云上安全

云上安全

云上安全问题本质上都是由线下传统安全问题衍生而来的,但由于云计算平台的相对开放性又引入了新的安全风险。例如,虚拟机逃逸造成新的安全威胁,原本封闭的 IDC 需要开放新的通道而造成防护边界模糊,本地的身份认证系统与云上集成的风险,云产品配置错误或云账号 AccessKey 使用不当导致的数据泄漏风险,因缺乏专业云安全运营人员导致云上安全防护形同虚设等风险。

云上与云下安全区别

  • 交付形态变化:从基于传统本地的安全开发、运维和测试到基于云弹性扩展的构建,业务数据和应用从基于传统 IDC 设施到基于云计算基础设施和云产品生态构建。开发、测试、运维、安全和交付模式均在快速变化。组织的数据从原本封闭的单一数据中心扩散到云计算中心。上云后,用户将通过基于云原生的安全产品和云产品安全能力实现基础安全,用户将更加关注交付本身的安全,而不是大量基础安全工作。

  • 安全边界消失:传统 IT 系统相对封闭,对外暴露的只有少数应用服务(官网、邮件、OA 服务器等)接口,传统 IT 系统以“边界”为核心,利用防火墙、入侵防御等手段可以有效阻挡攻击。而在云计算环境下,基于物理安全边界的防护机制难以在云计算环境中得到有效的应用,静态的安全防护手段作用被削弱,传统的数据中心如异构防火墙等形态消失,安全防护措施主要基于云上安全产品和云产品自身安全防护措施进行动态调整。

  • 数据权限分离:云计算将资源和数据的所有权、管理权和使用权进行了分离,资源和数据不在本地存储,数据的所有权仍是最终用户,但管理权和使用权根据责任分担模型进行了分工。例如,大部分情况下对数据和资源的直接控制措施(物理、逻辑、人员、隔离措施)将由云计算服务提供商负责,用户将更加专注于数据自身的安全防护。管理者应更关注如何利用云上优势(弹性扩展、按需使用、投入产出比(ROI)高、部署快、云安全产品和安全手段丰富等),快速搭建满足业务发展的安全保障措施,使得传统线下企业能够享受云安全带来的技术红利,提升传统企业安全防护水平。