這些知識點你都了解了嗎？#雲安全CCSK-M2：雲計算基礎設施安全

内容概述：

雲計算基礎設施安全。本子產品深入探讨保護雲計算核心基礎架構的細節，包括雲元件、網絡、管理接口和管理者證書。它深入研究了虛拟網絡和工作負載安全，包括容器和無伺服器的基礎知識。

知識架構圖：

雲計算概念和體系架構域包括（源自于：CSA雲安全指南-M2）：

一、保護虛拟網絡

所有雲都利用某種形式的虛拟網絡來抽象實體網絡并建立網絡資源池。目前在雲計算中常見的網絡虛拟化有兩大類：VLAN（虛拟區域網路）和 軟體定義網絡（SDN）。

SDN有多種實作方式，包括基于标準的和專有的選項。根據實作方案的不同，SDN可以提供更高的靈活性和隔離性。

雲環境中，由于實體裝置不能插入（除雲提供商之外），如果仍然需要，則必須用虛拟裝置替換它們。

軟體定義的網絡支援新類型的安全控制，常常使它成為網絡安全的整體增益表現在：隔離更容易；SDN防火牆（例如，安全組）可用于比基于硬體的防火牆更靈活标準的資産，因為它們不受實體拓撲的限制。

微分段（有時也被稱為hypersegregation）利用虛拟網絡拓撲來運作更多、更小，更加孤立的網絡，而不用增加額外的硬體成本。

雲安全聯盟軟體定義邊界（SDP，Software Defined Perimeter）工作組開發了一種模型和規範，它結合了裝置和使用者身份驗證，動态地提供對資源的網絡通路和增強安全性。

如果兩個虛拟機位于相同的實體機器上，他們可以直接通訊，在網絡上（或附加在路由器/交換機硬體）的監控和過濾工具永遠看不到這類流量。另外雲平台/提供商可能不支援直接通路網絡監控。

雲提供商主要負責建立安全的網絡基礎設施并正确配置。雲消費者主要負責合理配置虛拟網絡的部署，尤其是虛拟防火牆。

供應商必須維護實體/傳統網絡的核心安全性，平台在其之上建構。網絡上的安全故障可能危及所有客戶的安全。對任意通信和多租戶來說，這種安全性必須是可被管理的，其中一些必須考慮對抗性。

混合雲将企業私有雲或資料中心連接配接到公共雲提供商，通常使用專用WAN鍊路或VPN。一種新興的混合雲連接配接架構是“堡壘”或“中轉”虛拟網絡。

二、雲計算與負載安全

負載作為一個處理單元，可以在虛拟機、容器或者其他的抽象中，常見的抽象類型包括：虛拟機、容器、基于平台的負載（例如：基于PaaS的任務）、無伺服器計算。維持負載的隔離應該是雲提供商的首要的責任之一。

動态啟用基于鏡像建立的執行個體，部署在容器中，可自動擴充，是最佳的工作狀态，這些執行個體可以在其功能不再需要的時候被關閉，并且不會破壞應用程式棧。這是雲環境中彈性計算的核心。

不可變性增加了一些需求：需要一個一緻的鏡像建立流程和自動化程式來支援部署更新；安全性測試必須內建到鏡像建立和部署過程中，包括源代碼測試和漏洞評估；鏡像配置需要一些機制，在部署鏡像并将其應用在生産的虛拟機之前禁用登入和限制其服務；對于某些負載，可能需要一個程序來啟用負載的登入功能，當負載在應用程式棧中不可用時可以用來排除故障；如果需要在指定的時間建立幾十個甚至數百個鏡像，将會增加服務目錄管理工作的複雜性。

有些标準負載的控制措施對于雲負載來說是不可行的（例如在某些類型的容器中運作防病毒軟體）。

安全日志/監控在雲計算中更加複雜。

在雲計算中實施脆弱性評估需要考慮架構和合同的限制。

三、管理平面安全

管理平面是傳統基礎架構和雲計算之間唯一最重大的安全差異。管理平面控制和配置元結構，也是元結構本身的一部分。

管理平台通常是通過API和Web控制台來實作。在建立和管理安全管理平面上有五方面内

容：邊界安全；客戶認證；内部認證和憑證傳遞；授權和權限；日志、監控和告警。

四、業務連續性和容災

像安全和合規一樣，業務連續性和災難恢複（BC/DR）是雙方共擔的責任。雲提供方應管理其職責内的方面，雲客戶也應承擔雲服務如何使用和管理的最終責任。

當部署資産到雲上時，您不能假定雲将永存或總是以您期望的方式運作，BC/DR 必須考慮整個邏輯棧。

對雲提供方的中斷進行應對策劃通常是很困難，因為一旦選用它就沒辦法做什麼改變。是以，依據供應商的曆史績效及其内部可用性的能力，接受此風險通常是個合法的選擇。

私有雲和雲提供方的業務連續性，這完全在由提供方來承擔，業務連續/容災包括所有實體設施的當機。

測一測，看看您掌握了多少？

M2：雲計算基礎設施安全域的相關測試：

https://jinshuju.net/f/6IiFoI