决胜金融安全3.0时代:新金融+新科技+新安全
上QQ阅读APP看书,第一时间看更新

4.3 金融云安全威胁

传统的金融数据中心环境面临各种各样的安全威胁,如应用威胁、主机安全威胁、网络攻击威胁、数据安全威胁等。而这些传统环境的威胁在金融云环境中仍然存在。由于云环境中广泛使用了虚拟化,因此安全边界变得不那么清晰。传统环境中有防火墙、IPS等安全设备,因此可以从逻辑上较好地区分出安全域。但是在云环境中,虚拟化的大范围使用使得安全入侵点也渗入到各个层面。图4.2是针对各个层面的云平台的深度防御框架。安全威胁从底层物理安全开始,逐步入侵至网络安全、云平台安全、主机安全、应用安全、数据安全等层面。

图4.2 云平台深度防御框架

数据安全层面要关注金融数据存储的安全性、是否需要加密存储以保障数据的机密性,以及是否需要相应的数据备份和数据恢复措施以保证数据的可用性,并在发生数据泄露事件的同时,能够通过审计取证拿到数据泄露的证据。应用安全层面使用Web应用防火墙做好安全防御能力建设,通过安全监测方法保障应用漏洞及时更新。主机层面做好相应的镜像管理,保障操作系统的完整性和可用性;通过端口扫描、文档化记录各个服务端口的使用目的;使用HIDS(Host-based Intrusion Detection System,主机入侵检测系统)对主机层面的入侵检测做好监控。云平台层面使用VPC(Virtual Private Cloud,虚拟专有云)做好租户与租户之间的隔离。网络安全层面,重点把控互联网边界的入侵防御工作,使用不同的安全域划分提升网络防御能力;通过网络流量分析监控网络层安全;同时提供能抵御高流量DDoS攻击的能力;贯穿于应用、主机、云平台、网络的账号生命周期管理、访问控制和云运维管理等管理工作,与各个层面纵向把控,结合安全运营中心(Security Operation Center)使安全事件可视化,促进自动化的安全应急响应事件管理。

在云环境中,虚拟化的大范围使用也引入了新的安全威胁——虚拟化安全威胁。如虚拟化平台漏洞、多租户运行在同一物理机上、物理资源使用安全漏洞等。接下来的内容主要针对虚拟化威胁展开。