安全要素进行获取、理解以及预测未来的发展趋势,并通过可视化技术呈现出来,为安全防护行动提供决策。**它拥有感知、理解、预测、呈现、决策等四大核心点。

担心未知风险,决策错误?态势感知让安全运维不再摸黑!态势感知基于大数据安全分析能力,汇总和关联分析了云中资产、日志、告警等多维度的信息,改变过去运维人员淹没在海量数据中的窘境,最终降低主动发现安全威胁的时间。并且,可视化的态势感知的大屏,就像一个作战指挥中心,能够呈现全局视角的网络安全的防护水平和短板,对于管理层衡量安全投资价值及决策具有重要指导意义。

基于态势感知,电商企业就可以清楚的了解到云上攻击从哪儿来,如何防,资产安全态势如何?让企业轻松感知现在,预知未来!

除了态势感知,堪称云上风险“听诊器”的华为云威胁检测服务(MTD)可以持续监控恶意活动和未经授权的行为,补足其他服务检测能力,第一时间识别风险,规避由潜在威胁造成的安全事件,帮助企业提升安全运营效率,保障业务的连续性。

业务合规上云

当然,除了网络安全和业务安全需要得到保障,对于电商企业而言,最好的安全保护是制度保护。早在 2017 年 6 月,《中华人民共和国网络安全法》就正式实施,等级保护制度也成为国家网络安全的基本制度。2019 年,等保 2.0 提出新的技术要求和管理要求,强调“一个中心,三重防护”,企业在安全防护体系建设、风险评估和管理上需要更加全面。

为此,华为云为客户提供了等保安全(DJC)解决方案,帮助企业提升安全防护能力,满足等保合规要求。过等保其实不难,找对帮手很重要!在服务客户之前,华为云所有大区都通过等保 3 级,部分安全性要求高的大区、节点过等保 4 级,为用户顺利、高分过等保打下基础。为了让用户更省心省事,华为云更是以 100%满足等保条款要求部署的各类安全防护产品。

并且,结合华为 30 年的安全经验,华为云推出管理检测与响应服务(MDR),以云服务的形式,为客户建立由管理、技术与运维构成的安全风险管控体系,结合企业与机构业务的安全需求反馈和防控效果对用户安全防护进行持续改进,帮助企业与机构实现对安全风险与安全事件的有效监控,并及时采取有效措施持续降低安全风险并消除安全事件带来的损失。

为了更好地帮助企业做好安全防护工作,开启云端安全模式。在华为云 TechWave 全球技术峰会安全专题日,华为云聚焦应用安全防护,发布四大安全新品:安全智能分析平台 ISAP、威胁检测 MTD、应用信任中心 ATC 和安全运营中心 SOC,为企业的云上安全防护再添新的武器。

云原生时代下,无处不在的云原生安全

随着云原生技术的成熟和市场需求的升级,云计算的发展已步入新的阶段——云原生 2.0 时代。越来越多的企业及个人选择使用云原生技术来构建业务。企业在享受云原生红利的同时,也对安全防护有了更高的需求,因为需更契合云原生业务发展的安全服务。

作为云原生代表技术之一的容器,每个企业都应该对容器安全有所了解。云原生2.0时代,企业都应该了解的容器安全,从容器与虚拟机的对比,为我们介绍了容器更便携和高效特点。华为云容器安全服务 CGS 构建了容器安全威胁纵深防御体系,提供包括镜像扫描、威胁检测与威胁防护的一整套容器安全能力,提供针对容器的 Build、Ship、Run 全生命周期保护能力,渗透到整个容器 DevOps 流程,保证容器虚拟环境从开发到生产整个流程的安全。在 2020 可信云大会上,经信通院严格检测,49 项安全能力全部过检,华为云容器安全服务获可信云最高级的先进级认证。

不仅如此,在云原生安全方面,华为云推出了 CFW 云防火墙、DSC 数据安全中心服务和 ATC 应用信任中心三款产品。

在华为云 TechWave 云原生 2.0 专题日上,为给企业业务提供多场景全流量防护,筑牢网络安全的第一道防线,华为云CFW云防火墙正式发布!华为云 CFW 云防火墙作为新一代云原生防火墙,提供云上互联网边界和 VPC 边界的防护,兼具“极简、智能、可视、开放”四大特点。

传统的安全防护基于网络边界构建,但随着云计算和移动互联网的兴起,传统网络边界逐渐模糊,基于网络边界的防御理念难以适应云环境下的需求。零信任“从不信任、永远验证”的理念应势而起,即基于身份而非网络位置来构建访问控制体系。

华为云基于零信任理念,依托云原生安全能力,对网络隐身、自适应风险控制等关键技术进行创新,在安全运维、远程接入等众多场景进行大量实践,让应用更安全,华为云应用信任中心ATC正式公测。ATC 服务是围绕用户应用打造的安全服务,通过构建应用安全威胁全景拓扑,实现细粒度访问控制,满足客户对零信任访问控制能力的需求。

在 2021 年 6 月,十三届全国人大常委会第二十九次会议通过了《中华人民共和国数据安全法》(以下简称数据安全法),并将于 9 月 1 日起施行。数据是当今时代的金矿,保护数据安全更是企业的核心诉求。企业用云数字化转型的同时,如何保障企业数据资产的全生命周期安全?

今天云上的数据安全能力其实一直是分散在各个服务之中,例如 VPN、安全组、SSL 证书以及诸如 ECS、RDS、OBS 等集成的加密能力。数据安全是一个管道,整体的安全能力是由每个阶段的安全能力共同组成的,换言之,如果某一个阶段做的很强,而另一个阶段没有任何保护措施,那么对于整体数据安全状态来说也是于事无补。企业缺少一个对整体安全能力审视统一视角,这个时候企业就需要一名数据资产“贴身守卫”——数据安全中心。

作为 2019 年 9 月份开始内测,2020 年年底正式推出的云原生华为云数据安全中心服务。该服务能够提供数据分级分类、数据安全风险识别、数据水印溯源和数据脱敏等基础数据安全能力,通过构建数据安全统一入口,围绕数据全生命周期,帮助用户实现云上数据安全可视化管理服务。而且还能够为企业提供数据资产的全生命周期全景图,让客户清楚知道自己的数据从哪里来、到哪里去、有无安全问题。保障云上数据在产生、采集、传输、存储、使用、交换、销毁各阶段的安全。真正的帮助企业做到:数据安全中心在手,保护数据方案都有。

最后

安全是个需要持续投入、持续演进、持续提升的系统性工程,不积跬步无以至千里。新兴技术高速发展的同时也带了未知安全威胁的频发,华为云安全继承华为 20 多年的安全能力积累,逐步打造完善云安全服务矩阵,构筑全栈安全防线,在云原生时代帮助客户高效安全地上云。

点击关注,第一时间了解华为云新鲜技术~