云平台安全技术架构包括哪些层面
云平台安全技术架构包括以下层面:
物理安全层:即物理设施安全,重点保证数据中心环境、物理访问控制、设施层面的安全;安全措施包括门禁系统、视频监控、环境监控、安防系统等。
网络安全层:重点实现对网络系统中的系统和通信数据进行保护,不因偶然的或者恶意的原因而遭受破坏、更改、泄露,网络服务不中断、系统连续可靠正常地运行。安全措施和手段包括建立云安全资源池中的防火墙、IPS/IDS、WAF设备、Anti-DDoS攻击系统、安全接入VPN等。
主机安全层:重点实现对资源池中的虚拟机、操作系统、中间件和数据库的安全防护,保障用户虚拟机、操作系统、中间件和数据库不受数据中心内外网络的病毒感染威胁、黑客入侵威胁、安全漏洞威胁,使得业务得以长期、稳定的运行。主要安全措施和手段包括主机安全加固、病毒查杀、安全补丁等。
虚拟化安全层:重点实现同一物理机上不同虚拟机之间的资源隔离,避免虚拟机之间的数据被窃取或遭受恶意攻击,保证虚拟机的资源使用不受周边虚拟机的影响。终端用户使用虚拟机时,仅能访问属于自己的虚拟机的资源(如硬件、软件和数据),不能访问其他虚拟机的资源,保证虚拟机隔离安全。
数据安全层:数据是企业的核心资产。通过数据传输加密、数据存储加密、数据备份、数据库审计、剩余信息销毁等技术,实现对数据的安全防护,避免发生数据泄密、丢失、篡改等行为,并可以在数据异常操作发生后通过对安全事件的追溯找到原因,从根本上保障数据安全。
应用安全层:重点实现对基于HTTP/HTTPS/FTP的蠕虫攻击、木马后门、间谍软件、灰色软件、网络钓鱼等基本攻击行为,以及对SQL注入攻击、跨站脚本攻击等Web攻击的应用防护,主要技术措施为在资源池中部署Web应用网关设备。此外,还要实现对于数据中心的关键应用,如电子邮件、Web应用、门户网站等的安全防护,保障用户的应用数据能够不受破坏、更改、丢失和泄漏,主要技术手段包括部署网页防篡改、应用控制、APT威胁防护等。
云安全管理平台层:对云数据中心实现集中的安全管理服务,一般由SOC,账号、授权、认证和审计集中管理系统及相关安全子系统构成,相关安全子系统包括安全评估子系统、Web网站监测子系统、Web页面防篡改子系统、数据库审计子系统、流量监控分析子系统、防病毒管理系统等。