六方云

关于云安全

列表首页

2020年05月25日 17:18

     

 云安全在工业互联网平台的应用


image.png

工业互联网平台的目标重构工业企业的传统IT架构,打通IT和OT,一方面从OT和IT采集数据,实现设备数据与业务系统数据的汇聚集成,形成数据湖,基于统一数据开发APP,消除数据孤岛;另一方面,基于数据建模和分析构建工业APP,推动装备从功能机演进为智能机,构建起状态感知-实时分析-科学决策-精准执行的闭环智能。工业互联网平台的三大特性:泛在物联、弹性供给、高效配置

工业互联网平台包括三层:IaaS、PaaS和SaaS。


平台IaaS层安全应用介绍

(1) 边界安全

image.png

① 流量安全监控

云环境边界的流量监测与可视化通过开发流量安全监控模块实现,流量安全监控模块是毫秒级的攻击监控产品。

② DDoS流量清洗

DDoS流量清洗模块是基于国内公司自主开发的大型分布式操作系统和十余年安全攻防的经验成果,为工业互联网平台用户提供基于云计算架构设计和海量DDoS攻击防御模块。

③ 云边界安全网关

安全接入网关是工业互联网平台与边缘计算节点进行安全通信的网关型服务设备,该网关用于与物联网接入安全网关、工业控制系统安全接入网关进行安全的通信,并对攻击请求进行抵御。此外,安全接入网关对通过企业办公网及互联网访问工业互联网平台的用户进行身份鉴别,并对访问过程提供完整性和机密性保护。

(1) 云网络安全

① 访问控制

工业互联网平台的云端业务系统都需要进行分区、分安全域进行管理,支持针对云内所有虚拟机基于地址、端口号或业务应用类型进行逻辑安全域的划分,支持在任意安全域之间部署访问控制策略,根据安全防护级别配置默认动作,同时,访问控制规则需支持多条并可依据优先级进行顺序调整。

② 入侵防范

为应对基于漏洞的入侵行为,工业互联网平台的业务系统需具备入侵防范的能力,能够针对云内任意虚拟机的东西向流量和南北向流量进行入侵检测和安全防护,该入侵防范系统需内置工业入侵特征库,能够识别出工业控制协议,能够针对工业控制系统的入侵和攻击行为进行有效防护。

③ 病毒防护

网络病毒无论对物理主机还是虚拟主机造成的影响都是极大的,轻则耗尽系统资源,导致业务无法正常运营,重则窃取或加密核心数据,导致经济损失或服务中断,而网络访问正是导致虚拟机中毒的一个重要路径,因此部署云网络层的防病毒产品是极其必要的,一方面可以有效遏制病毒通过网络路径感染虚拟机,也可以防止单台虚拟机中毒后导致的大面积内部横向扩散和感染,极大的降低感染病毒给数据中心带来的安全风险。

④ 安全可视

作为工业互联网平台的运维管理人员,其需要能够实时且全面的了解整个平台内部的运营状况和安全态势,那么全面高效的可视化工具就尤为重要。

(2) 云主机安全

① 云主机系统安全加固

建议工业互联网平台采用安全的方式对云服务器实例上的操作系统进行访问和操作,例如,使用SSH公钥和私钥对,并妥善保存私钥(至少要求使用复杂密码,可在创建实例时设置);采用更安全的SSHv2方式远程登录;采用 sudo指令的方式实现临时提权等。

② 虚拟主机恶意代码防范

传统的病毒防护解决方案都是在主机的操作系统中安装防病毒应用程序。在整合服务器虚拟化后,要实现针对病毒的实时防护,同样需要在虚拟主机的操作系统中安装防病毒Agent程序,但是服务器虚拟化的目的是整合资源,最大化的发挥服务器资源的利用率,而传统的防病毒技术需要在每个虚拟主机中安装程序,这种方式并没有达到节约计算资源的效果,反而增加了计算资源的消耗,并且在病毒库更新是带来更多的网络资源消耗。


平台PaaS层安全应用介绍


image.png

① 安全编码标准

安全编码标准是为了实现应用安全开发的具体规范。建议工业互联网平台企业根据平台自身特点、常见安全问题和行业最佳实践编制安全编码标准,指导应用开发人员根据严格遵守技术要求的进行系统和应用的开发工作。

② 自动化测试工具

自动化测试是把以人为驱动的测试行为转化为机器执行的一种过程。通过研制自动化测试工具,可以对借助工业互联网平台开发的工业APP进行功能、业务逻辑、代码缺陷在内的各方面验证,从而从根本上提高平台发布服务的安全水平,降低对外保护的脆弱性,减少被攻击的可能。另一方面,自动化测试工具的建成也将为工业企业自行开发APP或第三方利用PAAS平台开发APP提供极大的便利,提升平台企业的竞争力,是平台企业开展安全综合防护系统建设具有极大附加价值的安全措施。

③ API安全网关

API网关是一系列服务集合的访问入口。从面向对象的设计角度来看,它与外观模式类似,实现对所有服务的封装。API网关具有如下特点:多维度认证授权、流量控制策略、服务编排控制、传输加密、API监控告警。


平台SaaS层安全应用介绍


image.png

1. 应用安全加固

为保障发布的Web应用的安全性,建议以镜像管理中心提供的安全镜像为基础进行应用部署,并以此为基础进行中间件及数据库的安全加固。对于采用移动APP形式的工业APP,应采用移动应用安全加固,对应用安装文件进行保护,防止对APP的逆向、调试,防止通过移动端对应用安全性造成破坏。

2. Web应用入侵防护

Web应用防火墙(简称WAF),基于云安全大数据能力实现,通过防御SQL注入、XSS跨站脚本、常见Web服务器插件漏洞、木马上传、非授权核心资源访问等OWASP常见攻击,过滤海量恶意访问,避免网站资产数据泄露,保障网站的安全与可用性。

3. 脆弱性扫描服务

为快速识别业务运行过程中系统存在的漏洞,需要研制在工业互联网平台中能够发现云平台、主机、Web应用和数据库漏洞的漏洞扫描产品,及时更新系统最新的漏洞情况,并报送安全态势感知平台,实现对资产和资产风险的可视化。

① Web漏洞扫描功能

平台漏扫系统应具备强大的Web应用漏洞安全检测能力,全面支持OWASP TOP 10漏洞检测,比如SQL注入、跨站脚本攻击XSS、网站挂马、网页木马、CGI漏洞等。

② 数据库安全扫描功能

平台漏扫系统应具备专业的数据库安全扫描能力,支持主流云平台使用的各类数据库。系统应具备的数据库漏洞知识库,覆盖权限绕过漏洞、SQL注入漏洞、访问控制漏洞等。

③ APP安全扫描功能

平台漏扫系统应支持对Android上的移动应用(APP)进行漏洞扫描,采用静态分析的方式,准确发现APK中存在的组件安全、配置安全、数据安全和恶意行为等安全风险。从而大幅提升移动APP的安全性,避免因APP漏洞造成业务损失。

④ 大数据漏洞扫描功能

平台漏扫系统应支持对主流大数据组件进行漏洞扫描和安全配置合规性检查,包括Hadoop、Spark、Hbase、Solr、ES等。能够生成统计分析报告,提供详细的漏洞描述和漏洞修复建议,从而增强大数据平台各组件安全的合规性。


数据安全防护讲解


image.png


数据安全是贯穿各层次、业务全流程和生命经周期的安全问题,安全综合防护系统为了确保数据层面的安全设计了全栈加密的基础服务接口,通信过程的加密服务和全生命周期的数据安全服务。

(1) 数据机密性保护

防止敏感数据泄密是工业互联网平台安全防护的核心目标,为了实现这一目标,应在数据的全生命周期中、提供了全栈的加密保护能力,包括应用程序敏感数据加密、数据库加密、块存储数据加密、对象存储系统加密、硬件加密模块、和网络数据传输加密。

(1) 数据完整性保护

工业互联网平台应在数据生产、传输和存储的全流程中对数据的完整性进行保护。对穿过工业互联网平台的数据交互,应通过云边界安全接入网关及API接入控制网关的加密通信过程实现数据传输过程中的完整性保护,同时在数据的使用过程中进行校验,通过数据校验位,散列算法等对远程传输的结果和本地计算结果进行比对,确保工业互联网平台提供和存储的数据是未被篡改的。

(2) 残留数据清除

对于曾经存储过用户数据的内存和磁盘,一旦释放和回收,其上的残留信息应自动进行零值覆盖,实现对残留数据的物理清除。

(3) 数据存储备份

针对关键信息的存储备份,可依靠多重技术实现:镜像快照、块存储技术、分布式文件系统、云存储备份。

(4) 数据库审计

数据库审计模块是应对用户应用上云、云端数据安全面临挑战而规划的、适用于工业互联网平台环境中数据库安全审计的产品。数据库审计系统将传统产品与云端相结合,在工业互联网平台环境中形成一套为数据库运维和安全管理人员提供安全、诊断与维护能力为一体的安全管理工具。