云工作负载安全保护最佳实践.pdf

云工作负载安全保护最佳实践 青藤云安全 程度 工作负载举例 工作负载举例 云工作负载模型 云工作负载定义 云工作负载：是一个独立的服务或者能力， 运行在云计算的实例上。 云工作负载安全负责角色 要对 自己的工作负载负责！ 保证工作负载可见性 你不能保护你看不到的东西 ！ TIPS ：资产清点、资产发现 保证严格的IAM机制 最小权限原则，账号分组，RBAC，身份取消 TIPS ：账号管理、权限管理、OTP 加入 自动化安全机制 DevSecOps TIPS ：使用脚本、API或者自动化 安全产品 使用 “No patch”策略 不给线上系统打补丁 TIPS ：使用最新的镜像构建应用， 持续进行漏洞扫描 加密网络流量 VPC=VPN+NAT TIPS ：使用VPC、IPSEC、TLS、SSH 应用安全组进行 “微隔离” 防火墙 TIPS ：进行安全组划分、采用微隔 离以及访问关系模型 采用工作负载为中心的安全策 略 相对次要 特定应用保护：WAF、DAM、DoS…… 特定应用保护 ：WAF、DAM、DoS…… 杀毒 蜜罐 服务器防护 漏洞防御 备选策略 高级行为检测响应 IaaS静态数据加密 漏洞利用防护/内存保护 应用程序控制/白名单 完整性监控/管理 服务器防护 核心策略 网络分割和流量可视化 配置和漏洞利用 运维习惯 限制任意代码 禁用Web/邮件客户端 管理员权限管理 变更管理 日志管理 限制物理和逻辑边界访问 基础 TIPS ：采用CWPP产品 数据静态加密 加密数据 TIPS ：对敏感数据进行静态加密， 使用秘钥管理服务 （KMS ） 不能忽略应用和网络架构安全 应用安全 TIPS ：采用WAF，保证DNS、DHCP、 NTP安全，使用AD或者LDAP以及考虑 DDOS攻击 使用能够 “云化” 的安全产品 软件定义安全 TIPS ：采用可以 “云化”的安全产 品或者直接使用云安全产品。 谢谢 ！