云安全架构设计

【实例简介】
云安全架构设计
架构之道 所谓架构∶一门用于设计和监督建筑构建过程的科学和艺术 CONTEXT archi+tecture n. l the art and science of designing and supervising the construction of buildings and similar structures. 2.a 环境 style of building or structure: Gothic architecture. 3. buildings or structures collectively. 4. the structure or design of anything: the SPACE architecture of the universe. archi+tec+turtal adj 承载 所谓安金:防患于未然,救患于危难,止患于前行 se+cure adj. l free from danger, damage, etc. 2. free from fear, care etc. 3. in safe custody. 4. not likely to fail, become loose, etc. 5. able toFUNCTION FORM be relied on: certain: a secure investment 功能 模式 (Patter 所谓系统:由若干要素以一定结构形式联结构成的具有某种功能的有机整 体。在这个定义中包括了系统、要素、结构、功能四个概念。 系统五要素:整体性,结枃性,关联性,动态平衡性,尉序性 TECHNICS 技术 系统工程∶通过系统解析的方法,分析要素与要素、要素与系统、系统与 环境等方面的关系,优化解决问题 不忘初心,方得始终 外槽 内槽 外塘 周間 次間 當心閤 次 梢 节加捷大 弟四缝 第 第 斗棋正立面放大图 中 E夫端藏缺 殘缺 鸱尾 太平 脊搏挑品部惨童量由丁披刑擔 正脊 斗棋正立面放大图 屋角大样图 乎- P埠 中平 换上平魂 下平搏 色 梁 欺 娘啁杈 每原通間作朵 内增两山作 动 直推霞一 1+ +十+4 1+H+ +++…柱‖一+144,++4 内书 門蜗 tH41++1 +++4+1 41H-1 版 1H1+4 +-1 地楸 墙 1++1++4 LONGITUDINAL SECTION断面 西主面 WEST ELEVATION 5AR 量十體 山西合山佛光寺大殿惠大中+一年建857A 1分吗814n AES算法 Point indicates a position in space Point 口令认证 步握手 CRC校验 A point extended becomes a Line with properties of .DLine 端口访问控制. lenath 机密性( confidentiality) direction 完整性( Integrity) ition 可用性( availability) 不可抵赖性( non-repudiation) 可归责性 accountability) A line extended becomes a Plane with properties of 9.PLane 北务面 开发者流水线 length and width 管理面 微服务运行环境 sh 运维面 中间件服务 surface 控制面 管理和运维服务 position 计算子糸统 存储子糸统 网絡子糸统 A plane extended becomes a Volume with properties of me length, width, and depth 对象存储服务金融行业解决方紊 form and space 安全组服务电子政务解决方索 surface Anti-DDOS服务医疗卫生解决方案 orientation 威胁感知服务 PaS平台 aS平台 公有云解决方索 安全特性 安全功能/服务 安金解决方索 架构之禅 视角与层级 系统五要索:整体性,结枃性,关联性,平衡性,尉序性(生命周期) 业务视图( Conceptual level):定义外部环境,业务流程,企北标准 组件模型视图:概括的描述系统内组件的堆叠或联系 ·逻辑视图{ Logical Level):系统組件逻辑关系 物理视图( Physical level):技术推栈、部署和物理层级 逻辑架构:不同数据城或功能城之间的关联夭系 数据流图(DFD:系统内数据的忼向、交互关系和处理方式 架构之禅 31安 bucE=URL User Access and Delivery Tenant Functions Management Layer Administrative and Management API Gateway Partal Tenant Service Tenant Content Functione/Client 21部导用 2组件 级 laas API PaaS API Tenant Application Saas a业务机图 租APP Auditing Developer Service Deployment Service Operation Service HTPs【数字正 APlcateway 安全 agement Laye 兵 ccess Layer API Gateway Portal 31设buld服英L 认证整权 Globe Monitoring b.功能视 21部 数服务 中件服务 开发服务和部吾务 Global 加密胶务 阅皆务 Load balance 岛测试 发布升盘滥控运维 Auditing …18jm Docker client 1置录 证书管理 (用户名密码 c.模型视图 Governance Compliance t 周扫描 Network Access 12认 补丁管理 Application G Laas Apt 病毒扫描 AK,/'SK ("asheth Data 异构团as Runtime 卫==9 PaaS平台务 Infrastructure ,连当留 Facilities Environment Security 系统级 功能级 架构之法 Apply defense in depth.纵深防御 De/ ense in multiple places机制互补 Layered defense多层防护 Use a positive security model(ail- safe defaults, minimize attack surface). Fail secure:最小攻击面 Run with least privilege.最小特权 Avoid security by obscurity( open design).开放设计 Keep security simple( verifiable, economy o/ mechanisn).保持简单 Detect intrusions( compromise recording).主动松测 Don't trust infrastructure.别信任基础设施 Don t trust services.别信任其他服务 Establish secure defaults.内建缺省安全策略 Difference problem and solution.分清问题和措施 架构之术 ■环境/场景分析■客户/市场需求 内部控制 ■沆程分析 ■业务导向 ■北务风险 数据保护 ■服务分析 ■风险价值 ■数据风险■认证授权 ■架构级解决方案 ■数据分析 ■标准/合规要求■合规风险 审计日志 安全功能模块 组织 北务分析 需求解析 风险评佑 安全功能设计 解决方案 验证与测试 的风险 态度 架构解析 威胁分析 风险评估 消减措施 解决方案>验证与测试 ■环境/场景分析■接口和赦据豌分析■攻击面分析■选取控制措施■架构级解决方案 逻辑杂构分析■DFD绘制 识别已存在安全■选择控制组合■纵深防御 部署架构分析 威胁枚举 控制 ■STR| DEIFMEAFTA ■优化组合 系统组件关系 可能性/影响评估 攻击路径分析 系统外部接口 攻击模式分析 ■风险评估 Security Pattern/ CAPEC/CWE 【实例截图】
【核心代码】