云安全
基础设施即服务(IaaS)
别称: 云基础设施
定义
一种云服务模型,云厂商提供虚拟化的计算、存储和网络,客户负责其上的操作系统、中间件和应用。
IaaS 的代表是 AWS EC2、Azure 虚拟机和 Google Compute Engine,可按使用量计费地获得弹性基础设施,而无需自有物理硬件。在安全责任上,云厂商负责数据中心、虚拟化层和存储硬件,客户负责虚拟化之上的所有内容:客户机操作系统打补丁、IAM、网络 ACL 与安全组、加密、日志和应用安全。IaaS 时代常见风险包括暴露的管理端口、缺失的系统补丁、过于宽松的 VPC 路由、公开的存储卷和长期未用的凭据。加固通常依赖云厂商原生服务(KMS、IAM、GuardDuty、Defender for Cloud)以及第三方 CSPM/CWPP。
示例
- 一台 EC2 实例运行着过期的 Linux 内核,且 22 端口对 0.0.0.0/0 开放。
- 用 Azure Bastion 取代对虚拟机的公网 RDP 访问。
相关术语
平台即服务(PaaS)
一种云服务模型,云厂商管理运行时、中间件、操作系统与基础设施,客户专注于应用代码与数据。
软件即服务 (SaaS)
一种云交付模式,供应商托管并运营应用程序,客户通过互联网以订阅方式使用。
Function as a Service (FaaS)
Function as a Service (FaaS) — definition coming soon.
共享责任模型
一种云安全框架,将安全职责划分为云服务商负责的“云本身的安全”与客户负责的“云中工作负载的安全”。
云安全
用于保护托管在公有云、私有云或混合云环境中的数据、应用和基础设施的一整套策略、控制措施和技术。
CSPM(云安全姿态管理)
一类持续将云账户与最佳实践和合规基线进行比对,以发现并修复配置错误的工具。