CSA云安全指南V4.0 D7 D8

D7 基础设施安全

云 络虚拟化

• 管理 络

• 存储 络

• 服务 络

不可变的虚拟机或容器创建镜像的部署流程

脆弱性评估的改变

• 云消费者需要评估通知和评估真实的限制范围

• 默认拒绝 络进一步限制了自动 络评估的潜在效果

• 不可变负载的评估可以在镜像创建过程中

• 影响减小

络

• 优先SDN

• 实施默认拒绝策略的云防火墙

• 基于每一个负载实施云防火墙

• 只要环境允许，使用云防火墙策略限制同一个虚拟子 中负载间的流量

• 减少对限制弹性或引起性能瓶颈的虚拟设备依赖

计算/负载

• 尽量使用不可变负载

• 维持长期运行的负载和安全控制

• 将日志存储在负载之外

• 遵守云服务提供商对漏洞评估和渗透测试的规定

D8 虚拟化和容器

计算

云提供者责任

• 隔离不同租户

• 保护底层基础设施和虚拟化技术以免被外部攻击滥用

云消费者责任

• 安全设置

• 监控和日志

• 镜像资产管理

• 使用专用主机

• 负载的安全

• 安全的配置文件

络

云提供商

隔离和独立 络流量，防止租户访问其他用户的流量

存储

多副本

容器

组件

• 容器执行环境

• 自动协调及调度控制器

• 容器镜像或代码的可执行仓库

容器安全性

• 底层物理设施安全性

• 确保管理器安全

• 妥善保管镜像仓库

• 将安全性构建到容器内运行的任务/代码中