资讯 > 正文

「紫曰」海量应用上云,如何应对云安全挑战?

2023-12-20

  根据 Gartner 的 "2022 年中国 ICT 技术成熟度曲线",云安全已经进入了技术萌芽期的最高点,预计在未来2-5年内有望达到技术生产的成熟期。

  

  云安全几乎是伴随着云计算市场而发展起来的,云基础设施投资的快速增长,无疑为云安全发展提供土壤。随着企业上云的速度加快,一系列云安全问题逐渐浮出水面,引起了广泛关注。

  

 云安全:企业如何携手云服务商应对挑战

  

  云安全不同于重视边界的传统保护技术,它要求企业机构与云服务商携手对云资源采取安全控制措施。有效且易管理的云安全在帮助企业安全、合规地使用云方面发挥着重要的作用。

  

  自上世纪90年代起,网络技术兴起,企业开始依赖共享主机和专用服务器,这被认为是云计算的雏形。然而,随着云计算应用的普及,企业的网络攻击面也随之扩大,尤其是针对云环境的攻击。

  

  进入21世纪后,云安全的发展迅速,但许多企业仍依赖传统的本地化计算设施。直到2010年,随着云计算应用的成熟,云安全逐渐成为企业云基础设施建设的重要组成部分。

  

  在这个阶段,云上的数据泄露问题日益严重,攻击者主要目标是获取敏感数据。因此,企业开始重视云安全并采取相应措施。云共担责任模型应运而生,明确了云服务提供商与客户之间的安全责任划分。

  

  为提高云计算安全责任共担的精细化、可落地性和普遍适用性,中国信息通信研究院自2019年起牵头,联合数十家云服务商共同研究,制定了YD/T 4060—2022《云计算安全责任共担模型》行业标准。

  

  该标准从物理基础设施、资源抽象和管理、操作系统、网络控制、应用、数据、IAM七大类安全责任领域入手,对IaaS、PaaS、SaaS三种服务模式剖析云服务参与主体需要承担的责任。

  

  

  渗透测试——发现和修复云安全问题和漏洞

  

  随着云计算的普及和发展,其扩展性使得越来越多的组织和企业选择使用云计算服务。然而,这种扩展性也带来了新的安全问题。云计算服务提供商(CSP)的责任和义务往往不明确,这使得组织在管理云安全时面临挑战。

  

  一方面,云计算服务提供商(CSP)负责维护和管理云计算基础设施,但另一方面,组织需要负责管理和保护自己的数据和应用。这种责任划分的不明确可能导致安全漏洞的出现,因为组织可能无法完全了解和管理他们在云环境中的安全状况。

  

  此外,传统的网络安全控制措施往往无法满足云环境的需求。

  

  云环境的特点是高度虚拟化、分布式和动态变化,这使得传统的防火墙、入侵检测系统等安全控制措施难以有效应对。因此,在云安全领域,渗透测试的重要性不容忽视。

  

  作为一种模拟黑客攻击的方法,渗透测试可以帮助企业和机构发现和修复云环境中的安全漏洞,评估云环境的安全性,并制定相应的安全策略。这种提前预防的方式,可以有效防止黑客攻击,保护企业的核心数据和业务系统。

  

  渗透测试报告:助力扫描安全现状

  

  渗透测试的结果可以作为内部安全意识培养的案例,通过对相关管理人员的安全教育,可以有效督促他们提高安全意识,从而降低整体风险。同时,渗透测试报告可以帮助用户了解组织当前的安全现状,发现并解决安全最短板问题,从而加快组织信息建设的步伐。

  

  近日,紫光云的安全专家运营团队为工业、金融、教育等领域的多家企业进行了渗透测试,发现了诸如弱口令、未授权访问、组件exp漏洞等多种类型的安全问题。这些问题如果不及时发现和处理,可能会给企业带来严重的损失。

  

  针对当前复杂的网络形势,紫光云推出35项云安全服务和13款云安全产品。涵盖漏洞检测、安全审计、等保测评、应急响应、重保防守等多个方面。其中9项主流云安全服务,能够覆盖大部分企业日常的安全需求,结合其余26项个性化云安全服务与云安全产品,为企业安全多维度、全方位地保驾护航。

  

  如何帮助企业更好地应对各种网络威胁和攻击,确保企业的云环境安全无虞?哪些安全技巧和策略可以帮助企业提升自身的网络安全防护能力,降低安全风险?请持续关注「紫曰」栏目。