这些知识点你都了解了吗?#云安全CCSK-M2:云计算基础设施安全

本文涉及的产品
云安全中心 免费版,不限时长
简介: 内容概述:云计算基础设施安全。本模块深入探讨保护云计算核心基础架构的细节,包括云组件、网络、管理接口和管理员证书。它深入研究了虚拟网络和工作负载安全,包括容器和无服务器的基础知识。

内容概述:
云计算基础设施安全。本模块深入探讨保护云计算核心基础架构的细节,包括云组件、网络、管理接口和管理员证书。它深入研究了虚拟网络和工作负载安全,包括容器和无服务器的基础知识。

知识架构图:
image.png

云计算概念和体系架构域包括(源自于:CSA云安全指南-M2):

一、保护虚拟网络

所有云都利用某种形式的虚拟网络来抽象物理网络并创建网络资源池。目前在云计算中常见的网络虚拟化有两大类:VLAN(虚拟局域网)和 软件定义网络(SDN)。

SDN有多种实现方式,包括基于标准的和专有的选项。根据实现方案的不同,SDN可以提供更高的灵活性和隔离性。

云环境中,由于物理设备不能插入(除云提供商之外),如果仍然需要,则必须用虚拟设备替换它们。

软件定义的网络支持新类型的安全控制,常常使它成为网络安全的整体增益表现在:隔离更容易;SDN防火墙(例如,安全组)可用于比基于硬件的防火墙更灵活标准的资产,因为它们不受物理拓扑的限制。

微分段(有时也被称为hypersegregation)利用虚拟网络拓扑来运行更多、更小,更加孤立的网络,而不用增加额外的硬件成本。

云安全联盟软件定义边界(SDP,Software Defined Perimeter)工作组开发了一种模型和规范,它结合了设备和用户身份验证,动态地提供对资源的网络访问和增强安全性。

如果两个虚拟机位于相同的物理机器上,他们可以直接通讯,在网络上(或附加在路由器/交换机硬件)的监控和过滤工具永远看不到这类流量。另外云平台/提供商可能不支持直接访问网络监控。

云提供商主要负责建立安全的网络基础设施并正确配置。云消费者主要负责合理配置虚拟网络的部署,尤其是虚拟防火墙。

供应商必须维护物理/传统网络的核心安全性,平台在其之上构建。网络上的安全故障可能危及所有客户的安全。对任意通信和多租户来说,这种安全性必须是可被管理的,其中一些必须考虑对抗性。

混合云将企业私有云或数据中心连接到公共云提供商,通常使用专用WAN链路或VPN。一种新兴的混合云连接架构是“堡垒”或“中转”虚拟网络。

二、云计算与负载安全

负载作为一个处理单元,可以在虚拟机、容器或者其他的抽象中,常见的抽象类型包括:虚拟机、容器、基于平台的负载(例如:基于PaaS的任务)、无服务器计算。维持负载的隔离应该是云提供商的首要的责任之一。

动态启用基于镜像创建的实例,部署在容器中,可自动扩展,是最佳的工作状态,这些实例可以在其功能不再需要的时候被关闭,并且不会破坏应用程序栈。这是云环境中弹性计算的核心。

不可变性增加了一些需求:需要一个一致的镜像创建流程和自动化程序来支持部署更新;安全性测试必须集成到镜像创建和部署过程中,包括源代码测试和漏洞评估;镜像配置需要一些机制,在部署镜像并将其应用在生产的虚拟机之前禁用登录和限制其服务;对于某些负载,可能需要一个进程来启用负载的登录功能,当负载在应用程序栈中不可用时可以用来排除故障;如果需要在指定的时间创建几十个甚至数百个镜像,将会增加服务目录管理工作的复杂性。

有些标准负载的控制措施对于云负载来说是不可行的(例如在某些类型的容器中运行防病毒软件)。

安全日志/监控在云计算中更加复杂。

在云计算中实施脆弱性评估需要考虑架构和合同的限制。

三、管理平面安全

管理平面是传统基础架构和云计算之间唯一最重大的安全差异。管理平面控制和配置元结构,也是元结构本身的一部分。

管理平台通常是通过API和Web控制台来实现。在建立和管理安全管理平面上有五方面内

容:边界安全;客户认证;内部认证和凭证传递;授权和权限;日志、监控和告警。

四、业务连续性和容灾

像安全和合规一样,业务连续性和灾难恢复(BC/DR)是双方共担的责任。云提供方应管理其职责内的方面,云客户也应承担云服务如何使用和管理的最终责任。

当部署资产到云上时,您不能假定云将永存或总是以您期望的方式运行,BC/DR 必须考虑整个逻辑栈。

对云提供方的中断进行应对策划通常是很困难,因为一旦选用它就没办法做什么改变。所以,依据供应商的历史绩效及其内部可用性的能力,接受此风险通常是个合法的选择。

私有云和云提供方的业务连续性,这完全在由提供方来承担,业务连续/容灾包括所有物理设施的宕机。

测一测,看看您掌握了多少?

M2:云计算基础设施安全域的相关测试:
https://jinshuju.net/f/6IiFoI

目录
相关文章
|
1月前
|
云安全 机器学习/深度学习 安全
云端防御战线:云计算安全与网络防护策略
【2月更文挑战第30天】 在数字转型的浪潮中,云计算已成为企业IT架构的核心。然而,随着云服务应用的普及,网络安全威胁也随之增加。本文将深入探讨云计算环境中面临的安全挑战,并剖析如何通过一系列先进的技术手段和策略来加强数据保护,确保信息资产的安全。我们将讨论包括加密技术、身份认证、入侵检测系统、安全事件管理等在内的多种安全措施,并分析这些措施如何协同工作以形成一个多层次的防御体系。
|
1月前
|
存储 安全 网络安全
构筑安全堡垒:云计算环境下的网络安全与防护策略
【2月更文挑战第31天】 在信息技术迅猛发展的当代,云计算以其高效、灵活和成本优化的特点成为企业数字化转型的重要支撑。然而,随着云服务的广泛应用,数据的安全与隐私保护问题也日益凸显。本文将深入探讨在复杂多变的云计算环境中,如何通过创新技术和策略加强网络安全防护,确保信息安全。我们将分析当前云计算服务中存在的安全威胁,探讨加密技术、身份认证、访问控制以及入侵检测等关键技术的应用,并提出一个多层次、综合性的安全防护框架,以助力企业在享受云计算便利的同时,有效防范安全风险。
|
4月前
|
安全 网络安全 数据处理
云安全中心和传统安全产品有什么不同
云安全中心和传统安全产品有什么不同
134 2
|
6月前
|
运维 安全 Cloud Native
阿里云安全中心:全方位智能化安全管理系统值得买!
阿里云安全中心:全方位智能化安全管理系统值得买!
84 0
|
4月前
|
云安全 运维 安全
阿里云国际站代理商:阿里云云主机,为企业提供高效、安全、可靠的云计算服务
@luotuoemo 飞机@TG 【聚搜云】服务器运维专家!阿里云国际站代理商:阿里云云主机,为企业提供高效、安全、可靠的云计算服务,随着互联网的快速发展,越来越多的企业开始将业务迁移到云端,云计算成为当下企业发展的关键。阿里云作为亚洲领先的云计算厂商,自推出云主机服务以来,以其高效、安全、可靠的服务赢得了广大企业的青睐。本文将重点介绍阿里云云主机的优势和功能,为企业选择云计算提供参考。
|
1月前
|
存储 安全 网络安全
云计算与网络安全:构建数字化安全堡垒
在当今数字化时代,云计算技术的快速发展为企业提供了更便捷高效的信息化解决方案,然而,随之而来的网络安全隐患也备受关注。本文将探讨云计算与网络安全的紧密关系,分析云服务、网络安全、信息安全等技术领域的发展现状,以及如何通过有效的策略和技术手段构建数字化安全堡垒,确保信息安全与数据隐私。
13 1
|
1月前
|
存储 大数据 数据挖掘
云计算与大数据:从基础设施到实际应用
云计算与大数据:从基础设施到实际应用
111 0
|
4天前
|
存储 安全 网络安全
构筑安全之盾:云计算环境下的网络安全与信息保护策略
【4月更文挑战第19天】随着云计算技术的飞速发展,企业和个人越来越依赖于云服务来存储、处理和交换数据。然而,这种便利性背后隐藏着潜在的安全风险。本文深入探讨了在云计算背景下,如何通过综合性的安全措施和策略来强化网络安全防护,确保数据的完整性、可用性和机密性。我们将分析当前面临的主要安全挑战,并基于最新的技术进展提出相应的解决方案,以期达到有效防御外部威胁和内部漏洞的目的。
15 4
|
4天前
|
人工智能 监控 安全
构筑安全之盾:云计算环境下的网络安全策略与实践
【4月更文挑战第19天】 在数字化转型的浪潮中,云计算已成为企业IT架构的核心组成部分。然而,随着云服务使用的普及化,网络安全问题亦变得日益复杂和挑战性。本文将深入探讨如何在云计算环境中实施有效的网络安全策略,保障数据的安全性和完整性。我们将从云服务模型出发,分析不同服务模型下的安全威胁,并提出相应的防护措施。文章还将讨论信息安全管理的最佳实践,包括加密技术、身份验证、访问控制以及安全监控等方面,旨在为企业提供一套全面的云计算安全防护框架。
|
1月前
|
存储 安全 网络安全
构筑安全堡垒:云计算环境中的网络安全与信息保护策略
【2月更文挑战第30天】 在数字化浪潮推动下,云计算以其弹性、可扩展和按需付费的特性成为企业IT架构的核心。然而,随之而来的是日益复杂的安全威胁,它们不断试探和突破云环境的边界防御。本文深入探讨了云计算服务模型中的固有安全挑战,并提出了综合性的网络安全防护措施和信息保护策略。通过对加密技术、身份认证机制、入侵检测系统以及合规性监管等关键技术的详细分析,我们构建了一个多层次、全方位的安全框架,旨在为云计算环境提供坚固的安全保障。