亞信安全：應對雲安全新威脅 如何邁出“信”步伐

數字經濟的快速發展和融合，無疑給雲數據中心帶來了衆多安全挑戰。

雲環境數據存儲位置不受租戶控制產生的數據泄露、針對雲環境發起的病毒與網絡攻擊、不同來源系統彼此靠近增加的系統漏洞……轉型發展，或是安全挑戰，面對這兩股持續對弈的力量，我們該如何平衡、化解？

雲主機安全運維的5大“痛點”

歸納起來，雲主機安全運維將面對以下幾個方面問題：

· 傳統與新生威脅共存：不但傳統環境下的安全問題在雲環境中仍然存在，比如DDoS攻擊、內部越權、數據泄露、數據篡改、漏洞攻擊等，攻擊者還可能利用微服務架構Web應用、服務網格、Serverless（無服務器運算）等新暴露面發動攻擊。

· 資產管理範圍擴大：安全運營中的“資產”發生了變化，以前在雲下做安全的時候，資產主要是服務器、PC、打印機等硬件設施。而在公有云上， “資產”的概念擴大，比如說一些PaaS層、SaaS層的服務、數據存儲等，這些新的服務或產品都屬於雲資產的一部分。

· 配置風險：每個雲應用都會涉及到安全策略的配置，需要運維人員編寫大量的安全基線腳本，而且完全依賴於運維人員的安全知識面，不僅工作不容易進行標準化，其重複性造成的懈怠， 很容易造成疏漏，導致系統存在安全隱患。

· 跨平臺架構下的統一管理：在混合雲架構下，難以跟蹤整個架構中的資產並監視衆多混合雲連接的活動，而其錯誤配置，絕對是當今一些最具破壞性的雲違規和數據泄露的主要原因。

· 漏洞修補的“時間差”：如果開發人員在使用DevSecOps過程中忽略了集成、業務流程功能和控制，則可能很難在連續交付系統中提供安全性，而漏洞修補很難在線上完成，打補丁重啓等任務不僅造成業務中斷，還會引發系統崩潰等致命問題。

信艙（DS 20），雲環境下的首道外防

亞信安全爲滿足雲環境下衍生出的安全運維新需求，結合近年攻防對抗中的實際應用場景，正式推出亞信安全信艙（DS 20） – 雲主機安全產品，在防病毒、入侵防護、完整性檢測、虛擬補丁、日誌審計構建的縱深防禦基礎上，形成了全面覆蓋雲工作負載保護平臺（Cloud Workload Protection Platform，CWPP）能力的雲主機安全方案。

1. 以雲主機安全加固爲核心

雲主機承載着大量的核心數據和服務價值，是雲安全系統核心構成。亞信安全信艙（DS 20）針對CWPP不同層面的安全能力實現了全面覆蓋，確保雲主機安全防護不留死角。

2. 資產管理和雲主機安全聯動

信艙提供了雲主機資產自動化盤點，管理員可在此基礎上實現等保定級跟蹤，並根據所選服務器的操作系統、軟件應用等信息，自動篩選出該服務器上需要檢查的系統、應用基線，進而制定出雲主機安全加固模板，迅速實現雲端安全基線的一致化。

3. 使用安全基線實現統一管理

提供了大量滿足等級保護、不同級別基準要求的模板，涵蓋多個版本的主流操作系統、國產化平臺、Web應用、數據庫等。利用這些基線內容，用戶通過一鍵批量創建基線任務，快速進行企業內部風險自測，發現問題並及時修復，以滿足監管部門要求的安全條件。

4. 支持混合雲平臺及Docker配置安全

全面支持各大雲服務商混合雲方案和Docker等開源技術構建混合雲平臺。對於Docker的安全防護需求，信艙中的Deep Security for Docker可以保存Docker中鏡像的配置文件，並在主機上檢查網絡情況，洞悉Docker中流動的網絡安全威脅，從而阻攔黑客從外部、內部（不受限制節點）發動的網絡攻擊，爲混合雲環境打造一體化的安全管理平臺。

5. 漏洞管理配合虛擬補丁技術

信艙雲主機漏洞風險管理即能實現對服務器及應用的漏洞掃描、風險評估、修復建議，滿足用戶對漏洞修復的需求，也能通過虛擬補丁能力，在面對0Day漏洞無法快速防護漏洞、老舊操作系統及應用無法修復補丁、關鍵服務器無法重啓的情況下，通過虛擬補丁幫助用戶在無須重啓的情況下，實現服務器及應用系統漏洞批量管理。

如今雲上新型安全威脅層出不窮，爲應對數據化進程，應儘早構建雲安全體系，這對於企業業務和發展，都是有必要的。未來，亞信安全在堅持核心技術自主研發的同時，積極擁抱和助推雲安全生態建設，爲企業數字化轉型提供安全保障，爲雲安全發展持續賦能。