专有云平台在物理设施层的基础上,通过云平台控制面实现了数据和资源的集约化,并拥有了更完善的运维和运营体系。伴随而来的是,物理设施层和云平台控制面更容易受到关注和攻击,即“云平台安全”遭到威胁。
面对安全威胁,专有云平台如何见招拆招,实现层层防护?百度智能云专有云 ABC Stack 落实强合规,立足用户需求,破除传统安全防护困局,以边、网、端、审、管五大防线全方位构筑“防护长城”,由点及面,从区域到全局,深层次保障专有云平台的平稳运行。
即出口边界。多数情况下,互联网出口等边界是攻击者的必经之路,也是安全防护的第一道防线。首先,专有云 ABC Stack 会基于防火墙的白名单机制,做“IP+端口”级的访问控制。默认 deny 所有访问请求,根据“报备信息”进行放行。当然,也要对合法访问保持警惕。通过入侵检测系统 IPS 对数据包进行安全检测。IPS 提供了从网络层分析到应用层分析、从应用识别到行为分析、从协议解析到业务语义分析的全方位分析,并采用了大量基于攻击原理的新型检测技术,提升抵御未知漏洞攻击的能力。其次,专有云 ABC Stack 会采用 Web 应用防火墙对平台应用(运维平台、运营平台等)进行重点安全防护,抵御 OWASP Top 10等各类 Web 安全威胁和拒绝服务攻击。即传输网络。传输网络作为数据的流通环境,其安全重要性不言而喻。在专有云 ABC Stack 上,云产品控制台上的通信都受到了 HTTPS 安全协议的加密保护。在传输过程中,受保护的数据包括传入或传出组件的数据,以及在内部传输的数据。专有云 ABC Stack 还通过威胁探针对关键网络路径的镜像流量进行采集并还原,针对网络流量进行安全检测、反病毒、漏洞防护、防间谍软件、IOC 情报检测等威胁分析,并将分析后的威胁日志加密传输给安全运营平台进行统一分析管理。此外,专有云 ABC Stack 的安全评估系统也会模拟攻击者,主动检测网络中的各类脆弱性风险,覆盖所有主流网络对象,包括 KVM 平台,并提供专业、有效的安全分析和修补建议,同时贴合安全管理流程对修补效果进行审计,最大程度地减小受攻击面。即宿主机端、云平台管控端等。其安全防护可称为守护云平台安全的最后一道防线。首先,专有云 ABC Stack 资源节点、管控节点等环境的宿主机 OS 均是自研 OS,部署了百度自研主机安全产品 HOSTEYE。HOSTEYE 是百度多年来安全技术研究积累的成果,具备资产清点、安全基线检查、登录审计(异地登录报警、暴力破解攻击拦截)、木马后门查杀、恶意进程查杀、简单蜜罐、补丁管理、主机异常检测、RASP 等能力,搭建了事前识别、事中拦截和事后审计的闭环防护体系。其次,专有云 ABC Stack 部署了“诱捕端”(蜜罐)。该部署用来混淆黑客的攻击目标,能够将攻击隔离到蜜罐环境,从而保护真实资产、记录分析攻击行为,并结合攻击反制和攻击溯源精确获取黑客的网络身份和指纹信息,以便对其进行攻击取证和溯源。即对云平台环境中的有关活动和行为的审计记录。审计可以为回溯相关操作和访问行为提供对应的证据。另外,审计是等保2.0等合规要求的重要组成部分。ABC Stack 云平台侧具备的审计能力包括平台侧数据库审计、运维审计和日志审计。数据库审计对象为面向云平台提供基础服务的关系型数据库,可审计虚拟机删除、虚拟机重启等云上特有行为;运维审计的核心是堡垒机,可实现运维管理过程中身份认证、权限控制、操作审计等能力;日志审计能够实时不间断地采集汇聚宿主机 OS、网络及安全设备的日志信息,可协助用户进行合规审计与分析。即安全运营管理。上述边、界、端、审实现的是“点”的防护,而安全运营管理,则实现了由“点”及“面”的防护,包括安全数据的集中采集、多维度关联分析、快速应急处置、完整溯源分析。专有云 ABC Stack 提供安全运营平台,汇集威胁探针、网络设备、安全设备、操作系统等来源的告警数据,结合内置安全规则库、威胁情报、专家经验库、关联分析、自定义关联规则等方式识别各类安全威胁。此外,专有云 ABC Stack 能够通过大数据和深度挖掘等技术,从多维度海量数据中提取黑客入侵行为的蛛丝马迹,有效地检测出各类威胁。专有云 ABC Stack 还具备 SOAR 编排能力,能够对确定威胁进行多种类型的响应处置,真正打造从监测预警、威胁检测、溯源分析到响应处置的安全闭环。与安全运营平台相配合,专有云 ABC Stack 提供专业安全运营人员,通过“本地运营+远程支撑”协助用户更好地运用平台工具实现安全目标,帮助用户快速发现安全威胁、分析问题、确诊问题、协调各类资源解决问题,支撑用户持续迭代优化安全体系,从而进一步提高整体安全运营成效。ABC Stack 作为与百度智能云同栈的私有化平台,已经获取近30个国内外权威资质,包括通过等保四级测评、中央网信办云计算服务安全评估、银监会-数据安全防护及运维体系审核、ISO 系列等认证,全面满足政务、金融等行业上云的安全要求。
专有云平台的安全保障是一项持续性的、动态的、体系化的工作。百度智能云专有云 ABC Stack 希望能够有机会与客户共同分析、整理专有云平台安全的需求和未来期望,结合百度在信息安全工作方面的知识积累、技术沉淀及管理经验,提供更优质的技术设施与安全保障一体化的解决方案。