Tech Talk · 云技術(shù)有話聊 | 如何構(gòu)建云安全中心？

6月24日，信服云云內(nèi)建安全技術(shù)負(fù)責(zé)人Carlos在信服云《Tech Talk · 云技術(shù)有話聊》系列直播課上分享了《云安全中心背后的技術(shù)原理》，詳細(xì)介紹了云安全中心現(xiàn)狀及趨勢(shì)解析、云安全中心的技術(shù)框架、如何實(shí)現(xiàn)上線即安全、安全事件的全生命周期管理等內(nèi)容。以下是他分享的內(nèi)容摘要，想要了解更多可以關(guān)注“深信服科技”公眾號(hào)觀看直播回放。

一、云安全現(xiàn)狀

1.負(fù)載應(yīng)用不斷增加

隨著云平臺(tái)在企業(yè)工作負(fù)載中的應(yīng)用不斷增加，云工作負(fù)載配置的復(fù)雜性也隨之增強(qiáng)。多個(gè)單獨(dú)運(yùn)行的安全解決方案并不能提高安全防護(hù)能力，企業(yè)仍然面臨安全隱患。云上的安全方案通常是各自為“戰(zhàn)”，缺乏統(tǒng)一整合，對(duì)于安全威脅缺乏一個(gè)整體的管理和控制視圖。

　　2.新舊工具隨意疊加

“新”工具堆疊在“舊”工具上的方法，只能獲得有限的安全防護(hù)能力，各類安全威脅依然存在可乘之機(jī)，越來越多的企業(yè)正在傾向于優(yōu)化和整合以往眾多的安全解決方案。

　　3.外掛式解決方案存在諸多不足

外掛式解決方案無法適配云上可變的應(yīng)用程序架構(gòu)、服務(wù)和臨時(shí)工作負(fù)載。存在性能下降、代理沖突、代理更新、版本控制、部署等問題，無法滿足動(dòng)態(tài)的云環(huán)境的安全需求。

4.云原生應(yīng)用帶來更多的攻擊面暴露

云原生的出現(xiàn)使云計(jì)算不斷與具體業(yè)務(wù)場(chǎng)景整合，其中，容器技術(shù)依賴大量的基礎(chǔ)組件，而這些基礎(chǔ)組件引入的同時(shí)也會(huì)引入大量新漏洞。微服務(wù)架構(gòu)的出現(xiàn)、應(yīng)用的拆分，導(dǎo)致應(yīng)用數(shù)量增加。應(yīng)用之間通過網(wǎng)絡(luò)進(jìn)行訪問，導(dǎo)致系統(tǒng)的暴露面劇增，傳統(tǒng)安全組件已無法很好解決以上安全風(fēng)險(xiǎn)。

5.上云后訪問需求復(fù)雜多樣

身份認(rèn)證是跨越網(wǎng)絡(luò)封鎖的一種關(guān)鍵橫向移動(dòng)技術(shù)。越多越多企業(yè)開始采用多重身份驗(yàn)證，但是它并不能徹底解決企業(yè)面臨的網(wǎng)絡(luò)威脅問題。企業(yè)需要正確配置、維護(hù)和監(jiān)控身份基礎(chǔ)設(shè)施，不斷提高對(duì)其重視程度，云上身份安全認(rèn)證管理變得愈加重要。

云原生應(yīng)用逐步普及，云內(nèi)建安全逐步成為云基礎(chǔ)安全的重點(diǎn)。

二、信服云云安全理念

1.安全內(nèi)建于云上、內(nèi)置于云上

信服云的安全能力開啟簡(jiǎn)單，只需頁面一鍵點(diǎn)擊操作，即可開啟云安全中心功能。另外，安全防護(hù)組件不再需要管理員手動(dòng)去部署、去設(shè)置相關(guān)的安全策略。當(dāng)云主機(jī)創(chuàng)建時(shí)會(huì)隨VMTools自動(dòng)部署。

用戶建設(shè)安全能力，不再需要關(guān)注網(wǎng)絡(luò)部署，云上所有虛擬機(jī)都是通過G2H通信來保證云主機(jī)安全組件與云安全中心的通信。

云防火墻按云主機(jī)機(jī)粒度開啟、關(guān)閉IPS和WAF功能、實(shí)現(xiàn)按模塊開啟，跟隨業(yè)務(wù)的擴(kuò)展而自動(dòng)彈性擴(kuò)展，無需擔(dān)心性能瓶頸和網(wǎng)絡(luò)配置和規(guī)劃等問題。

2.可信賴、可依靠的安全事件處置能力

信服云會(huì)不斷完善和補(bǔ)充檢測(cè)能力，結(jié)合云平臺(tái)的能力提供豐富的安全事件閉環(huán)方案，實(shí)現(xiàn)更可靠的威脅處置，有效緩解用戶的處置焦慮。

3.業(yè)務(wù)上線即安全

云上安全保護(hù)云上資產(chǎn)從上線開始的全生命周期安全。云上安全能夠自適應(yīng)云上資產(chǎn)的業(yè)務(wù)特點(diǎn)，自動(dòng)適配對(duì)應(yīng)的安全防護(hù)策略。如開啟IPS、開啟waf、開啟勒索數(shù)據(jù)保護(hù)、開啟webshell防護(hù)等，實(shí)時(shí)獲取資產(chǎn)變更和威脅情報(bào)信息，主動(dòng)評(píng)估云上資產(chǎn)的安全風(fēng)險(xiǎn)。

4.云上安全能力持續(xù)進(jìn)化

云上安全能夠?qū)崿F(xiàn)按需開啟對(duì)應(yīng)的云安全能力。未來，云上安全是全棧式的，會(huì)涉及到身份與訪問安全、應(yīng)用與業(yè)務(wù)安全、數(shù)據(jù)安全、網(wǎng)絡(luò)安全和工作負(fù)載安全等方向。

三、云安全框架

云內(nèi)建安全的特點(diǎn)包括：資產(chǎn)精準(zhǔn)識(shí)別、威脅實(shí)時(shí)檢測(cè)、安全事件及時(shí)預(yù)警、具備豐富的安全事件處置能力、定時(shí)數(shù)據(jù)保護(hù)策略。

通過安全組件免安裝、應(yīng)用和中間件精確識(shí)別、防勒索、防病毒、漏洞修復(fù)、安全事件處置演練、數(shù)據(jù)資產(chǎn)絕對(duì)保護(hù)等安全能力，幫助用戶實(shí)現(xiàn)安全事件檢測(cè)、預(yù)警、處置、預(yù)防、溯源的全生命周期的安全事件閉環(huán)，保護(hù)云上資產(chǎn)安全。針對(duì)被勒索的虛擬機(jī)，提供應(yīng)急恢復(fù)向?qū)?，幫助阻斷傳播、保留?shù)據(jù)和快速恢復(fù)。

自動(dòng)處置

內(nèi)建安全不需要配置，業(yè)務(wù)上線根據(jù)應(yīng)用自動(dòng)開啟功能和規(guī)則推薦。內(nèi)建安全會(huì)對(duì)事件進(jìn)行自動(dòng)處置，同時(shí)調(diào)用云平臺(tái)的能力進(jìn)行兜底。從隔離、克隆驗(yàn)證、快照兜底、處置、安全掃描加固一系列自動(dòng)化操作來完整處置。

基于文件實(shí)時(shí)防護(hù)、勒索誘餌防護(hù)、暴力破解防護(hù)三大功能，主動(dòng)防御勒索病毒加密虛擬機(jī)，自動(dòng)處置高威脅安全事件，并通過快照保留現(xiàn)場(chǎng)。

　　漏洞管理

支持對(duì)主流漏洞類型進(jìn)行檢測(cè)，并提供windows系統(tǒng)漏洞一鍵修復(fù)功能。查看虛擬機(jī)當(dāng)前存在的漏洞風(fēng)險(xiǎn)，手動(dòng)執(zhí)行一鍵掃描，更全面地了解資產(chǎn)中的漏洞和風(fēng)險(xiǎn)情況，實(shí)時(shí)防護(hù)資產(chǎn)安全。

數(shù)據(jù)保護(hù)

針對(duì)重要云主機(jī)加入安全快照策略，可循環(huán)創(chuàng)建最新快照。檢測(cè)到異常后立即自動(dòng)快照，保留最全數(shù)據(jù)。處置之前創(chuàng)建快照，避免誤操作導(dǎo)致的數(shù)據(jù)損失。

四、上線即安全

內(nèi)建安全主要特性之一是在虛擬機(jī)與EDR-MGR網(wǎng)絡(luò)沒有打通的情況下(甚至虛擬機(jī)都不需要網(wǎng)卡)，仍舊可以給虛擬機(jī)安裝EDR-Agent，并正常防護(hù)。

當(dāng)云主機(jī)創(chuàng)建時(shí)，一般會(huì)自帶虛擬機(jī)性能優(yōu)化工具vmtools。如果沒有安裝性能優(yōu)化工具，可以通過控制臺(tái)安裝vmtools。安裝了vmtools的云主機(jī)，支持自動(dòng)安裝Agent安全插件和secplugin安全監(jiān)控工具，同時(shí)也支持批量安裝Agent安全插件。

　　五、安全事件閉環(huán)

信服云在安全事件閉環(huán)的設(shè)計(jì)思路是用自動(dòng)替代手動(dòng)、用向?qū)Ч袒罴褜?shí)踐、用平臺(tái)能力進(jìn)行兜底、用推薦免去配置。

處置兜底：處置病毒事件前和發(fā)現(xiàn)可疑勒索或防護(hù)組件異常時(shí)，平臺(tái)均會(huì)自動(dòng)觸發(fā)快照。

　　聯(lián)動(dòng)處置：融合云平臺(tái)側(cè)、網(wǎng)絡(luò)側(cè)、端點(diǎn)側(cè)多維度的能力進(jìn)行關(guān)聯(lián)分析，將多個(gè)安全告警聚合到一個(gè)安全事件，并在處置事件時(shí)實(shí)現(xiàn)一鍵聯(lián)動(dòng)處置。

以管理員主動(dòng)進(jìn)行安全事件閉環(huán)場(chǎng)景為例，當(dāng)運(yùn)維人員希望盤點(diǎn)云上的所有資產(chǎn)，了解云上所有資產(chǎn)的安全風(fēng)險(xiǎn)，可以在信服云安全中心發(fā)起全網(wǎng)漏洞掃描，根據(jù)設(shè)置的掃描策略，平臺(tái)巡檢完成后，會(huì)將報(bào)告發(fā)給運(yùn)維人員。如果多個(gè)虛擬機(jī)發(fā)現(xiàn)新的漏洞，運(yùn)維人員可以及時(shí)完成修復(fù)。

以上是關(guān)于信服云如何構(gòu)建云內(nèi)建安全中心的介紹，想要了解更多可以關(guān)注“深信服科技”公眾號(hào)觀看直播回放。

（免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。
任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 ）