信息安全从业人员^_^
一个未入门de情报学胖子(邮箱:tenghm1986@163.com)
Toggle navigation
信息安全从业人员^_^
主页
About Me
归档
标签
云安全实用指南--第3章 云资产管理与保护
2020-11-19 08:53:32
765
0
0
heming
#3.1 与传统IT的区别 - 物理安全和物理资产追踪控制等工作外包 - 创建资产非常容易(云) - 按月付费 #3.2 云资产的类型 很多云资产的生命周期比较短(频繁的创建和销毁),增加资产管理的难度。 - 计算 - 虚拟机(virtual machine) - 安全 - 其他云用户共享一个物理系统(noisy neighbor) - hypervisor逃逸(虚拟机)取得物理主机的控制权 - side-channel,监视处理器指令或缓存访问延迟,推断虚拟机重要信息,比如密码/密钥 - 虚拟机追踪的几个方面: - 操作系统的名字和版本 - 所有平台或中间件软件的名字和版本 - 虚拟机内由公司维护的任何应用代码 - 虚拟机IP及私有云网络 - 允许对操作系统或不同平台/中间件/应用软件进行访问的用户 - 容器(container) - 容器攻击(linux内核有300个系统调用,任何一个存在漏洞,获取整个系统访问权限)/容器逃逸 - 对容器镜像建立资产清单要比对容器建立清单强 - 针对不同的容器类型建立不同清单(原生容器/迷你虚拟机容器/容器编排系统Kubernetes) - 应用平台即服务(aPaaS) - 不需要创建虚拟机或容器,直接部署自己代码即可 - serverless(函数即服务) - 对serverless的部署建立管理目录即可 - 存储(存储资产更加永久,数据粘滞的(stiky),**访问管理**是对云存储资产的最重要安全考虑) - 块存储(block storage,云硬盘)(服务器以小块的方式访问数据) - AWS Elastic Block Storage - Azure Virtual Disks - 文件存储(file storage,云文件系统) - 对象存储 - 一个扁平文件,字节流和对象的元数据组成 - 对象有自定义的元数据 - 镜像 - 云数据库 - 消息队列 - 配置存储(代码与配置分开存储) - 机密配置存储 - 密钥存储(HSM/KMS) - 证书存储 - 源代码仓库和部署流水线 - - 网络(network asset,类似资产的云版本:交换机/路由器/虚拟局域网/负载均衡设备) - 虚拟私有云和子网 - CDN - DNS记录 - TLS证书 - 负载均衡器/反向代理/web应用防火墙 # 3.3 资产管理流水线 资产清单,跟踪审计,摸清风险 <center> ![资产管理流水线](https://leanote.com/api/file/getImage?fileId=5fb47eb5ab6441430a00059b) </center> - 采购泄露 - 处理泄露 - 工具泄露 - 已知泄露 # 3.4 给云资产打标签 创建资产时,对资产进行打标(分类与组织),标签会使自动化和访问控制变得容易 标签类型: - 资产的功能 - 资产的环境类型,例如开发、测试、生产 - 资产用于的应用或项目 - 资产的责任部门 - 版本号 - 自动化标签 demo: <center> ![标签](https://leanote.com/api/file/getImage?fileId=5fb5c209ab64410e0d000059) </center>
上一篇:
云安全实用指南--第4章 身份与访问管理
下一篇:
云安全实用指南--第2章 数据资产管理与保护
0
赞
765 人读过
新浪微博
微信
腾讯微博
QQ空间
人人网
Please enable JavaScript to view the
comments powered by Disqus.
comments powered by
Disqus
文档导航