阿里云在安全上倡导的是责任共担模型, 简单说就是云平台的安全由阿里云负责, 但云上租户自己的网络、主机、业务、数据的安全,需要租户自己负责,那作为一个租户,具体该怎么做呢?
记得小时候的“三字经”郎朗上口,至今不忘。 因此我就想,云上的安全能否也用3字经的方式表达?即简单又清晰,因此整理了下面9个安全“三字经”。
这第1句是:筑堡垒。
就是通过虚拟网络的技术,Virtual Private Cloud,简称VPC,把每个租户的业务系统放到一个私有网络中, 在不同VPC的租户之间,网络是天然隔离的,VPC对于客户业务来说,就像是一个天然的堡垒。
第2句是:关好门。
业务放到VPC这个堡垒之后,需要对外提供服务。大家都知道,每个IP对外提供了6万多个端口,每个端口相当于是业务系统对外开放的大门, 因此这第二步工作,就是要把门关好。
最好是缺省禁止访问,只放开必要的业务端口,比如TCP 80,443。同时,如果没有主动外联的业务,那就设置从内到到都禁止的规则,以免服务万一中木马后,对外通报信息,暴露了公网IP。
另外如果是有远程管理的需求,最好采用VPN方式访问,不应该把管理端口直接暴露在公网上。
第3句是: 补上洞。
云盾的安骑士产品提供自研漏洞补丁,在漏洞爆发和官方未发布补丁的窗口期,帮助客户一键修复漏洞,拦截黑客攻击。
第4句是: 防住贼。
业务放到VPC堡垒后,也只对外开放了http端口,但任然防不住有些互联上的窃贼通过SQL注入等方式获取窃取业务系统的数据。因此针对web业务的Web应用防火墙(简称WAF),就成为防火墙web应用的必须品。
另外一些互联网“窃贼”,为了获取网站上活动的奖品、红包,注册了大量账号来进行“撸羊毛”的行为。我们在云盾WAF的高级及以上版本,集成了业务风控功能。通过在业务中无缝插入滑屏校验码,以判断是人的注册行为,还是机器的注册行为。判断是机器的行为,则自动被禁止。
再次,大家都支持http业务是明文的,很容易被监控,被劫持。 因此,很有必要通过SLB + 证书的功能,把http的业务应用转变为https。来防止这一部分的窃贼。
这就是“防住贼”这3方面的意思。
第5句是: 勤检查。
构建好上面的防护体系之后,还需要日常的“勤检测”,来判断我现在的系统是否有漏洞?现在是否安全?到达谁在攻击攻击? 攻击者对我哪些业务资产感兴趣?
这就需要“态势感知”系统,和传统基于结果的态势感知,云上态势感知最大的差距在于,其是基于全量的云、管、端的数据的分析。云就是云上的威胁情报、管就是租户管道的全流量分析,端就是服务器端的实时监测。同时在其企业版本中,还可以通过大屏的方式将态势感知直观的展示出来,方便日常运维。
值得一提的是,在线下态势感知项目都是百万级, 而在云上受到云计算的红利,客户的拥有成本随着ECS的数量,从几千到几万不等。
第6句是: 重备份。
备份是业务快速恢复最后的兜底措施,因此大家一定要重视。并且在阿里云ECS上提供了自动的快照功能。
以上这6步,基本就构建了云上安全的基础防护体系。对于一些特殊的业务,如游戏类或电商类业务,比较容易受到DDoS攻击,还需要选购DDoS高防IP服务,用于保障在被攻击时业务的连续性。
另外,对应电商类的业务来说,先知平台的安全众测服务也是必须的,特别是类似“0元支付”的业务逻辑漏洞,通过安全产品是无法解决的。如果有这种业务,最好就需要采用先知平台的安全众测,来提前规避业务的损失。
除此之外,很多云上的企业处于业务高速发展阶段,更多的人员投入到业务相关,基础安全建设,特别是安全攻防方面的人员配置不足,云盾也推出了安全管家服务,做好客户的帮手,帮助客户一起保护好云上资产的安全。
最后,我想说:安全是一个整体,入侵往往发生在最薄弱环节,不能头疼医头,脚痛医脚,需要在业务上云时就有一套完整的安全防护体系,而不是等出了安全事故才想去应该搞安全。
有人会说,我在云上的ECS也不过几台,怎么在安全上的投入比ECS还贵啊。 其实客户在云上的安全投入和ECS数量并不强相关,而是和业务系统的价值强相关,一般和交易相关(钱)、和用户注册相关(人)、和企业业务数据相关的应用,均是应重点防护的应用。
就像同样的一个仓库,如果存放的是黄金,和存放普通货物。安全的防护基本肯定是不一定的。