由点及面,专有云ABC Stack如何护航云平台安全?
专有云平台在物理设施层的基础上,通过云平台控制面实现了数据和资源的集约化,并拥有了更完善的运维和运营体系。伴随而来的是,物理设施层和云平台控制面更容易受到关注和攻击,即“云平台安全”遭到威胁。
面对安全威胁,专有云平台如何见招拆招,实现层层防护?百度智能云专有云 ABC Stack 落实强合规,立足用户需求,破除传统安全防护困局,以边、网、端、审、管五大防线全方位构筑“防护长城”,由点及面,从区域到全局,深层次保障专有云平台的平稳运行。
边:多重技术加固基础防御工程
即出口边界。多数情况下,互联网出口等边界是攻击者的必经之路,也是安全防护的第一道防线。
首先,专有云 ABC Stack 会基于防火墙的白名单机制,做“IP+端口”级的访问控制。默认 deny 所有访问请求,根据“报备信息”进行放行。当然,也要对合法访问保持警惕。通过入侵检测系统 IPS 对数据包进行安全检测。IPS 提供了从网络层分析到应用层分析、从应用识别到行为分析、从协议解析到业务语义分析的全方位分析,并采用了大量基于攻击原理的新型检测技术,提升抵御未知漏洞攻击的能力。
其次,专有云 ABC Stack 会采用 Web 应用防火墙对平台应用(运维平台、运营平台等)进行重点安全防护,抵御 OWASP Top 10等各类 Web 安全威胁和拒绝服务攻击。
网:层层措施保障数据安全流通
即传输网络。传输网络作为数据的流通环境,其安全重要性不言而喻。
在专有云 ABC Stack 上,云产品控制台上的通信都受到了 HTTPS 安全协议的加密保护。在传输过程中,受保护的数据包括传入或传出组件的数据,以及在内部传输的数据。
专有云 ABC Stack 还通过威胁探针对关键网络路径的镜像流量进行采集并还原,针对网络流量进行安全检测、反病毒、漏洞防护、防间谍软件、IOC 情报检测等威胁分析,并将分析后的威胁日志加密传输给安全运营平台进行统一分析管理。
此外,专有云 ABC Stack 的安全评估系统也会模拟攻击者,主动检测网络中的各类脆弱性风险,覆盖所有主流网络对象,包括 KVM 平台,并提供专业、有效的安全分析和修补建议,同时贴合安全管理流程对修补效果进行审计,最大程度地减小受攻击面。
端:自研产品精准控制防护部署
即宿主机端、云平台管控端等。其安全防护可称为守护云平台安全的最后一道防线。
首先,专有云 ABC Stack 资源节点、管控节点等环境的宿主机 OS 均是自研 OS,部署了百度自研主机安全产品 HOSTEYE。HOSTEYE 是百度多年来安全技术研究积累的成果,具备资产清点、安全基线检查、登录审计(异地登录报警、暴力破解攻击拦截)、木马后门查杀、恶意进程查杀、简单蜜罐、补丁管理、主机异常检测、RASP 等能力,搭建了事前识别、事中拦截和事后审计的闭环防护体系。
其次,专有云 ABC Stack 部署了“诱捕端”(蜜罐)。该部署用来混淆黑客的攻击目标,能够将攻击隔离到蜜罐环境,从而保护真实资产、记录分析攻击行为,并结合攻击反制和攻击溯源精确获取黑客的网络身份和指纹信息,以便对其进行攻击取证和溯源。
审:合规审计实现多项用户需求
即对云平台环境中的有关活动和行为的审计记录。审计可以为回溯相关操作和访问行为提供对应的证据。另外,审计是等保2.0等合规要求的重要组成部分。
ABC Stack 云平台侧具备的审计能力包括平台侧数据库审计、运维审计和日志审计。数据库审计对象为面向云平台提供基础服务的关系型数据库,可审计虚拟机删除、虚拟机重启等云上特有行为;运维审计的核心是堡垒机,可实现运维管理过程中身份认证、权限控制、操作审计等能力;日志审计能够实时不间断地采集汇聚宿主机 OS、网络及安全设备的日志信息,可协助用户进行合规审计与分析。
管:平台、技术与人力建造多维屏障
即安全运营管理。上述边、界、端、审实现的是“点”的防护,而安全运营管理,则实现了由“点”及“面”的防护,包括安全数据的集中采集、多维度关联分析、快速应急处置、完整溯源分析。
专有云 ABC Stack 提供安全运营平台,汇集威胁探针、网络设备、安全设备、操作系统等来源的告警数据,结合内置安全规则库、威胁情报、专家经验库、关联分析、自定义关联规则等方式识别各类安全威胁。
此外,专有云 ABC Stack 能够通过大数据和深度挖掘等技术,从多维度海量数据中提取黑客入侵行为的蛛丝马迹,有效地检测出各类威胁。专有云 ABC Stack 还具备 SOAR 编排能力,能够对确定威胁进行多种类型的响应处置,真正打造从监测预警、威胁检测、溯源分析到响应处置的安全闭环。
与安全运营平台相配合,专有云 ABC Stack 提供专业安全运营人员,通过“本地运营+远程支撑”协助用户更好地运用平台工具实现安全目标,帮助用户快速发现安全威胁、分析问题、确诊问题、协调各类资源解决问题,支撑用户持续迭代优化安全体系,从而进一步提高整体安全运营成效。
ABC Stack 作为与百度智能云同栈的私有化平台,已经获取近30个国内外权威资质,包括通过等保四级测评、中央网信办云计算服务安全评估、银监会-数据安全防护及运维体系审核、ISO 系列等认证,全面满足政务、金融等行业上云的安全要求。
专有云平台的安全保障是一项持续性的、动态的、体系化的工作。百度智能云专有云 ABC Stack 希望能够有机会与客户共同分析、整理专有云平台安全的需求和未来期望,结合百度在信息安全工作方面的知识积累、技术沉淀及管理经验,提供更优质的技术设施与安全保障一体化的解决方案。
由点及面,专有云ABC Stack如何护航云平台安全?相关推荐
- 高效上云?智能升级?就靠百度智能云专有云ABC Stack!
上云热潮下 既想保持公有云一样的 稳定性.易用性.拓展性 又希望兼顾私有云的安全可控 别急,这些需求专有云通通满足你 拥有了专有云 轻松实现弹性扩展.随付随用.云运维 全方位满足特定性能.应用及安全合 ...
- 专有云ABC Stack,真正的实力派!
捷报频传! 百度智能云专有云 ABC Stack 成功通过中国信通院 专有云能力综合水平评估! 继获得 ITSS 私有云一级评估认证后,ABC Stack 又一次斩获权威认证!标志着百度智能云专有云 ...
- 技术实力加速企业上云,联想混合云获评专有云优秀案例入选混合云全景图四大方向
7月25-26日,由中国信息通信研究院.中国通信标准化协会联合主办的第十届可信云大会在京顺利召开.大会重磅发布了云计算白皮书(2023年).<混合云产业全景图(2023)>.中国算力服务研 ...
- 保证业务高效运营 专有云虚拟网络是关键
随着越来越多的企业用户上云,且客户业务场景多种多样的情况下,云计算面临的挑战也越来越多.如企业多 IDC.异地办公区.远程运维人员接入到企业内网需要一致的体验等场景下,还要提供高可靠.安全和易维护的网 ...
- 云计算正在告别DIY时代 阿里云专有云挑起企业级市场大梁
"云计算的DIY时代已经过去",5月23日在2018云栖大会·武汉峰会上,阿里云专有云事业部总经理马劲表示,DIY式私有云正被时代抛弃,不仅部署费时费力,且难以解决企业云的顽疾.取 ...
- 有孚专有云如何助力高校数智化转型
高等教育数智化转型势在必行,既是疫情防控常态化下的现实需求,也是深入推动高等教育整体性转变.全方位赋能和革命性重塑,培养引领时代发展创新人才的大势所趋,更是我国教育实现从基本均衡到高位均衡.从教育大国 ...
- 百度智能云专有云多云管理平台解决方案荣获《可信云多云管理平台解决方案》权威认证
日前,百度智能云专有云一体化多云管理平台通过信通院<多云管理平台解决方案>认证,在多云接入.异构纳管.资源管理.服务编排.运维监控等方面获得国家权威机构认可. 百度智能云专有云一体化多云管 ...
- 【国内首家!】阿里云专有云通过商用密码应用安全性评估
简介:阿里云凭借自研飞天云操作系统的全方位安全能力,成为国内首家通过云平台密评的云厂商. 近日,国内首个针对云平台的商用密码应用安全性评估(以下简称密评)结果出炉.阿里云凭借自研飞天云操作系统的全方位 ...
- 搭载敏捷飞天底座,阿里云专有云敏捷版全面升级
6月9日, 在2020阿里云线上峰会上阿里云混合云重磅发布三款新品:专有云敏捷版(Apsara Stack Agility). 混合云管理平台(Apsara Uni-manager)以及下一代企业级一 ...
最新文章
- php修改文件访问目录为 .htaccess_借github上韩国师傅的一个源码实例再次理解.htaccess的功效...
- [译]Web 性能优化: 图片优化让网站大小减少 62%
- 聊聊我对开发项目选技术的看法
- 【Bootstrap4前端框架+MySQL数据库】前后端综合实训【10天课程 博客汇总表 详细笔记】【附:所有代码】
- SFB 项目经验-07-Skype for Business 话机 Polycom CX700
- TurboIM即时通讯正式发布
- Oracle基础(六) 数据类型
- linux —— ubuntu 初次安装问题
- [ Linux ] 连接FTP及FTP常用配置
- 弥合银行业的数字鸿沟
- java 原子量_Java多线程-新特征-原子量
- 电脑IP地址查看及修改
- 双系统卸载ubuntu
- 21、人类简史-从动物到上帝(赫拉利)
- Fisheye-Crucible2.4.3安装破解
- 大数据工程师面试考题
- 计算机里藏应用,用这3招,轻松揪出电脑中的隐藏文件,让恶意软件无处藏身...
- 洛谷:P1424 小鱼的航程(改进版) JAVA
- 图算法入门4:活动网络-AOE网络和关键路径(critical path)
- Linux网络相关问题
热门文章
- Session对象的清空
- 前端趋势榜:上周最热门的 10 大前端项目 - 210327
- Spring AOP相关术语解释及简单使用
- 【收藏】Vue+elementUI的this.$refs.对象名.方法名的理解
- helm部署SkyWalking
- linux ubuntu/deepin与Windows时间不同步解决办法(双系统)
- Ping命令及其协议
- 从接触FPGA开始...
- 深度、广度优先生成树(C完整代码)
- Vue组件多次点击报错Avoided redundant navigation to current location: “/profile“.