安全是企业IT架构永恒的核心话题,企业的安全团队应根据企业业务上云后可能面对的安全风险制定安全决策。安全决策将演变为云上的IT安全采购策略和安全架构,对企业云上的网络、应用、主机、数据提供安全防护。而安全治理基线是企业需要在云上采用的一种持续监控和治理的手段,以保证安全策略被正确完整的实施。

企业从云下的专有域迁移到公有云的互联社区,使企业面对的安全环境变得更复杂。企业上云后将云下IT系统搬迁上云,这种变化给企业带来弹性伸缩的便利性,但同时也增加了企业对公网的资产暴露。企业上云过程中对数据的存储、处理、传输方式均发生变化,这增加了数据泄露的风险。

在上云最初制定明确的安全决策和安全策略并实施安全治理基线,这可以企业保障安全策略的持续执行,使云上IT始终在云安全能力的纵深防御中,使企业拥有比云下更安全的防御深度。

例如,某知名游戏公司将业务单元搬迁上云时就制定了较高的安全策略并启动相应的治理基线。

具体要求如下:

  • 所有资产按关键程度和存储数据的敏感度进行标记。
  • 静止时,必须对所有重要数据加密。
  • 包含重要数据的网络应与其他子网隔离,并定期审视流量。
  • 包含重要数据的子网不能被公网访问,必须经过中间子网。对子网的访问必须经过防火墙的扫描和阻止防护。
  • 所有公网端口,必须设置自动DDoS防护。
  • 为所有业务应用开启防火墙功能。

企业在后续飞速地业务扩张中,以治理基线约束每个业务应用的安全部署,确保主机、网络、数据、应用始终处于安全防护中,实现安全上云的目标。

应对的风险

企业应从网络、应用、主机、数据四个维度充分评估上云风险。
云采用框架 >运营治理 >阿里云上的治理基线 >通用安全基线
  • 网络安全风险:虚拟化网络的多层化使网络架构的实施和网络策略配置更复杂,外连的多样性使组织内部网络架构梳理变得困难。若配置不当会让黑客更容易实施横向攻击,使业务大面积受损。且上云使企业被攻击的可能性大幅增加。
  • 应用安全风险:应用上云后更容易受到恶意访问,云上攻击的成本和实施门槛均降低。
  • 主机安全风险:上云后主机会被更频繁的变更,且大多数企业上云后会弱化前序的审批环节,这使变更本身潜藏复杂的风险。上云后增加了主机的暴露率,更容易被电子货币等业务攻击和侵占。主机弱点及配置不当会带来安全漏洞和资产损失。
  • 数据安全风险:数据的采集、传输、存储、处理的环境和方式均发生变化,使企业面对更大的数据泄露风险。企业必须对业务敏感数据、用户隐私数据做充分识别和特殊保护,确保遵循国内国际的数据保护条例。

风险评估

风险的大小最终是基于对业务造成的损失来计量的,在前期评估工作中一般考虑若风险真的发生会造成的损失程度、风险发生的概率、预先防护的成本和事后补救的成本四个维度。

安全风险是一个较广泛的话题,对于损失程度应重点考虑:

  • 主机、网络、应用被攻击所造成的业务中断可能对业务造成的实际损失。
  • 主机被非法侵占窃用所造成的资产损失和成本溢出。
  • 数据泄露可能带来的巨额罚款和赔偿,以及法律责任、信誉损失。请参见数据泄漏风险治理

对于风险发生概率、预先防护成本和事后补救成本的评估思路。请参见数据泄漏风险治理

治理基线

安全治理基线的设计与企业采用的安全决策和架构有紧密关系。安全决策决定了云上IT安全架构和采购策略,决定了云上启用的安全技术手段和安全服务。而相应的安全治理基线是确保在长期持续的IT管理中需要采用的一种持续监控和治理的手段,以保证安全策略被正确完整地实施。

假设下图为企业通用的云安全采用框架:

云采用框架 >运营治理 >阿里云上的治理基线 >通用安全基线

以下提供较通用的治理策略,企业可根据实际情况选用:

  • 为面向公网的IP启用DDoS高防,清洗流量型和资源耗尽型DDoS攻击,隐藏被保护的源站服务器。
  • 为业务开启云防火墙,管理互联网到业务的访问控制策略(南北向)和业务与业务之间的微隔离策略(东西向),进行流量监控、精准访问控制、实时入侵防御。
  • 为应用开启防火墙防护外部访问风险,防御各类OWASP常见Web攻击并过滤海量恶意CC攻击,避免网站资产数据泄露。
  • 识别并标记敏感数据,为核心数据启用必要的脱敏、备份、防护措施,并对数据的访问实时监控和分析。
    • 对数据进行分级分类,并隔离存储。
    • 存储核心数据的网络应隔离其他子网,隔离公网。
    • 为存储核心重要数据的存储服务实施敏感数据管理,包括敏感数据识别、敏感数据的脱敏引用等。
    • 必须开启数据存储服务的静态数据加密。
    • 为存储服务开启备份策略,制定明确的数据恢复RTO、RPO。
    • 禁止匿名的数据访问。
    • 禁止公网数据读写。
    • 对数据的写入权限和读取权限管理遵循最小权限原则,并定期审视授权情况,避免冗余授权。
    • 确保完整收集所有数据访问和写入日志。
    • 实时监控数据访问行为,周期性复盘和分析数据访问日志,及时发现可疑的数据访问。
    • 企业内部定期复盘治理策略,确保满足业务的数据泄露风险治理需求。
  • 在云上建立安全中心,可进行实时的威胁检测、响应、溯源,使云上IT的安全可监控可响应。

治理基线的迭代与实施

在企业内部需要构建较强的监管流程来保证安全治理策略被正确完整地实施。流程的可监管能力、可强制能力决定了安全治理策略实施的结果。在长期的安全治理工作中,需要根据业务的发展不断更新迭代安全治理基线,并通过流程从上而下的实施落地。同时还需要定期审视当前实施的治理策略,根据审视结果及时优化治理策略。