浅谈云安全 | FreeBuf甲方社群直播回顾 - FreeBuf网络安全行业门户

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序把安全装进口袋

活动

浅谈云安全 | FreeBuf甲方社群直播回顾

2023-06-28 13:23:48

所属地上海

伴随新技术的诞生，新的安全问题陆续浮现。如今，各行各业正在掀起上云狂潮，云安全的概念随之爆发。

企业对云安全的市场需求也逐步迎来爆发期，越来越多的企业开始增加对安全方面的投入，同时细分领域和场景的安全实践推动云安全市场需求水涨船高。

6月27日，互联网科技运维经理王明松在FreeBuf甲方社群第十二期内部直播中担任主讲嘉宾，以“浅谈云安全”为主题进行分享，带大家系统的了解云安全。王明松讲述了云与传统IDC架构的区别、分析了云上安全的一些特点、并举例了一些经典的云安全"坑"，以帮助更多企业的安全人员轻松上手云安全。

1687923760_649bac302cde68699221b.png!small

一、云服务的责任共担模型

AWS责任共担模型可以减轻客户的运营负担，因为 Aws 负责运行、管理和控制从主机操作系统和虚拟层到服务运营所在设施的物理安全性的组件。客户负责管理来宾操作系统（包括更新和安全补丁）、其他相关应用程序软件以及 Aws提供的安全组防火墙的配置。

客户应该仔细考虑自己选择的服务，因为他们的责任取决于所使用的服务，这些服务与其 IT 环境的集成以及适用的法律法规。

1687930176_649bc5406fe993edb806e.png!small?1687930176123

二、云安全的特点

Aws核心服务包括Config 跟踪资源库和变更、CloudTrail 跟踪用户活动和 API 使用情况、以及IAM 安全地管理身份以及对 Aws 服务和资源的访问、CloudFormation 为您的所有云基础设施资源建模并对其进行预置。

1687930662_649bc726ac67cf794aee9.png!small?1687930662246

Config可以跟进云上资源变更，可以定期检查包括我现在有多少台服务器、有多少的对象存储、网络状况如何等等这些资源的情况，并且对它的一些配置做一些审计，为安全审计带来一定的便利。

CloudTrail是一项云审计功能，但这个审计主要针对操作而不是资源。比如我跟踪一些用户的活动、或者一些API使用，可能由机器发起、也可能由人发起。这就是我们传统意义上所指的那种操作的一种审计服务。

IAM是一项身份认证、身份管理服务，几乎所有云都有。该服务主要是针对管理能力，能够有效地去管理用户并提供临时的授权。

CloudFormation是偏向于资源编排的一项服务，你可以通过一些代码来把资源创建出来。不过这个在国内的应用场景不是特别多。只要拥有这项服务就可以通过代码把资源给编码出来。它们基于一些代码或者配置文件就把资源创建出来。好处在于如果你在做一些测试或者开发环境的时候想临时起一套环境或者有某个临时的服务，可以先在此做测试、压测，扫描，这项编排服务可以帮你把所有对应的资源都创建出来以提高效率。