云主機安全,從主機防病毒、入侵防護,到應用程序控制、行為監測及響應,再到主機加固與運營等,安全能力層層遞進,防護要求也節節升級。面對云環境下越發復雜和嚴峻的安全風險,云安全應該從何做起?如何打造云端的核心防護能力?
立于風暴中心,看清風險所在
云服務極大地滿足了用戶使用和拓展存儲資源、軟件資源和計算資源的需求,而主要風險正來源于此。
云平臺虛擬化資產數量龐大難以維護
企業內部極少有人能及時了解本身的核心資產,如虛擬服務器規模、域名、網段的清晰情況。尤其是資產和組織架構越來越復雜之后,云主機數量統計幾乎成了一道最難搞懂的“高考數學題”。
應用系統配置風險漏洞未被重視
從近年來主機安全事件來看,應用系統的配置風險是眾多用戶不太重視的問題;另外,隨著新的應用系統類型不斷增加并被應用到生產環境中,這方面的安全漏洞將會被大面積利用,這里面除了傳統的數據庫應用,Web容器、開源監控系統(如Zabbix),MongoDb、Redis、Hadoop等新型應用配置風險漏洞也將成為黑客利用的目標。
云主機風險推動“三大”安全新需求
信息資產采集管理
面對云計算場景大量的虛擬化資產以及快速更迭的系統及應用,云安全產品應具備強大的資產采集管理能力,通過對資產信息進行分析為企業提供漏洞風險及入侵威脅的判斷的基礎信息,有助于深入發現內部暴露的IT風險問題和風險。
漏洞風險檢測及修復
服務器承載各類業務系統,時刻面臨著外部的用戶訪問,一旦存在漏洞,將使得平臺被黑客入侵的風險被成倍放大。因此,云安全產品應具備強大的漏洞風險檢測及修復能力,需能夠對漏洞風險進行精準發現,并針對不同漏洞風險做出精準分析,提供精確到命令的修復建議。
安全合規需求
國家對網絡安全的重視達到了一個新的高度,尤其是《網絡安全法》的出臺,代表著網絡安全的管控已進入快車道,既是云安全的新起點,也是重要的轉折點。因此,云安全產品應具備強大的基線合規性檢查能力,能夠對平臺基線進行合規性檢查,對于存在安全缺陷的項目進行識別及給出相應處理意見,防止風險的產生。
打開云端資產治理及漏洞管理“新思路”
摸清家底
亞信安全信艙DS支持全面收集主機層面資產,包括端口、對內對外IP、web站點、web中間件、web應用、數據庫、進程、第三方組件、軟件應用、環境變量、計劃任務、jar包等;同時可對資產實時監測,基于變更規則(變更頻率)進行告警。
【圖:亞信安全信艙DS資產管理】漏洞可視
近兩年,勒索病毒一直處于高頻活躍狀態,通過分析可以發現勒索病毒常常以文件服務器、數據庫等存放數據的服務器為目標,并利用弱口令、高危漏洞等作為攻擊入侵的主要途徑。
在亞信安全信艙DS平臺上,用戶可通過漏洞管理模塊,全面排查系統中存在的漏洞、弱口令、風險賬號等,從而提升系統安全性;另外,DS融合了NASL技術,通過POC快速對新出現的漏洞進行驗證,利用了NASL技術與國家漏洞庫建立聯動機制,極大地提升了重大活動和重點網絡中的供應鏈類漏洞預警響應能力。
圖:亞信安全信艙DS實現漏洞管理可視化快速定位
對用戶而言,應急響應時間的長短,直接關乎著企業的損失。如何快速響應,控制威脅一直是安全人員及用戶關注的重點。對此,信艙DS“資產一鍵搜”功能,可幫助用戶快速定位受威脅的資產,為處置動作爭取更多的時間。
通過基線檢測建設,實現云主機安全加固自動化
云主機承載著關鍵數據及核心業務系統,一旦受到攻擊,整個信息系統中最具價值的部分將面臨失竊和被破壞的風險,為保障主機安全,因此需要構建以計算環境安全為核心的縱深防御體系,加強主動評估風險及主動預警響應能力。
為此,亞信安全信艙DS 20提供了強大的基線檢查能力,能夠對根據二級等保、三級等保等要求對主機進行統一掃描,支持檢測操作系統和服務(數據庫、服務器軟件、容器等)的賬號權限、身份鑒別、密碼策略、訪問控制、安全審計和入侵防范等安全配置,并提供檢測結果,針對存在的風險配置給出加固建議。
圖:亞信安全提供了豐富的安全合規基線模板
數字經濟的快速發展和融合,給數據中心帶來了眾多挑戰,尤其是云數據中心面臨的安全風險正在加劇。持續演化的數據中心安全威脅不會遠離,云主機安全將是我們的最后一道防線,其中云主機資產梳理、漏洞掃描、基線核查無疑是構建云主機安全加固新防線的三大核心能力。
關于亞信安全
亞信安全是中國網絡安全軟件領域的企業,是業內“懂網、懂云”的網絡安全公司。秉承建網基因,堅守護網之責,亞信安全以護航產業互聯為使命,以安全數字世界為愿景。基于“安全定義邊界”的發展理念,亞信安全以身份安全為基礎,以云網安全和端點安全為重心,以安全中臺為樞紐,以威脅情報為支撐,構建“云化、聯動、智能”的技術戰略,守護億萬家庭和關鍵信息網絡,為我國從網絡大國向網絡強國邁進保駕護航。
