国产人妻精品区一区二区,国产农村妇女毛片精品久久,JAPANESE日本丰满少妇,日本公妇理伦a片,射精专区一区二区朝鲜

1、 云的安全挑戰

大(da)多數(shu)企業(ye)(ye)，特別是(shi)(shi)對(dui)安全(quan)極其重(zhong)視的(de)(de)半導(dao)體企業(ye)(ye)對(dui)將業(ye)(ye)務環境遷移入(ru)云(yun)一直存有疑慮。理由充分可理解，畢竟機房、服務器(qi)和數(shu)據不(bu)在自己的(de)(de)眼皮子底(di)下，加(jia)之(zhi)云(yun)計算是(shi)(shi)建立在虛(xu)擬服務上的(de)(de)，很多業(ye)(ye)務模式是(shi)(shi)讓你和其他公(gong)司共用(yong)物理機的(de)(de)，因此數(shu)據的(de)(de)有效保(bao)障程度對(dui)客戶來說(shuo)是(shi)(shi)個未知(zhi)數(shu)。

我們先來談(tan)談(tan)上云的幾(ji)個主要安全挑戰，相比(bi)企(qi)業能完(wan)全控制的物(wu)理環(huan)境，還是比(bi)較復雜的。

首先(xian)，劃(hua)分的(de)安(an)全域不再如企(qi)(qi)業自(zi)建環境(jing)直接而(er)簡(jian)單，自(zi)建環境(jing)用(yong)(yong)防火墻(qiang)和機房(fang)做內、外(wai)隔離即可(ke)；而(er)云基(ji)礎設施(shi)和資(zi)源(yuan)是(shi)(shi)建立在“共(gong)享”基(ji)礎之上，安(an)全域是(shi)(shi)多(duo)維的(de)，因此復雜度就加大了，如果服(fu)務商安(an)全做得不夠細致、專(zhuan)業，可(ke)以讓攻擊(ji)者(zhe)‘長驅而(er)入“；另外(wai)，數據存放(fang)在遠(yuan)端的(de)云服(fu)務商的(de)數據中心，雖然專(zhuan)業云服(fu)務商有著非常完善的(de)保護措施(shi)，可(ke)是(shi)(shi)多(duo)用(yong)(yong)戶(hu)共(gong)享資(zi)源(yuan)，用(yong)(yong)戶(hu)是(shi)(shi)無法知道具體的(de)資(zi)源(yuan)位置，更(geng)無從(cong)控(kong)制資(zi)源(yuan)運(yun)行，這更(geng)讓企(qi)(qi)業很不“安(an)心”。

其(qi)次(ci)，計(ji)算機的(de)管(guan)理和(he)(he)運維是通(tong)過互聯網進行的(de)，攻擊(ji)方式(shi)更具有(you)“侵略(lve)性”和(he)(he)“隱蔽性”。我們做過測試(shi)，直接部(bu)署(shu)云環境而不考(kao)慮安(an)全(quan)加固的(de)云環境，是非常容易受到外(wai)部(bu)攻擊(ji)的(de)。另外(wai)，云是全(quan)面虛擬(ni)化的(de)，攻擊(ji)者可(ke)以(yi)隱藏在和(he)(he)其(qi)他客戶共享宿主(zhu)機的(de)虛擬(ni)機里面，加之(zhi)(zhi)虛擬(ni)機具有(you)移動性，物理機之(zhi)(zhi)間的(de)克隆和(he)(he)發(fa)布可(ke)能會產生配(pei)置錯誤和(he)(he)安(an)全(quan)漏洞的(de)傳播，從這個角度，也增加了更多的(de)安(an)全(quan)風險。

再來說(shuo)說(shuo)數據安(an)全，部(bu)署在云(yun)上的數據，其訪問、存儲、傳輸(shu)更需(xu)要考(kao)慮(lv)加密方式，客戶(hu)還是云(yun)服務(wu)商(shang)來保護和控制密鑰(yao)，以及密鑰(yao)如何(he)存放，這都需(xu)要花費更多(duo)的努力。

因此，在云上(shang)部署的(de)業務應用(yong)，其(qi)審計要求更高，需要對(dui)資源(yuan)和數據的(de)訪問、使用(yong)和活動提(ti)供更為(wei)可靠的(de)審計證(zheng)據，以證(zheng)明資源(yuan)沒有被(bei)篡(cuan)改或泄露。

盡管有上述的這些安全挑戰，但是如果我們了解云平臺的運作機理、使用的技術手段，并熟知其產品特性，施之以完善的規劃和部署，那么我們還是可以比較有信心地說：用戶是可以安心地使用云計算的。畢竟云計算的高彈性、“即開即用”等特色和優勢給企業帶來的好處是顯著的，想想因芯片的研發時(shi)間大幅度(du)縮短而帶來的高效和經濟效益，是多大的吸引力。讀者如果有興趣，可以從摩爾精英前期(qi)發表的《芯片(pian)上“云“的動力》一文中(zhong)了解更(geng)多的細(xi)節。

“物不因不生不革不成“，可是如何保證成功而(er)安全的(de)遷移(yi)，本文將從(cong)多個角度來闡述如何做、怎么做來保護企業(ye)上云安全，希(xi)望能(neng)增添大(da)家(jia)上云的(de)信心。

2、 云的安全優勢

盡管上節中，我(wo)們講到了芯片上云面(mian)臨著許多挑戰(zhan)，可是云的(de)安全優勢(shi)也是顯著的(de)。

2.1、安全隨“云”而行

由(you)于云(yun)(yun)是通(tong)過互聯(lian)(lian)網平臺(tai)提供(gong)的(de)(de)一種共(gong)享服務，其特殊性決定了(le)它面臨的(de)(de)安(an)(an)(an)(an)全(quan)風險更高(gao)。因此，從(cong)基礎架(jia)構和(he)(he)產品目錄布(bu)局(ju)開始(shi)(shi)，云(yun)(yun)服務商就對安(an)(an)(an)(an)全(quan)進行(xing)(xing)了(le)布(bu)局(ju)。從(cong)跨數據(ju)中心的(de)(de)建(jian)設(she)開始(shi)(shi)，云(yun)(yun)廠商就將安(an)(an)(an)(an)全(quan)控件(jian)系(xi)統(tong)地、緊(jin)密地集成在硬(ying)件(jian)、固件(jian)和(he)(he)軟件(jian)服務中。比如說，“多層(ceng)安(an)(an)(an)(an)全(quan)”的(de)(de)安(an)(an)(an)(an)全(quan)方(fang)針從(cong)Iaas和(he)(he)Paas層(ceng)，對互聯(lian)(lian)網威(wei)脅(xie)最大(da)之一的(de)(de) DDoS攻擊進行(xing)(xing)了(le)全(quan)面的(de)(de)防御和(he)(he)阻斷；又比如，充分利(li)用云(yun)(yun)優勢、無縫結合大(da)數據(ju)、實時捕捉安(an)(an)(an)(an)全(quan)信息從(cong)而(er)(er)高(gao)效地分析(xi)和(he)(he)判斷可(ke)能發(fa)生的(de)(de)安(an)(an)(an)(an)全(quan)風險和(he)(he)威(wei)脅(xie)[1]。可(ke)以說，安(an)(an)(an)(an)全(quan)是“隨(sui)云(yun)(yun)而(er)(er)行(xing)(xing)、織密而(er)(er)彈性的(de)(de)”。

2.2 、多層構建、高安全邊界防御

由于云(yun)(yun)(yun)是(shi)面(mian)(mian)向互聯網的(de)(de)，云(yun)(yun)(yun)廠商(shang)要成功提(ti)供(gong)服務(wu)(wu)，在安(an)全(quan)(quan)(quan)方(fang)面(mian)(mian)必然(ran)面(mian)(mian)臨(lin)持續(xu)的(de)(de)、嚴格的(de)(de)監管(guan)，監管(guan)部門要求云(yun)(yun)(yun)服務(wu)(wu)商(shang)必須通過和(he)(he)維(wei)護符(fu)合要求的(de)(de)安(an)全(quan)(quan)(quan)認證(zheng)。因此，專業(ye)的(de)(de)云(yun)(yun)(yun)平(ping)(ping)臺服務(wu)(wu)商(shang)都(dou)在安(an)全(quan)(quan)(quan)方(fang)面(mian)(mian)投入(ru)了很大(da)(da)的(de)(de)人力和(he)(he)財力，他們從物(wu)理數據中心開始分層構建，和(he)(he)眾(zhong)多安(an)全(quan)(quan)(quan)產品(pin)和(he)(he)方(fang)案(an)提(ti)供(gong)商(shang)合力在平(ping)(ping)臺上筑建起(qi)嚴密的(de)(de)防入(ru)侵防御，并且有7x24的(de)(de)后臺運維(wei)團隊(dui)和(he)(he)安(an)全(quan)(quan)(quan)專家團隊(dui)做后盾，從而(er)盡最大(da)(da)程度地控制(zhi)安(an)全(quan)(quan)(quan)風險，比如：

• 最高級別(bie)的數據中心物理安全

• 云的(de)(de)數(shu)據(ju)(ju)中(zhong)心(xin)一般(ban)是根據(ju)(ju)數(shu)據(ju)(ju)中(zhong)心(xin)安全要(yao)求按照最高級別設(she)(she)計的(de)(de)，比如(ru)：數(shu)據(ju)(ju)中(zhong)心(xin)部所有(you)基礎設(she)(she)施（空調、UPS等）按全冗(rong)余設(she)(she)計，嚴(yan)格隔離不同(tong)安全區域、設(she)(she)置(zhi)不同(tong)級別的(de)(de)物(wu)理(li)訪(fang)問控制(zhi)和監控等。

• 邊界防火墻頂級配置

• 高(gao)集成事件日(ri)志的IDS防御

• 應(ying)用、數據庫層防火墻保(bao)護(hu)

• 存留數據加密

由此可見，就(jiu)以投資(zi)、人(ren)力(li)和專(zhuan)業(ye)度而論，一(yi)般企(qi)(qi)業(ye)是(shi)“望(wang)塵不及、有(you)心而力(li)不足”的。另(ling)外，規模小的中(zhong)、小企(qi)(qi)業(ye)，由于初期建設(she)往往簡單，缺少專(zhuan)業(ye)人(ren)員的建議、實施和運維，他們(men)的企(qi)(qi)業(ye)研發環(huan)境一(yi)般都存(cun)在(zai)著(zhu)高(gao)安全(quan)風(feng)險。比如(ru)，盡管他們(men)知道做跳板機(ji)，可是(shi)跳板機(ji)本(ben)身沒有(you)做任(ren)何(he)安全(quan)防護。同時，他們(men)又局限在(zai)沒有(you)專(zhuan)業(ye)人(ren)員維護、缺少駐場安全(quan)服務的困(kun)境中(zhong)。如(ru)果上(shang)云，可以實現用較低的成本(ben)進行環(huan)境安全(quan)管理的期望(wang)。

2.3、 安全補丁和安全管理高度集成

安全(quan)機(ji)構，比如(ru)Verizon【2】的(de)(de)最新(xin)調(diao)查表明，許(xu)多(duo)安全(quan)風險來自不(bu)完善的(de)(de)補(bu)(bu)丁(ding)(ding)(ding)管理(li)。沒(mei)有及(ji)時更(geng)(geng)新(xin)的(de)(de)系(xi)(xi)統補(bu)(bu)丁(ding)(ding)(ding)很(hen)容易給入侵者入侵機(ji)會，而傳統的(de)(de)IT管理(li)方(fang)法中(zhong)的(de)(de)補(bu)(bu)丁(ding)(ding)(ding)管理(li)是(shi)分散的(de)(de)、復(fu)雜的(de)(de)。補(bu)(bu)丁(ding)(ding)(ding)還涉及(ji)到備份、故(gu)障(zhang)恢復(fu)等其(qi)他流程(cheng)，比如(ru)，如(ru)果補(bu)(bu)丁(ding)(ding)(ding)更(geng)(geng)新(xin)失敗(bai)或(huo)者補(bu)(bu)丁(ding)(ding)(ding)造成系(xi)(xi)統崩潰后，如(ru)何恢復(fu)系(xi)(xi)統，特別是(shi)關鍵(jian)信息設(she)施(shi)和重要系(xi)(xi)統，更(geng)(geng)是(shi)需要“刻不(bu)容緩”地復(fu)原(yuan)。因此(ci)在傳統的(de)(de)IT環境中(zhong)， 補(bu)(bu)丁(ding)(ding)(ding)管理(li)是(shi)讓(rang)管理(li)員極其(qi)操心(xin)的(de)(de)。

而(er)在云(yun)上(shang)，這個工作就變(bian)得很(hen)輕(qing)(qing)松(song)了(le)。因(yin)為(wei)云(yun)是以集中平臺(tai)形(xing)式(shi)進(jin)行補(bu)丁(ding)管理(li)(li)和(he)安(an)全管理(li)(li)的(de)。補(bu)丁(ding)實施計劃(hua)：測試(shi)和(he)回滾、更新時間表(biao)、安(an)全策略更新、安(an)全日志監控等(deng)，都能在一(yi)個管理(li)(li)平臺(tai)上(shang)進(jin)行管理(li)(li)和(he)運維。這極大程度(du)減輕(qing)(qing)了(le)管理(li)(li)員(yuan)的(de)工作負擔，提(ti)高了(le)管理(li)(li)效率，并(bing)避免(mian)人為(wei)錯(cuo)誤而(er)導致的(de)更嚴重的(de)后果。

2.4 安全威脅彈性應對、快速隔離

對(dui)于云(yun)的彈(dan)性屬性，大家應(ying)該耳熟能詳了。“隨云(yun)而行”的安(an)全(quan)當然(ran)也是具有彈(dan)性特征的。云(yun)的安(an)全(quan)自動運維效率極高，不僅有邊(bian)界(jie)安(an)全(quan)防護提升(sheng)了智能分析、處置能力。比如面對(dui)威脅，它能有效自動攔(lan)截(jie)機制(zhi)。

還有，比起(qi)傳統的(de)(de)線下數據中(zhong)心的(de)(de)邏輯(ji)隔離(li)(li)，它能(neng)更容易(yi)地分(fen)割服(fu)務(wu)(wu)和功能(neng)模(mo)(mo)(mo)塊(kuai)。萬一(yi)其中(zhong)一(yi)個(ge)服(fu)務(wu)(wu)或者模(mo)(mo)(mo)塊(kuai)被(bei)攻(gong)(gong)擊(ji)(ji)了， 云(yun)的(de)(de)虛機(ji)和容器(qi)技術可(ke)以使工作(zuo)流的(de)(de)不同模(mo)(mo)(mo)塊(kuai)或服(fu)務(wu)(wu)運行在不同的(de)(de)物理區域(yu)里，因(yin)此被(bei)攻(gong)(gong)擊(ji)(ji)的(de)(de)部分(fen)不會影響到其他服(fu)務(wu)(wu)或功能(neng)模(mo)(mo)(mo)塊(kuai)，從而實現快速隔離(li)(li)。并且云(yun)的(de)(de)事件(jian)和消(xiao)息服(fu)務(wu)(wu)功能(neng)強大，下一(yi)個(ge)工作(zuo)流的(de)(de)任(ren)務(wu)(wu)會鑒別和確(que)認上一(yi)個(ge)工作(zuo)流的(de)(de)事件(jian)消(xiao)息，被(bei)攻(gong)(gong)擊(ji)(ji)部分(fen)不會得到確(que)認所以會被(bei)丟棄。因(yin)此，我們很容易(yi)追蹤溯源，這(zhe)使得安全事件(jian)很容易(yi)找到根本原因(yin)。

3 、責任共同模型

本(ben)節我們來著重介(jie)紹“責任共擔(dan)模型(xing)”。因(yin)為如(ru)果不了解這個(ge)模型(xing)，企業(ye)可能會進入另外一(yi)個(ge)“誤區(qu)”：認(ren)為既然云廠商(shang)(shang)有著這么(me)多的(de)(de)安全(quan)“優勢”，就將業(ye)務(wu)環境完全(quan)托管(guan)給云服(fu)務(wu)商(shang)(shang)，如(ru)果有事(shi)情就問(wen)責服(fu)務(wu)商(shang)(shang)。如(ru)果大家有這個(ge)想法，那么(me)筆者這里要大大地敲“黑板”了，千萬(wan)不可這么(me)認(ren)為，否(fou)則造成的(de)(de)安全(quan)風險不減反而(er)更(geng)高(gao)。

梳理一下，我們可以看到所有(you)的(de)云服務商，包(bao)括(kuo)著名的(de)阿里(li)、騰訊(xun)、亞馬遜或(huo)微軟都是和客戶以共擔責任模式(shi)來(lai)運營系統(tong)和業務環境的(de)。

雖然各家服務商具體實現(xian)的(de)方式不同(tong)(tong)，但本質相(xiang)同(tong)(tong)，和客戶的(de)合(he)作都是建立在責(ze)任共擔之基礎上的(de)。

云服務商負責“云自身”安全，包括云服務所(suo)(suo)包含(han)的(de)所(suo)(suo)有基礎設施，運營、管理和控(kong)制所(suo)(suo)提供服務組件所(suo)(suo)在的(de)物理數據中心(xin)、網(wang)路設備(bei)、軟、硬件和虛擬層(ceng)。

而客戶的主要責任在于和其業務相關的企業數據、所選云服務的配置管理及身份驗證，這也是從企(qi)業角度出發，保障企(qi)業的關鍵利益。

我們具(ju)體以微軟云和(he)亞馬遜云為(wei)例(li)。

微(wei)軟(ruan)云的(de)“責任(ren)共擔“ 【3】模型如下(xia)圖3.1所示，紅色部分為客(ke)戶(hu)責任(ren)范圍，包括(kuo)終端設備、賬號和驗證、業務信息和數(shu)據，這些屬于客(ke)戶(hu)的(de)責任(ren)。

圖(tu)3.1. 微軟云的“責任共擔“模型

再看下圖3.2.亞馬遜云的“責任共(gong)擔“模(mo)型，同樣，亞馬遜也強調客(ke)戶需(xu)要對自己的數(shu)據、身份驗證(zheng)及訪問和信息系(xi)(xi)統環境負責，其中，信息系(xi)(xi)統包(bao)括(kuo)：操作(zuo)系(xi)(xi)統、網絡訪問控(kong)制(zhi)部(bu)分(fen)，其中，亞馬遜在(zai)模(mo)型中特別強調數(shu)據的加(jia)密責任在(zai)于客(ke)戶【4】。

圖3.2 亞馬遜(xun)云的“責任共擔(dan)”模型

因此我們(men)必(bi)須(xu)清(qing)楚地認識到：企(qi)業對其自身的(de)(de)業務(wu)環境還是(shi)有(you)著“義(yi)不容(rong)辭”的(de)(de)責任和義(yi)務(wu)，只是(shi)范圍縮小和集中了，讓企(qi)業的(de)(de)財力(li)和人(ren)力(li)更集中于其最關注的(de)(de)利益部分。因此，安全(quan)投資(zi)成(cheng)本(ben)小了，環境更安全(quan)了。

4 、摩爾精英的安全架構體系

摩爾(er)精(jing)英的(de)安全(quan)框架體(ti)系是立體(ti)多層、多維(wei)度的(de)，并參考了國、內外的(de)網安全(quan)標準，基于(yu)行業(ye)特點(dian)而設計的(de)，該框架體(ti)系不僅適用于(yu)傳統(tong)研發環(huan)境，而且可(ke)以輕(qing)松延(yan)展到各類云平臺。

圖4.1. 摩爾精英安全系統框(kuang)架

我們(men)這里給大家(jia)介紹一(yi)(yi)個(ge)適用于中、小(xiao)型客戶(hu)的(de)安全上云方案。我們(men)考慮一(yi)(yi)個(ge)20個(ge)人左右的(de)初(chu)(chu)創企業。初(chu)(chu)創企業規模不大，一(yi)(yi)般啟動資金有限，希(xi)望(wang)馬上開始芯片(pian)設計(ji)，又需要(yao)時(shi)間(jian)搭建(jian)環境(jing)。同時(shi)又面(mian)臨很多問題(ti)，就如(ru)我們(men)剛(gang)發表的(de)《芯片(pian)設計(ji)上云-路徑(jing)篇》一(yi)(yi)文中提到的(de)諸多問題(ti)：

• 人(ren)員規模不(bu)大(da)，但是站點較(jiao)多，有些可能還有國外的設計人(ren)

• 啟動資金有限，自(zi)建機房負擔(dan)較(jiao)重(zhong)，

• 沒(mei)有專職的IT/CAD人員(yuan)，

• 對設計平(ping)臺(tai)如何搭(da)建缺乏(fa)專業知識，

• 公(gong)司(si)初期辦公(gong)地點(dian)不定(ding)，可(ke)能(neng)會經常搬家(jia)。

隨著云實(shi)施方案(an)的成熟，全(quan)云方案(an)對初(chu)創企(qi)業無(wu)疑是一個(ge)不錯的選擇(ze)。

如下圖4.2所示，該云方案將線下的傳統芯片開(kai)發環境完整地搬(ban)到(dao)了Azure云，而又無縫地集成(cheng)了彈性算力集群。

圖4.2 初創企業全云方案(an)拓撲圖

摩爾(er)精英在安(an)(an)全體系框架上，深入結合微(wei)軟云的7層(ceng)零(ling)安(an)(an)全，如下(xia)圖4.2

充分考(kao)慮客(ke)戶的使用成本集成上，制定了“三層隔離、7層防護”的安全方案，體現(xian)了安全“隨云而行”的精髓。如下圖(tu)4.3所示。

圖4.3 初創企(qi)業(ye)上(shang)云(yun)安(an)全(quan)方案

用戶的工作區為OA區，通過安(an)全隧道(dao)和安(an)全身份認證，登入位于(yu)VDI區域的云上服(fu)務器，打(da)開VNC就(jiu)可以進行開發(fa)工作。

所(suo)有位于HPC區域的(de)Login服務器，作業集(ji)群和存(cun)儲，通過安(an)全(quan)產品和手段保護在另外隔離的(de)私有網(wang)絡(luo)中；面(mian)向與公網(wang)的(de)Infra組件(jian)，比如windows 服務器等(deng)用防(fang)火墻等(deng)安(an)全(quan)組件(jian)增強安(an)全(quan)，抵(di)御來自互聯網(wang)的(de)DDoS攻擊等(deng)威脅。

同(tong)時我們通過secure center，“一個中心”來(lai)監(jian)控、預防和(he)進行安全(quan)管理。

另(ling)外，我(wo)們單獨給管(guan)理(li)(li)員登錄(lu)和管(guan)理(li)(li)做了另(ling)外的(de)(de)安全隔(ge)離，通過(guo)安全的(de)(de)方法，使管(guan)理(li)(li)員安全地進(jin)行(xing)(xing)運維(wei)，所(suo)有的(de)(de)行(xing)(xing)為都進(jin)行(xing)(xing)記錄(lu)和保存。

總結

我們上云(yun)的(de)好處不再贅述，在《芯(xin)片上“云(yun)”的(de)動力(li)》一篇已(yi)經做了重點介紹。可是我們也看到無論在戰略還是應用(yong)部署(shu)，比(bi)起國外芯(xin)片行業(ye)，國內(nei)企業(ye)還是有諸多顧(gu)慮(lv)上云(yun)，其(qi)中(zhong)之一就說(shuo)安全方面的(de)擔憂。

筆者在本文細數了上(shang)云(yun)(yun)的(de)(de)主要安全(quan)(quan)挑(tiao)戰(zhan)，闡述了云(yun)(yun)服務商應對(dui)這些挑(tiao)戰(zhan)的(de)(de)方案，這些挑(tiao)戰(zhan)使云(yun)(yun)平臺在安全(quan)(quan)方面做(zuo)得(de)更詳盡和專(zhuan)業，甚至“如云(yun)(yun)隨行”、彈性等安全(quan)(quan)優勢更優于線下的(de)(de)環境安全(quan)(quan)。

我(wo)們可以看到，通過(guo)對(dui)安全(quan)知識的充分了(le)解(jie)，理解(jie)責(ze)任共擔模型，制定(ding)詳細規劃后，當我(wo)們再來問“云是(shi)安全(quan)的嗎？云可以做到安全(quan)嗎？”我(wo)們可以信心滿(man)(man)滿(man)(man)地回答：“是(shi)”！