草庐IT

云计算安全综合应用案例分析

learning-striving 2023-04-28 原文

一、阿里云安全

阿里云致力于以在线公共服务的方式,提供安全、可靠的计算和数据处理能力让计算和人工智能成为普惠科技

此外,阿里云为全球客户部署 200 多个飞天数据中心,通过底层统一的飞天操作系统,为客户提供全球独有的混合云体验

根据已公开的资料,阿里云的安全体系结构如图

针对云安全,阿里云建立了安全防护机制、监控机制、审计机制、身份认证机制以及安全运维机制如图

面对云上租户的安全需求,阿里云提供云盾、DDoS高防IP、Web应用防火墙、态势感知、SSL证书、云防火墙、加密服务、实人认证多种云安全服务产品

二、腾讯云安全

腾讯云提供了网络安全、终端安全、应用安全、数据安全、业务安全、安全管理、安全服务、身份认证网络安全防护技术体系具体的安全措施描述如下

1.网络安全

  • DDoS防护(Anti-DDoS):提供DDoS高防包、DDoS高防IP等多种DDoS解决方案,应对DDoS攻击问题;通过充足、优质的 DDoS 防护资源,结合持续进化的“自研+AI 智能识别“清洗算法,保障用户业务的稳定、安全运行
  • 云防火墙:基于公有云环境SaaS化防火墙,为用户提供互联网边界、VPC边界的网络访问控制,同时基于流量嵌入多种安全能力,实现访问管控与安全防御的集成化与自动化
  • 网络入侵防护系统:通过旁路部署方式,无变更无侵入地对网络4层会话进行实时阻断,并提供了阻断API,方便其他安全检测类产品调用;此外,网络入侵防护系统提供全量网络日志存储和检索、安全告警、可视化大屏等功能,解决等保合规、日志审计、行政监管以及云平台管控等问题
  • 腾讯云样本智能分析平台:依靠深度沙箱中自研的动态分析模块、静态分析模块以及稳定高效的任务调度框架,实现自动化、智能化、可定制化的样本分析;通过建设大规模分析集群,包括深度学习在内的多个高覆盖率的恶意样本检测模型,可以得知样本的基本信息、触发的行为、安全等级等信息,从而精准高效地对现网中的恶意样本进行打击

2.终端安全

  • 主机安全:基于腾讯安全积累的海量威胁数据,利用机器学习为用户提供黑客入侵检测漏洞风险预警等安全防护服务,主要包括密码破解拦截、异常登录提醒、木马文件查杀、高危漏洞检测等安全功能
  • 腾讯云反病毒引擎(Antivirus):腾讯反病毒实验室独立研发的反病毒产品,运行于终端的判毒程序,其包含腾讯反病毒本地引擎腾讯反病毒云两大功能模块,开放多个功能性接口SDK,可支持多种平台使用且无须联网
  • 腾讯终端安全管理系统:基于腾讯20年安全积累和腾讯电脑管家十余年数亿用户的产品、运营与技术沉淀,将百亿量级云查杀病毒库、AI杀毒引擎、大数据安全分析引擎安全技术和能力应用到政企内部,打造集病毒查杀、桌面管控、安全运维、安全检测与响应等新一代的一体化的终端安全解决方案
  • 腾讯云零信任无边界访问控制系统(Zero Trust Access Control system,ZTAC):依赖终端安全、身份安全、链路安全三大核心能力,实现终端在任意网络环境中安全、稳定、高效地访问企业资源及数据
  • 移动终端安全管理系统:用户可以根据自身需求,集中管理、配置和保护终端设备、应用程序及移动数据,提高IT管理效率,保障移动环境安全

3.应用安全

  • 腾讯云Web应用防火墙:解决腾讯云内及云外用户应对Web攻击、入侵、漏洞利用、挂马、篡改、后门、爬虫、域名劫持等网站及Web业务安全防护问题
  • 腾讯应用级智能网关:基于零信任策略,对企业应用和服务提供集中管控,统一防控和统一审计,保障企业应用和服务更安全、更可靠
  • 漏洞扫描服务:用于监测网站漏洞的安全服务,提供7 × 24小时准确、全面的漏洞监测服务
  • 移动应用安全:涵盖应用加固、安全测评、兼容性测试、盗版监控、崩溃监测、安全组件等服务
  • 手游安全:具备24小时安全保障能力,支持手游厂商快速应对手游作弊、手游篡改破解等常见的游戏安全问题

4.业务安全

  • 天御借贷反欺诈:识别银行、证券、保险等金融行业的欺诈风险。通过腾讯云的人工智能和机器学习能力,准确识别恶意用户与行为,解决客户在支付、借贷、理财、风控等业务环节遇到的欺诈威胁,提升风险识别能力
  • 保险反欺诈:通过Al人工智能风控模型,准确定位在申保、核保、理赔等业务环节中所遇到的欺诈威胁
  • 登录保护服务:针对网站和App的用户登录场景,实时检测是否存在盗号、撞库等恶意登录行为,发现异常登录,降低恶意用户登录风险
  • 腾讯云验证码:基于十道安全栅栏,为网页、App、小程序开发者打造立体、全面的人机验证,最大限度地保护注册登录、活动秒杀、点赞发帖、数据保护等各大场景下的业务安全
  • 腾讯云活动防刷:针对电商、O2O、P2P、游戏、支付等行业在促销活动中遇到“羊毛党”恶意刷取优惠福利的行为,通过防刷引擎,精准识别出“薅羊毛”恶意行为的活动防刷服务,避免了企业被刷带来的巨大经济损失
  • 注册保护服务:针对网站、App的线上注册场景,遇到“恶意注册”“小号注册”“注册器注册”等恶意行为,提供基于天御DNA算法的恶意防护引擎,从账号、设备和行为三个维度有效识别“恶意注册”,从“源头”上防范业务风险
  • 营销风控服务:通过腾讯安全风控模型AI关联算法,快速识别恶意请求,精准打击“羊毛党”,提升资金使用效率,还原数据真实性
  • 文本内容安全服务:使用了深度学习技术,可有效识别涉黄、涉政、涉恐等有害内容,支持用户配置词库,打击自定义的违规文本。识别结果分为正常、可疑与违规三部分,建议放行正常的图片,人工审查可疑的图片,屏蔽违规的图片,节省人力成本,提高审核效率
  • 营销号码安全:提供一站式、精准的号码安全感知保护及预防服务,涵盖号码安全防护、风险号码识别及恶意呼叫治理等多领域能力
  • 业务风险情报:提供全面、实时、精准的业务风险情报服务。通过简单的API接入,即可获取业务中IP、号码、App、URL等的画像数据,对其风险进行精确评估,做到对业务风险、黑产攻击实时感知、讦估、应对、止损

5.数据安全

  • 腾讯云堡垒机:结合堡垒机与人工智能技术,为企业提供运维人员操作审计,对异常行为进行告警,防止内部数据泄密
  • 腾讯云数据安全审计:基于人工智能的数据库安全审计系统,可挖掘数据库运行过程中各类潜在风险和隐患,为数据库安全运行保驾护航
  • 数据安全治理中心:通过数据资产感知与风险识别,对企业云上敏感数据进行定位与分类分级,并帮助企业针对风险问题设置数据安全策略,提高防护措施有效性
  • 敏感数据处理(Data Mask,DMask):提供敏感数据脱敏与水印标记工具服务,可为数据系统中的敏感信息进行脱敏处理并在泄露时提供追溯依据
  • 云加密机:基于国密局认证的物理加密机(Hardware Security Module,HSM),利用虚拟化技术,提供弹性、高可用、高性能的数据加解密、密钥管理等云上数据安全服务;符合国家监管合规要求,满足金融、互联网等行业加密需求,保障业务数据隐私安全

6.安全管理

  • 安全运营中心(Security Operation Center,SOC):腾讯云原生的统一安全运营与管理平台,提供资产自动化盘点、互联网攻击面测绘、云安全配置风险检查、合规风险评估、流量威胁感知、泄漏监测、日志审计与检索调查、安全编排与自动化响应及安全可视等能力,帮助云上用户实现事前安全预防,事中事件监测与威胁检测,事后响应处置的一站式、可视化、自动化的云上安全运营管理
  • 安全运营中心(私有云):以安全检测为核心,以事件关联分析、腾讯威胁情报为重点,以3D可视化为特色,以可靠服务为保障,可针对企业面临的外部攻击和内部潜在风险进行深度检测,为企业提供及时的安全告警。适用于多种安全运营管理场景,通过海量数据多维度分析、及时预警,对威胁及时做出智能处置,实现全网安全态势可知、可见、可控的闭环
  • 密钥管理系统:让用户创建和管理密钥,保护密钥的保密性、完整性和可用性,满足用户多应用多业务的密钥管理需求,符合监管和合规要求
  • 凭据管理系统:提供凭据的创建、检索、更新、删除等全生命周期的管理服务,结合资源级角色授权轻松实现对敏感凭据的统一管理。针对敏感配置、敏感凭据硬编码带来的泄露风险问题,用户或应用程序可通过调用Secrets Manager API来检索凭据,有效避免程序硬编码和明文配置等导致的敏感信息泄密以及权限失控带来的业务风险

7.安全服务

  • 专家服务:由专业的安全专家团队提供安全咨询、网站渗透测试、应急响应等保合规等服务
  • 公共互联网威胁量化评估:提供实时的、客观的网络安全风险量化与风险评估的服务,通过微信小程序能够直观呈现企业网络安全指数、安全等级及详细安全问题等信息
  • 威胁情报云查服务:提供威胁情报(IoC)查询服务、IP/Domain/文件等信誉查询服务
  • 网络资产风险监测系统:能够对网络设备及应用服务的可用性、安全性与合规性等进行定期的安全扫描、持续性的风险预警和漏洞检测,并且提供专业的修复建议,降低安全风险

8.用户身份验证

  • 腾讯云拥有海量的数据分析和人脸、图片的训练集
  • 腾讯云提供身份证OCR、人脸比对、活体检测等技术,能在线实现用户身份秒级确认,有效解决高风险行业线下复杂的身份验证问题,满足核身要求极高的业务场景需求

腾讯云人脸核身安全机制如图

三、华为云安全

  • 华为云提供云计算、云存储、云网络、云安全、云数据库、云管理与部署应用等IT基础设施云服务
  • 为保护云安全,华为云构建了芯片、平台、系统、应用、数据、开发、生态、隐私等安全防护技术体系

具体技术措施描述如下

1.芯片级可信计算和安全加密

  • 华为公司推出支持国密算法可信服务器可信云平台解决方案
  • 基于可信计算模块芯片,华为云具备对云平台主机进行完整性度量及提供更多安全特性的能力,降低云主机的软硬件被篡改的风险,满足更高的安全需求

2.平台安全

  • 华为云统一虚拟化平台(UVP),直接运行于物理服务器之上,通过对服务器物理资源的抽象,在单个物理服务器上构建多个同时运行、相互隔离的虚拟机执行环境
  • UVP基于硬件辅助虚拟化技术提供虚拟化能力,为虚拟机提供高效的运行环境,并且保证虚拟机运行在合法的空间内,避免虚拟机对UVP或其他虚拟机发起非授权访问

3.系统安全

华为EulerOS通过了公安部信息安全技术操作系统安全技术要求四级认证,EulerOS能够提供可配置的加固策略、内核级OS安全能力等各种安全技术以防止入侵,保障客户的系统安全

4.应用安全

  • 各应用通过华为公司自研的API网关向客户提供标准化集成接口,具备严格的身份认证及鉴权、传输加密保护、细粒度流量控制安全能力,防范数据被窃取和嗅探
  • 并且,华为云通过深度学习、运行时应用保护、去中心化认证等技术的运用,进一步打造用户行为画像、业务风险控制等高级安全能力,实时监控和拦截异常行为,保护应用服务安全稳定运行

5.数据安全

  • 华为云构建全数据生命周期的安全防护能力。通过自动化敏感数据发现、动态数据脱敏、高性能低成本数据加密、快速异常操作审计、数据安全销毁等多项技术的研究与应用,实现数据在创建、存储、使用、共享、归档、销毁等多个环节的管控,保障云上数据安全
  • 具体的数据安全机制主要有数据隔离、数据加密、数据冗余

6.开发安全

华为云通过完善的制度和流程以及自动化的平台和工具,对软硬件全生命周期进行端到端的管理,全生命周期包括安全设计、安全编码和测试、安全验收和发布、漏洞管理等环节

7.生态安全

华为云基于严进宽用的原则,保障开源及第三方软件的安全引入和使用。华为云对引入的开源及第三方软件制订了明确的安全要求和完善的流程控制方案,在选型分析、安全测试、代码安全、风险扫描、法务审核、软件申请和软件退出等环节,均实施严格的管控

8.隐私保护

华为云各服务产品的设计遵循《隐私保护设计规范》,该规范建立了隐私基线、维护隐私的完整性指导隐私风险分析,制定对应措施并作为需求落入服务产品开发设计流程

此外,针对云用户的安全需求,华为云提供的安全服务:DDoS高防、Anti-DDoS流量清洗、数据库安全服务DBSS、数据加密服务、企业主机安全、容器安全服务、安全专家服务、SSL证书管理、云堡垒机、漏洞扫描服务、Web 应用防火墙WAF等

四、微软Azure云安全

主要网络安全措施描述如下

  1. 数据存储安全:所有客户数据、处理这些数据的应用程序以及承载世纪互联在线服务的数据中心全部位于中国境内
  2. 业务连续性保障:位于中国东部和中国北部的数据中心在距离相隔1000km以上的地理位置提供异地复制,为Azure服务提供了业务连续性支持,实现了数据的可靠性
  3. 物理环境安全:所有数据中心选取国内电信运营商的项级数据中心,采用N+1或者2N路不间断电源保护。此外还有大功率柴油发电机为数据中心提供后备电力,配有现场柴油存储和就近加油站
  4. 隐私保护:客户全权管理自己的客户数据以及权限,决定客户数据的存储位置,未经批准任何人都无法使用客户数据
  5. 合规性:满足国际和行业特定标准ISO/IEC 27001,公安部信息系统安全等级保护评定第三级备案,以及多项可信云服务认证
  6. 基础结构安全:通过加密通信、威胁管理和缓解实践(包括定期渗透测试)来帮助保障客户数据的安全。主要网络安全技术措施如下:
    1. 密钥保管库:保护云应用程序和服务使用的加密密钥及其他密文密码
    2. Azure Active Directory:实现跨云应用程序的单一登录
    3. 应用程序网关:提供高可用的HTTP负载均衡、Web应用程序防火墙等服务,多实例网关可实现99.9%持续运行时间
    4. VPN网关:提供行业标准的站点到站点IPSec VPN,随处进行站点到站点的VPN访问。VPN网关提供99.9%运行时间的服务级别协议保证,支持从任何位置连接到Azure的虚拟网络或虛拟机
  7. 数据服务保障:通过安全技术和流程确保客户数据的机密性、完整性和可用性,提供有财务保障的最高达99.99%的月度服务级别协议以及最多6个数据备份

五、云计算隐私保护

按照隐私保护责任主体,整理了国内外云计算隐私保护的安全措施,具体如下

1.云计算服务提供方的个人隐私保护措施

  • 个人信息备份保管:服务器多备份、密码加密等安全措施,防止信息泄露、毁损、丢失
  • 建立严格的管理制度和流稗以保障个人信息安全:通过严格限制访问信息的人员范围,并进行审计,要求相关人员遵守保密义务
  • 建立信息安全合规机制与开展安全认证:通过国际和国内的安全认证,强化和规范个人信息安全保护
  • 强化身份验证和访问控制:在访问、修改和删除相关信息时,要求进行身份验证,以保障账户安全
  • 限制个人信息存储地理位置:收集信息保存在位于国内的服务器
  • 个人信息留存管理:仅提供服务期间保留个人的信息,保留时间不会超过满足相关使用目的所必需的时间,基于法律法规要求及合法权益保护、社会公共利益等原因可较长时间保留个人信息

2.用户个人隐私保护措施

  • 加强用户自我保护意识:不随意向任何第三人提供账号密码等个人信息
  • 个人信息收集符合性监督:发现违反法律法规的规定或者双方的约定收集、使用个人信息的,主动要求服务方删除
  • 个人信息更正:发现收集、存储的个人信息有错误的,且无法自行更正的,可以要求服务方更正
  • 个性化服务选择:个人用户可以根据自身利益,通过浏览器设置拒绝或管理Cookies

3.个人信息安全事件应急响应措施

针对个人信息安全事件,制定应急响应预案

个人导航:http://xqnav.top/

案例分析云计算strongxff0cxff阿里云服务器腾讯云华为云

有关云计算安全综合应用案例分析的更多相关文章

  1. ruby - 将差异补丁应用于字符串/文件 - 2

    对于具有离线功能的智能手机应用程序,我正在为Xml文件创建单向文本同步。我希望我的服务器将增量/差异(例如GNU差异补丁)发送到目标设备。这是计划:Time=0Server:hasversion_1ofXmlfile(~800kiB)Client:hasversion_1ofXmlfile(~800kiB)Time=1Server:hasversion_1andversion_2ofXmlfile(each~800kiB)computesdeltaoftheseversions(=patch)(~10kiB)sendspatchtoClient(~10kiBtransferred)Cl

  2. ruby-on-rails - Rails 应用程序之间的通信 - 2

    我构建了两个需要相互通信和发送文件的Rails应用程序。例如,一个Rails应用程序会发送请求以查看其他应用程序数据库中的表。然后另一个应用程序将呈现该表的json并将其发回。我还希望一个应用程序将存储在其公共(public)目录中的文本文件发送到另一个应用程序的公共(public)目录。我从来没有做过这样的事情,所以我什至不知道从哪里开始。任何帮助,将不胜感激。谢谢! 最佳答案 无论Rails是什么,几乎所有Web应用程序都有您的要求,大多数现代Web应用程序都需要相互通信。但是有一个小小的理解需要你坚持下去,网站不应直接访问彼此

  3. ruby - 无法运行 Rails 2.x 应用程序 - 2

    我尝试运行2.x应用程序。我使用rvm并为此应用程序设置其他版本的ruby​​:$rvmuseree-1.8.7-head我尝试运行服务器,然后出现很多错误:$script/serverNOTE:Gem.source_indexisdeprecated,useSpecification.Itwillberemovedonorafter2011-11-01.Gem.source_indexcalledfrom/Users/serg/rails_projects_terminal/work_proj/spohelp/config/../vendor/rails/railties/lib/r

  4. ruby-on-rails - Rails 应用程序中的 Rails : How are you using application_controller. rb 是新手吗? - 2

    刚入门rails,开始慢慢理解。有人可以解释或给我一些关于在application_controller中编码的好处或时间和原因的想法吗?有哪些用例。您如何为Rails应用程序使用应用程序Controller?我不想在那里放太多代码,因为据我了解,每个请求都会调用此Controller。这是真的? 最佳答案 ApplicationController实际上是您应用程序中的每个其他Controller都将从中继承的类(尽管这不是强制性的)。我同意不要用太多代码弄乱它并保持干净整洁的态度,尽管在某些情况下ApplicationContr

  5. ruby - 如何使用 Ruby aws/s3 Gem 生成安全 URL 以从 s3 下载文件 - 2

    我正在编写一个小脚本来定位aws存储桶中的特定文件,并创建一个临时验证的url以发送给同事。(理想情况下,这将创建类似于在控制台上右键单击存储桶中的文件并复制链接地址的结果)。我研究过回形针,它似乎不符合这个标准,但我可能只是不知道它的全部功能。我尝试了以下方法:defauthenticated_url(file_name,bucket)AWS::S3::S3Object.url_for(file_name,bucket,:secure=>true,:expires=>20*60)end产生这种类型的结果:...-1.amazonaws.com/file_path/file.zip.A

  6. ruby-on-rails - 使用一系列等级计算字母等级 - 2

    这里是Ruby新手。完成一些练习后碰壁了。练习:计算一系列成绩的字母等级创建一个方法get_grade来接受测试分数数组。数组中的每个分数应介于0和100之间,其中100是最大分数。计算平均分并将字母等级作为字符串返回,即“A”、“B”、“C”、“D”、“E”或“F”。我一直返回错误:avg.rb:1:syntaxerror,unexpectedtLBRACK,expecting')'defget_grade([100,90,80])^avg.rb:1:syntaxerror,unexpected')',expecting$end这是我目前所拥有的。我想坚持使用下面的方法或.join,

  7. ruby-on-rails - 如何在我的 Rails 应用程序 View 中打印 ruby​​ 变量的内容? - 2

    我是一个Rails初学者,但我想从我的RailsView(html.haml文件)中查看Ruby变量的内容。我试图在ruby​​中打印出变量(认为它会在终端中出现),但没有得到任何结果。有什么建议吗?我知道Rails调试器,但更喜欢使用inspect来打印我的变量。 最佳答案 您可以在View中使用puts方法将信息输出到服务器控制台。您应该能够在View中的任何位置使用Haml执行以下操作:-puts@my_variable.inspect 关于ruby-on-rails-如何在我的R

  8. ruby - 如何安全地删除文件? - 2

    在Ruby中是否有Gem或安全删除文件的方法?我想避免系统上可能不存在的外部程序。“安全删除”指的是覆盖文件内容。 最佳答案 如果您使用的是*nix,一个很好的方法是使用exec/open3/open4调用shred:`shred-fxuz#{filename}`http://www.gnu.org/s/coreutils/manual/html_node/shred-invocation.html检查这个类似的帖子:Writingafileshredderinpythonorruby?

  9. ruby-on-rails - 如何在 Gem 中获取 Rails 应用程序的根目录 - 2

    是否可以在应用程序中包含的gem代码中知道应用程序的Rails文件系统根目录?这是gem来源的示例:moduleMyGemdefself.included(base)putsRails.root#returnnilendendActionController::Base.send:include,MyGem谢谢,抱歉我的英语不好 最佳答案 我发现解决类似问题的解决方案是使用railtie初始化程序包含我的模块。所以,在你的/lib/mygem/railtie.rbmoduleMyGemclassRailtie使用此代码,您的模块将在

  10. 世界前沿3D开发引擎HOOPS全面讲解——集3D数据读取、3D图形渲染、3D数据发布于一体的全新3D应用开发工具 - 2

    无论您是想搭建桌面端、WEB端或者移动端APP应用,HOOPSPlatform组件都可以为您提供弹性的3D集成架构,同时,由工业领域3D技术专家组成的HOOPS技术团队也能为您提供技术支持服务。如果您的客户期望有一种在多个平台(桌面/WEB/APP,而且某些客户端是“瘦”客户端)快速、方便地将数据接入到3D应用系统的解决方案,并且当访问数据时,在各个平台上的性能和用户体验保持一致,HOOPSPlatform将帮助您完成。利用HOOPSPlatform,您可以开发在任何环境下的3D基础应用架构。HOOPSPlatform可以帮您打造3D创新型产品,HOOPSSDK包含的技术有:快速且准确的CAD

随机推荐