今天围绕云安全,总结一些实践经验,我们从五个角度看一看安全策略规划。
- 基础网络安全策略
- 防火墙安全策略
- 访问安全策略
- 主动安全防护策略
- 业务安全策略
一、基础网络安全策略
关注重点:
1:认识VPC、子网、安全组、ACL
2:合理规划VPC、子网、安全组、ACL
3:对外常用默认端口关闭(3389.22 等)
PS: https://blog.csdn.net/HBice2020/article/details/116245207 (常用默认端口 )
VPC;私有网络(Virtual Private Cloud,VPC)
-VPC是一块您在腾讯云上自定义的逻辑隔离网络空间,可以为 云服务器、云数据库 等资源构建逻辑隔离的、用户自定义配置的网络空间,以提升用户云上资源的安全性,并满足不同的应用场景需求
安全组:
-安全组是一种虚拟防火墙,实例级别安全层,具备有状态的数据包过滤功能,用于设置云服务器、负载均衡、云数据库等实例的网络访问控制,控制实例级别的出入流量,是重要的网络安全隔离手段。
ACL (网络访问控制列表,Access Control List,ACL)
-子网级别的可选安全层,控制进出子网的数据流,可以精确到协议和端口颗粒。
对比项 | 安全组 | 网络 ACL |
---|---|---|
流量控制 | 云服务器、数据库等实例级别的流量访问控制 | 子网级别的流量控制 |
规则 | 支持允许规则、拒绝规则 | 支持允许规则、拒绝规则 |
有无状态 | 有状态:返回数据流会被自动允许,不受任何规则的影响 | 无状态:返回数据流必须被规则明确允许 |
生效时间 | 只有在创建云服务器、云数据库等实例时指定安全组,或实例创建后再关联安全组,规则才会被应用到实例 | 创建 ACL 并绑定子网后,ACL 将自动应用到关联子网内的所有云服务器、云数据库等实例 |
规则优先级 | 有规则冲突时,默认应用位置更前的规则 | 有规则冲突时,默认应用位置更前的规则 |
PS;有状态VS无状态
-有状态就是有数据存储功能。有状态对象(Stateful Bean),就是有实例变量的对象,可以保存数据,是非线程安全的。在不同方法调用间不保留任何状态。
-无状态就是一次操作,不能保存数据。无状态对象(Stateless Bean),就是没有实例变量的对象.不能保存数据,是不变类,是线程安全的。
二、防火墙安全策略
PS: 需要清楚云防火墙和Web防火墙的区别
云防火墙
-基于公有云环境的 SaaS 化防火墙,为用户提供互联网边界、VPC 边界的网络访问控制,同时基于流量嵌入多种安全能力,实现访问管控与安全防御的集成化与自动化,。
Web 应用防火墙
-腾讯云 Web 应用防火墙是一款专业为网站及 Web 服务的一站式智能防护平台,帮助企业组织应对网站及 Web 业务面临的 Bot 爬虫恶意爬取、漏洞暴露、Web 入侵及数据泄露、网站被篡改或植入、域名非法劫持等带来的业务安全风险问题。其防护原理是通过将原本直接访问 Web 业务站点的流量先引流到腾讯云 Web 应用防火墙防护集群,经过云端威胁清洗过滤后再将安全流量回源到业务站点,从而确保到达用户业务站点的流量安全可信。
如下公有云场景下,Web 应用防火墙的防御过程。
三、访问安全策略
云堡垒机:(主要对访问服务器的行为进行审计)
-主要为企业提供运维人员操作审计,对异常行为进行告警,防止内部数据泄密,等保合规利器。
VPN / 专线:
-帮助构建到云VPC 一条安全、可靠的加密通道
子账户
-根据角色和权限进行子账户的创建
MFA (多因子身份验证)
-通过多种身份认证手段组合,确保用户身份的可信。
四、主动安全防护策略
DDos 防护:https://cloud.tencent.com/product/ddos
网络乳清保护系统:https://cloud.tencent.com/product/nips
移动应用安全:https://cloud.tencent.com/product/ms
小程序安全:https://cloud.tencent.com/product/mmps
手游安全:https://cloud.tencent.com/product/ace/developer
云主机安全也是主动安全防护中必不可少的安全产品;
五、业务安全策略
腾讯安全.天御专注解决“欺诈预防”和“风险识别” 的问题。
天御以人工智能为核心,以腾讯海量互联网数据为基础,结合腾讯20年黑产攻防的经验,打造AI时代的智能风控服务。帮助业务方在流量验真、身份安全、金融风控、业务安全等领域预防欺诈识别风险、为客户业务保驾护航。
以上是个人总结,欢迎大家一起探讨交流;