国产人妻精品区一区二区,国产农村妇女毛片精品久久,JAPANESE日本丰满少妇,日本公妇理伦a片,射精专区一区二区朝鲜

1、 云的安全挑戰

大多數企業，特(te)別是(shi)對(dui)安全(quan)極其(qi)重視的(de)半導體企業對(dui)將業務環境遷(qian)移入云一直存有疑慮。理由充(chong)分可理解，畢竟機(ji)房(fang)、服務器和數據不在(zai)自己的(de)眼(yan)皮子(zi)底(di)下，加之云計算是(shi)建立在(zai)虛(xu)擬(ni)服務上的(de)，很多業務模式是(shi)讓你和其(qi)他(ta)公司共(gong)用(yong)物理機(ji)的(de)，因(yin)此數據的(de)有效保障程度對(dui)客(ke)戶來說是(shi)個未(wei)知數。

我們先來談談上云的(de)(de)幾個主要(yao)安全(quan)挑(tiao)戰，相比企業能(neng)完全(quan)控制的(de)(de)物理環境，還是比較(jiao)復雜(za)的(de)(de)。

首先(xian)，劃分的(de)安(an)全(quan)(quan)域不再如企業自(zi)(zi)建環(huan)(huan)境直接而簡單，自(zi)(zi)建環(huan)(huan)境用防火(huo)墻(qiang)和機(ji)房做內、外(wai)隔離(li)即可；而云基礎(chu)設施(shi)和資(zi)源(yuan)(yuan)是建立在“共享”基礎(chu)之上，安(an)全(quan)(quan)域是多維的(de)，因此復雜(za)度就加大了，如果服務(wu)商安(an)全(quan)(quan)做得不夠(gou)細致、專(zhuan)業，可以讓(rang)攻擊者‘長(chang)驅而入(ru)“；另外(wai)，數據存(cun)放(fang)在遠端的(de)云服務(wu)商的(de)數據中(zhong)心，雖然專(zhuan)業云服務(wu)商有著非常(chang)完善的(de)保護措(cuo)施(shi)，可是多用戶(hu)共享資(zi)源(yuan)(yuan)，用戶(hu)是無法知道具(ju)體的(de)資(zi)源(yuan)(yuan)位置，更無從控制資(zi)源(yuan)(yuan)運行(xing)，這更讓(rang)企業很不“安(an)心”。

其(qi)次(ci)，計算機(ji)(ji)的(de)(de)(de)管理(li)和(he)運維是(shi)(shi)通過互(hu)聯網進行的(de)(de)(de)，攻(gong)擊(ji)方式(shi)更具有“侵略性”和(he)“隱蔽(bi)性”。我們(men)做過測試，直接部署(shu)云環境(jing)而不考慮(lv)安全加固的(de)(de)(de)云環境(jing)，是(shi)(shi)非常(chang)容易受到外部攻(gong)擊(ji)的(de)(de)(de)。另外，云是(shi)(shi)全面虛擬化的(de)(de)(de)，攻(gong)擊(ji)者可(ke)以隱藏在(zai)和(he)其(qi)他客戶(hu)共享宿主(zhu)機(ji)(ji)的(de)(de)(de)虛擬機(ji)(ji)里面，加之(zhi)虛擬機(ji)(ji)具有移動性，物理(li)機(ji)(ji)之(zhi)間的(de)(de)(de)克隆(long)和(he)發布(bu)可(ke)能會產生配(pei)置錯誤和(he)安全漏洞的(de)(de)(de)傳播，從這個角(jiao)度，也(ye)增加了更多(duo)的(de)(de)(de)安全風(feng)險。

再來說(shuo)說(shuo)數據安全，部署在云上的數據，其訪(fang)問、存儲(chu)、傳輸更需(xu)要考(kao)慮加密(mi)方式，客(ke)戶還是(shi)云服務(wu)商來保護和控制密(mi)鑰，以及密(mi)鑰如何存放，這都需(xu)要花費更多的努力(li)。

因此，在云上部署的業(ye)務應用，其(qi)審(shen)計要求更高，需要對(dui)資源和數(shu)據的訪問(wen)、使(shi)用和活動(dong)提供更為可(ke)靠的審(shen)計證據，以證明資源沒有被篡改或泄露。

盡管有上述的這些安全挑戰，但是如果我們了解云平臺的運作機理、使用的技術手段，并熟知其產品特性，施之以完善的規劃和部署，那么我們還是可以比較有信心地說：用戶是可以安心地使用云計算的。畢竟云計算的高彈性、“即開即用”等特色和優勢給企業帶來的好處是顯著的，想想因芯片的(de)(de)研發(fa)時間大幅度縮短而帶來的(de)(de)高效和經濟效益，是多大的(de)(de)吸引力。讀者如果有興趣，可(ke)以從摩爾精英(ying)前(qian)期發(fa)表(biao)的(de)(de)《芯片上“云“的(de)(de)動(dong)力》一文中了解(jie)更(geng)多的(de)(de)細(xi)節。

“物不(bu)因不(bu)生不(bu)革(ge)不(bu)成(cheng)“，可是如(ru)何保(bao)證成(cheng)功而安(an)全的(de)遷移，本文將從多個角度(du)來闡述如(ru)何做、怎么(me)做來保(bao)護(hu)企業上(shang)云(yun)安(an)全，希望(wang)能增添大家上(shang)云(yun)的(de)信(xin)心。

2、 云的安全優勢

盡管上節中，我們講到了芯片上云(yun)面臨著許多挑(tiao)戰(zhan)，可是云(yun)的安全優勢也是顯著的。

2.1、安全隨“云”而行

由于云(yun)(yun)(yun)是通過互(hu)聯網平臺提供的(de)(de)一(yi)種共享服務，其特殊性決(jue)定了(le)它面臨的(de)(de)安(an)(an)全(quan)風(feng)險更高。因此(ci)，從基礎(chu)架構和(he)產品目(mu)錄布(bu)局開始，云(yun)(yun)(yun)服務商就(jiu)對安(an)(an)全(quan)進行了(le)布(bu)局。從跨數據中(zhong)(zhong)心的(de)(de)建設(she)開始，云(yun)(yun)(yun)廠(chang)商就(jiu)將安(an)(an)全(quan)控件(jian)系統(tong)地、緊(jin)密地集成(cheng)在硬(ying)件(jian)、固件(jian)和(he)軟件(jian)服務中(zhong)(zhong)。比(bi)如說(shuo)，“多層(ceng)安(an)(an)全(quan)”的(de)(de)安(an)(an)全(quan)方(fang)針(zhen)從Iaas和(he)Paas層(ceng)，對互(hu)聯網威脅(xie)(xie)最大(da)之一(yi)的(de)(de) DDoS攻擊進行了(le)全(quan)面的(de)(de)防(fang)御和(he)阻斷(duan)；又比(bi)如，充(chong)分(fen)利用云(yun)(yun)(yun)優(you)勢(shi)、無縫結合(he)大(da)數據、實時捕捉安(an)(an)全(quan)信息從而高效地分(fen)析和(he)判斷(duan)可(ke)能(neng)發生的(de)(de)安(an)(an)全(quan)風(feng)險和(he)威脅(xie)(xie)[1]。可(ke)以說(shuo)，安(an)(an)全(quan)是“隨云(yun)(yun)(yun)而行、織密而彈性的(de)(de)”。

2.2 、多層構建、高安全邊界防御

由于云(yun)是面(mian)(mian)向互聯網的(de)(de)，云(yun)廠商要成功提供服(fu)務(wu)，在安(an)(an)全(quan)方(fang)面(mian)(mian)必然面(mian)(mian)臨持續的(de)(de)、嚴(yan)格的(de)(de)監(jian)管(guan)，監(jian)管(guan)部門(men)要求云(yun)服(fu)務(wu)商必須通(tong)過和(he)維護符合要求的(de)(de)安(an)(an)全(quan)認證(zheng)。因(yin)此，專業的(de)(de)云(yun)平臺服(fu)務(wu)商都在安(an)(an)全(quan)方(fang)面(mian)(mian)投入(ru)了很(hen)大(da)的(de)(de)人力和(he)財力，他們從物理數據中心開始分(fen)層(ceng)構建，和(he)眾(zhong)多安(an)(an)全(quan)產品(pin)和(he)方(fang)案提供商合力在平臺上筑建起嚴(yan)密的(de)(de)防入(ru)侵(qin)防御(yu)，并(bing)且有(you)7x24的(de)(de)后(hou)臺運維團隊和(he)安(an)(an)全(quan)專家團隊做后(hou)盾，從而盡(jin)最大(da)程度地控制安(an)(an)全(quan)風險，比(bi)如：

• 最高級別的數據中心物理安全

• 云的(de)數據中心一(yi)般(ban)是根據數據中心安全要求按(an)照最高(gao)級別設計的(de)，比如(ru)：數據中心部所有(you)基礎(chu)設施（空調、UPS等(deng)）按(an)全冗余設計，嚴(yan)格隔離(li)不同(tong)安全區域、設置不同(tong)級別的(de)物理訪問(wen)控(kong)制和監控(kong)等(deng)。

• 邊界防火墻頂級配置

• 高集成事(shi)件日志的IDS防(fang)御

• 應用、數據庫層防火(huo)墻(qiang)保護

• 存留數據加密

由此可(ke)見，就以投(tou)資(zi)、人(ren)力和專(zhuan)業(ye)度而(er)論(lun)，一(yi)般企(qi)業(ye)是“望(wang)塵不及、有心而(er)力不足(zu)”的(de)(de)。另(ling)外，規模小的(de)(de)中、小企(qi)業(ye)，由于初期建(jian)設往(wang)往(wang)簡單(dan)，缺(que)少(shao)專(zhuan)業(ye)人(ren)員的(de)(de)建(jian)議(yi)、實(shi)施和運維，他們(men)的(de)(de)企(qi)業(ye)研發環(huan)境(jing)一(yi)般都存在著高安(an)(an)全(quan)(quan)風險。比如(ru)，盡管他們(men)知道做跳板機(ji)，可(ke)是跳板機(ji)本身沒有做任何安(an)(an)全(quan)(quan)防護。同時，他們(men)又局限(xian)在沒有專(zhuan)業(ye)人(ren)員維護、缺(que)少(shao)駐場安(an)(an)全(quan)(quan)服務的(de)(de)困境(jing)中。如(ru)果(guo)上云，可(ke)以實(shi)現(xian)用(yong)較低的(de)(de)成本進行環(huan)境(jing)安(an)(an)全(quan)(quan)管理的(de)(de)期望(wang)。

2.3、 安全補丁和安全管理高度集成

安全(quan)(quan)機構(gou)，比如Verizon【2】的最(zui)新(xin)調查表明，許(xu)多(duo)安全(quan)(quan)風險(xian)來自不完善的補(bu)(bu)(bu)丁(ding)(ding)(ding)管理(li)。沒有及時更(geng)新(xin)的系統補(bu)(bu)(bu)丁(ding)(ding)(ding)很容易給入侵(qin)(qin)者(zhe)入侵(qin)(qin)機會，而傳統的IT管理(li)方法中的補(bu)(bu)(bu)丁(ding)(ding)(ding)管理(li)是分散的、復(fu)雜的。補(bu)(bu)(bu)丁(ding)(ding)(ding)還涉(she)及到備(bei)份、故障恢(hui)復(fu)等(deng)其他流(liu)程，比如，如果補(bu)(bu)(bu)丁(ding)(ding)(ding)更(geng)新(xin)失(shi)敗或者(zhe)補(bu)(bu)(bu)丁(ding)(ding)(ding)造成(cheng)系統崩潰后，如何恢(hui)復(fu)系統，特別(bie)是關鍵信息設施和重要(yao)系統，更(geng)是需要(yao)“刻不容緩”地復(fu)原(yuan)。因(yin)此在(zai)傳統的IT環(huan)境中， 補(bu)(bu)(bu)丁(ding)(ding)(ding)管理(li)是讓管理(li)員極其操心的。

而在云(yun)上，這個工作就變得很輕(qing)松了(le)。因為云(yun)是(shi)以集中平(ping)臺形式進行(xing)補丁管理和安全(quan)(quan)管理的。補丁實施計(ji)劃(hua)：測(ce)試(shi)和回滾、更(geng)新時間表、安全(quan)(quan)策(ce)略更(geng)新、安全(quan)(quan)日志(zhi)監(jian)控等，都能在一個管理平(ping)臺上進行(xing)管理和運維(wei)。這極大程(cheng)度減輕(qing)了(le)管理員的工作負擔(dan)，提高了(le)管理效率，并避免人為錯誤而導致的更(geng)嚴重的后果。

2.4 安全威脅彈性應對、快速隔離

對(dui)于云的(de)彈性屬性，大家應該耳熟(shu)能詳(xiang)了。“隨云而行”的(de)安(an)全(quan)當然也(ye)是具有彈性特(te)征的(de)。云的(de)安(an)全(quan)自動運維(wei)效率極(ji)高，不僅有邊界安(an)全(quan)防護提升了智能分析、處置能力(li)。比如面對(dui)威脅，它能有效自動攔(lan)截機制(zhi)。

還(huan)有，比起傳統(tong)的(de)(de)(de)(de)線下數據中(zhong)心(xin)的(de)(de)(de)(de)邏輯隔離，它能更容(rong)易(yi)(yi)地分(fen)(fen)(fen)割服務(wu)(wu)和功能模塊(kuai)。萬一其(qi)中(zhong)一個(ge)服務(wu)(wu)或者模塊(kuai)被攻擊了(le)， 云(yun)(yun)的(de)(de)(de)(de)虛機和容(rong)器(qi)技(ji)術(shu)可以使(shi)工作流的(de)(de)(de)(de)不同模塊(kuai)或服務(wu)(wu)運(yun)行在不同的(de)(de)(de)(de)物(wu)理區域里，因(yin)此被攻擊的(de)(de)(de)(de)部分(fen)(fen)(fen)不會(hui)(hui)影響到(dao)其(qi)他服務(wu)(wu)或功能模塊(kuai)，從而實現快(kuai)速隔離。并且云(yun)(yun)的(de)(de)(de)(de)事件(jian)和消(xiao)息服務(wu)(wu)功能強大(da)，下一個(ge)工作流的(de)(de)(de)(de)任務(wu)(wu)會(hui)(hui)鑒(jian)別和確認上一個(ge)工作流的(de)(de)(de)(de)事件(jian)消(xiao)息，被攻擊部分(fen)(fen)(fen)不會(hui)(hui)得到(dao)確認所以會(hui)(hui)被丟棄。因(yin)此，我們(men)很容(rong)易(yi)(yi)追蹤溯(su)源，這使(shi)得安全事件(jian)很容(rong)易(yi)(yi)找(zhao)到(dao)根(gen)本(ben)原因(yin)。

3 、責任共同模型

本節我們(men)來著重介紹“責任共擔模型”。因(yin)為(wei)如(ru)(ru)果不了解這(zhe)個模型，企業可能會進入另外(wai)一個“誤區”：認為(wei)既然云廠商有著這(zhe)么多的安(an)(an)全“優勢”，就將業務(wu)環(huan)境完全托管給云服(fu)務(wu)商，如(ru)(ru)果有事情就問(wen)責服(fu)務(wu)商。如(ru)(ru)果大家有這(zhe)個想法，那么筆者這(zhe)里(li)要(yao)大大地敲“黑板”了，千萬不可這(zhe)么認為(wei)，否則造成的安(an)(an)全風險不減反而更(geng)高(gao)。

梳理一下，我們可以(yi)看到所有(you)的(de)云服務(wu)商，包括著(zhu)名的(de)阿里、騰訊、亞馬(ma)遜或微軟都是(shi)和客戶以(yi)共(gong)擔責任模(mo)式來運營系統(tong)和業(ye)務(wu)環境的(de)。

雖然(ran)各家(jia)服務商具(ju)體實現(xian)的方式(shi)不同，但本質相同，和客戶的合作都是建(jian)立在責任共擔之基礎上(shang)的。

云服務商負責“云自身”安全，包(bao)括(kuo)云服務(wu)所(suo)(suo)包(bao)含的(de)所(suo)(suo)有基(ji)礎設施，運營、管理和控制所(suo)(suo)提供服務(wu)組件所(suo)(suo)在的(de)物理數據中心、網路(lu)設備(bei)、軟、硬件和虛擬(ni)層。

而客戶的主要責任在于和其業務相關的企業數據、所選云服務的配置管理及身份驗證，這(zhe)也是(shi)從企業(ye)角度(du)出發，保障企業(ye)的關鍵利(li)益。

我們(men)具體以微軟云和亞馬(ma)遜云為例。

微(wei)軟云的“責任共(gong)擔“ 【3】模型如下圖3.1所示，紅色部分為客戶責任范圍，包括(kuo)終端設備(bei)、賬號和(he)驗證、業(ye)務(wu)信息和(he)數(shu)據(ju)，這些屬于客戶的責任。

圖3.1. 微(wei)軟云(yun)的“責(ze)任共(gong)擔“模型

再看(kan)下圖3.2.亞(ya)馬遜云的(de)(de)“責任共擔(dan)“模型，同樣，亞(ya)馬遜也強調客戶需要對(dui)自(zi)己的(de)(de)數據(ju)、身份驗證及訪(fang)問和信息(xi)系(xi)統(tong)環(huan)境負責，其中(zhong)，信息(xi)系(xi)統(tong)包(bao)括：操(cao)作系(xi)統(tong)、網絡訪(fang)問控制部(bu)分(fen)，其中(zhong)，亞(ya)馬遜在模型中(zhong)特別強調數據(ju)的(de)(de)加密(mi)責任在于客戶【4】。

圖(tu)3.2 亞馬遜(xun)云的“責任共擔(dan)”模型

因此我(wo)們必須清(qing)楚地認識到：企業對其(qi)自身的(de)業務環(huan)境(jing)(jing)還是有著“義不容辭”的(de)責任和(he)義務，只是范圍縮小和(he)集(ji)中了(le)(le)，讓企業的(de)財(cai)力和(he)人力更集(ji)中于其(qi)最關注的(de)利益部(bu)分。因此，安全投(tou)資成本小了(le)(le)，環(huan)境(jing)(jing)更安全了(le)(le)。

4 、摩爾精英的安全架構體系

摩(mo)爾精英的(de)安全框架(jia)體系是(shi)立體多(duo)層、多(duo)維度的(de)，并(bing)參考(kao)了國(guo)、內外的(de)網安全標準，基于(yu)行業特點而設計(ji)的(de)，該框架(jia)體系不(bu)僅適用于(yu)傳(chuan)統研(yan)發環境，而且(qie)可以輕松延展到各類云平(ping)臺。

圖4.1. 摩爾(er)精英(ying)安(an)全系統框(kuang)架

我(wo)們這里給大(da)家介紹一(yi)個適用于中、小型客戶的安全上云方案。我(wo)們考慮一(yi)個20個人左(zuo)右的初創企(qi)業。初創企(qi)業規模(mo)不大(da)，一(yi)般啟動資金(jin)有限(xian)，希望(wang)馬上開始芯片設(she)計(ji)，又(you)(you)需要(yao)時間搭建環(huan)境。同時又(you)(you)面臨很多(duo)問題，就如我(wo)們剛(gang)發(fa)表的《芯片設(she)計(ji)上云-路(lu)徑篇(pian)》一(yi)文中提到(dao)的諸多(duo)問題：

• 人員規模不大，但是站點較多，有(you)些可能還(huan)有(you)國外(wai)的設計人

• 啟動資(zi)金(jin)有限，自建機房負(fu)擔(dan)較重，

• 沒(mei)有專職的(de)IT/CAD人(ren)員，

• 對設(she)計平臺如何搭建缺乏(fa)專業知識，

• 公(gong)司(si)初期(qi)辦公(gong)地點不定(ding)，可能會經常搬家。

隨著云實(shi)施(shi)方案(an)(an)的成熟(shu)，全云方案(an)(an)對初創企業無疑是一個不錯的選擇。

如下圖4.2所示，該(gai)云方案(an)將線(xian)下的(de)傳統芯片開(kai)發環境完整(zheng)地搬到了(le)Azure云，而又無縫地集成了(le)彈性(xing)算力集群。

圖4.2 初創(chuang)企業(ye)全云方案拓撲圖

摩爾精英在安全體系框架上，深(shen)入(ru)結(jie)合微軟(ruan)云的7層零安全，如下圖4.2

充分(fen)考慮(lv)客戶的使(shi)用成本集成上，制定(ding)了(le)“三(san)層(ceng)隔(ge)離、7層(ceng)防護”的安全方案，體現了(le)安全“隨云(yun)而行”的精髓(sui)。如(ru)下圖4.3所示。

圖4.3 初(chu)創企業上云(yun)安(an)全方案(an)

用戶(hu)的(de)工作(zuo)區為OA區，通(tong)過安全(quan)(quan)隧道和安全(quan)(quan)身(shen)份認證，登入位于VDI區域的(de)云上服務器，打開VNC就(jiu)可以進行(xing)開發(fa)工作(zuo)。

所有位于HPC區域的(de)(de)(de)Login服務(wu)器，作(zuo)業集群和(he)存儲，通過安全(quan)產品(pin)和(he)手段保護在另外隔(ge)離的(de)(de)(de)私有網(wang)絡中；面(mian)向與公(gong)網(wang)的(de)(de)(de)Infra組件，比如windows 服務(wu)器等(deng)用(yong)防火墻等(deng)安全(quan)組件增強安全(quan)，抵御來自互聯網(wang)的(de)(de)(de)DDoS攻擊等(deng)威(wei)脅。

同時我們(men)通過secure center，“一個中心(xin)”來監控(kong)、預防和進行安全管理(li)。

另外(wai)，我們單獨給(gei)管理(li)員登錄和(he)管理(li)做了另外(wai)的(de)安(an)全(quan)隔離，通過安(an)全(quan)的(de)方法，使管理(li)員安(an)全(quan)地進(jin)行運(yun)維，所有的(de)行為都(dou)進(jin)行記錄和(he)保存。

總結

我們上云(yun)(yun)的(de)(de)好(hao)處(chu)不(bu)再贅(zhui)述，在(zai)《芯片(pian)上“云(yun)(yun)”的(de)(de)動(dong)力》一篇(pian)已經(jing)做了重點介紹。可是我們也看(kan)到(dao)無論在(zai)戰略(lve)還是應(ying)用部(bu)署(shu)，比起(qi)國(guo)外芯片(pian)行業，國(guo)內企業還是有諸多顧慮上云(yun)(yun)，其中(zhong)之一就說安全方面的(de)(de)擔憂。

筆者在本(ben)文(wen)細數了上云的(de)主要(yao)安(an)全(quan)挑(tiao)戰，闡述了云服務商(shang)應對這些(xie)挑(tiao)戰的(de)方案，這些(xie)挑(tiao)戰使云平臺在安(an)全(quan)方面(mian)做得更詳盡和專業，甚至“如云隨(sui)行”、彈(dan)性等安(an)全(quan)優勢更優于線下的(de)環境安(an)全(quan)。

我(wo)們可以(yi)看到，通過(guo)對安(an)全(quan)(quan)(quan)知識的(de)充(chong)分(fen)了解，理解責(ze)任(ren)共(gong)擔模(mo)型(xing)，制定(ding)詳細規劃后，當我(wo)們再來問“云(yun)是(shi)安(an)全(quan)(quan)(quan)的(de)嗎？云(yun)可以(yi)做(zuo)到安(an)全(quan)(quan)(quan)嗎？”我(wo)們可以(yi)信心滿滿地回答：“是(shi)”！