构建芯片设计环境上云安全体系
01
云的安全挑战
大多数企业,特别是对安全极其重视的半导体企业对将业务环境迁移入云一直存有疑虑。理由充分可理解,毕竟机房、服务器和数据不在自己的眼皮子底下,加之云计算是建立在虚拟服务上的,很多业务模式是让你和其他公司共用物理机的,因此数据的有效保障程度对客户来说是个未知数。
我们先来谈谈上云的几个主要安全挑战,相比企业能完全控制的物理环境,还是比较复杂的。
首先,划分的安全域不再如企业自建环境直接而简单,自建环境用防火墙和机房做内、外隔离即可;而云基础设施和资源是建立在“共享”基础之上,安全域是多维的,因此复杂度就加大了,如果服务商安全做得不够细致、专业,可以让攻击者‘长驱而入“;另外,数据存放在远端的云服务商的数据中心,虽然专业云服务商有着非常完善的保护措施,可是多用户共享资源,用户是无法知道具体的资源位置,更无从控制资源运行,这更让企业很不“安心”。
其次,计算机的管理和运维是通过互联网进行的,攻击方式更具有“侵略性”和“隐蔽性”。我们做过测试,直接部署云环境而不考虑安全加固的云环境,是非常容易受到外部攻击的。另外,云是全面虚拟化的,攻击者可以隐藏在和其他客户共享宿主机的虚拟机里面,加之虚拟机具有移动性,物理机之间的克隆和发布可能会产生配置错误和安全漏洞的传播,从这个角度,也增加了更多的安全风险。
再来说说数据安全,部署在云上的数据,其访问、存储、传输更需要考虑加密方式,客户还是云服务商来保护和控制密钥,以及密钥如何存放,这都需要花费更多的努力。
因此,在云上部署的业务应用,其审计要求更高,需要对资源和数据的访问、使用和活动提供更为可靠的审计证据,以证明资源没有被篡改或泄露。
尽管有上述的这些安全挑战,但是如果我们了解云平台的运作机理、使用的技术手段,并熟知其产品特性,施之以完善的规划和部署,那么我们还是可以比较有信心地说:用户是可以安心地使用云计算的。毕竟云计算的高弹性、“即开即用”等特色和优势给企业带来的好处是显著的,想想因芯片的研发时间大幅度缩短而带来的高效和经济效益,是多大的吸引力。读者如果有兴趣,可以从摩尔精英前期发表的《芯片上“云“的动力》一文中了解更多的细节。
“物不因不生不革不成“,可是如何保证成功而安全的迁移,本文将从多个角度来阐述如何做、怎么做来保护企业上云安全,希望能增添大家上云的信心。
02
云的安全优势
2.1、安全随“云”而行
2.2 、多层构建、高安全边界防御
-
最高级别的数据中心物理安全
-
云的数据中心一般是根据数据中心安全要求按照最高级别设计的,比如:数据中心部所有基础设施(空调、UPS等)按全冗余设计,严格隔离不同安全区域、设置不同级别的物理访问控制和监控等。
-
边界防火墙顶级配置
-
高集成事件日志的IDS防御
-
应用、数据库层防火墙保护
-
存留数据加密
2.3、 安全补丁和安全管理高度集成
2.4 安全威胁弹性应对、快速隔离
03
责任共同模型
图3.1. 微软云的“责任共担“模型
图3.2 亚马逊云的“责任共担”模型
04
摩尔精英的安全架构体系
图4.1. 摩尔精英安全系统框架
-
人员规模不大,但是站点较多,有些可能还有国外的设计人
-
启动资金有限,自建机房负担较重,
-
没有专职的IT/CAD人员,
-
对设计平台如何搭建缺乏专业知识,
-
公司初期办公地点不定,可能会经常搬家。
随着云实施方案的成熟,全云方案对初创企业无疑是一个不错的选择。
图4.2 初创企业全云方案拓扑图
图4.3 初创企业上云安全方案
05
总结
参考资料:
1、 https://azure.microsoft.com/en-us/overview/security/?cdn=disable
2、 https://www.verizon.com/business/resources/reports/dbir/
3、 SharedResponsibility Model - Amazon Web Services (AWS)
4、 云中责任共担
推荐阅读:
芯片设计上云——路径篇
信息安全之六大安全要素概述
摩尔云舟,助力芯片客户数据安全管理
芯片设计环境的安全体系概述
芯片上“云”的动力
中国芯片设计云技术白皮书2.0发布
CAD之轮胎说
集成电路IT/CAD设计环境今日与未来
国内半导体差距之IT/CAD篇
今天是《半导体行业观察》为您分享的第2875内容,欢迎关注。
推荐阅读
半导体行业观察
『 半导体第一垂直媒体 』
实时 专业 原创 深度
识别二维码 ,回复下方关键词,阅读更多
晶圆|集成电路|设备 |汽车芯片|存储|台积电|AI|封装
回复
投稿
,看《如何成为“半导体行业观察”的一员 》
回复 搜索 ,还能轻松找到其他你感兴趣的文章!
- 半导体行业观察
- 摩尔芯闻