指南 | 傳統企業如何設計「上雲」安全解決方案

時間 2021-05-10

原文原文鏈接

現在，大數據、雲計算等新興技術正在以一種史無前例的方式迅速改變着這個世界。企業級用戶不肯意把自身業務遷移到公有云，最主要的因素仍是出於對價格、數據安全、以及穩定性等方面。
但近幾年的政策持續利好，國內雲計算市場掀起一陣發展浪潮。「上雲」已經成爲大多數企業的勢在必行的舉動。

傳統企業數字化轉型的浪潮高歌猛進，但每個企業在轉型過程當中也經歷着切膚之痛。或擔憂於企業數據安全、業務穩定，或受制於陳舊的IT基礎設施，或困惑於新技術、新概念更新迭代之快，企業「上雲」的選擇與條件，需因地制宜。sql

今天與你們分享的是一個典型的大型傳統企業：數據庫

品牌+連鎖」的經營戰略
線下專賣店規模龐大（≥1000家）
經營範圍包括了產品全生命週期

在這樣的場景下，「上雲」的安全性是企業的首要考慮的問題。後端

一、核心數據庫監管審計安全管控難？

對於傳統企業「上雲」而言，線上交易和庫存管理等核心交易系統轉變爲雲服務模式，對應核心數據庫監管審計的管控是十分重要的一環。數據安全的核心是對「數據」全方位的安全防禦，其產品及解決方案直接涉及企業的核心機密。所以數據庫審計方面，京東雲團隊爲核心交易數據庫提供了訪問記錄、安全審計、數據庫防注入等。安全

二、對粗放式安全管理的挑戰？

企業用戶的核心繫統採用雲端服務對傳統防火牆等粗放式安全管理是一項不小的挑戰。在IP高防方面，咱們設計了彈性DDOS防禦能力，而且智能調度用戶流量，爲客戶提供四層防禦。Web應用防火牆針對大型傳統企業應用層提供七層防禦，防護SQL注入、XSS跨站腳本、常見Web服務器插件漏洞、木立刻傳、等OWASP常見攻擊，抵禦惡意CC攻擊，爲網站保駕護航。服務器

三、防禦安全能力未知？

傳統企業「上雲」涉及的上線智慧門店系統，多會面臨企業定製開發的應用模塊，防漏洞、防注入、防篡改等能力未知的問題。漏洞掃描服務必不可少，總體掃描線上系統，找出系統漏洞和高危漏洞，並給出改進建議是一個「優秀」的安全解決方案須要具有的能力。防滲透測試也爲客戶解決了應用系統安全問題和被攻擊問題等。網絡

四、不可預知的公網安全風險？

傳統大型企業IT系統全線上雲以後其實會面臨着更多不可預知的公網安全風險。這時候安全優化是咱們須要作的第一步，這其中包含雲端系統安所有署優化建議和應急響應。（應急響應是當用戶遇到黑客入侵、病毒、重點時期等特殊問題時，及時快速幫助用戶分析問題，提供解決方案。）
架構

安全解決方案之大型傳統企業客戶案例

在瞭解傳統企業用戶「上雲」的安全痛點及建議後，咱們給出了一個大型傳統企業客戶「上雲的案例解決方案：
負載均衡

方案解讀

規劃本身的專屬 VPC，包含網段及 IP 分配信息；
在專屬 VPC 內建立與生產中心一一對應的災備雲主機和控制檯，用以承載災備數據和管理控制災備任務;
經過數據專線連通生產中心與京東雲災備 VPC，提升備份數據傳輸效率和安全性;
在生產中心物理服務器和京東雲災備主機上部署 Agent，用以監控系統狀態和數據變化;
經過統一管理界面，實現集中運維管理，實現應用系統到京東雲的容災。

使用產品

藉助以上京東安全解決方案，在低成本、短建設週期的前提下可爲客戶實現異地災備中心的建設，並可享有專屬災備培訓和指導。運維

同時，利用京東雲公有云彈性伸縮、按量計費等普惠優勢，下降傳統運維維護成本，提升自有數據安全性和業務連續性，在提高運維管理效率的同時將更多精力放在業務創新上。工具

咱們也經過此方案，在過去兩年中，幫同量級的企業客戶實現了營業收入突破百億元。😱

在不一樣的業務場景下，咱們給出了一份企業安全「上雲」指南：

01 帳號口令安全指南

杜絕弱口令，弱口令是最容易出現的也是最容易被利用的漏洞。
爲全部服務配置強密碼，要求至少8個字符以上，包含大小寫字母、數字、特殊符號，而且不按期更新口令。
Linux系統，禁止使用root帳號直接登陸，使用證書登陸，設置可信登陸主機的IP。
Windows系統，修改 administrator 默認名稱，設置可信登陸主機的IP。
Web應用系統，必須使用強密碼安全策略和驗證碼，防止暴力破解和撞庫。
數據庫系統（Redis、MongoDB、MySQL、MSsql Server）禁止使用弱密碼或無密碼。
加強安全策略，使用多因素驗證機制（MFA）、強制密碼安全策略（如：鎖定策略），和審計功能（異常告警）。

02 網絡架構安全指南

使用虛擬專有網絡（VPC），隔離企業內部不一樣安全級別的雲主機，避免同網絡環境下一臺服務器被入侵後影響到其它雲主機。
在VPC中使用NAT提供上網服務，禁止雲主機直接綁定公網IP，直接綁定公網IP會致使雲主機徹底暴露在互聯網遭受攻擊入侵。
對互聯網提供服務，經過負載均衡（LB）將須要開放對外的端口（如：80，443）代理到後端的應用服務，並將對外服務放置在獨立的子網中。
防火牆隔離（安全組）是雲上的主要網絡安全隔離手段，經過安全組設置在網絡層過濾服務器的訪問行爲，限定服務器對外/對內的的端口訪問，受權訪問地址，從而減小攻擊面，保護服務器的安全。
高危網絡端口，開啓的服務端口越多越不安全。只對外開放提供服務的必要端口，禁止將RDP、SSH、Redis、MongoDB、MySQL、MSsql等高危服務直接暴露在互聯網上。

03 應用開發安全指南

對應用服務軟件（如 Tomcat、Apache、Nginx 等軟件），建議使用官方最新版的穩定版。
及時更新Web應用版本，如：Struts、ElasticSearch非最新版都爆發過遠程命令執行漏洞。
WDCP、TOMCAT、Apache、Nginx、Jekins、PHPMyAdmin、WebLogic、Jboss等Web服務管理後臺不要使用默認密碼或空密碼；不使用的管理後臺建議直接關閉。
使用安全掃描工具（例如，系統漏掃工具：Nessus、Nexpose，Web漏掃工具：Appscan、AWVS）上線前掃描應用服務，是否仍存在高風險漏洞，修復完漏洞後再發布使用。

04 系統運維安全

使用跳板機/堡壘機進行遠程維護，實施強密碼策略，合理分配權限，對於全部操做行爲嚴格記錄並審計。
爲操做系統雲服務器安裝防病毒軟件，並按期更新病毒庫。
按期更新補丁，修補操做系統漏洞，關注安全漏洞情報，當出現高風險漏洞時，及時更新操做系統全部補丁。
Windows系統的補丁更新要一直開啓，Linux系統要設置按期任務執行yum update -y來更新系統軟件包及內核。
開啓系統日誌記錄功能，集中管理日誌和審計分析。
對全部業務系統進行實時監控，當發現異常時，當即介入處理。對軟件安全加固（Apache、Nginx、Tomcat、Mysql、MSsql、Redis等服務）標準化安全配置，禁止隨意修改。

內容支持：京東雲安全團隊、京東雲企業雲業務團隊

歡迎點擊「連接」瞭解京東雲更多精彩