云原生安全架构与最佳实践-第1篇

21/24云原生安全架构与最佳实践第一部分云原生安全架构原则 2第二部分容器安全最佳实践 5第三部分微服务通信安全 7第四部分云原生身份管理 10第五部分入侵检测与响应 12第六部分安全信息和事件管理 15第七部分零信任原则应用 18第八部分供应链安全保障 21

第一部分云原生安全架构原则关键词关键要点零信任

1.假设网络不可信，对所有用户和设备强制执行身份验证和授权。

2.从网络边界转向微粒级授权，仅授予访问特定资源所需的最小权限。

3.持续监控用户行为，并使用异常检测和威胁情报来识别潜在的威胁。

最小权限原则

1.授予用户和服务仅访问执行其任务所需的最少特权。

2.定期审查特权，并及时撤销不再需要的权限。

3.使用特权管理工具，例如IAM（身份和访问管理）系统，来强制执行最小权限原则。

防御纵深

1.部署多层安全措施，包括网络隔离、入侵检测和访问控制。

2.限制攻击路径，使其难以攻击核心系统。

3.通过构建冗余性和恢复能力，提高整体安全性。

云原生服务利用最佳实践

1.利用云提供商提供的安全服务，例如身份和访问管理、网络隔离和威胁检测。

2.将DevSecOps整合到开发流程中，确保安全考虑从一开始就得到考虑。

3.使用容器安全工具和最佳实践，保护和隔离容器化应用程序。

威胁情报

1.收集和分析来自各种来源的威胁情报，包括安全研究人员、情报机构和云提供商。

2.使用威胁情报来识别新威胁、检测攻击并采取适当的缓解措施。

3.集成威胁情报平台到安全运营中心，提高态势感知和响应能力。

持续安全监测

1.实施持续的安全监测，以检测和响应威胁。

2.使用安全信息和事件管理（SIEM）系统，收集和分析安全日志和事件。

3.利用云原生安全工具，提供实时可见性和威胁检测功能。云原生安全架构原则

最小权限原则

*限制对资源的访问，仅授予执行任务所需的最小权限。

*使用基于角色的访问控制(RBAC)、细粒度权限和零信任模型来实现最小化权限。

防御纵深原则

*在应用程序、平台和基础设施层建立多层安全控制。

*使用隔离、分段和访问控制，以防止未经授权的访问在系统中蔓延。

弹性原则

*设计安全架构，以便在安全事件发生时保持弹性和持续运营。

*实施故障转移和恢复机制，以确保在中断情况下服务的可用性。

可见性原则

*实时监控和记录安全事件，以检测威胁和监控合规性。

*使用日志记录、度量和警报，以提供系统和网络活动的全面可见性。

持续集成和部署原则

*将安全实践集成到持续集成和持续部署(CI/CD)管道中。

*自动化安全测试、漏洞扫描和合规性检查，以尽早发现并解决问题。

可观察性原则

*使安全团队能够监视和分析系统和应用程序的运行时行为。

*使用可观测性工具，例如分布式跟踪、日志记录和监控，以快速识别和解决安全问题。

持续改进原则

*定期审查和更新安全架构，以跟上威胁格局和最佳实践的变化。

*促进持续学习和改进，以增强组织的整体安全态势。

不可变基础设施原则

*使用不可变基础设施，其中基础设施资源在部署后不会更改。

*使用基础设施即代码(IaC)来部署和管理基础设施，以确保一致性和合规性。

微服务原则

*采用微服务架构，其中应用程序被分解成较小的、独立的服务。

*通过限制每个微服务对共享资源的访问，增强安全性和隔离。

容器安全原则

*使用容器安全工具，例如容器运行时安全(CRI-O)和容器安全标准(CIS)，以保护容器免受威胁。

*实施容器注册表安全措施，以防止恶意或未授权的镜像。

服务网格原则

*部署服务网格，以提供跨服务的统一安全性和可见性。

*使用身份认证、访问控制、流量加密和策略执行，以增强服务之间的安全性。

平台安全原则

*选择并配置云平台，为应用程序和基础设施提供内置安全功能。

*利用平台原生安全服务，例如入侵检测系统(IDS)、Web应用程序防火墙(WAF)和DDoS保护。

合规性原则

*设计安全架构，以满足行业法规和标准的要求。

*实施安全控制措施，以通过认证和审核，例如ISO27001、SOC2和GDPR。第二部分容器安全最佳实践关键词关键要点容器安全最佳实践

主题名称：容器镜像安全

1.采用自动化工具定期扫描容器镜像，识别和解决安全漏洞。

2.实施基于角色的访问控制(RBAC)，限制对容器镜像的访问。

3.使用可信的镜像仓库，例如经过认证和签名的仓库。

主题名称：容器运行时安全

容器安全最佳实践

容器安全领域的最佳实践旨在降低容器化应用的风险，确保其安全性和合规性。以下是一些关键的最佳实践：

1.映像安全

*使用可信镜像库：从值得信赖的仓库（如DockerHub企业版）获取已验证的镜像。

*扫描镜像：定期对镜像进行漏洞和恶意软件扫描。

*最小化镜像：移除无用的组件和文件，以减少攻击面。

*应用补丁：及时应用安全补丁和软件更新。

2.入侵检测和响应

*监控容器活动：使用容器监控工具，如Falco或Sysdig，检测异常行为。

*设置警报：设置警报以在检测到可疑活动时触发。

*编排响应：建立自动化的响应机制来隔离和修复受损容器。

3.访问控制

*实施基于角色的访问控制(RBAC)：限制用户对容器和资源的访问。

*使用命名空间：为容器提供隔离，限制容器之间的通信。

*限制特权访问：仅授予需要时对根用户或特权容器的访问权限。

4.网络安全

*隔离容器网络：使用网络名称空间和安全组隔离容器的网络流量。

*监视网络流量：监控容器之间的网络通信，检测异常模式。

*限制端口暴露：仅公开必要的端口，并使用防火墙限制访问。

5.日志和审计

*启用容器日志记录：启用容器日志记录并将其发送到集中式日志服务器。

*定期审计：定期审查容器日志和审计事件，以检测安全事件。

*遵守合规性标准：符合PCIDSS、SOC2和HIPAA等相关合规性标准。

6.安全配置

*强化容器运行时：配置容器运行时，如Docker或Podman，以提高安全选项。

*限制资源使用：为容器分配有限的资源，以防止资源耗尽攻击。

*启用安全功能：启用安全功能，如apparmor或seccomp，以限制容器行为。

7.漏洞管理

*定期更新：及时修复容器中发现的漏洞。

*使用安全补丁管理工具：自动化安全补丁的安装和管理。

*进行渗透测试：定期进行渗透测试，以识别和缓解潜在风险。

8.DevSecOps方法

*集成安全工具：将安全工具集成到开发和运维流程中。

*自动化安全测试：自动化安全测试，如容器扫描和渗透测试。

*安全培训和意识：对开发人员和运维人员进行安全培训和意识培养。第三部分微服务通信安全关键词关键要点【微服务通信安全】

1.采用TLS加密：在微服务之间建立加密通信通道，防止数据在传输过程中被窃听或篡改。

2.实施身份验证和授权：使用认证机制（如JWT或OAuth2.0）验证每个微服务的身份，并根据角色和权限控制访问。

3.使用API网关：作为微服务之间的中央接入点，提供身份验证、授权、速率限制和其他安全功能。

【微服务API安全】

微服务通信安全

在云原生环境中，微服务架构广泛应用于分布式系统的构建。微服务相互通信以交换数据和完成业务逻辑，因此，确保微服务通信的安全至关重要。

#通信加密

微服务通信应采用端到端加密，以防止数据在网络传输过程中被截获或篡改。传输层安全（TLS）是实现加密的常用协议，它通过提供机密性、完整性和身份验证来保护通信。

具体而言，TLS建立一个安全信道，允许微服务通过交换公钥和私钥来协商加密会话密钥。随后，用于加密和解密通信数据的对称密钥从会话密钥派生而来。

#身份和授权

在微服务环境中，验证微服务的身份和授权其访问资源的能力至关重要。这可以防止未经授权的访问和恶意活动。

身份验证机制用于验证微服务的合法性。它可以通过多种协议实现，例如：

*OAuth2.0：一种基于令牌的授权协议，允许微服务使用第三方身份提供商进行身份验证。

*JWT（JSONWeb令牌）：一种自包含的令牌，包含微服务的身份和权利信息。

授权机制用于确定微服务是否有权执行特定操作或访问资源。这可以基于以下内容：

*角色和权限：将微服务分配到具有不同权限的特定角色中。

*细粒度访问控制：根据资源或操作级别授予或拒绝访问。

*零信任：不信任任何实体，直到其通过明确验证。

#API安全网关

API安全网关是一个集中式组件，充当微服务和外部客户端之间的代理。它可以为通信提供额外的安全层，包括：

*流量监视：监控和分析微服务通信模式，检测可疑或恶意活动。

*速率限制：限制微服务通信请求的速率，以防止分布式拒绝服务（DDoS）攻击。

*参数验证：验证微服务请求中的参数，以确保符合预期的格式和值。

*跨站点脚本（XSS）防御：防止攻击者注入恶意脚本，从而劫持微服务或收集敏感数据。

#服务网格

服务网格是一种分布式基础设施层，用于管理和保护微服务通信。它提供了一系列安全功能，包括：

*MutualTLS：强制在微服务之间建立双向TLS连接，确保端到端加密。

*策略管理：集中管理微服务通信的安全策略，包括身份验证、授权和加密。

*流量管理：优化微服务通信，包括路由、负载均衡和故障转移。

#最佳实践

为了确保微服务通信的安全，建议采取以下最佳实践：

*实施全面的加密：为所有微服务通信使用TLS或其他强加密协议。

*建立强健的身份和授权机制：使用基于令牌的身份验证和基于角色的授权来控制对微服务的访问。

*部署API安全网关：提供额外的通信安全层，包括流量监视、速率限制和参数验证。

*集成服务网格：利用服务网格提供的集中式安全管理和端到端加密功能。

*定期安全评估：定期进行安全评估以识别和解决通信中的潜在漏洞。

*持续安全监控：持续监控微服务通信，检测和响应可疑或恶意活动。第四部分云原生身份管理关键词关键要点主题名称：云原生身份和访问管理(IAM)

1.IAM是一种集中式授权系统，允许组织管理对云资源的访问。

2.IAM基于角色和权限，可以动态授予和撤销对特定资源的访问。

3.云原生IAM服务通常支持多种身份提供商，包括GoogleCloud、AWS和MicrosoftAzure。

主题名称：开放IDConnect(OIDC)

云原生身份管理

#定义

云原生身份管理涉及管理云环境中实体（用户、应用程序、服务、设备等）的身份和访问权限的过程。它确保正确的实体能够在正确的时间以正确的方式访问正确的资源。

#原则

云原生身份管理遵循以下原则：

*最小权限原则：仅授予执行特定任务所需的最低访问权限。

*零信任原则：始终验证身份，无论实体来源如何。

*最小化攻击面：减少潜在攻击者可以利用的攻击面。

*集中控制：通过中央身份管理系统统一管理身份和访问权限。

#组件

云原生身份管理系统通常包括以下组件：

*身份提供者(IdP)：验证用户身份并提供访问令牌。

*授权服务器：根据令牌和策略决定对资源的访问权限。

*访问控制引擎：强制执行授权决策。

*身份存储库：存储用户、组和权限等身份信息。

*凭证管理系统：管理和安全存储访问凭证（如密码和密钥）。

#最佳实践

*使用统一身份管理系统：在所有云环境中实施单一的身份管理解决方案。

*实施多因素身份验证：要求用户提供多种凭证才能访问敏感资源。

*使用基于角色的访问控制(RBAC)：根据角色而非个人身份授予访问权限。

*监视并审核用户活动：跟踪用户访问并检测异常活动。

*执行定期安全评估：识别和修复身份管理系统中的漏洞。

#云原生身份管理的技术

云原生环境中用于身份管理的技术包括：

*OAuth2.0和OpenIDConnect：用于身份验证和授权协议。

*KubernetesRBAC：用于Kubernetes集群内的访问控制。

*FederatedIdentityManagement(FIM)：允许用户使用来自其他系统（如LDAP或ActiveDirectory）的凭据进行身份验证。

*云供应商特定的身份管理服务：例如，AWSIdentityandAccessManagement(IAM)和AzureActiveDirectory。

#云原生身份管理的优势

*加强安全性：通过限制对资源的访问并检测异常活动，提高安全性。

*简化管理：通过集中管理身份和访问权限，简化管理。

*提高敏捷性：通过自动化身份管理任务，提高敏捷性。

*提高可审计性：通过跟踪用户活动，提高可审计性。

*遵守法规：帮助组织遵守数据保护法规，如GDPR。

#结论

云原生身份管理对于确保云环境的安全至关重要。通过遵循最佳实践并实施适当的技术，组织可以建立一个强大的身份管理系统，保护其资源免受未经授权的访问。第五部分入侵检测与响应关键词关键要点【入侵检测与响应】

1.主动防御能力：

-利用机器学习和人工智能算法分析安全事件和日志，以识别异常行为和潜在威胁。

-实时检测和响应入侵，如阻断恶意流量、隔离受感染主机并发出警报。

2.威胁情报集成：

-集成外部和内部威胁情报源，以获取有关已知威胁和漏洞的最新信息。

-利用威胁情报来增强入侵检测规则和警报，提高检测准确性。

3.基于风险的优先级：

-根据安全事件的严重性、潜在影响和业务上下文对检测到的威胁进行优先级排序。

-将重点放在处理对业务构成最严重风险的事件上，从而提高响应效率。

【威胁情报与分析】

入侵检测与响应(IDR)

概述

入侵检测与响应(IDR)是云原生安全架构的关键组件，旨在检测、识别和响应安全事件和威胁。IDR系统可提供实时可见性、事件关联和自动化响应能力，帮助组织保护其云环境免遭攻击。

检测机制

IDR系统使用多种检测机制来识别安全事件，包括：

*签名匹配：与已知威胁模式匹配网络流量和日志数据。

*异常检测：建立基线行为模型并检测偏离该模型的活动。

*机器学习和人工智能：利用复杂算法和模型识别新的和未知的威胁。

*流量分析：分析网络流量以识别可疑模式和攻击行为。

事件关联

检测到的事件通过事件关联机制进行关联。这涉及将来自不同来源（例如，安全日志、网络流量、端点数据）的事件连接起来，以创建对攻击或违规行为更全面的视图。

响应自动化

当检测到并关联事件时，IDR系统可以触发自动化响应。这可能包括：

*警报：向安全团队发出警报，提供事件详细信息。

*隔离：隔离受影响的系统或网络，以防止攻击蔓延。

*取证：收集和分析证据，以确定攻击的范围和影响。

*修复：修复漏洞或配置错误，以缓解攻击。

最佳实践

实施有效的IDR系统涉及以下最佳实践：

*集成多元化工具：使用多种检测工具和技术，以全面覆盖安全事件。

*建立强健的基线：定期审查和更新安全基线，以适应不断变化的威胁环境。

*利用自动化：自动化事件响应以提高效率和准确性。

*与安全信息与事件管理(SIEM)系统集成：将IDR系统与SIEM系统集成，以提供单一的事件视图和响应机制。

*进行定期测试：定期测试IDR系统以确保其功能和有效性。

*培养安全团队：提供培训和演习，以提高安全团队的IDR技能和知识。

优势

有效的IDR系统为云原生环境提供以下优势：

*实时可见性：提供对安全事件的持续可见性，实现快速检测和响应。

*提高威胁检测准确性：通过关联和分析事件，减少误报并提高准确性。

*加快事件响应时间：自动化响应流程，缩短发现威胁到采取行动的时间。

*减轻影响：通过隔离和修复受影响的系统，帮助组织减轻攻击的影响。

*提高合规性：有助于满足数据保护和隐私法规的合规性要求。

结论

入侵检测与响应(IDR)是云原生安全架构中至关重要的组成部分。通过检测、关联和响应安全事件，IDR系统有助于组织保护其云环境免受威胁，降低风险并提高合规性。通过实施最佳实践和与其他安全工具集成，组织可以建立一个有效的IDR系统，以增强其云安全态势。第六部分安全信息和事件管理关键词关键要点安全日志与事件管理

1.集中收集、处理和分析来自不同系统的安全日志和事件，以实现全面的安全态势感知。

2.应用基于规则、机器学习或人工智能技术对日志进行关联和分析，识别异常行为和潜在威胁。

威胁情报集成

1.从外部和内部来源收集威胁情报，包括恶意软件签名、域名黑名单和网络攻击趋势报告。

2.将威胁情报与安全日志和事件进行关联，以提高检测和响应效率，主动阻止已知威胁。

安全事件响应

1.建立清晰的事件响应流程和职责分工，确保及时有效地应对安全事件。

2.利用自动化和编排工具，加速调查和响应过程，最小化对业务运营的影响。

合规与审计

1.定期审查和更新安全信息和事件管理系统（SIEM），以满足合规要求。

2.生成详细且可审计的安全报告和日志，用于证明合规性和支持调查。

威胁狩猎

1.主动搜索潜在威胁或攻击者，使用先进的分析技术和威胁情报探索未知威胁。

2.识别并调查可疑活动，即使它们没有触发特定规则或警报。

云原生安全

1.利用云平台提供的安全服务和特性，例如集中式日志记录、威胁检测和身份验证，增强SIEM功能。

2.将SIEM集成到云原生安全生态系统中，与其他安全工具和服务协同工作，实现更全面的保护。安全信息和事件管理(SIEM)

安全信息和事件管理(SIEM)是一种安全工具，用于收集、分析和响应来自各种来源的安全事件和信息。它在云原生安全架构中扮演着至关重要的角色，因为它可以提供以下优势：

#集中式可见性

SIEM将来自所有云组件、应用程序和服务的安全数据集中在一个位置。这使得安全分析师能够全面了解云环境中的安全态势。

#持续监控

SIEM持续监控安全事件，包括日志、警报和网络流量。它可以检测异常模式和潜在威胁，并在需要采取行动时发出警报。

#威胁检测

SIEM使用机器学习和分析算法来检测威胁，例如恶意软件、网络攻击和入侵企图。它可以根据预定义的规则或自定义参数，识别和标记可疑活动。

#事件响应

SIEM充当云环境的事件响应平台。它将安全事件与响应程序和工作流相关联，以自动化任务，例如隔离威胁或向安全团队发出警报。

#合规性

SIEM可以帮助组织满足安全合规性要求，例如PCIDSS、GDPR和HIPAA。它记录所有安全事件和操作，并生成报告以证明合规性。

#SIEM在云原生安全架构中的最佳实践

为了充分利用SIEM在云原生安全架构中的优势，建议遵循以下最佳实践：

*选择适合云环境的SIEM：选择专门设计用于监视和保护云环境的SIEM。

*部署集中式SIEM：将所有安全数据集中在一个SIEM中，以实现全面可见性和集中管理。

*集成所有相关数据源：将SIEM与云基础设施、应用程序、服务和网络集成，以收集所有相关安全信息。

*利用机器学习和分析：利用SIEM的机器学习和分析功能，以检测威胁并自动化事件响应。

*制定清晰的响应流程：制定明确的响应流程，以指导安全团队在检测到威胁时采取的行动。

*定期审查和优化：定期审查SIEM配置和规则，并根据需要进行优化，以确保它与不断变化的威胁环境保持一致。

#结论

安全信息和事件管理(SIEM)是云原生安全架构的基石。它提供集中式可见性、连续监控、威胁检测、事件响应和合规性功能。通过遵循上述最佳实践，组织可以有效利用SIEM来保护其云环境免受各种威胁。第七部分零信任原则应用关键词关键要点零信任原则应用

1.最小特权原则：仅授予用户访问完成任务所需的最低权限，减少潜在攻击面。

2.持续验证：不断验证用户的身份和设备，确保他们的访问权限始终是适当的。

3.基于属性的访问控制：根据用户的角色、设备和行为等属性控制访问，实现更精细的权限控制。

身份和访问管理

1.身份认证：使用多因素认证和生物识别技术验证用户的身份，提高安全性。

2.访问管理：管理用户对应用程序和数据的访问权限，实施基于角色或属性的访问控制。

3.身份生命周期管理：管理用户的创建、激活、禁用和终止，确保身份信息的安全。

网络分段和微隔离

1.网络分段：将网络划分为多个较小的子网，限制不同子网之间的通信，提升安全隔离。

2.微隔离：在子网内使用虚拟防火墙或容器技术进一步分段，粒度控制应用程序和服务的访问。

3.软件定义网络（SDN）：利用SDN技术动态管理和控制网络流量，实现精细的访问控制。

异常检测和威胁响应

1.基于人工智能的异常检测：使用机器学习算法识别异常行为和潜在威胁。

2.自动威胁响应：自动化检测和响应机制，快速处理安全事件，减轻攻击影响。

3.安全信息和事件管理（SIEM）：收集、关联和分析安全事件，提供全面的事件可见性。

日志记录和监控

1.集中式日志记录：将所有系统日志集中到一个平台，便于分析和检测异常。

2.实时监控：实时监控安全日志和事件，及时发现和解决威胁。

3.日志分析：使用自动化工具和服务分析日志，识别安全模式和趋势。

安全运营

1.安全运营中心（SOC）：建立一个中央团队，监视安全事件、响应威胁并管理安全运营。

2.安全编排和自动化响应（SOAR）：自动化安全响应流程，提高SOC的效率和响应能力。

3.威胁情报共享：与其他组织和安全社区共享威胁情报，提高对最新威胁的认识。零信任原则的应用

零信任原则是一种安全模型，它基于以下假设：不应该信任网络或设备，即使它们位于受信任的网络边界内。零信任原则要求持续验证和授权，无论用户或设备位于何处。

在云原生环境中，零信任原则可以通过以下方式应用：

1.微分段

微分段将网络划分为较小的、隔离的段。这样，即使一个段被攻破，攻击者也无法访问其他段。

2.基于身份的访问控制(IAM)

IAM根据用户的身份和属性控制对资源的访问。这样，只有经过授权的用户才能访问他们需要访问的资源。

3.最小特权

最小特权原则规定，只授予用户执行其工作所需的最少权限。这样，即使一个用户被攻破，攻击者也无法执行超出其授权范围的操作。

4.双因素身份验证(2FA)

2FA要求用户在登录时提供两种不同的身份验证因素。这样，即使攻击者获得了用户的密码，他们也无法访问用户帐户。

5.持续监控

持续监控可以检测安全事件和异常活动。这有助于组织快速发现和响应攻击。

零信任原则应用的优点

在云原生环境中应用零信任原则具有以下优点：

*提高安全性：零信任原则有助于降低网络攻击的风险。

*提高敏捷性：零信任原则使组织能够在保持安全性的同时快速适应新的技术和应用程序。

*降低成本：零信任原则可以帮助组织通过减少安全事件而降低成本。

*改进合规性：零信任原则有助于组织满足法规遵从要求。

零信任原则应用的挑战

在云原生环境中应用零信任原则也存在一些挑战：

*复杂性：零信任原则可能比传统安全模型更复杂。

*实施成本：实施零信任原则可能需要大量投资。

*运维成本：维持零信任原则可能比传统安全模型更昂贵。

*用户体验：零信任原则可能会对用户体验产生负面影响。

结论

零信任原则是一种强大的安全模型，可以帮助组织保护云原生环境。然而，在应用零信任原则时，组织需要注意其优点和挑战。通过仔细规划和实施，组织可以利用零信任原则来提高其安全性和敏捷性。第八部分供应链安全保障关键词关键要点云原生供应链风险管理

1.识别和评估云原生供应链中的潜在安全风险，包括恶意代码植入、数据泄露和服务中断。

2.建立流程和工具来检测和响应供应链攻击，包括及时应用补丁、监控供应商活动和实施代码签名。

3.与供应商合作，确保他们遵守安全最佳实践，并要求提供透明度和合规性证明。

软件成分分析

1.使用软件成分分析（SCA）工具识别和跟踪云原生应用程序中使用的开源和第三方组件。

2.评估组件的安全漏洞和许可证合规性，以降低引入已知漏洞或法律风险的可能性。

3.根据安全和许可证合规性标准自动执行补丁管理和升级流程。

容器镜像安全

1.实施容器镜像扫描和签名机制，以检测恶意代码、漏洞和配置错误。

2.使用已通过认证的容器镜像仓库，并与供应商合作，确保镜像的完整性和安全性。

3.限制容器特权并实施最小权限原则，以减少攻击面和容器逃逸的可能性。

DevSecOps实践

1.将安全实践整合到云原生开发和运维流程中，通过自动化和协作提高安全效率。

2.启用安全工具和流程，例如静态应用程序安全测试（SAST）、动态应用程序安全测试（DAST）和交互式安全测试（IAST）。

3.建立安全编码准则和培训计划，提高开发人员的安全意识和技能。

云提供商安全责任共享模型

1.理解云提供商和客户在云原生环境中安全责任的划分。

2.利用云提供商提供的安全服务和工具，例如身份和访问管理（IAM）、安全组和入侵检测系