云安全实用指南--第3章云资产管理与保护

#3.1 与传统IT的区别

- 物理安全和物理资产追踪控制等工作外包
 - 创建资产非常容易(云)
 - 按月付费

#3.2 云资产的类型
很多云资产的生命周期比较短(频繁的创建和销毁)，增加资产管理的难度。

- 计算
     - 虚拟机(virtual machine)
        - 安全
            - 其他云用户共享一个物理系统(noisy neighbor)
            - hypervisor逃逸(虚拟机)取得物理主机的控制权
            - side-channel,监视处理器指令或缓存访问延迟，推断虚拟机重要信息，比如密码/密钥
 
        - 虚拟机追踪的几个方面:
            - 操作系统的名字和版本
            - 所有平台或中间件软件的名字和版本
            - 虚拟机内由公司维护的任何应用代码
            - 虚拟机IP及私有云网络
            - 允许对操作系统或不同平台/中间件/应用软件进行访问的用户
     - 容器(container)
        - 容器攻击(linux内核有300个系统调用，任何一个存在漏洞，获取整个系统访问权限)/容器逃逸
        - 对容器镜像建立资产清单要比对容器建立清单强
        - 针对不同的容器类型建立不同清单(原生容器/迷你虚拟机容器/容器编排系统Kubernetes)
     - 应用平台即服务(aPaaS)
        - 不需要创建虚拟机或容器，直接部署自己代码即可
     - serverless(函数即服务)
        - 对serverless的部署建立管理目录即可
        
 - 存储（存储资产更加永久,数据粘滞的(stiky),**访问管理**是对云存储资产的最重要安全考虑）
     - 块存储(block storage,云硬盘)(服务器以小块的方式访问数据)
        - AWS Elastic Block Storage
        - Azure Virtual Disks
     - 文件存储(file storage,云文件系统)
     - 对象存储
        - 一个扁平文件，字节流和对象的元数据组成
        - 对象有自定义的元数据
     - 镜像
     - 云数据库
     - 消息队列
     - 配置存储(代码与配置分开存储)
     - 机密配置存储
     - 密钥存储(HSM/KMS)
     - 证书存储
     - 源代码仓库和部署流水线
     - 
 - 网络(network asset,类似资产的云版本：交换机/路由器/虚拟局域网/负载均衡设备)
    - 虚拟私有云和子网
    - CDN
    - DNS记录
    - TLS证书
    - 负载均衡器/反向代理/web应用防火墙

# 3.3 资产管理流水线
资产清单，跟踪审计，摸清风险
<center>
![资产管理流水线](https://leanote.com/api/file/getImage?fileId=5fb47eb5ab6441430a00059b)
</center>

- 采购泄露
 - 处理泄露
 - 工具泄露
 - 已知泄露

# 3.4 给云资产打标签
创建资产时，对资产进行打标(分类与组织)，标签会使自动化和访问控制变得容易

标签类型：

- 资产的功能
 - 资产的环境类型，例如开发、测试、生产
 - 资产用于的应用或项目
 - 资产的责任部门
 - 版本号
 - 自动化标签

demo:
 <center>
![标签](https://leanote.com/api/file/getImage?fileId=5fb5c209ab64410e0d000059)
</center>

信息安全从业人员^_^

导航

最近发表

友情链接