Notas de estudio de HCIP-Planificación del servicio de seguridad en la nube-6

1. Diseño de seguridad en la nube y sistema de seguridad en la nube de Huawei

1.1 Por qué prestar atención a la seguridad en la nube

• CSA: Alianza de seguridad en la nube, Alianza de seguridad en la nube

1.2 Requisitos de seguridad de las empresas en la nube

1.3 Cinco dimensiones de seguridad para responder a los requisitos de seguridad en la nube

1.4 Descripción general de los servicios de seguridad de HUAWEI CLOUD

2. Seguridad de la carga de trabajo

2.1 HSS de seguridad de host empresarial

• La consola de administración es una plataforma de administración visual, que es conveniente para que los usuarios distribuyan de manera centralizada la información de configuración y vean el estado de protección y los resultados de detección de los hosts en la misma área.
• El centro de protección en la nube HSS recibe la información de configuración y las tareas de detección entregadas por la consola y las reenvía al Agente instalado en el servidor. De acuerdo con la política de seguridad configurada, el Agente evita que los atacantes ataquen el host y, al mismo tiempo, realiza tareas de detección con regularidad, escanea el host en su totalidad, supervisa el estado de seguridad del host en tiempo real y recopila la información del host (incluidos configuración no conforme, configuración insegura, rastros de intrusión, lista de software, lista de puertos, lista de procesos y otra información) informada al centro de protección en la nube
• Cloud Protection Center presenta la información analizada en la interfaz de la consola en forma de informe de detección.
• Otras funciones:
  • Anti-manipulación de la página web: la función anti-manipulación de la página web puede detectar e interceptar el comportamiento de la manipulación de archivos en el directorio especificado en tiempo real y obtener rápidamente los archivos legales respaldados para restaurar los archivos manipulados, protegiendo así las páginas web del sitio web, electrónicos documentos, imágenes y otros archivos sean manipulados por piratas informáticos y destruidos.
  • Defensa avanzada: realice funciones de defensa avanzadas, que incluyen: autenticación de operaciones de programas, gestión de integridad de archivos y protección contra ransomware.
  • Gestión unificada de varias nubes: 35 admite la gestión de plataformas entre nubes de estado de seguridad de host masivo (nivel 100 000) 358 heterogéneo (X86/ARM), varios sistemas operativos (Linux/Windows estándar).

2.2 Escenarios aplicables de FSS

• Host Security brinda soluciones de seguridad completas y efectivas para 230 000 empresas y usuarios individuales en el país y en el extranjero, incluidos el gobierno, Internet, la educación y otras industrias. La seguridad del host brinda a los clientes una prevención integral de riesgos y protección en tiempo real, genera regularmente informes de operaciones de seguridad para cumplir con los requisitos de seguridad del cliente y realiza una protección integral de seguridad del host de prevención + detección + operación.

2.3 CGS de seguridad de contenedores en la nube

• Container Security Service es un servicio de seguridad utilizado para detectar el ciclo de vida de las imágenes de los contenedores. Puede ayudar a administrar de manera eficiente el estado de seguridad de los contenedores y las imágenes, y reducir los principales riesgos de seguridad que enfrentan los contenedores y las imágenes. Se puede ver desde las tres etapas. de construcción, distribución y operación.

2.4 Escenarios aplicables de CGS

2.5 Cloud Bastion Host CBH

• CBH también admite operaciones colaborativas, gestión por lotes de hosts de usuarios, operación y mantenimiento de bases de datos (gestión de recursos de host de bases de datos), etc.

2.6 Proceso de uso de CBH

• Proceso de política personalizado:
  • Agregar recursos: los administradores agregan recursos para administrar, incluidos servidores, dispositivos de red, dispositivos de seguridad, sistemas de aplicaciones, sistemas de bases de datos y otros objetos. Admite la edición de información relacionada con el dispositivo, incluido el departamento al que pertenece el tipo de sistema, el nombre del recurso, la dirección del recurso, el tipo de protocolo, el programa de aplicación, etc.
  • Agregar cuenta maestra: El administrador agrega una cuenta maestra (cuenta de usuario). La cuenta maestra es la única cuenta que inicia sesión en la máquina bastión de la nube y obtiene el derecho de acceso del dispositivo de destino. Corresponde a la identidad real del usuario uno por uno. Cada usuario tiene una cuenta maestra. Cada cuenta maestra pertenece a un solo usuario. .
  • Agregar cuenta secundaria: el administrador agrega la cuenta secundaria (cuenta de recursos) correspondiente al recurso, incluido el nombre de la cuenta, la contraseña, etc. La cuenta esclava admite métodos de inicio de sesión automáticos, manuales y semiautomáticos, y puede cambiar de una cuenta ordinaria a una cuenta privilegiada, y la máquina bastión de la nube puede actualizar automáticamente la contraseña con regularidad.
  • Crear una política de control de acceso: El administrador establece una política de asociación basada en elementos como "tiempo + activación de cuenta maestra + recurso + cuenta esclava + autoridad".
  • Auditoría de comportamiento de todo el proceso: la máquina bastión en la nube registra automáticamente todos los registros de comportamiento de los administradores, como la gestión de recursos, la gestión de usuarios y la gestión de políticas, para que los auditores puedan monitorear y auditar.

2.7 Escenarios aplicables de CBH

• Los derechos de acceso de CBH se pueden controlar a través de la cuenta de IAM. Al mismo tiempo, los administradores pueden crear usuarios del sistema en el sistema CBH y asignar diferentes funciones del sistema a los usuarios. La figura muestra los diferentes permisos de cuenta asignados en CBH, de los cuales solo el administrador tiene permiso de funciones del sistema de gestión.
• Escenarios de cumplimiento estricto de auditoría:
  • Al implementar el sistema de máquina bastión en la nube en la nube, entrada de inicio de sesión único, administración centralizada de cuentas y recursos, aislamiento de la autoridad departamental, revisión y autorización de activos principales por parte de varias personas, autorización de revisión secundaria de operaciones confidenciales y una operación sólida y el mecanismo de auditoría de mantenimiento, puede proporcionar un alto riesgo Yanye proporciona estrictas funciones de auditoría para cumplir con los requisitos reglamentarios de la industria.
• Escenarios de operación y mantenimiento eficientes y estables:
  • En el proceso de operación y mantenimiento remotos, la máquina bastión en la nube oculta la dirección real de los activos y resuelve el problema de la exposición de información de activos de operación y mantenimiento remotos. Al mismo tiempo, se proporciona un registro integral de operación y mantenimiento para proporcionar un monitoreo efectivo para la operación y mantenimiento de auditoría y el comportamiento operativo del personal de operación y mantenimiento, reducir los incidentes de seguridad en línea y ayudar al desarrollo estable y a largo plazo de la empresa
• Escenarios de gestión masiva de activos y personal:
  • Para una gran cantidad de usuarios y una gran cantidad de activos, la máquina bastión en la nube puede acomodar una gran cantidad de datos de personal y recursos, y un inicio de sesión único para el personal de operación y mantenimiento, lo que resuelve el problema de baja eficiencia y tendencia a errores. mantenimiento de múltiples activos por parte del personal de operación y mantenimiento. Al mismo tiempo, a través del establecimiento de registros detallados de control de autoridad y operación de recursos, es posible auditar el comportamiento de operación de todos los usuarios y rastrear efectivamente los accidentes para garantizar una rendición de cuentas efectiva. Además, el escritorio del sistema presenta el panorama de operación y mantenimiento en tiempo real, y puede recibir notificaciones de alarma de comportamiento anormal para garantizar que el personal no pueda operar más allá de su autoridad.

2.8 Carga de productos de seguridad en la arquitectura de la nube

• Las líneas representan el tráfico de acceso.
  • DMZ es la abreviatura de "Zona desmilitarizada" en inglés, y el nombre chino es "área aislada". Puede entenderse como un área de red especial diferente de la red externa o la red interna. Se suelen colocar algunos servidores públicos sin información confidencial. en la DMZ, como servidor WEB, servidor de correo electrónico, servidor FTP, etc. De esta manera, los visitantes de la red externa solo pueden acceder a los servicios en la DMZ, pero no pueden acceder a la información almacenada en la red interna. Incluso si el servidor en la DMZ está dañado, no afectará la información en la red interna.

3. Seguridad de la red

3.1 Grupo de seguridad y ACL

3.2 Cortafuegos en la nube CFW

• Proporciona funciones que incluyen detección y defensa contra intrusos en tiempo real, control de acceso unificado global, análisis y visualización completos de tráfico, auditoría de registros y análisis de trazabilidad, etc., y admite la expansión elástica bajo demanda, que es el servicio básico de protección de seguridad de red.

3.3 Solución de protección contra ataques DDos ADS

3.4 Anti-DDos Pro AAD

3.5 Productos de protección de seguridad de red en la arquitectura de la nube

• Las líneas representan el tráfico de acceso

4. Seguridad de la aplicación

4.1 WAF de cortafuegos de aplicaciones web

• Los ataques de inyección SQL se refieren al atacante que realiza consultas arbitrarias no autorizadas al engañar al servidor de la base de datos. Los ataques de inyección de SQL utilizan la sintaxis de SQL para atacar fallas o códigos imprecisos en el proceso de programación de los desarrolladores de aplicaciones.Cuando los atacantes pueden manipular datos e insertar algunas declaraciones de SQL en las aplicaciones, se producen ataques de inyección de SQL.
• XSS es una vulnerabilidad de seguridad web común que permite a los atacantes inyectar código malicioso en las páginas que se sirven a otros usuarios. A diferencia de la mayoría de los ataques (que generalmente solo involucran al atacante y la víctima), XSS involucra a tres partes, a saber, el atacante, el cliente y la aplicación web. El objetivo de los ataques XSS es robar cookies almacenadas en el cliente o información confidencial utilizada por otros sitios web para identificar al cliente. Una vez obtenida la información del usuario legítimo, el atacante puede incluso hacerse pasar por el usuario legítimo para interactuar con el sitio web.
• El ataque de inyección de comandos se refiere al hecho de que las aplicaciones integradas o las aplicaciones web no filtran estrictamente los datos enviados por los usuarios, por lo que los piratas informáticos pueden enviar datos a la aplicación mediante la construcción de cadenas de comandos especiales y utilizar este método para ejecutar programas externos o llevar comandos del sistema. realizar ataques, obtener datos o recursos de red de forma ilegal, etc.
• El caballo de ejecución de la página web se refiere a cargar un programa de caballo de Troya en el sitio web para generar un caballo de red. Cuando se ejecuta, se generarán más caballos de Troya. Después de que el usuario descargue el caballo de Troya, ejecútelo y continúe descargándolo y ejecutándolo, ingresando un círculo vicioso, de forma que el ordenador del usuario es atacado y controlado
• El ataque CC (Challenge Collapsar Attack, CC) es un ataque contra un servidor web o una aplicación que utiliza una solicitud GET/POST estándar para obtener información, como un URI (UniversalResource lidentifier) ​​que involucra operaciones de base de datos) u otros URI que consumen recursos del sistema, lo que hace que los recursos del servidor se agoten y no puedan responder a las solicitudes normales.

4.2 Escenarios aplicables de WAF

• Observaciones: Las vulnerabilidades de día cero, también conocidas como "vulnerabilidades de día cero" (zero-day), son vulnerabilidades que se han descubierto (quizás sin revelar), pero no hay un parche oficial. En términos sencillos, excepto para el descubridor de vulnerabilidades, hay No Otros conocen la existencia de esta vulnerabilidad y pueden usarla de manera efectiva Los ataques lanzados suelen ser muy repentinos y destructivos.

4.3 La diferencia entre WAF y CFW

4.4 Productos de protección de seguridad de aplicaciones en la arquitectura de la nube

• Las líneas representan el tráfico de acceso.
  • DMZ es la abreviatura de "Zona desmilitarizada" en inglés, y el nombre chino es "área aislada". Puede entenderse como un área de red especial diferente de la red externa o la red interna. Se suelen colocar algunos servidores públicos sin información confidencial. en la DMZ, como servidor WEB, servidor de correo electrónico, servidor FTP, etc. De esta manera, los visitantes de la red externa solo pueden acceder a los servicios en la DMZ, pero no pueden acceder a la información almacenada en la red interna. Incluso si el servidor en la DMZ está dañado, no afectará la información en la red interna.

5. Seguridad de los datos

5.1 Seguridad de los activos de datos

• Aumento del 10 % en el coste total medio de una filtración de datos entre 2020 y 2021
• Los costos de filtración de datos aumentaron de $ 3,86 millones a $ 4,24 millones, lo que lo convierte en el costo promedio anual total más alto jamás informado en este informe. Las organizaciones con posturas de seguridad más maduras tienen costos significativamente más bajos, mientras que aquellas que se quedan atrás en áreas como la seguridad y automatización de IA, la confianza cero y la seguridad en la nube tienen costos más altos.

5.2 Centro de seguridad de datos DSC

• Escena aplicable:
  • Identificación y clasificación automáticas de datos confidenciales: descubra y analice automáticamente el uso de datos confidenciales a partir de datos masivos, según el motor de identificación de datos, escanee, clasifique y clasifique sus datos estructurados almacenados (RDS) y datos no estructurados (OBS) para resolver datos problemas "Puntos ciegos" para mayor protección de seguridad
  • Análisis de comportamiento anormal del usuario: establezca una línea base de comportamiento del usuario a través del motor de reconocimiento de comportamiento en profundidad, realice alarmas en tiempo real para operaciones anormales fuera de la línea base, consulta en tiempo real de operaciones de comportamiento, visualización de trayectorias de comportamiento, identificación de correlación de eventos de riesgo y mejorar la cadena de auditoría de trazabilidad de los eventos de riesgo asociados a las operaciones de los usuarios. Descubra oportunamente si hay violaciones de seguridad en el uso de datos y brinde advertencias oportunas para evitar la fuga de datos
  • Protección de desensibilización de datos: a través de una variedad de algoritmos de desensibilización preestablecidos + algoritmos de desensibilización definidos por el usuario, se crea un motor de protección de datos para realizar almacenamiento desensibilizado de datos no estructurados y desensibilización estática de datos estructurados para evitar fugas de datos confidenciales
  • Cumplir con los requisitos de cumplimiento de la información: DSC tiene docenas de plantillas de cumplimiento, que incluyen GDPR, PCI DSS, HIPAA, etc., comparación e identificación con un solo clic de varias reglas de cumplimiento, generación de informes para la rectificación específica, distinción y protección precisas de los datos personales y evitación del cumplimiento. asuntos.

5.3 Proceso de protección del contenido de datos DSC

5.4 Seguridad de la base de datos DBSS

5.5 Garantía de Identidad para la Transmisión de Datos - Certificado Digital

• Certificado público: permite que los navegadores web identifiquen y establezcan conexiones de red cifradas con sitios web mediante el protocolo de seguridad de capa de conexión segura/capa de transporte
  • Emitido por una CA pública para autenticar recursos en Internet
  • De confianza para aplicaciones y navegadores de forma predeterminada: el certificado raíz de CA se ha almacenado en la zona de confianza del navegador y del sistema operativo
  • Cumpla con reglas estrictas, brinde visibilidad operativa y siga los estándares de seguridad dictados por los proveedores de navegadores y sistemas operativos. Debe seguir especificaciones estrictas.
• Certificados privados: identifique y asegure recursos como aplicaciones, servicios, dispositivos y usuarios dentro de una organización
  • Emitido por una organización CA privada para la certificación de los recursos internos de la organización
  • Servidores, sitios web, clientes, dispositivos, usuarios de VPN, etc.
  • Recursos dentro de la red privada
  • No es de confianza de forma predeterminada: los usuarios deben instalar el certificado en la zona de confianza del cliente.
  • Ventaja:
    • Se puede utilizar para identificar cualquier recurso.
    • Normas de emisión personalizadas para verificación y naming, etc.
    • No sujeto a certificado de CA pública/reglas institucionales

5.6 Gestión de certificados en la nube CCM

• Actualmente, los certificados SSL emitidos por autoridades de certificación internacionales son básicamente válidos por un año. CCM admite la configuración de rotación de certificados privados, y el período de rotación se puede establecer de acuerdo con el tiempo de vencimiento del certificado privado. Antes de que caduque el certificado privado anterior, el nuevo certificado privado se reemplazará en el nodo de trabajo correspondiente para evitar la interrupción de la comunicación comercial debido a la caducidad del certificado privado.
• Gestión de certificados SSL:
  • Construcción de sitio web de certificación creíble del sitio web. Proporcione soporte cero de autenticación de identidad confiable basada en certificados digitales para sitios web establecidos por los usuarios para evitar que los sitios web sean falsificados.
  • La certificación de confianza de la aplicación se aplica a los servicios de aplicaciones en la nube y a los servicios de aplicaciones móviles. Proporcionar soporte de autenticación de identidad confiable basado en certificados digitales para aplicaciones (CRM, OAERP, etc.) en la nube de usuarios para evitar el acceso a aplicaciones ilegales.
  • La protección de transferencia de datos de aplicaciones se aplica a la transferencia de datos entre sitios web, aplicaciones y clientes. Cifre los datos de transmisión entre el cliente y el sitio web y la aplicación para evitar el robo de datos a mitad de camino, mantener la integridad de los datos y evitar la manipulación.
• Gestión de certificados privados
  • La aplicación de informatización empresarial establece un sistema unificado de gestión de certificados empresariales, realiza la gestión del ciclo de vida de los certificados, integra capacidades de monitorización continua y gestión automática, y previene los riesgos causados ​​por una mala gestión de certificados.
  • Aplicación de Internet de vehículos Car Enterprise TSP utiliza servicios de administración de certificados privados para emitir certificados para cada terminal de vehículo, proporcionando funciones de seguridad como autenticación, autenticación y encriptación para interacciones de múltiples escenarios vehículo-vehículo, vehículo-nube y vehículo-carretera.
  • La plataforma IoT de aplicaciones de Internet de las cosas utiliza servicios de gestión de certificados privados para emitir certificados para cada dispositivo IoT y, a través de la conexión PCA de la plataforma IoT, realiza la verificación de identidad y la autenticación de los dispositivos IoT, lo que garantiza la seguridad del acceso a los dispositivos en escenarios IoT.

5.7 Servicio de cifrado de datos DEW

• DHSM: máquina de cifrado en la nube, se proporciona por separado a los clientes para cumplir con escenarios de alto cumplimiento 6 El negocio es relativamente grande y el negocio concurrente es alto, como nuestro negocio de pagos).
• KMS: cifrado de servicio en la nube (integrado), cifrado de disco de datos, cifrado de datos pequeños
• KPS: principalmente para el inicio de sesión del host.
• CSMS: contraseña importante, frase de contraseña, almacenamiento de tokens

5.8 Módulo de servicio DEW - DHSM encriptado exclusivo

• Si el usuario ha adquirido una instancia cifrada dedicada, la instancia cifrada dedicada se puede inicializar y administrar a través del HSM dedicado. El usuario, como propietario del dispositivo, tiene control total sobre la generación de claves, el almacenamiento y la autorización de acceso.

5.9 Módulo de servicio DEW - gestión de claves KMS

• El servicio de administración de claves KMS está ampliamente integrado con los productos Huawei Cloud. Los clientes pueden crear sus propias claves en la consola KMS o importar claves externas y almacenarlas en más de 45 productos en la nube como RDS, ECS, OBS, SFS, DDS y EVS Los datos están encriptados y protegidos para garantizar la seguridad de los datos.

5.10 Módulo de servicio DEW - gestión de pares de claves KPS

• La clave pública y la clave privada se conocen comúnmente como cifrado asimétrico. La clave pública (Public Key) y la clave privada (Private Key) son un par de claves obtenidas a través de un algoritmo (es decir, una clave pública y una clave privada).La clave pública es la parte pública del par de claves, y el La clave privada es la parte pública de la clave no pública. Las claves públicas se utilizan a menudo para cifrar claves de sesión, verificar firmas digitales o cifrar datos que se pueden descifrar con la clave privada correspondiente. Se puede garantizar que el par de claves obtenido por este algoritmo es único en el mundo. Al usar este par de claves, si una de las claves se usa para cifrar un dato, la otra clave debe usarse para descifrarlo. Por ejemplo, los datos cifrados con la clave pública se deben descifrar con la clave privada y, si se cifran con la clave privada, también se deben descifrar con la clave pública; de lo contrario, no se descifrarán correctamente.
• Gestión de contraseñas RDS/WKS mejorada, las contraseñas ya no dependen de la memoria, lo que permite habilitar contraseñas de alta complejidad generadas aleatoriamente, biblioteca anticolisión. Admite el enlace dinámico de pares de claves a ECS, proporciona una solución de un solo clic para cambiar de ECS a un inicio de sesión de par de claves y resuelve completamente el problema de las contraseñas débiles de ECS.
• La clave/contraseña privada no se almacena estáticamente en el lado del cliente, lo que reduce el riesgo de fuga de clave/contraseña privada en el lado del cliente.KMS/KPS las administra de manera uniforme y las rota regularmente, lo que reduce efectivamente la ventana de tiempo del ataque. La clave/contraseña privada está cifrada por KMS/KPS en la nube y almacenada de forma segura, y se obtiene dinámicamente después de la autenticación y la autenticación con IAM/MFA antes de su uso. Al mismo tiempo, es fácil de usar y admite el acceso en cualquier momento y en cualquier lugar: con el certificado IAM en la mano (con MFA), la clave/contraseña privada se puede obtener dinámicamente en cualquier lugar para lograr el acceso a los recursos.

5.11 Módulo de servicio DEW - CSMS de gestión de credenciales

• Los usuarios o las aplicaciones pueden crear, recuperar, actualizar y eliminar credenciales a través del servicio de administración de credenciales, realizar fácilmente el ciclo de vida completo y la administración unificada de credenciales confidenciales, y evitar de manera efectiva las fugas de información confidencial y los permisos fuera de control causados ​​por programas codificados o claros. -configuraciones de texto riesgo comercial venidero

5.12 Escenarios aplicables de productos de servicio DEW

5.13 Productos de protección de seguridad de datos en la arquitectura de la nube

• Los DEW que se muestran en la figura son KPS y KMS respectivamente

6. Gestión de la seguridad

6.1 Gestión de la seguridad (1)

• Verizon Communications Corporation (Verizon) es el mayor proveedor de comunicaciones por cable y comunicaciones de voz en los Estados Unidos, con 140 millones de líneas de acceso.

6.2 Gestión de la seguridad (2)

6.3 Gestión de la seguridad (3)

• La transformación digital de las empresas enfrenta problemas de cumplimiento y seguridad, con muchos requisitos de cumplimiento, grandes responsabilidades y sanciones elevadas. La seguridad de cumplimiento es el enfoque de la seguridad de la nube empresarial, y los estándares de cumplimiento determinan el nivel de seguridad que las empresas necesitan lograr en la nube. Los códigos son diferentes estándares de cumplimiento.

6.4 IAM de autenticación de identidad unificada

• Para un proyecto, puede haber diferentes recursos en el proyecto. Estos recursos pueden otorgar permisos a diferentes cuentas según la política. En la figura, el proyecto A solo está autorizado para A, algunos recursos en el proyecto B están autorizados para A y otros los recursos están autorizados Autorizados a B.

6.5 Autenticación de usuarios de IAM

• AK: Clave de acceso, ID de clave de acceso. El identificador único asociado con la clave de acceso secreta, ID de clave de acceso, se usa con la clave de acceso secreta para firmar criptográficamente la solicitud.
• SK: Clave de acceso secreta, ID de acceso privado. La clave utilizada junto con el ID de clave de acceso para firmar criptográficamente la solicitud, lo que identifica al remitente y evita que se modifique la solicitud.

6.6 Conceptos básicos de IAM

• IAM no posee recursos ni realiza facturación independiente, los permisos y recursos de los usuarios de IAM son controlados y pagados uniformemente por la cuenta a la que pertenecen.
• Los grupos de usuarios se pueden utilizar para autorizar a los usuarios de IAM. 3 De forma predeterminada, el usuario de IAM recién creado no tiene ningún permiso y debe agregarse al grupo de usuarios, y el grupo de usuarios está autorizado, y los usuarios del grupo de usuarios obtendrán los permisos del grupo de usuarios. Después de la autorización, los usuarios de IAM pueden operar servicios en la nube según los permisos.

6.7 Control de acceso detallado a los recursos de HUAWEI CLOUD

• Política de autorización:
  • Política del sistema: mantenida por HUAWEI CLOUD
  • Políticas personalizadas: mantenidas por los usuarios

6.8 Acceder a los recursos entre cuentas

• La delegación solo admite cuentas, no cuentas federadas ni usuarios de IAM
• Confiar a otros servicios en la nube la gestión de recursos: debido a la interacción comercial entre varios servicios de HUAWEI CLOUD, algunos servicios en la nube deben funcionar con otros servicios en la nube. Los usuarios deben crear una delegación de servicios en la nube, confiar la autoridad de operación a este servicio y dejar que el servicio utiliza la Identidad del usuario utiliza otros servicios en la nube para realizar algún trabajo de operación y mantenimiento de recursos en su nombre. Por ejemplo, si el servicio de seguridad del contenedor CGS desea escanear la imagen del contenedor, debe confiarle la autoridad del servicio de imagen del contenedor SWR.

6.9 Usar la cuenta original de la empresa para usar los recursos de la nube

• OIDC (OpenID Connect, OIDC para abreviar): Es un protocolo estándar de autenticación de identidad basado en el protocolo OAuth 2.0.
• SAML (Security Assertion Markup Language, conocido como SAML): Security Assertion Markup Language es un formato de datos estándar de código abierto basado en XML, que intercambia datos de autenticación y autorización entre partes, especialmente en el intercambio de proveedores de servicios e IP de proveedores de identidad.
• ldP (Proveedor de identidad, IdP para abreviar): Responsable de recopilar y almacenar información de identidad del usuario, como nombre de usuario, contraseña, etc., y responsable de autenticar al usuario cuando inicia sesión. En el proceso de autenticación de identidad federada entre una empresa y HUAWEI CLOUD, el proveedor de identidad hace referencia al propio proveedor de identidad de la empresa.
• Proceso de implementación de la certificación federal:
  • Crear un proveedor de identidad y crear una relación de confianza mutua
    • Basado en el protocolo OIDC: Cree credenciales OAuth 2.0 en el IdP empresarial, cree un proveedor de identidad en HUAWEI CLOUD y configure la información de autorización para establecer una relación de confianza entre el sistema de gestión empresarial y HUAWEI CLOUD
    • Basado en el protocolo SAML: intercambie archivos de metadatos entre HUAWEI CLOUD y el IdP empresarial (el archivo de interfaz estipulado en el protocolo SAML2.0, incluidas las direcciones de interfaz y la información del certificado), cree un proveedor de identidad en HUAWEI CLOUD y establezca confianza.
  • Configure las reglas de conversión de identidad: al configurar las reglas de conversión de identidad en HUAWEI CLOUD, los usuarios, los grupos de usuarios y sus derechos de acceso en IGP se asignan a HUAWEI CLOUD.
  • Configure la entrada de inicio de sesión del sistema de gestión empresarial: configure la entrada de acceso de HUAWEI CLOUD al sistema de gestión empresarial, y los usuarios pueden acceder directamente a HUAWEI CLOUD iniciando sesión en el sistema de gestión empresarial

6.10 Conciencia situacional SA

• Después de la recopilación de datos, el procesamiento por lotes se lleva a cabo a través de la plataforma básica de big data, y luego se lleva a cabo un análisis inteligente a través del centro de operaciones de big data, y los resultados del análisis se ingresan en el servicio de conciencia situacional para análisis y alarma y otras operaciones de protección.

6.11 Escenarios aplicables de SA

• Gestión de riesgos de activos: hay muchas empresas en la nube, los activos en la nube son cada vez más grandes y los activos en la nube cambian con frecuencia, lo que aumenta considerablemente los riesgos de seguridad en la nube.
  • SA presenta de forma centralizada el estado de riesgo de los hosts o activos vulnerables en la nube. Centralice el estado de seguridad de todos los activos en la nube, supervise la seguridad general de los servicios en la nube en tiempo real, aclare las vulnerabilidades, las amenazas y los ataques en el servidor de un vistazo, garantice la seguridad de todos los activos y ayude a las empresas a lidiar fácilmente con riesgos de seguridad de activos.
• Advertencia de evento de amenaza: existen varias amenazas de seguridad en la nube todo el tiempo, y continúan surgiendo varios tipos nuevos de amenazas
  • SA puede detectar y monitorear los riesgos de seguridad en la nube en tiempo real mediante la recopilación de datos de tráfico de toda la red y la información de registro del dispositivo de protección de seguridad, presentar información estadística de eventos de alarma en tiempo real y recopilar estadísticas sobre varios eventos de amenazas para el descifrado de fuerza bruta común y ataques web, troyanos de puerta trasera y eventos de amenazas de host zombi, la estrategia de protección de seguridad prefabricada puede defenderse eficazmente contra amenazas y riesgos, y mejorar la eficiencia de la operación y el mantenimiento.
• Notificación de riesgo de vulnerabilidad: con la migración continua del negocio empresarial a la nube, para evitar la explotación exitosa de vulnerabilidades, es necesario encontrar y corregir tantas vulnerabilidades como sea posible.
  • Al recopilar notificaciones de seguridad de emergencia en la nube, SA puede revelar vulnerabilidades recién descubiertas en tiempo real, informar incidentes repentinos de vulnerabilidades de seguridad y advertir vulnerabilidades potenciales, e integrar los resultados del análisis de vulnerabilidades para realizar análisis de vulnerabilidades regulares y administrar centralmente las vulnerabilidades del host y las vulnerabilidades del sitio web, y garantizar seguridad del sistema, software y sitios web para detectar vulnerabilidades en el sistema, el software y los sitios web 35. Proporcionar sugerencias de reparación para las vulnerabilidades detectadas. Centralice la gestión de vulnerabilidades en la nube, ayude rápidamente a los usuarios a identificar riesgos clave, descubra activos que puedan interesar a los atacantes y ayude a los usuarios a compensar rápidamente las debilidades de seguridad.
• Gestión de la configuración de riesgos: SA admite la detección de elementos de configuración clave de los servicios en la nube. Mediante la realización de tareas de escaneo, comprueba el estado de riesgo de las configuraciones de referencia del servicio en la nube, presenta los resultados de detección de las configuraciones del servicio en la nube por categoría, alerta a las configuraciones con riesgos de seguridad, y proporciona sugerencias de refuerzo de configuración correspondientes y guía de ayuda.

6.12 Servicio de detección de amenazas MTD

• El servicio MTD recopila: autenticación de identidad unificada (IAM), servicio de resolución en la nube (DNS), servicio de auditoría en la nube (CTS), servicio de almacenamiento de objetos (OBS), registros de nube privada virtual (VPC) mediante el motor de inteligencia de inteligencia artificial, inteligencia de amenazas, reglas. El modelo monitorea continuamente las actividades maliciosas y los comportamientos no autorizados, como el cracking de fuerza bruta, los ataques maliciosos, la infiltración y los ataques de minería, identifica las amenazas potenciales en los registros del servicio en la nube y recopila estadísticas sobre las alarmas de amenazas detectadas.
• En la nube: el tráfico fluye de Internet a HUAWEI CLOUD, por ejemplo, descargando recursos de la red pública a ECS en la nube
• Saliente: de HUAWEI CLOUD a Internet. Por ejemplo, el ECS en la nube brinda servicios de forma externa y los usuarios externos descargan recursos en el ECS en la nube.

6.13 Escenarios MTD aplicables

6.14 Diferencia entre MTD y SA

6.15 SA+MTD detecta el riesgo de identidad del arrendatario

• MTD puede analizar los registros de los cuatro servicios de IAM, CTS, VPC y DNS aplicando inteligencia de amenazas, motor de detección de IA, modelo de correlación y otras tecnologías de detección avanzadas, para detectar la operación de fuerza bruta del inicio de sesión de la cuenta a tiempo, rastrear y audite el comportamiento de las anomalías de la red, identifique los cambios de tráfico de los dispositivos y nodos de la red y encuentre números de conexión extraños. Al mismo tiempo, MTD envía alarmas anormales al Servicio de conocimiento de la situación (SA) y se vincula con otros servicios de seguridad para tomar medidas adicionales. SA integra otros servicios de seguridad para monitorear la seguridad situacional general y descubrir problemas de seguridad del sistema de manera oportuna.
• El servicio MTD puede detectar los riesgos de seguridad de las cuentas de IAM, los riesgos expuestos por los ataques de DNS y los riesgos expuestos por varios comportamientos de intrusión en los registros de CTS. Estos tipos de riesgos de seguridad no pueden ser resueltos por otros servicios de seguridad temporalmente o tienen capacidades débiles. Cuando el riesgo aumente, realice una microautenticación (como autenticación multifactor, biometría, etc.) con IAM para verificar la autenticidad.

6.16 MDR de detección y respuesta de gestión

• Diseño de soluciones de seguridad: en combinación con escenarios comerciales empresariales, el diseño de soluciones de seguridad se lleva a cabo desde los aspectos de capa de red, capa de aplicación, capa de host, datos y gestión, sistema de seguridad personalizado, aislamiento de red y control de autoridad de cuenta, proporcionando a las empresas una completa garantía de seguridad.
• Monitoreo de seguridad:
  • personal de vigilancia profesional
  • Plataforma de monitoreo profesional
  • 7*24 monitoreo ininterrumpido
  • Realice inspecciones periódicas de seguridad en el sistema. Incluyendo análisis de registros, análisis de alarmas, monitoreo de tráfico anormal, identificación de estados de ataques, escaneo de vulnerabilidades del sistema, pruebas de penetración del sistema, etc. Identifique proactivamente posibles incidentes de seguridad en el sistema, notifique al equipo comercial de manera oportuna, inicie el manejo de problemas y elimine los riesgos de seguridad de manera oportuna.
• Respuesta de emergencia: una vez que ocurre una sospecha de intrusión, el equipo de expertos en seguridad de HUAWEI CLOUD ingresa de inmediato al proceso de respuesta de emergencia. HUAWEI CLOUD se ha sometido a una gran cantidad de simulacros de seguridad diarios y tiene suficiente experiencia en el manejo de amenazas de seguridad.

preguntas de pensamiento

terminar la floración