零售行业公有云信息安全探讨

news2024/12/23 0:03:18

3fcc0fad72f9d4b9b9fe7b0ca761a535.gif

新钛云服已累计为您分享744篇技术干货

f6dddf78e643b94c54189d03fc3ee32f.gif

⚠️公有云安全事件⚠️

最近小半年接连处理了几起零售行业公有云安全事件,都是因为某种原因造成的数据泄露。有防护措施不当的,也有因为应用漏洞泄露被黑的,也有内部人员不慎造成的。

事后总结发现主要原因有三个:安全意识不足没有按照公有云安全架构最佳实践配置云安全投入不足

📍安全意识不足方面

政府和金融行业是强监管的,安全不达标应用系统不能上线,因此这些行业从领导到技术人员,信息安全意识都很强。

零售行业往往是业务导向,经常是出了安全事件造成损失,才意识到安全的重要性,然后开始亡羊补牢。

📍没有按照公有云安全架构最佳时间配置方面

接触到一些零售企业,公有云环境基本的安全配置很不规范。VPC就划分了一个,云的超级账号口令技术人员全员共享,也没有开启二次认证,安全组全部放开。

其实如果能够按照公有云安全架构最佳实践配置,在不怎么花钱的情况下,也可以取得基本的防护效果。

📍安全措施云安全投入不足方面

许多零售行业的领导不愿意在安全上面花钱,在这方面存在误区。有些领导认为安全投入性价比不高看不见摸不着,钱要花到刀刃上干脆先不投入了,往往是出了事情再手忙脚乱的花钱补课。也有些领导认为安全是一个无底洞花多少费用都没有用,做了和没做一个样。

在安全投入方面有两个事实,第一安全投入遵循木桶原理,如果钱能花到刀刃上,通过拟补薄弱的环节,可以极大的减少风险。第二安全投入遵循二八原则,在一定范围内,可以做到投入性价比很高。

SECURITY

针对以上情况,对应的解决方案为专人负责云安全架构优化适当的加大投入

☁️专人负责

专人负责意味着对安全的重视,对一些中小企业来说,专人负责并不意味着必须是全职负责,可以指定一个人占有一部分工作时间。有人负责才会体系化的考虑安全,落实安全措施持续优化安全。

另外,近年来国家对信息安全越来越重视,零售行业因为往往有大量的用户信息,在监管方面要考虑合规,等级保护需要提上日程,安全建设需要按照等级保护规范建设。

☁️云安全架构优化

许多人看到云安全产品很多而且费用比较高,往往不知道如何选择安全产品,也不太愿意使用。根据新钛云服实战经验,对于零售行业的企业来说,做好以下基本的安全配置,就可以取得不错的效果。

01

账号

· 最小权限原则,根据权限需求范围不同划分子帐号

· 所有账号开启两步认证

· 如果需要使用,acesskey通过创建子账号的方式分配最小的权限,将acesskey保存在配置中心中,以其它凭据获取需调用的accesskey

02

VPC

· 生产环境和研发测试环境划分到不同的VPC,根据业务规模,可以进一步划分PRO、UAT、TEST等VPC

· 如果对外的业务比较多,可以划分DMZ VPC,所有的对外业务部署在DMZ VPC。如果业务规模不大,DMZ VPC和PRO VPC可以是一个

· VPC之间通讯遵循白名单原则,默认不允许打通

03

缩小公网暴露范围,暴露在公网的地方一定要有防护

· 对外永远只开放具体的端口,而不是IP

· 确实需要对外的业务才开放端口,对内的业务比如OA等,尽量通过VPN访问,如果企业人比较多并且分散在各地,通过VPN控制有困难,也需要落实复杂密码定期修改等措施,并有必要的安全防护措施。技术部门使用的系统一定通过VPN访问,不暴露在公网。

· 对外的公网IP绑定在SLB上,尽量不要绑定在云主机上,SLB之前部署云防火墙、WAF、防DDoS等云安全产品,进行多重防护。

· 云主机访问通过堡垒机访问,进行细粒度的权限划分。

04

预算有限的情况下,开启免费或者少花钱的云安全产品

· 通常公有云的云安全中心,DDoS都有免费版本,建议开启;如果临时需要,可以购买短期或者按量版本。

· 日志审计服务往往按照存储量收费,规则配置恰到的情况下,可以少花钱,建议开启。

☁️适当的加大投入

一般来说,IT预算的5-10%用于信息安全是合适的。

根据新钛云服的经验,对于不同规模的零售企业,可以采用以下的安全投入方案。‍

· 对应小型零售企业来说,主机规模小于20台,如果没有监测到恶意攻击,使用WAF等安全产品费用上往往难以承受。建议一方面按照云安全架构优化,一方面考虑购买主机安全产品,构建好安全的最后一道防线。所有的攻击最终都是针对主机,主机安全产品可以实时发现系统和应用漏洞,发现实时的攻击。

· 对应中型零售企业来说,主机规模在20-100台之间,需要考虑WAF、云防火墙、云安全中心等云产品,这些其实也是等保三级要求的产品,可以对安全起到比较好的防护。

· 对应更大的零售企业来说,在上面的基础上,可以考虑更复杂的云产品,更好的起到安全加固的作用。

最后,还需要强调的是,安全是需要持续运营的,不是购买产品配置完成就结束了,需要不断的查看报警,修补漏洞,根据业务情况优化配置,才能取得良好的效果。

82ed6fef62bb19fcf84c6db0b68c90d5.gif

    推荐阅读   

6cffb9e9af230770878f23ba98781b42.png

e7ccac00cc57193001e0fa9b5246b303.png

    推荐视频    

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/516402.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

第一章 IRIS 基础知识:使用互操作性制作连接系统

文章目录 第一章 IRIS 基础知识:使用互操作性制作连接系统为什么要连接系统?介绍Productions 第一章 IRIS 基础知识:使用互操作性制作连接系统 本文介绍了如何将系统与 IRIS 数据平台互操作性产品连接在一起。 为什么要连接系统&#xff1f…

Golang每日一练(leetDay0063) 最大数、重复的DNA序列

目录 179. 最大数 Largest Number 🌟🌟 187. 重复的DNA序列 Repeated DNA Sequences 🌟🌟 🌟 每日一练刷题专栏 🌟 Golang每日一练 专栏 Python每日一练 专栏 C/C每日一练 专栏 Java每日一练 专栏…

博客管理系统--博客列表页

准备工作设计数据库封装数据库操作创建实体类数据库增删查改操作(写法几乎很相似)前后端交互 准备工作 博客管理系统前端部分在学习前端、css、js部分实现;现在我们将完成后端工作;并且部署云服务上;使其能让所有联网的人使用。 …

【代码】一个LVQ神经网络的详解实例

本站原创文章,转载请说明来自《老饼讲解-BP神经网络》bp.bbbdata.com LVQ神经网络是用于样本分类的一个常用算法,本文先简单回顾LVQ神经网络是什么,然后展示如何用matlab工具箱来训练一个LVQ神经网络 目录 一. LVQ神经网络简介 1.1 LVQ神经…

“首次公开一年连升两级的晋升大法”!

见字如面,我是军哥! 今天把江湖上失传已久的技术人晋升大法分享给各位,据说当年雷jun总就是用了此法三年就干到了技术高管,请各位务必做好学习和分享动作。 说真的,用好这三个办法,就算在 IT 大厂一年都可以…

脑挫裂伤是什么?脑挫裂伤的4大症状要警惕!

脑挫裂伤是头部遭受暴力而引起的原发性脑器质性损伤。脑挫裂伤既可发生于着力点的脑组织,也可发生于对冲部位。脑挫裂伤病人的临床表现可以由于损伤部位,范围,程度的不同而有差异。受伤较轻的可以只有轻微的症状而受伤,较重的可以…

这玩意真的有用吗?对,是的!Kotlin 的 Nothing 详解

视频先行 下面是视频内容的脚本文案原稿分享。 文案原稿 Kotlin 的 Nothing 类,无法创建出任何实例: public class Nothing private constructor() 所以所有 Nothing 类型的变量或者函数,都找不到可用的值: val nothing: Nothing …

电脑视频录屏软件哪个好用 电脑视频录屏怎么录屏

录屏是我们的工作和生活中非常大的一个需求,尤其对于专业的视频制作者来说,经常需要录制屏幕和编辑视频,因此找到便捷好用的录屏软件非常重要。今天就来分享一下电脑视频录屏软件哪个好用,电脑视频录屏怎么录屏。 一、电脑视频录…

2023 年第八届数维杯大学生数学建模挑战赛 B 题 节能列车运行控制优化策略

在城市交通电气化进程快速推进的同时,与之相应的能耗增长和负面效应也 在迅速增加。城市轨道交通中的快速增长的能耗给城轨交通的可持续性发展带来 负担。2018 年,北京、上海、广州地铁负荷占全市总负荷的 1.5%-2.5%,成为了 城市电网的最大单体负荷[1]。…

软考A计划-真题-分类精讲汇总-第一章(计算机组成原理与体系结构)

点击跳转专栏>Unity3D特效百例点击跳转专栏>案例项目实战源码点击跳转专栏>游戏脚本-辅助自动化点击跳转专栏>Android控件全解手册点击跳转专栏>Scratch编程案例 👉关于作者 专注于Android/Unity和各种游戏开发技巧,以及各种资源分享&am…

Java每日一练(20230512) 最大间距、串联子串、最长回文子串

目录 1. 最大间距 🌟🌟🌟 2. 串联所有单词的子串 🌟🌟🌟 3. 最长回文子串 🌟🌟 🌟 每日一练刷题专栏 🌟 Golang每日一练 专栏 Python每日一练 专栏 …

c++ 11标准模板(STL) std::vector<bool> (二)

定义于头文件 <vector> template<class Allocator> class vector<bool, Allocator>; std::vector<bool> 是 std::vector 对类型 bool 为空间提效的特化。 std::vector<bool> 中对空间提效的行为&#xff08;以及它是否有优化&#xff09;是实现…

使用ChatGPT完成部门和个人季度工作总结

“疫后元年“2023年的第一季度即将过去&#xff0c;相信各位社会人们都过得比往年更加紧张充实吧&#xff1f;转眼又到了完成季度工作总结的时间&#xff0c;完成本职工作之余还要抽出专门的时间完成优秀的工作总结报告&#xff0c;又更让大家本不富裕的休息时间雪上加霜。那么…

SCS【24】单细胞数据量化代谢的计算方法 (scMetabolism)

桓峰基因公众号推出单细胞生信分析教程并配有视频在线教程&#xff0c;目前整理出来的相关教程目录如下&#xff1a; Topic 6. 克隆进化之 Canopy Topic 7. 克隆进化之 Cardelino Topic 8. 克隆进化之 RobustClone SCS【1】今天开启单细胞之旅&#xff0c;述说单细胞测序的前世…

Oracle Cloud和足球

Oracle除了我们熟知的数据库产品&#xff0c;它还有很多技术和产品栈&#xff0c;而且在实践层面&#xff0c;已经有了很多可借鉴的案例&#xff0c;如果了解英超的朋友&#xff0c;可以发现最近几个赛季&#xff0c;英超的转播画面图标中&#xff0c;会出现Oracle Cloud&#…

操作系统的最强入门科普(Unix/Linux篇)

大家好&#xff0c;我是小枣君。 今天这篇文章&#xff0c;我们来聊聊操作系统&#xff08;Operating System&#xff09;。 说到操作系统&#xff0c;大家都不会陌生。我们天天都在接触操作系统——用台式机或笔记本电脑&#xff0c;使用的是windows和macOS系统&#xff1b;用…

为什么拿低绩效的人从来不反思自己的原因?连公司的前90%都挤不进去,还好意思找别人的理由?...

绩效是关乎打工人切身利益的大事&#xff0c;拿了高绩效欢天喜地&#xff0c;拿了低绩效垂头丧气&#xff0c;这是人之常情&#xff0c;但最近一位字节跳动的程序员却怒斥那些拿低绩效的人&#xff1a; 为什么拿m-&#xff08;低绩效&#xff09;的人从来不反思自己垫底的原因&…

C++三部曲|C++核心思想

| 导语 C 的起源可以追溯到 40 年前&#xff0c;但它仍然是当今使用最广泛的编程语言之一&#xff0c;C发明人Bjarne Stroustrup 一开始没想到 C 会获得如此大的成功&#xff0c;他说&#xff1a;“C 的成功显然令人惊讶。我认为它的成功取决于其最初的设计目标&#xff0c;就是…

前端014_标签模块_修改功能

标签模块_修改功能 1、需求分析2、Mock 添加查询数据3、Mock 添加提交修改数据4、Api 调用接口回显数据5、提交修改后的数据6、验证1、需求分析 当点击 编辑 按钮后,弹出编辑窗口,并查询出标签信息渲染。修改后点击确定 提交修改数据。 2、Mock 添加查询数据 请求URL: /a…

在OpenCV中使用Canny边缘检测

边缘检测是非常常见和广泛使用的图像处理&#xff0c;对于许多不同的计算机视觉应用非常必要&#xff0c;如数据提取&#xff0c;图像分割&#xff0c;在更细粒度的特征提取和模式识别中。它降低了图像中的噪声和细节数量&#xff0c;但保留了图像的结构。 Python中的Canny边缘…