現在的這個IT時代,有一些用戶對于安全問題并不是太關心,的確,部署安全措施并不能帶來業務的增長,只能是當做對于業務風險的防范,為了防止出問題才迫不得已去使用。很多的企業CEO對于數據安全問題的認識還只是停留在被黑了找個人籌建團隊,只要不出事就行,也不會當安全是一件有競爭力的事情,自然也就認為不重要。
在還沒有云計算技術的那個時代,公司還都在用安全廠商的產品,買個防火墻、WAF、入侵防御,組建一支安全工程師的團隊,做滲透測試然后修復漏洞。在云計算企業安全之前,對于企業用戶來說,企業安全包含的內容是非常豐富的。
首先,在企業內部,網絡安全領域就是一個非常重要的領域,比如劃分網域,使用防火墻控制外部進入到內部網絡的端口和IP,比如通常會遇到的DDoS攻擊。同時,反欺詐是金融和電商常用到的安全防御,防止一些惡意用戶利用技術手段獲取利益。舉個例子,某些網站通過id等手段進行價格判斷,但存在一定邏輯缺陷。導致可利用低價商品的ID號購買高價值的商品。
服務器的漏洞會導致服務器被黑客攻擊引起停機,信息泄漏,攻擊內部其他機器等風險問題,一般會通過安裝防病毒軟件,定期的漏洞掃描和修復,及時更新和定期改密,密碼使用復雜的強密碼。
沒有上云的企業一般是自建機房或者托管在IDC機房中,這就涉及到機房的安全措施和規范,不允許沒有權限的人進入機房是最基本的規定,此外還要考慮機房的溫度、濕度等環境因素是否會造成機房的失火,設備運行不穩定等問題。對機房要做到控制并登記出入人員,24小時監控機房狀況,防止人為或者物理的威脅。
從甲方角度考慮:云更劃算
云計算的誕生就是讓用戶能夠像使用水電煤氣那樣去使用云服務,提升用戶效率的同時還降低了整體的運維成本,那么現階段來說,究竟哪些安全領域問題能夠交給云計算去處理呢?
外網防火墻,使用云主機就可以使用云平臺提供的外網防火墻。提供簡單的功能,比如對端口和IP進行放行或者攔截的限制。未來云計算發展應該會提供更豐富好用的防火墻。
高防服務。對于抗DDoS來說,使用云平臺的高防服務是省錢省力的一件事情。遇到DDoS攻擊不會是每天都發生的事情,如果自己組建個團隊再部署一個清洗機房,拉好幾百G的帶寬來做這件事情成本高精力花的多,得不償失。
服務器審計系統。也就是堡壘機。使用云上的堡壘機一個不容易宕機,另外一點是數據不容易被篡改,堡壘機作為第三方提供的服務,數據存放在自己的設備上,但是自己人沒辦法上去修改設備中的數據。更安全。
代碼審計,滲透測試,代碼框架的安全功能。這些屬于有點"繁瑣"的工程,大部份甲方團隊都沒有足夠的人力去應付產品線交付的數據量龐大的代碼,沒有能力去實踐完整的SDL,這也是比較有挑戰的安全業務,而且還在持續增長中。
云計算目前還不能防護的領域
辦公網安全。需要企業提升員工的安全意識,對接整個公司的各個部門,將紙質文檔,客戶隱私,內部郵件等等有意識的保護起來。
安全品牌營銷,渠道維護。比如為品牌的安全形象進行市場宣傳,尤其金融公司,使用者都非常關心金融公司的安全性,是否能夠保障資金的安全。
過一些安全資質的評審,比如信息安全評審,或者三級等級保護評審。
對業務形成自己的風控及安全管理方法論,要有自主評估和修復的能力。
京公網安備 11010502049343號