每次中标大的云计算服务项目,采购单位都会公布哪家云服务商的哪些云服务中标。在华为云中标的项目中,有一类服务颇令人关注:华为云的安全相关服务(包括防止攻击、攻击检测、服务可靠性检测等)组成的安全服务体系。有的项目,云安全服务几乎占了中标服务数的一半。这一方面说明现在的客户安全意识非常强,非常注重云上数据的安全防护;一方面说明华为云的安全服务得到了市场的认可。
怀着好奇的心,笔者在华为云官网检索了这些安全服务,感觉确实可以对保护用户数据、让用户安心上云起到不小作用,试举几个华为云中标通告里的“熟面孔”安全服务如下:
安全态势感知服务。这个服务有点像平常在电视上看到的作战指挥中心大屏,攻击从哪里打来、打到哪里了、有没有被拦截住、系统上的漏洞是哪些、怎么防护,都在屏幕上标出来,方便用户及时采取处置措施。在实际运行中,这个服务在用户授权下,收集云主机的运行情况,并调用用户用到的各种安全服务,自身加上安全服务报上来的安全数据,在态势感知上做汇总、关联、分析和处理,判断出哪里有攻击和漏洞,并让用户下发防护策略。
DDoS攻击防护(DDoS高防)。用户的网站或服务器在遭受大规模流量攻击后,轻则导致网站或服务器卡顿、用户体验下降;重则导致网站或服务器崩溃,完全响应不了用户的访问请求。通过DDoS高防服务,网站或服务器遭受的大流量攻击可牵引到DDoS高防机房进行“清洗”,利用精准的流量识别算法和超大的带宽,把恶意流量拦截掉,正常流量送回网站或服务器。根据官网的介绍,DDoS高防可以拦截Tbps级的超大流量,要知道一般网站或服务器的总带宽也就几十到几百Mbps,而1Tbps= 1048576 Mbps。
WEB应用防火墙。它在互联网用户和目标网站之间树立起的一道“防火墙”。互联网用户,无论是正常用户还是恶意用户,其对目标网站的访问(通过HTTP/HTTPS协议)都必须先经过WEB应用防火墙的检测,就像过安检一样“开包检查”,结合人工智能技术识别出访问是正常是恶意:正常,放行;恶意,拦截。可见,相当于给网站加了一道保护墙,把网站和互联网隔离开来,避免网站被黑客恶意攻击和入侵。
主机防护软件(企业主机安全服务)。在用户的授权下,在云主机上安装和配置企业主机安全服务后,服务即可实时检测云主机上发生的异常行为,拦截针对云主机的攻击,守护云主机。服务还提供了主机软件插件管理、安全漏洞管理、安全基线检查、判断主机运行的程序是否正常、文件是否被篡改等功能。
CA证书(SSL证书管理服务)。如果注意看,大家平常上网的浏览器的网址栏那有一个标识,是一个或绿色的完整的锁或一个裂开的红色的锁。绿色表示网站使用了SSL证书里面的信息作为密钥(相当于密码)给你和网站之间传递的信息加了密,红色表示没有。这样做,你和网站之间的通信,在互联网上传输,就不怕被人探听里面的内容了,因为即使探听下来,数据都是加了密的,没有密钥,攻击者也解不开数据里面写了什么。可见,SSL证书对网站很重要,而SSL证书管理服务就是把证书的申请、下发、使用、删除等等全套流程都给用户一站式做好,用户使用起来就方便很多。
数据库审计。数据库存放大量的业务或业务数据,是企业上云最关心的资产之一。用数据库审计服务,在数据库管理员和运维员中间加了一个代理服务器,任何人对数据库的操作都会经过这个代理服务器,都会被记录下来,防止内部恶意人员对数据库进行错误操作或者随意操作。
云堡垒机。有很多企业,管理员和运维员要管理和运维服务器,就直接登录了,而且还有用的不是本人的账号,或者账号早就应该注销了还在用等等,导致服务器出了问题也没人知道到底是谁在上面做了什么操作,遇到管理员和运维员账号密码被窃取的情况,服务器上的操作日志和记录一删,就更没办法知道谁攻击了服务器。堡垒机就是为了解决这种情况,它在管理员运维员与服务器之间建立一道“堡垒”,所有要走到服务器的操作,都必须经过堡垒机检查,正常的行为才放行,否则就拦截掉。因为多了一道堡垒机,是谁、做了什么操作、导致了服务器产生什么反应,都会记录在堡垒机的日志服务器上,没法删除也没法篡改。
网站漏洞扫描。通过扫描器爬虫爬取网站或服务器上面有什么系统、什么软件、什么应用,再看这些系统、软件和应用有什么漏洞,能够帮助用户尽早、自动化的发现自己网站或服务器的弱点,尽早修补这些弱点。
安全专家测试服务。在用户的授权下,安全专家模拟黑客,尝试各种方法去测探和发现网站或服务器可能存在的安全漏洞和风险,最终出具一份报告,报告写着发现了哪些安全问题、建议用户怎么修复。
安全重保服务。在重大活动时,如新产品上线、抢购季,或者重大节假日时,如国庆、春节,出于某些目的,黑客会在这期间非常活跃,各类攻击会增多。安全重保服务,用专业安全团队的专业能力,用自动化的安全检测和响应工具,全程护航用户指定要求保护的网站或服务器,除了全场看护网站或服务器是否安全,有攻击时快速响应、采取恰当处置措施,确保业务在重大活动、节假日期间能够安全平稳的运行。
可见,随着《国家网络安全法》等网络安全相关法律法规的出台,随着云正在成为如水电网道路一样的现代基础设施,云平台的安全性受到包括云服务商、租户、最终用户等在内的广泛关注。云服务商为用户提供好用的云安全服务来保护用户的业务,一方面能让用户安心上云、安心用云;一方面也让云安全服务成为云平台的核心竞争力之一,吸引更多的用户上云,这是一项不容易但意义重大的工作。这方面,华为云研发和推出这一系列安全服务组成的体系是个不错的参考,值得业界借鉴。