“云”到底面临哪些安全挑战？

传统的私有数据中心，运行单个用户的业务并存储相关的数据。可以理解为独栋别墅，对应的安保措施包含门岗、保安人员、摄像机等多点安全防护；公有云是企业为了节约成本等原因，与众多企业一起入驻数据中心，类似于租赁公寓楼。虽然物业公司也提供门岗、保安等基础安保服务，但每一个租户仍然面临盗窃和病毒入侵的风险。

根据云安全联盟列出的“十二大云安全威胁”，云安全的主要威胁包括数据泄露，数据丢失，帐户劫持，不安全的应用程序接口（API）以及可能危及云安全的共享技术等，具体如下：

1. 数据泄露；

2. 凭证被盗和身份验证如同虚设；

3. 界面和API被黑；

4. 系统漏洞利用；

5. 账户劫持；

6. 恶意内部人士；

7. APT（高级持续性威胁）寄生虫；

8. 永久的数据丢失；

9. 调查不足；

10. 云服务滥用；

11. 拒绝服务（DoS）攻击；

12. 共享技术，共享危险；

云安全的特点

1. 云安全责任共担模型

跟传统安全统一安全责任主体不一样，责任主体是根据提供服务的限度来进行划分的。根据云安全责任共担模型如下图所示：

云安全责任共担示意图

也就是说云计算供应商应建立自身完善的安全防护体系，同时为云租户提供必要的安全选项，使云租户可以根据自身业务安全等级，配置安全策略。租户因为自身安全措施不足，带来的风险和危害由租户担责。

2.网络边界的模糊需要工作负载为核心的保护

传统的数据中心的网络拓扑以及DMZ区是确定划分清晰的，所以边界的防护有相当大的作用。在云计算时代，边界变得越来越模糊，随着边界而发生剧烈的变化，传统围栏式的防护策略已经不能适应云场景的安全需求。工作负载内部的安全成为重中之重。

3.云端服务器工作负载动态变化性高

根据资源的要求，工作负载随时需要进行变化，这种变化可能是扩容的，或者是销毁的。这种变化可能导致安全问题的随时暴露。新的业务上线导致新的攻击面出现，销毁不彻底可能导致新的威胁。所以全面的自动化统一配置安全策略并加在运维的环境中是必须的要求，这样才能将云环境下的运维安全得到保证。

云主机安全

在公有云环境下，边界和硬件安全不再有效，云主机成为防护的核心。云主机安全卫士通过四个层面对云主机进行安全保护。

第一 “看得清”

首先应当明晰：“安全从何做起？”也就是说需要防护的资产有哪些？用户业务发生变化，安全策略如何自动匹配？青藤通过轻量级Agent，可以自动化的方式对云主机内的资产做细粒度清点，从底层硬件、系统、中间件、应用服务等，可以让用户清晰的掌控安全的边界。

第二 “查得准”

跟传统基于流量的探测方式的漏扫或者合规检查不同，云主机安全卫士是基于agent的风险评估，效率更高，误报更低。我们可以对所有的风险点进行全面的检查，补丁、漏洞、账号，数据库及中间件的配置和口令，以及应用的本身和插件进行全面的安全风险评估。并给出全面的处理意见和建议。这种检测可以实现分钟级的执行，对于高风险业务极有价值。

第三 “监控灵”

病毒与入侵是安全防护的重点。区别于传统杀毒厂商单一的识别和查杀能力，云主机安全卫士整合了四大杀毒引擎，多层级规则匹配及沙箱等技术。同时考虑到全盘扫描对用户业务的压力，转为强调恶意文件检测的实时性，使客户更容易在第一时间捕捉到恶意程序。

针对黑客入侵，基于黑客攻击原理和攻击链的逆向分析，在攻击的各个步骤上部署相应的监控锚点。一旦监控环境发生异常变化，第一时间做出响应。是目前业内最为有效的反黑客工具。

第四 “合规快”

2020年是等级保护2.0规范落地的第一年。相对于等级保护1.0标准，等级保护2.0规范更强调云计算场景下的安全合规。青藤基于新规范的要求，对检查项做了大范围覆盖，帮助用户实现“一键合规”。

 结语

“上云”已经成为所有行业信息化规划和建设的主流思路。中国信通院7月29日发布了《云计算发展白皮书2020》。报告中显示：我国2019年云计算市场规模达1334亿元，增速38.61%。预计2023年市场规模将接近4000亿元。其中，公有云服务市场规模达到689亿元，较2018年增长57.6%，规模首次超过私有云（645亿元）。

报告同时指出：42.4%的企业在选择公有云服务商时会考虑服务安全性，安全是影响企业选择的重要因素。青藤将致力于不断提高自身的安全水平，与联通沃云云市场一起，并为用户提供更多高价值的云安全产品。

扫描二维码，立即体验云主机安全卫士产品