4.3 金融云安全威胁

传统的金融数据中心环境面临各种各样的安全威胁，如应用威胁、主机安全威胁、网络攻击威胁、数据安全威胁等。而这些传统环境的威胁在金融云环境中仍然存在。由于云环境中广泛使用了虚拟化，因此安全边界变得不那么清晰。传统环境中有防火墙、IPS等安全设备，因此可以从逻辑上较好地区分出安全域。但是在云环境中，虚拟化的大范围使用使得安全入侵点也渗入到各个层面。图4.2是针对各个层面的云平台的深度防御框架。安全威胁从底层物理安全开始，逐步入侵至网络安全、云平台安全、主机安全、应用安全、数据安全等层面。

数据安全层面要关注金融数据存储的安全性、是否需要加密存储以保障数据的机密性，以及是否需要相应的数据备份和数据恢复措施以保证数据的可用性，并在发生数据泄露事件的同时，能够通过审计取证拿到数据泄露的证据。应用安全层面使用Web应用防火墙做好安全防御能力建设，通过安全监测方法保障应用漏洞及时更新。主机层面做好相应的镜像管理，保障操作系统的完整性和可用性；通过端口扫描、文档化记录各个服务端口的使用目的；使用HIDS（Host-based Intrusion Detection System，主机入侵检测系统）对主机层面的入侵检测做好监控。云平台层面使用VPC（Virtual Private Cloud，虚拟专有云）做好租户与租户之间的隔离。网络安全层面，重点把控互联网边界的入侵防御工作，使用不同的安全域划分提升网络防御能力；通过网络流量分析监控网络层安全；同时提供能抵御高流量DDoS攻击的能力；贯穿于应用、主机、云平台、网络的账号生命周期管理、访问控制和云运维管理等管理工作，与各个层面纵向把控，结合安全运营中心（Security Operation Center）使安全事件可视化，促进自动化的安全应急响应事件管理。

在云环境中，虚拟化的大范围使用也引入了新的安全威胁——虚拟化安全威胁。如虚拟化平台漏洞、多租户运行在同一物理机上、物理资源使用安全漏洞等。接下来的内容主要针对虚拟化威胁展开。