CSA云安全指南V4.0 D7 D8

CSA云安全指南V4.0 D7 D8

D7 基础设施安全

云网络虚拟化

• 管理网络

• 存储网络

• 服务网络

网络分类

VLAN

适用于传统网络

SDN

网络硬件抽象层，SDN将网络控制平面从数据平面解耦

SDN安全优势

• 隔离更容易

• SDN防火墙

微分段和软件定义边界

微分段

利用虚拟网络拓扑来运行更多、更小，更 加孤立的网络，而不用增加额外的硬件成本，使得以前的那种模式成为的历史

软件定义边界（SDP，Software ）

• 连接资产的SDP客户机

• SDP控制器：验证和授权SDP客户机并配置与SDP网关的链接

• SDP网关：终止SDP客户机网络流量，在与SDP控制器通信时强制执行策略

混合云

堡垒或中转虚拟网络

• 单一的混合连接将多个不同的云网络连接到数据中心

• 二级网络通过“堡垒”网络连接到数据中心，可有效隔离。可在堡垒网络部署不同的安全工具、防火墙规则。

云计算与负载安全

负载作为一个处理单元，可以在虚拟机、容器或者其他的抽象中。负载始终运行在处理器 上并占用内存。负载包括多种多样的处理任务，从运行在虚拟机标准操作系统上的传统应用到 基于 GPU 或 FPGA 的特殊任务。基本上所有的这些负载任务都能以某些形式在云计算中被支持。

虚拟机

容器：容器是运行在操作系统上的代码执行环境（目前），共享并充分利用操作系统的资 源。虚拟机是操作系统的一个完整抽象，容器是一个受限区域，它使用操作系统的内核以 及操作系统其他能力的运行着被隔离的进程。

基于平台的负载：基于平台的负载是一个更加复杂的类别，其运行在除虚拟机和容器之外的 共享的平台上，如运行在共享数据库平台上的逻辑/过程。

无服务器计算：只需要访问公开的功能。

不可变负载的安全

• 不需要对正式运行的系统打补丁，直接替换

• 禁止远程登录

• 快速推出新版本

• 禁用服务和白名单更简单

• 安全测试在镜像创建阶段即可

不可变性增加需求

• 需求镜像创建流程自动化

• 安全性测试必须集成到镜像创建和部署过程

• 禁用登录和限制服务

• 允许负载隔离进行，发送充分日志到外部收集器

• 服务目录管理的复杂性

不可变的虚拟机或容器创建镜像的部署流程

脆弱性评估的改变

• 云消费者需要评估通知和评估真实的限制范围

• 默认拒绝网络进一步限制了自动网络评估的潜在效果

• 不可变负载的评估可以在镜像创建过程中

• 影响减小

网络

• 优先SDN

• 实施默认拒绝策略的云防火墙

• 基于每一个负载实施云防火墙

• 只要环境允许，使用云防火墙策略限制同一个虚拟子网中负载间的流量

• 减少对限制弹性或引起性能瓶颈的虚拟设备依赖

计算/负载

• 尽量使用不可变负载

• 维持长期运行的负载和安全控制

• 将日志存储在负载之外

• 遵守云服务提供商对漏洞评估和渗透测试的规定

D8 虚拟化和容器

计算

云提供者责任

• 隔离不同租户

• 保护底层基础设施和虚拟化技术以免被外部攻击滥用

云消费者责任

• 安全设置

• 监控和日志

• 镜像资产管理

• 使用专用主机

• 负载的安全

• 安全的配置文件

网络

云提供商

隔离和独立网络流量，防止租户访问其他用户的流量

存储

多副本

容器

组件

• 容器执行环境

• 自动协调及调度控制器

• 容器镜像或代码的可执行仓库

容器安全性

• 底层物理设施安全性

• 确保管理器安全

• 妥善保管镜像仓库

• 将安全性构建到容器内运行的任务/代码中