【PConline 技术】现在的这个IT时代,有一些用户对于安全问题并不是太关心,的确,部署安全措施并不能带来业务的增长,只能是当做对于业务风险的防范,为了防止出问题才迫不得已去使用。很多的企业CEO对于数据安全问题的认识还只是停留在被黑了找个人筹建团队,只要不出事就行,也不会当安全是一件有竞争力的事情,自然也就认为不重要。
在还没有云计算技术的那个时代,公司还都在用安全厂商的产品,买个防火墙、WAF、入侵防御,组建一支安全工程师的团队,做渗透测试然后修复漏洞。在云计算企业安全之前,对于企业用户来说,企业安全包含的内容是非常丰富的。
首先,在企业内部,网络安全领域就是一个非常重要的领域,比如划分网域,使用防火墙控制外部进入到内部网络的端口和IP,比如通常会遇到的DDoS攻击。同时,反欺诈是金融和电商常用到的安全防御,防止一些恶意用户利用技术手段获取利益。举个例子,某些网站通过id等手段进行价格判断,但存在一定逻辑缺陷。导致可利用低价商品的ID号购买高价值的商品。
服务器的漏洞会导致服务器被黑客攻击引起停机,信息泄漏,攻击内部其他机器等风险问题,一般会通过安装防病毒软件,定期的漏洞扫描和修复,及时更新和定期改密,密码使用复杂的强密码。
没有上云的企业一般是自建机房或者托管在IDC机房中,这就涉及到机房的安全措施和规范,不允许没有权限的人进入机房是最基本的规定,此外还要考虑机房的温度、湿度等环境因素是否会造成机房的失火,设备运行不稳定等问题。对机房要做到控制并登记出入人员,24小时监控机房状况,防止人为或者物理的威胁。
从甲方角度考虑:云更划算
云计算的诞生就是让用户能够像使用水电煤气那样去使用云服务,提升用户效率的同时还降低了整体的运维成本,那么现阶段来说,究竟哪些安全领域问题能够交给云计算去处理呢?
外网防火墙,使用云主机就可以使用云平台提供的外网防火墙。提供简单的功能,比如对端口和IP进行放行或者拦截的限制。未来云计算发展应该会提供更丰富好用的防火墙。
高防服务。对于抗DDoS来说,使用云平台的高防服务是省钱省力的一件事情,比如UCloud – 专业云计算服务商的高防可以扛400G攻击,使用的是一个专门的清洗机房。遇到DDoS攻击不会是每天都发生的事情,如果自己组建个团队再部署一个清洗机房,拉好几百G的带宽来做这件事情成本高精力花的多,得不偿失。
服务器审计系统。也就是堡垒机。使用云上的堡垒机一个不容易宕机,另外一点是数据不容易被篡改,堡垒机作为第三方提供的服务,数据存放在自己的设备上,但是自己人没办法上去修改设备中的数据。更安全。
代码审计,渗透测试,代码框架的安全功能。这些属于有点"繁琐"的工程,大部份甲方团队都没有足够的人力去应付产品线交付的数据量庞大的代码,没有能力去实践完整的SDL,这也是比较有挑战的安全业务,而且还在持续增长中。
云计算目前还不能防护的领域
办公网安全。需要企业提升员工的安全意识,对接整个公司的各个部门,将纸质文档,客户隐私,内部邮件等等有意识的保护起来。
安全品牌营销,渠道维护。比如为品牌的安全形象进行市场宣传,尤其金融公司,使用者都非常关心金融公司的安全性,是否能够保障资金的安全。
过一些安全资质的评审,比如信息安全评审,或者三级等级保护评审。
对业务形成自己的风控及安全管理方法论,要有自主评估和修复的能力。
