三生三世的信任 可信云之安全篇
《信息安全研究》杂志执行主编 崔传桢
今天,云服务已经成为很多企业的选择,因为这可以省去大量的人力物力,无需企业再搭建一套自有信息系统。自 2013 年开始至今,微软可信云技术已经成功落地中国市场三年。由微软提供全球领先的安全技术开发和安全技术,并由世纪互联蓝云提供本地化运营。蓝云以其出众的安全性和专业运维,赢得了客户的信赖。下面让我们走近落地中国的微软可信云,看看它是如何系统地保障云服务的安全。
1. 严格的安全开发生命周期,保障云安全
微软可信云技术 Trusted Cloud 由微软公司庞大、国际一流的技术专家团队,采用严格的安全开发流程进行开发,稳定性、系统性、专业性和安全性领先国际。世纪互联具有 ISP、IDC、VPN 等相关资质,并加入全国信息安全标准化技术委员会(简称信息安全标委会,TC260),成为 WG5、WG7 工作组成员,从技术和运营两方面保证各行业的客户在业务运营管理上的规范性,加快业务发展进程。
微软的安全开发主要体现在SDL(安全开发生命周期)。自 2004 年起,微软就将 SDL 作为软件开发的强制政策,要求所有开发人员必须遵循。这一流程目前也被写入相应的国际标准。经过多年的实践经验表明,使用 SDL 的投入远远小于项目完成后进行的漏洞修补,并且发现,将 SDL 作为软件开发过程的固定部分来执行,其安全效益也大于零散或临时实施的安全修复活动。
微软创建并优化的 SDL 模型,主要包括 5 个功能领域,即包括培训:微软规定软件开发团队所有成员都必须接受适当培训,直接参与软件程序开发的技术人员每年必须参加特有的安全培训课程,课程包括安全设计、威胁建模等;要求和设计:在开发初始阶段就对安全提出“预先”要求,是为软件项目定义信任度的最佳时间,提出要求后是设计规范的最佳时间。所有设计规范都应描述如何安全地实现给定特性或功能所提供的全部功能;实施:使用安全的获批工具,弃用不安全的函数;验证:用动态程序分析、进行模糊测试、建立威胁模型和攻击面评析等验证操作;发布和响应:发布前会对软件仔细检查,将之前所有安全测试活动再次全部测试一遍,当团队证明自己满足项目的隐私要求后才能交付软件。即便软件发布时无任何已知漏洞,也需要一支响应团队随时待命以面临可能出现的威胁。
2. 安全技术设计,系统周密
微软在几年内飞速发展云计算业务,技术起到了关键作用,主要体现在多租户架构、DDoS 防护和 Microsoft Entra ID 等几个方面。
首先,多租户架构保证租户间不共用数据,虚机之间逻辑隔离,重点保障网络通讯和数据访问的机密性。等几个方面。每个用户可以拥有自己独立的索引和搜索服务。
第二,针对DDoS攻击,微软在多个边界将检测和缓解分离,部署多层次检测,能够更接近饱和点检测到攻击的同时,保持边界的全局缓解。同时减少攻击面,在边界削减有威胁的流量。
第三,Microsoft Entra ID 是用于登录并使用可信云服务的统一登录账号系统,它包含整套标识管理功能,提供完全自动化的访问控制和授权管理服务,通过多重身份验证和条件性访问提高应用程序安全性,可以帮助保护基于云的应用程序的安全,简化 IT 流程,削减成本。 微软强大的技术优势也确保其在数据中心基础架构、网络安全、身份访问和识别、数据隔离和加密等不同层面最大限度的保障云服务的安全性。
3. 专业的安全运营,保障了最大化云安全
在中国大陆,基于微软云技术的 Microsoft Azure, Office 365 和 Power BI 由世纪互联蓝云独家运营管理。在遵循微软高标准管理流程的前提下,其运营有以下特色:完备的基础设施、专业的运维团队、透明的服务状态、九步安全事件响应流程以及最高级别的SLA承诺。经过 10 余年的 IDC 业务积累,世纪互联有着丰富的国内数据中心管理经验,还拥有一支训练有素的 400 人运维团队,高水平的业务技能涉及硬件、软件、网络、应用部署、安全等不同领域,完全实现 7 X 24 对可信云的维护,确保用户数据的安全。世纪互联蓝云提供了“服务仪表盘”页面,客户可随时查看当前数据中心的服务状态,刷新时间最短可至 2 分钟,同时提供最长 90 天的异常记录历史查询。对安全事件,世纪互联蓝云还有一套标准的“九步安全事件响应流程”。作为承诺 SLA 的厂商,世纪互联敢于承诺并践行,这彰显了微软和世纪互联对自己在云时代技术和运维能力的信心,同时更加符合企业级客户的需求。
微软的云技术安全可信,承继了微软公司严谨深入的作风,有 SDL 的基础和安全技术设计,在构架和流程设计不断完善,加上世纪互联的专业化运维,赢得了客户的信赖,这不是一朝一夕的努力,而是三年不断探索和前进的结果。
评论
安全,云计算无法绕开的课题
安全,从我们出生就是人生最重要的话题;云计算市场,安全亦是客户选择云服务厂商第一个关注点,也是一个无法躲避的课题。
从云计算呱呱落地那一刻开始,安全成了所有用户集中关注的焦点和评判标准。云给用户带来了实惠,而安全问题更是客户决心购买与否的基点。没有安全能力,云业务的稳定发展无从谈起。 近年的云计算市场发展飞速,越来越多的企业用户开始触云,从基础的IaaS(基础设施即服务)到 PaaS(平台即服务)、SaaS(软件即服务),用户对云安全的关注不断深入。
2017 年 1 月 28 日,微软市值自 2000 年后首次重回 5000 亿美元,由于云计算业务增长迅速,营收利润方面均超出分析师平均预期,就此而言,微软的云安全系统功不可没。
习总书记提出,网络安全和信息化是一体之两翼、驱动之双轮,必须统一谋划、统一部署、统一推进、统一实施。随着云计算服务的发展和普及,未来云安全的重要性和战略意义更加明显,相比国外,目前国内云安全市场规模和技术实力还比较薄弱,需要整个安全行业奋起直追,以紧随这个风起云涌的云计算时代大潮。