云上安全：云上安全四问之安全防护体系建设

云上业务安全防护保障需要云平台方与租户方的共同建设。

一、云上安全四问

云上安全体系建设是一个庞大的体系，我们可以通过以下四问，去初步评估检查云上业务上云后的安全性：

• 云平台安全么？安全合规、安全防护、安全技术、安全管理...
• 业务系统安全么？业务系统开发使用是否存在安全漏洞、身份管理是否安全...
• 云平台方及租户方安全防护到位么？ 云平台防护是否到位？租户方防护是否到位？等级保护是否合规？...
• 安全管理流程是否规范？云平台防的安全管理流程？租户方的应急流程？安全合规性...

这里一般来讲，云平台方重点负责平台安全、安全管理流程及云平台防护；租户方则负责业务系统开发安全及租户方义务下的安全防护。

二、云上安全体系

从安全体系上来讲，云上安全主要包括以下几个方面：

物理和基础架构安全：指云计算环境下的数据中心管理、物理设施管理、以及物理服务器和网络设备管理等。

主机和网络安全：指云计算环境下的主机和网络安全管理，其中主机层面包括云计算、云存储、云数据库等云产品的底层管理（如虚拟化控制层、数据库管理系统、磁盘阵列网络等）和使用管理（如虚拟主机、镜像、CDN、文件系统等）；网络层面包括虚拟网络、负载均衡、安全网关、V**、专线链路等方面；

应用安全：指在云计算环境下的业务相关应用系统的安全管理，包括应用的设计、开发、发布、配置和使用等方面；

访问控制管理：对资源和数据的访问权限管理，包括用户管理、权限管理、身份验证等；

终端安全：业务相关的操作终端或移动终端的安全管理，包括终端的硬件、系统、应用、权限、以及数据处理相关的安全控制；

数据安全：指客户在云计算环境中的业务数据自身的安全管理，包括收集与识别、分类与分级、权限与加密等方面；

三、腾讯云安全防护体系

安全防护是依据安全体系建设，一般包括以下八个层次：业务连续性管理防护、物理安全防护、云安全防护、网络安全防护、主机安全防护、数据安全防护、应用安全防护、业务安全防护。

腾讯云安全防护体系

其中，业务连续性管理、物理安全、云安全一般由公有云平台方建设提供；其它层次安全则由云平台及租户方共同管理建设。

当然，没有100%的安全，只有相对安全。在腾讯云平台安全建设上，腾讯云平台承载了数十万个企业业务系统，在云平台的安全建设及管理上充分投入，保障入驻企业的业务安全稳定运行；在租户方的安全防护建设上，全量配齐安全防护对企业，对企业尤其是中小企业来讲，是一个巨大的投入。通常，用户可根据安全责任模型及业务重要性，在网络安全、主机安全、数据安全、应用安全及业务安全防护上评估投入。