謹防“蟻穴效應”,確保云數據中心安全運行
云計算的益處無需多言,然而云上數據中心帶來了更多的數字資產暴露面,一臺被攻陷的云主機,很可能造成云內其他服務器的全部淪陷,可謂“一招致命”。
一方面持續變動的網絡形態,加大了網絡安全邊界延伸的不可預測性;此外,云主機、容器、邊緣計算打破了設備單一的物理形態,尤其是大量云主機的安全管理,讓數據中心的安全運營出現了全新挑戰。
失陷云主機,隨時可能“叛變”
首先,各類操作系統與應用組件漏洞的披露越來越頻繁,安全運維人員將面臨非常消耗人力的補丁管理工作,一旦出現紕漏,就會讓整個數據中心的安全出現短板。其次,在整個云上攻擊事件中,勒索病毒、挖礦軟件攻擊依然相當流行,而遭到兩類病毒入侵,不僅會丟失算力、消耗電力,更可能會出現文件被加密、交付巨額贖金,業務停擺等情況。最后,云端存儲了大量機密數據以及用戶的個人隱私數據,而數據泄露的結果不僅會讓企業面臨法律懲戒,還會讓企業面臨嚴重的信任危機,甚至從此一蹶不振。
此外,一旦某臺云主機失陷,就可能讓數據中心遭遇持久性攻擊。比如,云架構在創建新主機時,提供了可以匹配所需任何硬件或軟件環境的靈活性,這意味著如果黑客設法使用已傳遞到云主機惡意腳本,便會持續不斷地與外部服務器的連接(C&C通信),并且利用橫向移動(Lateral Movement)來達到控制更多主機的目的,竊取機密數據。
一體化管理,杜絕“二次傷害”
產業互聯網時代,云已經成為網絡安全的主戰場。為此,亞信安全亞信安全提供了能夠全面覆蓋云工作負載保護平臺(CWPP)能力的信艙云主機安全(DeepSecurity)解決方案,通過防病毒、防攻擊、防漏洞、行為監控、應用控制、完整性保護、微隔離、主機加固、日志審計、EDR等保護能力,為云數據中心構建出第二道防火墻。
以漏洞管理為例,信艙DS能夠實現對云主機及應用的漏洞掃描、風險評估、修復建議,滿足用戶對漏洞修復的需求,也能通過虛擬補丁能力,在面對0Day漏洞無法快速防護漏洞、老舊操作系統及應用無法修復補丁、關鍵服務器無法重啟的情況下,利用虛擬補丁實現服務器及應用系統漏洞批量管理。
其次,信艙DS提供了更自動化的安全運維配置方法。比如,云主機資產的自動化盤點,管理員可在此基礎上實現等保定級跟蹤,并根據所選服務器的操作系統、軟件應用等信息,自動篩選出該服務器上需要檢查的系統、應用基線,進而制定出云主機安全加固模板,迅速實現云端安全基線的一致化。
此外,DS還攜帶了云主機EDR模塊,這相當于在每一臺云主機上安裝了高清雷達,通過在每一臺云主機內安裝一個極其輕量的探針,記錄著系統運行過程中發生的所有事件,并將所有記錄的數據上傳至服務端長期存儲,可以根據主機之間的事件關系,還原出完整的攻擊鏈,找到攻擊方,嚴防命令外聯、橫向移動等“二次傷害”。
支持跨云策略一致性,容器安全有保障
目前,混合云的采用率正在大幅上升,越來越多的企業進入到私有云和公有云環境交織、私有云虛擬化平臺復雜多樣的“混合世界”中。用戶不僅要面臨幾大公有云管理平臺上的“移動目標”,內部私有云中也會存在VMware、Citrix 、華為、微軟、KVM等虛擬化平臺的管理“煙囪”,這讓企業的安全策略幾乎無法實現統一。
為此,亞信安全信艙DS提供了可以統一管控本地物理服務器、近端和云端虛擬化服務器的管理平臺,全面支持各大云服務商混合云方案和容器等開源技術構建的混合云。尤其是在容器安全方面,可以對容器鏡像進行持續的檢測和分析,實現了容器環境的資源可視化管理、鏡像風險管理、合規性檢測和微服務API風險管理,最終保障容器在構建、部署、遷移和運行時都能滿足提前制定的安全標準。
