公有云安全运维.PDF

公有云安全运维 实践谈 绿盟科技 侯奎宇 容易忽略什么? 安全责任边界 云平台安全 ≠ 租户安全 等保2.0 租户 云平台（CSP ） 等保2.0 等保2.0 等保2.0 安全合规的架构体系 • 物理及环境安全 • 物理及环境安全 • 合规性 • 网络和通信安全 • 访问控制 • 设备和计算安全 • 网络安全 • 应用和数据安全 • 审计和跟踪 • 安全管理机构和人员 • 数据安全 • 系统安全建设管理 • 事故和风险管理 • 系统安全运维管理 怎么开始？ 阅读公有云安全最佳实践 哪些能直接用公有云的？ • 物理安全 • IDC • 存储设备退役方式 哪些能直接用公有云的？ • 网络 • 经典网络/…. 大二层的共享网络 • VPC/私有网络/… • 子网/虚拟交换机/... • 安全组 • 网络ACL • VPN • 负载均衡(对https的支持) • 流日志 • …… 哪些能直接用公有云的？ •虚机/系统安全 • 客户机操作系统由客户完全控制 • 访问方式 • 密码 vs 证书 • 直接对外暴露 vs VPN/堡垒机 哪些能直接用公有云的？ •数据安全 • 对象存储/块存储/… • 存储安全 • 数据完整性 • 明文 vs 加密 • 传输安全 • 明文 vs SSL • 密钥管理 • 证书管理 哪些能直接用公有云的？ • 管理 • IAM/访问控制/…. • 解决资源和权限之间的问题 • 云平台最高权限帐号尽量少用 • MFA • 审计记录 • 监控告警 • 安全生态 • 有无第三方安全厂商？ 还需要做什么？ • 网络 • 入侵检测/入侵防护IPS/NGFW • VPN • DDoS攻击 • 硬抗 • DNS引流云清洗 •虚机/主机安全 • 主机漏洞管理 • 补丁管理 • 主机IDS • 防病毒/恶意文件/勒索软件 还需要做什么？ •数据安全 • 数据库审计/管控 • 数据加密 • 数据备份 •应用安全 • WAF/云WAF • 安全运维 • 堡垒机 绿盟云