數據在雲上安全嗎？DDoS攻擊怎麼辦？

雲計算是大勢所趨，根據2016年IDC的統計分析報告指出：

 

• 2015-2020年間IT總市場複合增加率僅爲3%

• 全球公有云市場複合增加率爲19%

• 74%的中國企業認爲雲值得信任

• 62%的企業認爲雲在基礎防護、平臺穩定、團隊專業上具備先天優點。

 

所以隨着各大雲廠商的雲平臺的發展，愈來愈多的企業在嘗試將本身的應用從本地機房遷移上雲。

 

當四五年前公有云剛在國內市場嶄露頭角之時，大部分企業都在保持一種觀望的狀態。畢竟在信息化高速發展的今天，數據是一個企業的命根。把數據放在公有云上，讓傳統企業的管理者心懷忐忑。可是隨着這幾年企業應用上雲的試水，逐漸讓更多的企業管理者相信在公有云上，數據會更安全。

 

最近在跟客戶聊天的時候，發現了一個奇怪的想法，客戶問了一個問題：

 

如今不是全部雲廠商在給本身的公有云作廣告時候宣傳是安全可靠的麼，爲何咱們還須要購買安全產品？？？

 

其實這裏有一個理解上的差別，雲廠家一般所說的公有云是安全可靠的，我認爲其實大多時候指的是相對於咱們在本地機房時候。

 

咱們把服務器或者數據存放在雲端是安全可靠的，由於這些原來須要物理條件支撐的資源，如今作成SaaS形式給租戶。其實其風險將會依賴於各大雲廠家的機房物理條件，而各大雲廠家龐大的物理條件，固然穩定性會高於本地化的小機房。

 

國家互聯網應急中心8月13日發佈的《2019年上半年我國互聯網網絡安全態勢》顯示，2019年上半年，發生在我國雲平臺上的網絡安全事件或威脅狀況相比2018年進一步加重。

 

根據國家互聯網應急中心監測數據，發生在我國主流雲平臺上的各種網絡安全事件數量佔比仍然較高，其中雲平臺上遭受分佈式拒絕服務攻擊（DDoS攻擊）次數佔境內目標被攻擊次數的69.6%，被植入後門連接數量佔境內所有被植入後門連接數量的63.1%，被篡改網頁數量佔境內被篡改網頁數量的62.5%。

 

咱們的應用系統，不管是在本地機房仍是公有云，其實面臨的風險都是一致。只是當咱們應用放在公有云上時候，咱們不須要本身去購買安全盒子，本身去準備環境進行防護了，咱們能夠很方便的直接使用各大雲廠家提供的安全產品的SaaS直接對咱們的應用進行防禦。

 

 

咱們的應用系統將會面臨怎樣的風險呢？

從圖中介紹的維度，咱們能夠清晰的將應用系統面對的威脅劃分爲四個維度。分別爲：網絡安全、業務安全、主機安全、APP安全。其實這四類的威脅，不管是咱們將應用放在本地機房，仍是將應用放在公有云上，都將是咱們的應用系統須要面對的，固然若是咱們的應用是B/S架構的，就不會有APP安全的威脅。

 

根據過往的經驗，咱們知道，在線下機房，咱們能夠經過採購一系列的硬件盒子，並將這些安全硬件盒子與咱們本地的網絡、服務器組合起來使用，起到了安全防禦的做用。那麼在咱們公有云環境上面，咱們須要怎樣的最小配置，才能讓雲上的應用系統獲得更好的保護？

 

爲了更直觀的體現後續介紹，咱們須要採用哪些安全措施來保障應用安全，我用如下簡單的架構圖例子來輔佐進行說明。

 

1. 主機層面

殺毒軟件：以官網服務器爲例（架構圖中的右下角），須要在服務器上安裝殺毒軟件。通常雲廠商會有自研的殺毒軟件。雲廠家的殺毒軟件會比傳統的殺毒軟件功能會更強。除了具備殺毒功能外，通常還會包括漏洞掃描與修復，服務器安全基線掃描，資產管理等功能。能夠更好的從主機層面上防禦系統。

 

雲數據庫審計：可針對數據庫SQL注入、風險操做等數據庫風險操做行爲進行記錄與告警。支持雲數據庫、自建數據庫，爲雲上數據庫提供安全診斷、維護、管理能力。

 

2. 網絡訪問層面

在架構圖中從終端用戶到應用訪問的網絡路徑中，會先通過多個雲安全產品從網絡數據傳輸上對應用進行防禦。此處，咱們列舉經常使用的三款雲安全產品：

 

Web應用防火牆：

基於雲安全大數據能力，有效防護各種OWASP常見Web攻擊並過濾海量惡意CC攻擊，實現網站防篡改，避免您的網站資產數據泄露，保障網站業務安全性與可用性。

 

DDoS防禦：

有效防火DDoS攻擊，保護應用不受DDoS攻擊影響。

 

證書服務：

以最小的成本將您的服務從HTTP轉換成HTTPS，實現網站的身份驗證和數據加密傳輸。

 

3. 運維安全管理層面

這一個防範措施每每是用戶容易忽略的，甚至不少用戶會認爲，這些防禦手段在傳統IDC機房慣用的防禦手段，在雲環境中沒有必要去作，其實這是對雲上運維工做錯誤的理解。上雲後解決的是咱們對物理環境的運維，以及減輕大量的手工運維工做。

 

堡壘機：

集中了運維身份鑑別、帳號管控、系統操做審計等多種功能。基於協議正向代理實現，經過正向代理可實現對SSH、Windows遠程桌面、SFTP等常見運維協議的數據流進行全程記錄，再經過協議數據流重組的方式進行錄像回放，達到運維審計的目的。

 

安全加固：

經過堡壘機，對包括了操做系統、數據庫、中間件等的安全參數、日誌審計、帳號審計、登陸審計等進行配置

 

漏洞修復：

經過堡壘機，對包括操做系統、數據庫、中間件、應用等的漏洞進行修復。

 

子網劃分：

經過不一樣的子網，規範雲資源的管理工做，對雲資源進行訪問控制。

 

總結上述三種安全保護措施，當咱們在公有云上發佈應用時候，爲了保障應用安全性以及合規性。咱們最小須要配置的雲安全產品應包括：殺毒軟件、DDoS防禦、Web應用防火牆、證書服務、數據庫審計、堡壘機等雲安全產品。同時還須要雲服務器、數據庫、中間件等資源進行安全加固和漏洞修復等運維工做。

做者： 林偉棟

———— / END / ————

更多討論

如何基於TAPD實踐Scrum的敏捷開發？

嘉爲藍鯨出席GOPS全球運維大會：運維巔峯時代，研運中臺或是惟一選擇

錯誤提示：網絡鏈接問題？試試用netstat監控網絡鏈接！

如何納管與定義多雲？