企业上云应关注这六大问题(上)
极客时间编辑部
讲述:丁婵大小:7.43M时长:05:25
你好,欢迎收听极客视点。
从 2010 年至今,云计算在中国的发展已有 10 年。这 10 年,云计算从 1.0 进入 2.0,也有人说从上半场进入下半场。总之,云计算逐渐普及,市场越来越成熟。如今,云原生已经成为云计算发展的主流,以 K8s 为代表的容器生态逐渐壮大。企业上云成为大势所趋,而安全则成为首要的关注点。
上云应该关注哪些安全问题?在云上,用户和云服务商之间的安全责任应该如何划分?针对这些问题,InfoQ 记者万佳采访了 Fooying。作为腾讯云产品安全负责人、腾讯安全云鼎实验室高级安全工程师,Fooying 主要研究企业安全建设、漏洞攻防、安全自动化、服务器安全与应急响应等。以下是 Fooying 的观点。
云安全
在 Fooying 看来,云安全最早聚焦在防病毒、云杀毒等领域,而现在,人们对云安全的共识则是云计算安全。
那什么是云安全?他说:“我的理解是,基于云计算的一系列安全风险治理、安全解决方案、安全技术等都属于云安全的范畴。不仅有对云平台自身而言的虚拟化安全、多租户隔离等,也有基于云计算环境对企业而言的传统网络、主机安全和新增的云服务安全风险等。”
总结来说,云安全是基于云计算对不同角色的安全问题、需求、技术和解决方案等。
上云后,企业的安全状况会发生怎样的变化?
对企业来说,一旦上云,其安全状况会有很大的变化。上云前,企业技术堆栈比较厚重,系统开发和维护生命周期长。这时候,企业云化的最大驱动力来自于在业务快速变化和发展情况下,企业对 IT 需求交付速度和改善效率提出的要求。
为满足这种高要求,云化应用更多采用了 DevOps 等开发模式,取代瀑布模型等传统应用开发模式,对应的开发工具、平台也会变化,比如传统的 B/S、C/S 架构转变为微服务架构。
随着开发模式的改变,系统的技术栈和底层平台也会发生变化,比如传统采用防火墙和网络安全域隔离,云上则是 VPC 和安全组等,那么企业所应用的安全产品、策划和管理思想也要随之改变。
Fooying 认为,传统企业,企业主体既是资产和数据的所有者,也是控制者,而云上根据云服务器模式的差别,资产和数据的责任矩阵和传统私有 IT 环境发生较大的变化。此外,还有数据跨境流动和不同区域内标准法规的差异,“这都给企业的数据治理带来巨大的挑战,里面既有合规、治理的问题,也有流程和技术的问题”。
企业上云后面临的安全问题
上云后,企业将面临两方面的安全问题。首先,云服务用户会面临传统的安全问题,包括数据安全、DDoS 攻击、应用和系统漏洞、针对主机的暴力破解、入侵等。
其次,相对于传统服务架构,云计算有一些新的概念和技术应用,比如虚拟化、多租户等,因此这也会带来一些新挑战。
一是需要关注虚拟化逃逸、安全漏洞等虚拟化带来的安全威胁;
二是企业用户使用云服务的方式不当也会带来一些新风险,比如企业使用对象存储,一旦配置错误就会泄露敏感信息,这样的事情层出不穷。
另外,很多云服务支持云 API 操作云资源。但是,一些企业用户会将云 API 的密钥写在代码中,上传到 GitHub,从而导致泄露并被不法分子所利用,影响企业购买的云资源。
除了使用方式不当,云服务用户还面临的突出安全问题有信息泄露、弱密码或配置不当等基线安全、通用漏洞未修复或系统补丁未更新和应用漏洞等,这也导致了出现比较多的数据勒索、入侵挖矿、文件加密勒索等问题。而 Fooying 强调,“大部分还是在于安全意识不当或运维操作不当。”
从过去的众多案例来看,企业上云,云平台是相对安全的,因为背后不仅有安全专家、专业的安全基础设施,还有完善的安全保障机制、更安全的产品服务和更及时的安全响应等。
反而,企业的内在因素经常会成为不安全的关键点,比如企业员工安全意识不高、危险的信息外传操作、不合理的服务配置、不正确的运维管理、不及时的安全事件响应等。
从这个角度来看,在云平台足够安全的情况下,企业内部因素才是决定企业上云安全的根本因素。
那么,企业上云需要关注哪些安全问题,如何建立自己的安全体系,云上的安全责任怎么划分呢?受限于篇幅,这部分内容将在下文继续分享,欢迎持续关注。
公开
同步至部落
取消
完成
0/2000
荧光笔
直线
曲线笔记
复制
AI
- 深入了解
- 翻译
- 解释
- 总结
该免费文章来自《极客视点》,如需阅读全部文章,
请先领取课程
请先领取课程
免费领取
© 版权归极客邦科技所有,未经许可不得传播售卖。 页面已增加防盗追踪,如有侵权极客邦将依法追究其法律责任。
登录 后留言
精选留言
由作者筛选后的优质留言将会公开显示,欢迎踊跃留言。
收起评论