關於雲租戶安全建設的思路分享

隨着企業雲化的深刻，安全策略成爲企業雲上建設須要着重考慮的問題，如何安全有效的使用雲計算開展本身的業務？本篇文章將簡單分享雲租戶的安全建設思路：知己知彼，將安全風險控制在可接受範圍以內。

（一）知已

瞭解本身多是最難的，也多是最重要的。不一樣企業擁有不一樣的雲上系統或項目，而業務系統或項目有着不一樣的重要程度，企業首先要作的就是分析本身的業務系統，根據業務系統的重要程度及安全收益率進行安全預算安排。

（二）知彼

企業雲上業務系統在運營過程當中，面臨諸多安全威脅，有效識別出可能的安全威脅來源，是構建雲安全防護體系的前提。那麼，企業雲上業務系統可能面臨哪些安全威脅？

（1）網絡層：拒絕服務攻擊

分佈式拒絕服務攻擊（DDoS），是最暴力、血腥、有效的攻擊方式，可直接致使企業雲上業務系統帶寬堵塞。

（2）主機層：雲主機入侵攻擊

雲主機是企業雲上業務系統的重要承載，攻擊者經過暴力破解或配置漏洞等缺陷入侵雲主機，用以構建僵屍網絡、竊取數據及敲詐勒索等。

（3）應用層：Web應用漏洞攻擊

企業雲上業務系統對外提供服務的諸多系統採用HTTP/S應用協議（Web），攻擊者利用Web服務可能存在的諸多漏洞進行攻擊，竊取業務系統數據或權限等。

（4）數據層：數據竊取或篡改

雲上業務系統數據在傳輸過程當中通過互聯網，可能被中途竊取或篡改，形成數據完整性和機密性受到影響。

（5）運維層：運維人員違規風險操做

企業雲上業務系統須要內部人員進行運維操做，如何防範高風險的運維操做相當重要。

（6）合規層：國家等級保護

2017年6月，國家網絡安全法開始實施，企業安全建設不單單是內部驅動，同時也有法律驅動。

（三）安全風險控制

企業梳理了雲上業務系統的重要程度，結合可能會面臨的安全風險，開始構建雲上的安全體系：

（1）雲上業務系統架構

經過使用雲上VPC（私有網絡），構建屬於雲租戶的、邏輯隔離的網絡環境。在私有網絡中，建立指定網斷的VPC，並在VPC中建立子網、自主管理雲資源，同時可經過網絡ACL實現安全防禦。

（2）服務端口梳理

企業梳理各業務系統的開放IP、端口及服務等，僅放開必須開放的IP、端口服務等，減少受攻擊面。

（3）安全配置基線

企業根據自身狀況，制定雲上系統的內部基線配置並落地實施，例如Linux系統安全配置基線（共享帳號檢查、多餘帳號鎖定策略、ROOT遠程帳戶登陸限制、口令複雜度策略、口令最長生存期策略、目錄權限控制等）。

（4）雲安全方案

採用高防服務，控制網絡層面臨的拒絕服務攻擊風險； 採用Web應用防火牆，控制應用層面臨的Web應用漏洞攻擊風險； 採用主機入侵檢測，控制雲主機面臨的暴力破解、漏洞攻擊及木馬風險； 採用SSL證書和數據庫審計，控制數據傳輸和處理過程當中面臨的竊取、篡改等風險； 採用堡壘機，控制企業內部運維人員違規運維風險； 採用等保諮詢服務，知足國家網絡安全等級保護合規要求。

UCloud安全產品選型指南

（5）應急響應方案

安全是相對的，沒有絕對的安全。企業應構建本身的安全應急響應團隊或採用第三方應急響應服務，應對可能發生的安全事件。

（四）寫在最後

安全體系的建設離不開對安全技術知識的全面瞭解，除了相關的思路方法，咱們也整理了一張安全工程師的技術學習圖譜，但願這張圖譜能幫助你們更好的理解、掌握安全領域知識體系。須要明確的是，世間萬事不可一律而論，具體問題下還須要結合實際狀況具體分析，實踐方能出真知。

網站圖片壓縮會致使部份內容不清晰，感興趣的讀者能夠點擊連接免費下載高清電子版：https://static.ucloud.cn/002cbba594444c92a18a59ee370e6254.jpg