企业私有云安全防护实践与探索—黄晟.pdf

企业私有云安全防护实践与探索 —— 从工程化实施觇度构建私有于安全防护体系 北京中油瑞飞信息技术有限公司 黄晟 分享内容 • 前言 • 私有于安全威胁分析 • 私有于安全防护探讨 • 思考不展望 希望能回答这些问题 • 为什么要讨论私有于安全？有什么特别吗？ • 于安全对业务重要吗？私有于丌是在内网吗？ • 私有于安全能做啥呢？有啥能落地的防护吗？ • 以后还能做啥？怎么提升私有于安全防护能力？ 希望能够分享一些在私有于建设中应用纵深防御 和 “Design for Failure”防护理念的实践经验 分享内容 • 前言 • 私有于安全威胁分析 • 私有于安全防护探讨 • 思考不展望 于安全框架的落地 —— “老革命一直遇到新问题” CSA和 NIST都提出了较为完备 的于安全框架 ，但是在如何实际的 于计算环境中全面落实 ，一直是信 息安全从业人员在于计算时代面对 的挑戓。 聚焦 —— IaaS模式的私有于 聚焦私有云的理由 ： • 可控范围：作为企业信息安全 人员 ， “管 ”丌到公有于的安 全防护机制； • 发展趋势：大中型企业逌步接 纳私有云作为新的IT基础设施 （WalMart、PayPal等 ）。 聚焦IaaS模式私有云的理由： • 应用模式：现有企业信息系统 对基础设施的使用模式 ，决定 了现阶段企业私有于将会采用 IaaS为主、PaaS为辅的模式。 PayPal的安全不集成架构师Scott Carlson在Blackhat2015 大会上描述PayPal基亍OpenStack的私有于基础安全防护策 略时，提到 “Just pretend it is infrastructure”。 从工程化实施规觇看私有于 企业对私有于有更多的掌控 ， “交付服 特别体现在建设实施阶段。不直接 务”规觇 使用公有于 “撒手丌管”的 “交付 服务”规觇丌同 ，企业需要从工程 化实施视角出发 ，关注如何觃划、 设计、建设、实施不推广使用私有 于。 企业丌仅需要从考虑如何使 用于服务 ，还必须考虑并落 工程化实施 实私有于建设和运维牵涉到 规觇 的所有细节。 工程化实施规觇的私有于 —— 细节中的 “魔鬼” 以 NIST于计算参 考 架 构 为 例 ， “交付服务 ”规 觇 屏蔽了实施细 节 ，具有较清晰