什么是云计算安全?如何保障云计算安全

news2024/12/24 2:59:51

云计算彻底改变了数据存储的世界,它使企业可以远程存储数据并随时随地从任何位置访问数据。存和取变得简单,也使得云上数据极易造成泄露或者被篡改,所以云计算安全就显得非常重要了。那么什么是云计算安全?

其实,云计算并非一个全新概念,其发展历史可以追溯到1956年虚拟化技术的正式提出。我国云计算发展大致经历三个阶段:2010年以前是准备阶段;2011年到2013年是稳步成长阶段;2014年至今,中国云计算产业进入高速发展阶段。当前,云计算正从新业态转变为常规业态,并且与传统行业深度融合发展。

云计算究竟是一项什么样的技术?

通过高速网络,云计算将大量独立的计算单元相连,提供可扩展的高性能计算能力。它的主要特点是:资源虚拟化、服务按需化、接入泛在化、部署可扩展、使用可计费。

简单说,就是用户的计算需求不必在本地计算机上实现,而是只要把计算需求交给“云平台”,“云平台”把巨量数据分解成无数个小任务,分发给众多服务器,最后汇总出计算结果,返回给用户。打个比方,吃鱼不必自己造船、结网、出海、烹饪,只需跟饭店下订单即可,饭店自会准时上菜,这个饭店会同时服务众多顾客。随着用户越来越多,程序越来越复杂,对计算能力和安全性的要求也越来越高。在不断提升的需求推动下,云计算技术不断升级,应用也越来越普及。

云计算的定义

云计算是一种按使用量付费的模式,这种模式提供可用的、便捷的、按需的网络访问, 进入可配置的计算资源共享池(资源包括网络,服务器,存储,应用软件,服务),这些资源能够被快速提供,只需投入很少的管理工作,或与服务供应商进行很少的交互。

随着云计算逐渐成为主流,云安全也获得了越来越多的关注,传统和新兴的云计算厂商以及安全厂商均推出了大量云安全产品。但是,与有清晰定义的“云计算”(NIST SP 800-145和ISO/IEC 17788)不同,业界对“云安全”从概念、技术到产品都还没有形成明确的共识。

主要有三种系统类别:IaaS, PaaS, IaaS:
 

  • SaaS:传统软件用户将其安装到硬盘然后使用。在云中,用户不需要购买软件,而是基于服务付费。它支持多租户,这意味着后端基础架构由多个用户共享,但逻辑上它没每个 用户是唯一的。
  • PaaS:PaaS将开发环境作为服务提供。开发人员将使用供应商的代码块来创建他们自己的应用程序。该平台将托管在云中,并将使用浏览器进行访问。
  • IaaS:在IaaS中,供应商将基础架构作为一项服务提供给客户,这种服务以技术,数据中心和IT服务的形式提供,相当于商业世界中的传统“外包”,但费用和努力要少得多。主要目的是根据所需的应用程序为客户定制解决方案。

什么是云计算安全?

云计算安全 (Cloud security ),是指基于云计算商业模式应用的安全软件、硬件、用户、机构、安全云平台的总称。

“云安全”是继“云计算”“云存储”之后出现的“云”技术的重要应用,是传统IT领域安全概念在云计算时代的延伸,是“云计算”技术的重要分支。

在云计算的架构下,云计算开放网络和业务共享场景更加复杂多变,安全性方面的挑战更加严峻,一些新型的安全问题变得比较突出,如多个虚拟机租户间并行业务的安全运行,公有云中海量数据的安全存储等。

云计算与云计算安全的关系

云计算安全(Cloud Security)是一个从“云计算”演变而来的新名词。云安全就是基于云计算商业模式的安全软件、硬件、用户、机构安全云平台的总称。它通过对网络软件的行为进行监测,获取互联网中木马、恶意程序的最新信息,并发送到服务端进行自动分析和处理,再把病毒和木马的解决方案分发到每一个客户端。

从发展的脉络分析,“云安全”相关的技术可以分两类:

  • 一类为使用云计算服务提供防护,即使用云服务时的安全(security for using the cloud),也称云计算安全(Cloud Computing Security),一般都是新的产品品类;
  • 一类源于传统的安全托管(hosting)服务,即以云服务方式提供安全(security provided from the cloud),也称安全即服务(Security-as-a-Service, SECaaS),通常都有对应的传统安全软件或设备产品。

“安全即服务”和“云计算安全”这两类“云安全”技术的重合部分,即以云服务方式为使用云计算服务提供防护。

云计算的三种服务模式

基于云计算的服务模式、部署模式和参与角色等三个维度,美国国家标准技术研究院(NIST)云计算安全工作组在2013年5月发布的《云计算安全参考架构(草案)》给出了云计算安全参考架构(NCC-SRA,NIST Cloud Computing Security Reference Architecture)。

NIST云计算安全参考架构的三个构成维度:

  • 云计算的三种服务模式:IaaS、PaaS、SaaS
  • 云计算的四种部署模式:公有、私有、混合、社区
  • 云计算的五种角色:提供者、消费者、代理者、承运者、审计者

云计算具有以下特点:

  • 虚拟化。云计算支持用户在任意位置、使用各种终端获取应用服务。
  • 规模化整合。云里的资源非常庞大,在一个企业云可以有几十万甚至上百万台服务器,在一个小型的私有云中也可拥有几百台甚至上千台服务器。
  • 高可靠性。云计算使用了多副本容错技术、计算节点同构可互换等措施来保障服务的高可靠性,使用云计算比使用本地计算机可靠。

云安全包含的风险

云服务因其总体架构、网络部署、运维服务具有相似性,面临着共性安全风险,以下从基础设施、网络部署、云上应用、运维服务四个方面进行安全风险分析。其中,基础设施是指为云上应用提供运行环境的软硬件及管理编排系统。

(1) 基础设施安全风险

主要包括:物理环境及设备安全风险、虚拟化安全风险、开源组件风险、配置与变更操作错误、带宽恶意占用、资源编排攻击。

(2) 网络部署安全风险

主要包括:数据泄露、身份和密钥管理、接入认证、跨数据中心的横向攻击、APT等新型攻击。

(3) 云上应用安全风险

主要包括:API接口安全、无服务器攻击、DOS攻击、跨租户/跨省横向攻击、跨工作负载攻击、云服务被滥用及违规使用、用户账号管理安全、核心网攻击。

(4) 运维服务安全风险

主要包括:管理接口攻击、管理员权限滥用、漏洞和补丁管理安全、安全策略管理。

云安全为什么那么重要?

1、云操作容易受到攻击

云服务器一般都会由专业的运维工程师去运维,但是在大多数开发小公司,是没有运维工程师的,这个时候一般都是开发人员自己去维护,这个时候就会缺乏基本的安全常识,比如防火墙相关的操作、应用不当的补丁、数据库设置等等,这些操作都会使得服务器遭到攻击。

2、共享资源会增加风险

在现在的开发中,一般都会有开发环境、测试环境、线上环境等,开发环境一般就是本地环境,有些公司的几个环境都会用同一套数据库和其他基础服务,这些资源都是共享资源,如何保证环境的隔离就成了大难题,资源的共享就增加了风险。

3、多云环境变得更加复杂

现在的公司一般不会只买一家云提供商的云产品,云产品例如有:云服务器、云存储、云直播、云计算等。

那么这种多云环境,怎么能保证数据安全呢?登录的凭据怎么保证通用呢?这就是云安全要施展拳脚的地方。

云安全工作原理

云安全的类型一般有四种:

1、身份和访问管理

授权身份访问云环境中的资源,不同身份的人有不同的角色,不同的角色有不同的权限。

2、数据丢失防护

对数据进行监控和检查来防止网络攻击者窃取数据。

3、加密

对传输的数据进行加密,让拦截者解密数据难度加大,从而保护我们的数据。

4、安全信息和事件管理

将安全日志分散在不同的环境中并进行实时分析,这样安全团队可以提高对云生态系统的可见性,减少云环境大量漏洞。

云安全和传统安全有什么区别?

一是网络边界不可见。云计算通过引入虚拟化技术,将物理资源池化,按需分配给用户,这里涉及到计算虚拟化、网络虚拟化、存储虚拟化。云服务商为用户提供虚拟化实体,对用户而言,以租用的形式使用虚拟主机、网络和存储,传统的网络边界不可见。在云计算中,传统的安全问题仍然存在,诸如拒绝服务攻击、中间人攻击、网络嗅探、端口扫描、SQL注入和跨站脚本攻击等。在传统信息系统中,通过在网络边界部署可实现安全的防护。但在云环境中,用户的资源通常是跨主机甚至是跨数据中心的部署,由物理主机之间的虚拟网络设备构成,传统的物理防御边界被打破,用户的安全边界模糊,因此需要针对云环境的复杂结构,进一步发展传统意义上的边界防御手段来适应云计算的安全性。

二是数据安全要求更高。云环境中的责任主体更加复杂,云服务商为租户提供云服务,不可避免会接触到用户数据,因此云服务商内部窃密是一个很重大的安全隐患。事实上,内部窃密可分为内部工作人员无意泄露内部特权信息或者有意和外部人员勾结窃取内部敏感信息两种。在云计算环境下,内部人员还包括云服务商的内部人员,也包括为云服务商提供第三方服务的厂商的内部人员,这也增加了内部威胁的复杂性。因此需要采用更严格的权限访问控制来限制不通级别内部用户的数据访问权限。

三是云环境中的责任主体更为复杂。在云环境下,数据存储在共享云基础设施之上,当用户数据的存储与数据维护工作都是由云服务商来完成时,就很难分清到底是谁拥有使用这些数据的权利并对这些数据负责。需要更明确的职责划分,更清晰的用户协议,更强的访问控制等多种手段来限制内部人员接触数据并尽可能与用户达成共识。

如何做好云计算安全

针对云计算安全,WAAP全站防护是基于风险管理和WAAP理念打造的安全方案,以“体系化主动安全” 取代安全产品的简单叠加,为各类Web、API业务等防御来自网络层和应用层的攻击,帮助企业全面提升Web安全水位和安全运营效率。全站防护的特性在于:

1.全周期风险管理

基于事前-事中-事后全流程,通过资产发现→策略布防→体系化运营,实现风险管理闭环

2.全方位防护

聚合DDoS云清洗、Web攻击防护、业务安全、API安全、全站隔离5大模块,实现覆盖L3-L7层的全站防护

3.简化安全运营

统一纳管多云环境所有Web业务、一个后台统一控制、打破数据孤岛,大幅降低安全运营复杂度和人力成本

4.防护效果卓越

多模块数据联动,秒级识别低频DDoS、业务欺诈等隐藏恶意行为;主动威胁情报和全站隔离技术实现主动防护、屏蔽0day漏洞威胁


体系化防护架构:引擎融合+风险闭环,并且拥有四大功能:云端部署、风险管理、全站防护以及安全运营。

一、云端部署

一键接入,无需改造现有架构,专家7*24小时在线支撑,实时解决问题

二、风险管理

在事前阶段,结合安全专家服务,帮助企业发现并收敛Web业务安全风险

1.漏洞扫描

通过漏洞扫描器对Web应用资产进行安全扫描,发现Web应用中存在的安全漏洞(OWASP TOP10、弱口令、CVE漏洞等);

2.渗透测试

派出安全专家,以黑客视角对目标系统进行非破坏性漏洞挖掘,清查目标系统潜在的安全隐患;

3.智能化防护策略

平台基于客户业务的智能化分析,可自动适配防护策略,实现开箱即用;

4.API资产盘点

基于流量分析,帮助企业从流量数据中发现尚未掌握的API业务,形成API资产清单,为后续的防护工作做好资产盘点;

5.互联网暴露面资产发现

通过平台和人工服务的方式,对域名、IP及关键字的综合查询及关联分析,提供互联网资产的发现、识 别、监测、稽核等服务,帮助用户发现和梳理互联网资产;

三、全站防护

在事中阶段,从网络安全、应用安全、业务安全、API安全各层面,为Web应用提供全面安全防护闭环

1.DDoS防护

秒级检测专利技术,在边缘实时清洗网络层DDoS攻击;

2.CC防护

基于AI的流量行为分析技术,实现对应用层CC攻击的秒级检测及防御;

3.业务安全

针对业务层面,提供轻量化的信息防爬和场景化风控能力;

4.API安全

针对API应用进行精细化的管理和防护,规避API滥用行为、防止数据泄露;

5.Web攻击防护

覆盖OWASP Top10的各类Web攻击防护,基于CDN的分布式算力提供弹性防护和海量IP封禁,同时支持与源站本地防护联合决策提高防御精度;

6.全站隔离

基于远程浏览器隔离技术使网站源代码不可见,从而主动隐藏网站攻击面,同时结合混淆访问路径、加密交互内容等技术,实现对0day漏洞攻击的有效屏蔽;

7.协同防护

通过全站防护管理平台,对网络L3-L7层各防护模块的安全策略进行统一管理,并通过数据聚合、情报协同,形成真正的纵深防护,简化运营工作的同时进一步提升整体安全的防护水位。

四、安全运营

在事后阶段,以降低风险为目标,全站防护管理平台提供体系化的安全运营能力,帮助企业夯实全周期风险管理闭环

1.全面的安全态势

聚合各防护模块数据,以简洁、贴近业务的形式呈现,用户可总览web安全态势,主动感知和响应已知安全事件;

2.持续优化的托管策略

结合平台实战对抗经验和持续的攻防研究成果,管理平台持续提供推送更高质量的防护规则和策略建议,对业务防护策略进行优化,与黑产持续对抗;

3.安全专家运营

资深安全专家提供策略优化、应急响应、重保等专项安全服务,同时对客户风险的持续监测与防护管理。


云安全是云计算环境中不可或缺的重要组成部分,它关系到数据的安全、业务的连续性和企业的合规性。随着技术的不断进步和需求的不断变化,云安全将不断发展和完善,为企业提供更高效、更智能的安全保障。因此,企业应高度重视云安全工作,加强安全投入,提高安全防护能力,确保云计算环境的安全稳定运行。
 

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1687452.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

EN6347QI 开关稳压器 4A 贴片QFN-38 参数资料 应用案例 相关型号

EN6347QI 是一款直流/直流开关转换器。它是一款高效率的 buck (降压) 转换器,内置了电感器,能够提供高达 4A 的输出电流。其工作电压范围为 4.5V 至 12V,输出电压可调,最高可达 15V。EN6347QI 适合于各种电子设备中,用…

K8s deployment 进阶

文章目录 K8s deployment 进阶Deployment 更新策略RecreateRollingUpdatemaxSurge 和 maxUnavailable minReadySecondsprogressDeadlineSeconds Deployment 版本回滚Deployment 实现灰度发布 K8s deployment 进阶 Deployment 更新策略 Recreate 重建 (Recreate)&…

Vue进阶之Vue项目实战(三)

Vue项目实战 图表渲染安装echarts图表渲染器(图表组件)图表举例:创建 ChartsRenderer.vue创建 ChartsDataTransformer.ts基于 zrender 开发可视化物料安装 zrender画一个矩形画一个柱状图基于svg开发可视化物料svg小示例使用d3进行图表渲染安装d3基本使用地图绘制本地持久化拓…

【堡垒机小知识】堡垒机资产监控能监控哪些东西呢?

堡垒机,重要的网络安全工具,其资产监控功能在保障系统稳定运行、防范潜在风险方面发挥着至关重要的作用。但不少小伙伴对于监控内容不清楚,这里我们就来一起简单看看,仅供参考~ 堡垒机资产监控能监控哪些东西呢? 【…

Chrome DevTools 使用指南- 控制台篇

1.引言 在当今的前端开发中,Chrome DevTools 已成为开发者们不可或缺的工具。其中控制台是 DevTools 中最常用和最重要的部分之一。 本指南将详细介绍 Chrome DevTools 控制台的各种功能和使用技巧,帮助您更好地利用控制台进行高效调试和开发。无论您是…

微服务Day7学习

文章目录 数据聚合聚合分类 自动补全DSL实现Bucket聚合DSL实现Metrics聚合RestAPI实现聚合多条件聚合对接前端接口拼音分词器自定义分词器自动补全查询实现酒店搜索框自动补全 数据同步数据同步思路分析利用mq实现mysql与elasticsearch数据同步 集群介绍搭建ES集群 数据聚合 聚…

flume使用实例

1、监听端口a1.sources.r1.type netcat 配置文件nc-flume-console.conf # Name the components on this agent a1 表示jvm进程名 a1.sources r1 a1.sinks k1 a1.channels c1 # Describe/configure the source a1.sources.r1.type netcat a1.sources.r1.bind node…

什么是固态继电器?

固态继电器是不需要使用任何机械部件的开关继电器。这通常使它们具有比普通机电继电器寿命更长的优势,然而,尽管固态继电器速度快且耐用,但仍具有某些设计规定。 固态继电器风靡全球,彻底改变了从农业自动化到航空航天等各个行业…

Pytorch梯度下降算法(Gradient Descent)

intro 其实对于我们将要学的梯度最小函数,目的就是先得到loss损失最小的值,然后根据这个最小的值去得到w。 初始点在initial guess这个位置,我们希望找到最小的权重点global cost minimum,我们到底是让这个点左移寻找还是右移寻…

Linux第三十九章

🐶博主主页:ᰔᩚ. 一怀明月ꦿ ❤️‍🔥专栏系列:线性代数,C初学者入门训练,题解C,C的使用文章,「初学」C,linux 🔥座右铭:“不要等到什么都没有了…

【全开源】JAVA同城搬家系统源码小程序APP源码

JAVA同城搬家系统源码 特色功能: 强大的数据处理能力:JAVA提供了丰富的数据结构和算法,以及强大的并发处理能力,使得系统能够快速地处理大量的货物信息、司机信息、订单信息等,满足大规模物流的需求。智能路径规划&a…

【Redis】String的介绍与应用详解

大家好,我是白晨,一个不是很能熬夜,但是也想日更的人。如果喜欢这篇文章,点个赞👍,关注一下👀白晨吧!你的支持就是我最大的动力!💪💪&#x1f4aa…

设置 sticky 不生效?会不会是你还是没懂 sticky?

官方描述 基本上可以看懂的就会知道。sticky 是相对于存在滚动条的内容的,啥意思? 就是不论你被谁包着,你只会往上找有 overflow 属性的盒子进行定位,包括:overflow:hidden; overflow:scroll; overflow:auto; overflo…

一键批量提取TXT文档前N行,高效处理海量文本数据,省时省力新方案!

大量的文本信息充斥着我们的工作与生活。无论是研究资料、项目文档还是市场报告,TXT文本文档都是我们获取和整理信息的重要来源。然而,面对成百上千个TXT文档,如何快速提取所需的关键信息,提高工作效率,成为了许多人头…

EI稳定检索--人文社科类会议(ICBAR 2024)

【ACM独立出版】第四届大数据、人工智能与风险管理国际学术会议 (ICBAR 2024) 2024 4th International Conference on Big Data, Artificial Intelligence and Risk Management 【高录用•快检索,ACM独立出版-稳定快速EI检索 | 往届均已完成EI, Scopus检索】 【见…

运行vue2项目基本过程

目录 步骤1 步骤2 步骤3 补充: 解决方法: node-scss安装失败解决办法 步骤1 安装npm 步骤2 切换淘宝镜像 #最新地址 淘宝 NPM 镜像站喊你切换新域名啦! npm config set registry https://registry.npmmirror.com 步骤3 安装vue-cli npm install…

分布式中traceId链接服务间的日志

使用技术: 网关:SpringCloudGateway RPC调用:Feign 一:在网关入口处设置header:key-traceId,value-UUID import com.kw.framework.common.croe.constant.CommonConstant; import com.kw.framework.gateway…

机器学习高斯贝叶斯算法实战:判断肿瘤是良性还是恶性

概述 我们使用威斯康星乳腺肿瘤数据集,来构建一个机器学习模型,用来判断患者的肿瘤是良性还是恶性。 数据分析 威斯康星乳腺肿瘤数据集,包括569个病例的数据样本,每个样本具有30个特征值。 样本分为两类:恶性Malig…

SHA1获取

这里写目录标题 JDK获取uniapp开发Dcould获取 JDK获取 一、下载jdk 链接: http://www.oracle.com/ 二、安装直接下一步下一步 三、配置环境变量 先新增变量JAVA_HOME变量值为C:\devUtils\jdk (jdk安装路径位置)再配置Path(%JAVA_HOME%\bin) 四、创建SHA1安全证书 win r输入cmd…

常见应用流量特征分析

目录 1.sqlmap 1.常规GET请求 2.通过--os-shell写入shell 3.post请求 2.蚁剑 编码加密后 3.冰蝎 冰蝎_v4.1 冰蝎3.2.1 4.菜刀 5.哥斯拉 1.sqlmap 1.常规GET请求 使用的是sqli-labs的less7 (1)User-Agent由很明显的sqlmap的标志,展…