以多层次安全手段为基础的信息安全纵深防御,也会随着业务的变化而产生很大的差异。安全的基本理念是层层设防。网络空间安全纵深防御提出的主要原因是各种攻击层出不穷,比如针对服务器漏洞攻击、针对中间件漏洞攻击、针对数据库已知漏洞攻击、针对第三方库漏洞攻击、针对不安全配置攻击,以及针对业务逻辑攻击等。目前,我们还没有一种方法可以防护所有的攻击。安全防御行为其实是一种平衡行为。找到安全性和可用性之间的平衡点是一项困难的任务。
在金融行业,具体的业务场景安全实施如下:用户通过手机银行App登录银行账户,输入用户名和密码进行身份验证,即第一道防线身份认证;用户进入转账页面,填写转账信息,包括收款人账户、转账金额等,即第二道防线应用访问控制;手机银行App将转账信息发送给后端服务器进行处理,即第三道防线数据传输SSL加密;后端服务器验证用户身份和账户余额,确认转账请求合法后进行转账操作,即第四道防线服务器防止篡改转账信息;后端服务器将转账结果返回给手机银行App,提示用户转账成功或失败,即第五道防线数据加密,保护用户敏感信息的机密性和完整性。整体应当以“场景+定义攻击”为核心驱动,基于终端系统、数据资源、应用服务、主机系统、网络平台、物理环境等数据来源分析,以用户实际需求为出发点,从综合安全、业务安全、数据安全等多个维度为用户提供全面的金融业务安全态势管理。
上述复杂操作很难通过使用单个供应商的一套产品来完成,这也是这种方式的缺点。
纵深防御是一种理论,也是一种指导方法。公有云出现后,在传统的“私有云+数据中心”防御理念上,可以将有些安全能力进一步放在公有云。这样可以充分利用公有云的弹性计算能力、带宽等优势,以及多种安全服务和工具,例如身份认证、访问控制、网络安全、数据加密、威胁情报等。这些安全服务可以帮助政企快速构建和部署安全防御系统,提高了防护效果和运作效率。
具体到威胁情报,公有云的云安全感知、威胁情报等可以自动收集、分析、识别和应对来自互联网和其他公有云环境的威胁。通过利用这些工具,混合云安全可以及时发现和应对潜在的威胁,提高安全性和效率。
例如,若能将私有云的日志导入公有云,我们可以利用公有云所提供的安全分析和威胁情报分析服务,获取更全面的视图并发现更广泛的威胁情报。各大公有云提供商如阿里云、Amazon Web Services和Microsoft Azure分别提供了云盾、AWS Security Hub和Azure Sentinel等安全服务,以协助用户在公有云环境中进行威胁情报分析。通过将私有云的日志数据聚合到公有云中进行处理和分析,用户可以借助公有云环境的强大计算和存储能力,更好地处理大量的日志数据,并发现其中的威胁行为。值得注意的是,在进行此类威胁情报分析之前,我们必须确保日志数据的安全性和隐私性。因此,在将日志数据传输到公有云之前,应采取必要的安全措施,例如加密和身份验证,以确保数据的机密性和完整性。为了遵守相关的隐私法规和安全最佳实践,分析和处理日志数据时也需要谨慎地注意相关的隐私和安全规定。
从图2-12左侧菜单中可以看到云安全中心包括资产中心、风险管理、检测响应,乃至防护配置等,这是安全团队梦寐以求的大杀器。
图2-12 云安全中心(来自厂商)
政企也会建立自己的基于数据分析的安全平台,这样可以保证数据在自己的数据中心。但这种方案也要充分利用公有云的威胁情报能力,但是视图相对是受限的。Apache Eagle作为一个开源项目能帮助组织监控、分析和保护大规模的混合云架构,包括数据中心、云平台和应用程序。Apache Eagle集中管理和分析来自多个云平台和数据中心的审计日志,通过运用机器学习等技术对大数据产品(如HDFS、Hive、HBase、MapR、Oozie、Cassandra)中的数据和事件进行综合分析以发现异常行为,并可以结合第三方数据安全产品(如结合Dataguise公司的DgSecure)进行数据分类分级等。