云上业务安全防护保障需要云平台方与租户方的共同建设。
一、云上安全四问
云上安全体系建设是一个庞大的体系,我们可以通过以下四问,去初步评估检查云上业务上云后的安全性:
- 云平台安全么?安全合规、安全防护、安全技术、安全管理...
- 业务系统安全么?业务系统开发使用是否存在安全漏洞、身份管理是否安全...
- 云平台方及租户方安全防护到位么? 云平台防护是否到位?租户方防护是否到位?等级保护是否合规?...
- 安全管理流程是否规范?云平台防的安全管理流程?租户方的应急流程?安全合规性...
这里一般来讲,云平台方重点负责平台安全、安全管理流程及云平台防护;租户方则负责业务系统开发安全及租户方义务下的安全防护。
二、云上安全体系
从安全体系上来讲,云上安全主要包括以下几个方面:
物理和基础架构安全:指云计算环境下的数据中心管理、物理设施管理、以及物理服务器和网络设备管理等。
主机和网络安全:指云计算环境下的主机和网络安全管理,其中主机层面包括云计算、云存储、云数据库等云产品的底层管理(如虚拟化控制层、数据库管理系统、磁盘阵列网络等)和使用管理(如虚拟主机、镜像、CDN、文件系统等);网络层面包括虚拟网络、负载均衡、安全网关、V**、专线链路等方面;
应用安全:指在云计算环境下的业务相关应用系统的安全管理,包括应用的设计、开发、发布、配置和使用等方面;
访问控制管理:对资源和数据的访问权限管理,包括用户管理、权限管理、身份验证等;
终端安全:业务相关的操作终端或移动终端的安全管理,包括终端的硬件、系统、应用、权限、以及数据处理相关的安全控制;
数据安全:指客户在云计算环境中的业务数据自身的安全管理,包括收集与识别、分类与分级、权限与加密等方面;
三、腾讯云安全防护体系
安全防护是依据安全体系建设,一般包括以下八个层次:业务连续性管理防护、物理安全防护、云安全防护、网络安全防护、主机安全防护、数据安全防护、应用安全防护、业务安全防护。
腾讯云安全防护体系
其中,业务连续性管理、物理安全、云安全一般由公有云平台方建设提供;其它层次安全则由云平台及租户方共同管理建设。
当然,没有100%的安全,只有相对安全。在腾讯云平台安全建设上,腾讯云平台承载了数十万个企业业务系统,在云平台的安全建设及管理上充分投入,保障入驻企业的业务安全稳定运行;在租户方的安全防护建设上,全量配齐安全防护对企业,对企业尤其是中小企业来讲,是一个巨大的投入。通常,用户可根据安全责任模型及业务重要性,在网络安全、主机安全、数据安全、应用安全及业务安全防护上评估投入。