混合云安全架构体系分析与漏洞处理

近期作者对超大企业混合云安全体系结构有了更深入的了解,希望借此机会,深入探讨在超大企业混合云安全体系结构内部会猜到的漏洞,以及我心目中最理想、最彻底的解决方案。期望能给国内超大企业带来一些对于风险认知的提升,笔者答应给大家的Azure,亚马逊,Google云安全体系体系结构后续会慢慢更新。


我还看到了亚马逊、Azure、Google等国外为大型企业提供的超完整的解决方案,我还将借此机会,找出AAG这三家为大型企业提供的优秀的全安全解决方案,并将其作为系统的安全能力、可落地的安全规范和相应的云安全治理框架。如果这些人没有亲自设计过超大企业的安全体系结构,那么他们就不太可能找到背后设计的原因(Why),如何(How)设计,设计了什么(What)?


针对超大客户的混合云安全架构,作者首先做了一个假设,站在企业整体基础设施安全架构的角度,既设计了顶层的安全架构,又进行了落地,同时还覆盖了企业/政府的租户端安全体系,最后,还覆盖了云平台底层的安全体系。本文虽然篇幅较长,但作者本着尽量减少废话的原则,以清晰、简明、高效的方式,对每一处风险点、相应的解决方案、所用的技术细节、操作角度、持续改进维度等进行了详细总结。


重点说明:下列情况下的假设若有雷动,纯属巧合。在开始进行正式的安全风险分析,考虑到的混合云安全架构,行业中某些领域的安全解决方案,具体采用的技术细节,安全操作等方面展开之前,先来介绍一下大型企业的总体情况。ACME是一家年收入约4000亿美元,市值近2W亿美元的大型上市公司,是全球TOP3企业,主要经营书籍、音像制品、软件、消费电子、服装鞋帽、珠宝等,业务遍及全球。此外除电商业务外,还有零售、物流、硬件、云计算、电子图书、支付等拓展业务,业务规模超过100+,同时还在不断收购各类企业以扩大业务。除并购业务外,复杂的生态系统还与全球投资机构、金融机构、政府机构、监管者等一起构建。在商业方面,它是非常复杂的,每一部分之间的交互也是非常复杂的。


分享: