謹防“蟻穴效應 ”確保云數(shù)據(jù)中心安全運行

云計算的益處無需多言，然而云上數(shù)據(jù)中心帶來了更多的數(shù)字資產(chǎn)暴露面，一臺被攻陷的云主機，很可能造成云內(nèi)其他服務器的全部淪陷，可謂“一招致命”。
　　
　　一方面持續(xù)變動的網(wǎng)絡形態(tài)，加大了網(wǎng)絡安全邊界延伸的不可預測性；此外，云主機、容器、邊緣計算打破了設(shè)備單一的物理形態(tài)，尤其是大量云主機的安全管理，讓數(shù)據(jù)中心的安全運營出現(xiàn)了全新挑戰(zhàn)。
　　
　　失陷云主機，隨時可能“叛變”
　　
　　首先，各類操作系統(tǒng)與應用組件漏洞的披露越來越頻繁，安全運維人員將面臨非常消耗人力的補丁管理工作，一旦出現(xiàn)紕漏，就會讓整個數(shù)據(jù)中心的安全出現(xiàn)短板。其次，在整個云上攻擊事件中，勒索病毒、挖礦軟件攻擊依然相當流行，而遭到兩類病毒入侵，不僅會丟失算力、消耗電力，更可能會出現(xiàn)文件被加密、交付巨額贖金，業(yè)務停擺等情況。最后，云端存儲了大量機密數(shù)據(jù)以及用戶的個人隱私數(shù)據(jù)，而數(shù)據(jù)泄露的結(jié)果不僅會讓企業(yè)面臨法律懲戒，還會讓企業(yè)面臨嚴重的信任危機，甚至從此一蹶不振。
　　
　　此外，一旦某臺云主機失陷，就可能讓數(shù)據(jù)中心遭遇持久性攻擊。比如，云架構(gòu)在創(chuàng)建新主機時，提供了可以匹配所需任何硬件或軟件環(huán)境的靈活性，這意味著如果黑客設(shè)法使用已傳遞到云主機惡意腳本，便會持續(xù)不斷地與外部服務器的連接(C&C通信)，并且利用橫向移動（LateralMovement）來達到控制更多主機的目的，竊取機密數(shù)據(jù)。
　　
　　一體化管理，杜絕“二次傷害”
　　
　　產(chǎn)業(yè)互聯(lián)網(wǎng)時代，云已經(jīng)成為網(wǎng)絡安全的主戰(zhàn)場。為此，亞信安全亞信安全提供了能夠全面覆蓋云工作負載保護平臺（CWPP）能力的信艙云主機安全(DeepSecurity)解決方案，通過防病毒、防攻擊、防漏洞、行為監(jiān)控、應用控制、完整性保護、微隔離、主機加固、日志審計、EDR等保護能力，為云數(shù)據(jù)中心構(gòu)建出第二道防火墻。
　　
　　以漏洞管理為例，信艙DS能夠?qū)崿F(xiàn)對云主機及應用的漏洞掃描、風險評估、修復建議，滿足用戶對漏洞修復的需求，也能通過虛擬補丁能力，在面對0Day漏洞無法快速防護漏洞、老舊操作系統(tǒng)及應用無法修復補丁、關(guān)鍵服務器無法重啟的情況下，利用虛擬補丁實現(xiàn)服務器及應用系統(tǒng)漏洞批量管理。
　　
　　其次，信艙DS提供了更自動化的安全運維配置方法。比如，云主機資產(chǎn)的自動化盤點，管理員可在此基礎(chǔ)上實現(xiàn)等保定級跟蹤，并根據(jù)所選服務器的操作系統(tǒng)、軟件應用等信息，自動篩選出該服務器上需要檢查的系統(tǒng)、應用基線，進而制定出云主機安全加固模板，迅速實現(xiàn)云端安全基線的一致化。
　　
　　此外，DS還攜帶了云主機EDR模塊，這相當于在每一臺云主機上安裝了高清雷達，通過在每一臺云主機內(nèi)安裝一個極其輕量的探針，記錄著系統(tǒng)運行過程中發(fā)生的所有事件，并將所有記錄的數(shù)據(jù)上傳至服務端長期存儲，可以根據(jù)主機之間的事件關(guān)系，還原出完整的攻擊鏈，找到攻擊方，嚴防命令外聯(lián)、橫向移動等“二次傷害”。
　　
　　支持跨云策略一致性，容器安全有保障
　　
　　目前，混合云的采用率正在大幅上升，越來越多的企業(yè)進入到私有云和公有云環(huán)境交織、私有云虛擬化平臺復雜多樣的“混合世界”中。用戶不僅要面臨幾大公有云管理平臺上的“移動目標”，內(nèi)部私有云中也會存在VMware、Citrix、華為、微軟、KVM等虛擬化平臺的管理“煙囪”，這讓企業(yè)的安全策略幾乎無法實現(xiàn)統(tǒng)一。
　　
　　為此，亞信安全信艙DS提供了可以統(tǒng)一管控本地物理服務器、近端和云端虛擬化服務器的管理平臺，全面支持各大云服務商混合云方案和容器等開源技術(shù)構(gòu)建的混合云。尤其是在容器安全方面，可以對容器鏡像進行持續(xù)的檢測和分析，實現(xiàn)了容器環(huán)境的資源可視化管理、鏡像風險管理、合規(guī)性檢測和微服務API風險管理，最終保障容器在構(gòu)建、部署、遷移和運行時都能滿足提前制定的安全標準。