这些知识点你都了解了吗?#云安全CCSK-M2:云计算基础设施安全

本文涉及的产品
Web应用防火墙 3.0,每月20元额度 3个月
云安全中心 免费版,不限时长
云安全中心 防病毒版,最高20核 3个月
简介: 内容概述:云计算基础设施安全。本模块深入探讨保护云计算核心基础架构的细节,包括云组件、网络、管理接口和管理员证书。它深入研究了虚拟网络和工作负载安全,包括容器和无服务器的基础知识。

内容概述:
云计算基础设施安全。本模块深入探讨保护云计算核心基础架构的细节,包括云组件、网络、管理接口和管理员证书。它深入研究了虚拟网络和工作负载安全,包括容器和无服务器的基础知识。

知识架构图:
image.png

云计算概念和体系架构域包括(源自于:CSA云安全指南-M2):

一、保护虚拟网络

所有云都利用某种形式的虚拟网络来抽象物理网络并创建网络资源池。目前在云计算中常见的网络虚拟化有两大类:VLAN(虚拟局域网)和 软件定义网络(SDN)。

SDN有多种实现方式,包括基于标准的和专有的选项。根据实现方案的不同,SDN可以提供更高的灵活性和隔离性。

云环境中,由于物理设备不能插入(除云提供商之外),如果仍然需要,则必须用虚拟设备替换它们。

软件定义的网络支持新类型的安全控制,常常使它成为网络安全的整体增益表现在:隔离更容易;SDN防火墙(例如,安全组)可用于比基于硬件的防火墙更灵活标准的资产,因为它们不受物理拓扑的限制。

微分段(有时也被称为hypersegregation)利用虚拟网络拓扑来运行更多、更小,更加孤立的网络,而不用增加额外的硬件成本。

云安全联盟软件定义边界(SDP,Software Defined Perimeter)工作组开发了一种模型和规范,它结合了设备和用户身份验证,动态地提供对资源的网络访问和增强安全性。

如果两个虚拟机位于相同的物理机器上,他们可以直接通讯,在网络上(或附加在路由器/交换机硬件)的监控和过滤工具永远看不到这类流量。另外云平台/提供商可能不支持直接访问网络监控。

云提供商主要负责建立安全的网络基础设施并正确配置。云消费者主要负责合理配置虚拟网络的部署,尤其是虚拟防火墙。

供应商必须维护物理/传统网络的核心安全性,平台在其之上构建。网络上的安全故障可能危及所有客户的安全。对任意通信和多租户来说,这种安全性必须是可被管理的,其中一些必须考虑对抗性。

混合云将企业私有云或数据中心连接到公共云提供商,通常使用专用WAN链路或VPN。一种新兴的混合云连接架构是“堡垒”或“中转”虚拟网络。

二、云计算与负载安全

负载作为一个处理单元,可以在虚拟机、容器或者其他的抽象中,常见的抽象类型包括:虚拟机、容器、基于平台的负载(例如:基于PaaS的任务)、无服务器计算。维持负载的隔离应该是云提供商的首要的责任之一。

动态启用基于镜像创建的实例,部署在容器中,可自动扩展,是最佳的工作状态,这些实例可以在其功能不再需要的时候被关闭,并且不会破坏应用程序栈。这是云环境中弹性计算的核心。

不可变性增加了一些需求:需要一个一致的镜像创建流程和自动化程序来支持部署更新;安全性测试必须集成到镜像创建和部署过程中,包括源代码测试和漏洞评估;镜像配置需要一些机制,在部署镜像并将其应用在生产的虚拟机之前禁用登录和限制其服务;对于某些负载,可能需要一个进程来启用负载的登录功能,当负载在应用程序栈中不可用时可以用来排除故障;如果需要在指定的时间创建几十个甚至数百个镜像,将会增加服务目录管理工作的复杂性。

有些标准负载的控制措施对于云负载来说是不可行的(例如在某些类型的容器中运行防病毒软件)。

安全日志/监控在云计算中更加复杂。

在云计算中实施脆弱性评估需要考虑架构和合同的限制。

三、管理平面安全

管理平面是传统基础架构和云计算之间唯一最重大的安全差异。管理平面控制和配置元结构,也是元结构本身的一部分。

管理平台通常是通过API和Web控制台来实现。在建立和管理安全管理平面上有五方面内

容:边界安全;客户认证;内部认证和凭证传递;授权和权限;日志、监控和告警。

四、业务连续性和容灾

像安全和合规一样,业务连续性和灾难恢复(BC/DR)是双方共担的责任。云提供方应管理其职责内的方面,云客户也应承担云服务如何使用和管理的最终责任。

当部署资产到云上时,您不能假定云将永存或总是以您期望的方式运行,BC/DR 必须考虑整个逻辑栈。

对云提供方的中断进行应对策划通常是很困难,因为一旦选用它就没办法做什么改变。所以,依据供应商的历史绩效及其内部可用性的能力,接受此风险通常是个合法的选择。

私有云和云提供方的业务连续性,这完全在由提供方来承担,业务连续/容灾包括所有物理设施的宕机。

测一测,看看您掌握了多少?

M2:云计算基础设施安全域的相关测试:
https://jinshuju.net/f/6IiFoI

目录
相关文章
|
14天前
|
云安全 安全 数据安全/隐私保护
带你读《阿里云安全白皮书》(十八)——云上安全重要支柱(12)
随着数智化发展,企业面临复杂的资产管理需求。阿里云提供全链路身份管控与精细化授权方案,涵盖细粒度权限管理和身份凭证保护,确保数据资产安全。支持多因素认证和最小权限原则,减少风险暴露,提升企业安全效率。详情见《阿里云安全白皮书(2024版)》。
|
13天前
|
存储 云安全 人工智能
带你读《阿里云安全白皮书》(二十四)——云上安全建设最佳实践(2)
本文介绍了阿里云在AI大模型云上安全方面的最佳实践,涵盖数据安全、模型安全、内容安全和合规性四大关键挑战。阿里云通过数据加密、私有链接传输、机密计算等技术手段,确保数据和模型的安全性;同时,提供内容安全检测、Prompt问答护栏等功能,保障生成内容的合法合规。此外,阿里云还帮助企业完成算法及模型备案,助力客户在AI大模型时代安全、合规地发展。
|
13天前
|
存储 云安全 安全
带你读《阿里云安全白皮书》(二十一)——云上安全重要支柱(15)
阿里云安全白皮书(2024版)详细介绍了其在面对线上威胁时的快速响应与恢复能力。通过一体化的安全运营能力,阿里云帮助客户在极端威胁下快速感知、响应风险并恢复数据及服务。白皮书还涵盖了全面的资产梳理、及时的威胁情报分析、高效的风险识别与治理、专业的安全服务等内容,旨在为企业提供全方位的安全保障。
|
14天前
|
云安全 存储 运维
带你读《阿里云安全白皮书》(十七)——云上安全重要支柱(11)
阿里云提供了《阿里云安全白皮书(2024版)》,介绍客户数据安全保护技术能力。针对敏感行业,阿里云推出了专属区域和云盒两种形态,确保数据本地存储和合规要求,同时提供标准的公有云产品。此外,阿里云数据安全中心提供敏感数据识别、细粒度数据审计、数据脱敏/列加密、数据泄露检测与防护等四大功能,全面保障数据安全。
|
13天前
|
云安全 监控 安全
带你读《阿里云安全白皮书》(二十三)——云上安全建设最佳实践
淘宝作为全球最大规模、峰值性能要求最高的电商交易平台,基于阿里云成功通过了多年“双11”峰值考验。淘宝的安全体系涵盖了系统安全、网络安全、账号与凭据安全、云资源安全等多个方面,通过阿里云提供的多种安全产品和服务,确保了业务的稳定运行和数据的安全。淘宝的安全实践不仅为自身业务提供了坚实的保障,也为其他行业的云上安全建设提供了宝贵的经验和参考。
|
13天前
|
云安全 存储 安全
带你读《阿里云安全白皮书》(二十二)——云上安全重要支柱(16)
在全球化背景下,阿里云高度重视云平台的安全合规建设,确保客户在不同地区和行业能够满足监管要求。阿里云通过140多项安全合规认证,提供全面的专业安全合规服务和便捷高效的安全合规产品,帮助企业高效且低成本地实现安全合规目标。更多详情可参见阿里云官网“阿里云信任中心 - 阿里云合规”。
|
14天前
|
云安全 存储 安全
带你读《阿里云安全白皮书》(十六)——云上安全重要支柱(10)
阿里云提供了全面的数据安全保护措施,包括细粒度访问控制策略、网络访问控制、私网访问通道、RAM权限管理、安全组能力、可信计算与机密计算等,确保客户数据的主权和机密性。
|
14天前
|
云安全 存储 安全
带你读《阿里云安全白皮书》(十五)——云上安全重要支柱(9)
阿里云提供全面的数据安全保护措施,包括数据操作审计、全链路加解密、细粒度访问控制、可信计算和数据本地化存储等,确保客户数据的安全与合规。《阿里云安全白皮书(2024版)》详细介绍了这些技术能力,可点击链接下载完整版内容。
|
14天前
|
云安全 存储 安全
带你读《阿里云安全白皮书》(二十)——云上安全重要支柱(14)
本文介绍了阿里云在企业多账号管理和身份权限管理方面的解决方案。针对中大型企业面临的账号管理复杂性和安全合规挑战,阿里云提供了资源目录(Resource Directory)和Control Policy等工具,实现账号的有序管理和权限的精细控制。此外,阿里云还支持企业内部身份与云上身份的关联与映射,通过单点登录(SSO)简化身份管理,降低安全风险。这些措施有助于企业在云上实现高效、安全的资源管理。
|
14天前
|
云安全 弹性计算 安全
带你读《阿里云安全白皮书》(十九)——云上安全重要支柱(13)
本文介绍了阿里云在全链路身份管控与精细化授权方面的措施,包括使用短期有效的 STS Token 替代长期有效的 AccessKey (AK),通过 ECS 实例角色和 RRSA 功能实现应用隔离和权限最小化,以及利用 KMS 托管和加密 AK 凭证,减少凭证泄露风险。此外,阿里云还提供了 AK 审计和泄露风控功能,帮助客户管理和保护凭证安全。
下一篇
无影云桌面