这些知识点你都了解了吗?#云安全CCSK-M5:保护云应用和用户

本文涉及的产品
Web应用防火墙 3.0,每月20元额度 3个月
云安全中心漏洞修复资源包免费试用,100次1年
云安全基线管理CSPM免费试用,1000次1年
简介: 内容概述:保护云应用和用户。该模块涵盖了云部署的身份管理和应用程序安全。主题包括结成同盟身份和不同的IAM应用程序、安全开发以及管理云中的应用程序安全。

内容概述:
保护云应用和用户。该模块涵盖了云部署的身份管理和应用程序安全。主题包括结成同盟身份和不同的IAM应用程序、安全开发以及管理云中的应用程序安全。

知识架构图:
image.png

保护云应用和用户域包括(源自于:CSA云安全指南-M5):

一、应用安全

云计算主要为应用程序带来安全优势,但与大多数云技术领域一样,带来了机会和挑战。其中机会有:更高的安全基线、响应能力更高、隔离环境、独立的虚拟机、弹性、DevOps、统一接口;其中挑战有:可见性受限、管理平台/元结构直接影响任何应用程序安全性、不断变化的威胁模型、更少的透明度。

安全软件开发生命周期(SSDLC) 描述了在应用程序开发、部署和操作的各个阶段中的一系列安全活动。无论使用哪种特定的SSDLC,云计算都将影响SSDLC的每个阶段。

云计算所支持安全应用程序设计和开发有五个主要阶段:培训、定义、设计、开发和测试。

自动化部署在云环境中往往更加突出,自动化的安全性测试非常频繁的集成到部署管道。

脆弱性评估可以集成到CI/CD管道中,并且相当容易地在云中实现。有两种具体的模式,一种是:针对镜像或容器进行完整的评估;另一种是:通过过使用基础设施作为代码构建一个测试环境来测试整个基础结构。

与脆弱性评估一样,未经云提供商的许可,几乎肯定会有渗透测试的限制。

CI/CD管道通过支持不可变的基础设施(减少对生产环境的手工更改)、自动化安全性测试以及当这些更改通过管道运行时应用程序和基础设施的大量日志记录,可以增强安全性。配置正确后,日志可以跟踪每个代码、基础架构和配置更改,并将它们与提交更改的提交人和批准的人联系起来;它们还将包括任何测试结果。

生产环境可以比非云应用程序部署中通常可能的更紧密,其中大部分基础架构都手动配置为规范。当安全性正常进行时,使用基础设施作为代码和不可变的部署可以显着提高安全性。

云计算本质会在首选应用设计、体系结构和模式中创造了变化。其中一些与安全无直接关系,但以下趋势有助于减少常见安全问题,包括:默认隔离、不可变的基础设施、增加使用微服务、PaaS 和“无服务器”体系结构。

所有服务类型的云提供商需要特别注意其应用服务的某些方面,包括:需要对API和WEB服务进行广泛的强化,并假设来自身份验证和未验证的对手的攻击。这包括使用专门为API设计的行业标准认证;应监测API的滥用和异常活动;服务应经过广泛的设计和测试,以防止攻击或不当/意外的跨租户访问。

SecDevOps/DevSecOps和Rugged DevOps:用来描述将安全活动整合到DevOps的过程。其中,SecDevOps/DevSecOps有时指的是使用DevOps自动化技术来改进安全操作;Rugged DevOps指的是将安全测试整合到应用程序开发过程中,以产生更加坚固、更安全、更具弹性的应用程序。

二、身份、权限和访问管理

云计算的出现,对于内部系统的传统IAM管理引入了许多变化,这并不是说这些都是新问题,但在处理云的IAM管理时是更大的问题。关键的区别是云提供商和云消费者之间的关系,IAM不能仅仅由一方或另一方来管理,因此需要建立信任关系,通过责任指定和技术机制来实现,通常情况下,我们将这种方式归结为联邦。

安全鉴别标记语言SAML 2.0 是联合身份管理的OASIS标准,支持身份验证和授权。它使用XML来在身份提供者和依赖方之间做出鉴别。OAuth是一种非常广泛用于Web服务的IETF授权标准(包括消费者服务),旨在通过HTTP进行工作。OpenID是联邦认证非常广泛支持的Web服务标准,它是基于URLs 的HTTP对身份提供商和用户/身份进行识别。

云提供商需要几乎总是支持直接访问服务的用户的内部身份、标识符和属性,同时还支持联邦,以便组织不必手动配置和管理供应商系统中的每个用户,并颁发每个人的独立凭据。

云消费者需要决定他们希望在哪些地方管理自己的身份,以及他们希望支持哪些架构模型和技术,并与云提供商集成。

云计算对身份验证的最大影响是使用多因素强身份验证,多因素认证为减少账户的恶意利用提供了最好的选择。

云以多种方式影响权限、授权和访问管理,包括:云提供商和平台需要具有一套自身潜在授权机制,云提供商负责强制授权和访问控制,云消费者负责定义权限并在云平台中正确配置它们,ABAC是基于云的访问管理的首选模式。

使用一个更高水平保证措施,如凭证控制,数字证书,物理和逻辑上独立的访问控制点,以及堡垒机等单独严格控制的系统,对特权用户的登录行为进行控制更为有益。

测一测,看看您掌握了多少?
M5:保护云应用和用户域的相关测试:https://jinshuju.net/f/zQx1Qp

目录
相关文章
|
云安全 安全 云计算
云安全的应用与合规性:构建安全可靠的云应用和满足合规性要求
本篇深入探讨了在云环境中构建安全可靠的应用和满足合规性要求的重要性。我们首先介绍了安全的软件开发生命周期(SDLC),强调了在需求分析、设计、编码、测试、部署和运维阶段嵌入安全性的关键步骤。示例代码展示了如何在每个阶段融入安全实践。
366 1
云安全的应用与合规性:构建安全可靠的云应用和满足合规性要求
|
云安全 监控 安全
文章6:这些知识点你都了解了吗?#云安全CCSK-M6:云安全运行
内容概述:云安全运行。本模块涵盖评估、选择和管理云计算提供商时的关键注意事项。我们还会讨论服务提供商的安全角色以及对云应急响应的影响。
292 0
文章6:这些知识点你都了解了吗?#云安全CCSK-M6:云安全运行
|
存储 云安全 监控
这些知识点你都了解了吗?#云安全CCSK-M4:云计算的数据安全
内容概述:云计算中的数据安全。云安全中最大的问题之一是数据保护。该模块涵盖了云的信息生命周期管理以及如何应用安全控制,重点关注公共云。主题包括数据安全生命周期、云存储模型、不同交付模型的数据安全问题以及管理云中的加密,包括客户托管的密码(BYOK)。
608 0
这些知识点你都了解了吗?#云安全CCSK-M4:云计算的数据安全
|
云安全 存储 安全
这些知识点你都了解了吗?#云安全CCSK-M3:管理云计算的安全性和风险
内容概述:管理云计算安全性和风险。本模块涵盖了管理云计算安全的重要注意事项。它从风险评估和管理开始,然后涵盖法律和合规问题,例如云中的发现需求。它也涵盖了重要的CSA风险工具,包括CAIQ,CCM和STAR注册表。
530 0
这些知识点你都了解了吗?#云安全CCSK-M3:管理云计算的安全性和风险
|
云安全 监控 安全
这些知识点你都了解了吗?#云安全CCSK-M2:云计算基础设施安全
内容概述:云计算基础设施安全。本模块深入探讨保护云计算核心基础架构的细节,包括云组件、网络、管理接口和管理员证书。它深入研究了虚拟网络和工作负载安全,包括容器和无服务器的基础知识。
654 0
这些知识点你都了解了吗?#云安全CCSK-M2:云计算基础设施安全
|
云安全 存储 设计模式
这些知识点你都了解了吗?#云安全CCSK-M1:云计算概念和体系架构
内容概述:本单元涵盖了云计算的基础知识,包括定义、构架和虚拟化的角色。主要议题包括云计算服务模型,部署模型和基本特征。它还介绍了共享责任模型和接近云安全的框架。
723 0
这些知识点你都了解了吗?#云安全CCSK-M1:云计算概念和体系架构
|
16天前
|
云安全 安全 数据安全/隐私保护
带你读《阿里云安全白皮书》(十八)——云上安全重要支柱(12)
随着数智化发展,企业面临复杂的资产管理需求。阿里云提供全链路身份管控与精细化授权方案,涵盖细粒度权限管理和身份凭证保护,确保数据资产安全。支持多因素认证和最小权限原则,减少风险暴露,提升企业安全效率。详情见《阿里云安全白皮书(2024版)》。
|
16天前
|
云安全 安全 网络安全
带你读《阿里云安全白皮书》(十一)——云上安全重要支柱(5)
阿里云通过内部红蓝对抗体系,常态化模拟真实场景下的APT攻击,持续提升平台安全性。蓝军团队采用MITRE ATT&CK框架,系统模拟外部攻击,红军团队则进行持续防守。整个过程包括攻击规划、执行和复盘修复阶段,确保及时发现并修复安全漏洞,提升整体防御水平。
|
15天前
|
存储 云安全 人工智能
带你读《阿里云安全白皮书》(二十四)——云上安全建设最佳实践(2)
本文介绍了阿里云在AI大模型云上安全方面的最佳实践,涵盖数据安全、模型安全、内容安全和合规性四大关键挑战。阿里云通过数据加密、私有链接传输、机密计算等技术手段,确保数据和模型的安全性;同时,提供内容安全检测、Prompt问答护栏等功能,保障生成内容的合法合规。此外,阿里云还帮助企业完成算法及模型备案,助力客户在AI大模型时代安全、合规地发展。
|
16天前
|
云安全 安全 数据可视化
带你读《阿里云安全白皮书》(十二)——云上安全重要支柱(6)
阿里云构建了7x24小时全自动化红蓝对抗平台,通过深度整合内外部攻防案例,进行高频次、自动化的演练,提升对复杂攻击的应对能力,确保安全防护体系持续优化。平台具备全自动化演练、随机性与多样化、可视化输出、节点负载智能控制、日志追踪与审计、应急场景秒级熔断等特性,确保演练过程稳定高效。

热门文章

最新文章

下一篇
无影云桌面