文章目录
- 前言
- 云计算安全简介
-
* 云安全领域主要安全风险及对应措施-
* 云计算面临的主要安全挑战- 云计算安全风险分析
- 业务上云涉及到的安全场景
- 国内/国际安全法规
-
* 多国立法进行网络安全保护实施- 国内安全法规解读:国家对云安全监管的政策日益加强
- 法律法规的落地 - 等级保护规范2.0
- 等保标准扩展:商用密码应用
- 等保定级简介
- 等保二级和三级简介
- 国际安全法规解读:GDPR
-
- 华为云Stack安全解决方案概览
-
* 华为云冰山安全,守护客户无忧上云用云- 安全责任共担模型:华为与客户责任边界
- 华为云Stack安全架构
- 华为云Stack基础底座安全能力全景(IaaS/ManageOne)
-
* 华为云Stack平台安全防护解决方案 - 华为云Stack平台安全防护解决方案说明
- 华为云Stack等保安全解决方案
- 华为云Stack密码测评解决方案
- 华为云Stack数据安全解决方案
- 华为云Stack远程连线运维总体安全方案
- 华为云Stack远程连线运维安全方案说明
- 华为云Stack主机容器安全能力全景
- 华为云Stack主机容器安全能力说明
- 学习推荐与缩略词
前言
- 安全是企业业务上云时最高关注点,同时法律法规以及行业政策也对企业业务的安全性有着严格要求,因此云平台的安全性以及平台能够提供的安全能力至关重要,本章将介绍华为云Stack的安全解决方案和相关安全服务,助力企业在云上构建安全合规的业务系统。
- 学完本课程后,您将能够:
- 了解云计算面临的安全挑战
- 了解HCS整体安全架构及安全解决方案
- 了解HCS核心安全服务及其能力
- 了解典型的安全应用实践案例
云计算安全简介
云安全领域主要安全风险及对应措施
云计算面临的主要安全挑战
-
云基础设施
隔离难度大- 云计算资源既要共享,又要隔离
- 网络边界模糊
- 传统安全设备不支持虚拟化环境
- 虚拟化流量检测困难
-
应用集成场景
平台开放风险- 数据接入风险:应用集成数据接入不可信,数据来源不可靠等
- API安全风险:应用集成对外暴露API,易受攻击。
-
EI场景
- 场景复杂、隐私泄露
- EI数据量大、类型多、业务场景复杂,常规安全方案能力不足
- 数据生命周期的隐私保护和关键敏感数据保护问题
-
安全管理
策略复杂,关联困难- 安全策略部署复杂
- 安全事件多,误报率高,关联分析难度大
- 运维工作场景复杂,安全威胁暴露面增加
-
安全合规
政策升级,要求增加- 《网络安全法》推出
- 《等级保护》重构基础要求,新增云安全扩展要求
- 《中华人民共和国密码法》正式实施
云计算安全风险分析
-
云服务TOP11风险
(CSA 2021年发布)- 1·数据泄露
- 2·配置错误和变更控制不足
- 3·缺乏云安全架构和策略
- 4·身份,凭据,访问和密钥管理的不足
- 5·账户劫持
- 6·内部威胁
- 7·不安全接口和API
- 8·控制面薄弱
- 9·元结构和应用结构失效
- 10·有限的云使用可见性
- 11·滥用及违法使用云服务
-
云服务TOP10风险
(OWASP 2021年更新)- 1·失效的访问控制
- 2·加密机制失效
- 3·注入
- 4·不安全设计
- 5·安全配置错误
- 6·自带缺陷和过时的组件
- 7·身份识别和身份验证错误
- 8·软件和数据完整性故障
- 9·安全日志和监控故障
- 10·服务端请求伪造
业务上云涉及到的安全场景
-
场景一:合规安全
目标:法律合规下业务的可用性、完整性、机密性、可追溯性和抗攻击性,及保护其所承载的客户的通信内容、个人数据及隐私、客观信息流动。- 2016年6月1日执行的《网络安全法》
- 2016年6月1日执行的《网络安全法》
-
场景二:信息安全
目标:标准合规下云的运营者不会泄露用户的数据及隐私- ISO27001 等
- 运营运维管理流程强相关、通过技术手段加强管控监督、通过第三方认证和审计加强公信力
-
场景三:安全解决方案
目标:为业务系统提供安全防护能力,保障业务的安全性及连续性- 安全攻防技术
- 合规审计技术
- 安全架构设计
- 大数据分析技术
-
场景四:安全运营
目标:保障业务系统不被外部威胁攻破、响应安事件,协助用户解决安全相关问题- 安全监控
- 事件响应
- 漏洞管理
最低0.47元/天 解锁文章
扫一扫
160
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
