zoukankan      html  css  js  c++  java
  • 云上安全三字经

    阿里云在安全上倡导的是责任共担模型, 简单说就是云平台的安全由阿里云负责, 但云上租户自己的网络、主机、业务、数据的安全,需要租户自己负责,那作为一个租户,具体该怎么做呢?

    记得小时候的“三字经”郎朗上口,至今不忘。 因此我就想,云上的安全能否也用3字经的方式表达?即简单又清晰,因此整理了下面9个安全“三字经”。

    8c087d4f778bb7c5661422c60f95fc911f8b52ef

    这第1句是:筑堡垒。

    就是通过虚拟网络的技术,Virtual Private Cloud,简称VPC,把每个租户的业务系统放到一个私有网络中, 在不同VPC的租户之间,网络是天然隔离的,VPC对于客户业务来说,就像是一个天然的堡垒。

    第2句是:关好门。

    业务放到VPC这个堡垒之后,需要对外提供服务。大家都知道,每个IP对外提供了6万多个端口,每个端口相当于是业务系统对外开放的大门, 因此这第二步工作,就是要把门关好。

    最好是缺省禁止访问,只放开必要的业务端口,比如TCP 80,443。同时,如果没有主动外联的业务,那就设置从内到到都禁止的规则,以免服务万一中木马后,对外通报信息,暴露了公网IP。

    另外如果是有远程管理的需求,最好采用VPN方式访问,不应该把管理端口直接暴露在公网上。

    第3句是: 补上洞。

    云盾的安骑士产品提供自研漏洞补丁,在漏洞爆发和官方未发布补丁的窗口期,帮助客户一键修复漏洞,拦截黑客攻击。

    第4句是: 防住贼。

    业务放到VPC堡垒后,也只对外开放了http端口,但任然防不住有些互联上的窃贼通过SQL注入等方式获取窃取业务系统的数据。因此针对web业务的Web应用防火墙(简称WAF),就成为防火墙web应用的必须品。

    另外一些互联网“窃贼”,为了获取网站上活动的奖品、红包,注册了大量账号来进行“撸羊毛”的行为。我们在云盾WAF的高级及以上版本,集成了业务风控功能。通过在业务中无缝插入滑屏校验码,以判断是人的注册行为,还是机器的注册行为。判断是机器的行为,则自动被禁止。

    再次,大家都支持http业务是明文的,很容易被监控,被劫持。 因此,很有必要通过SLB + 证书的功能,把http的业务应用转变为https。来防止这一部分的窃贼。

     这就是“防住贼”这3方面的意思。

    第5句是: 勤检查。

    构建好上面的防护体系之后,还需要日常的“勤检测”,来判断我现在的系统是否有漏洞?现在是否安全?到达谁在攻击攻击? 攻击者对我哪些业务资产感兴趣?

    这就需要“态势感知”系统,和传统基于结果的态势感知,云上态势感知最大的差距在于,其是基于全量的云、管、端的数据的分析。云就是云上的威胁情报、管就是租户管道的全流量分析,端就是服务器端的实时监测。同时在其企业版本中,还可以通过大屏的方式将态势感知直观的展示出来,方便日常运维。

    值得一提的是,在线下态势感知项目都是百万级, 而在云上受到云计算的红利,客户的拥有成本随着ECS的数量,从几千到几万不等。

    第6句是: 重备份。

    备份是业务快速恢复最后的兜底措施,因此大家一定要重视。并且在阿里云ECS上提供了自动的快照功能。

    以上这6步,基本就构建了云上安全的基础防护体系。对于一些特殊的业务,如游戏类或电商类业务,比较容易受到DDoS攻击,还需要选购DDoS高防IP服务,用于保障在被攻击时业务的连续性。

    另外,对应电商类的业务来说,先知平台的安全众测服务也是必须的,特别是类似“0元支付”的业务逻辑漏洞,通过安全产品是无法解决的。如果有这种业务,最好就需要采用先知平台的安全众测,来提前规避业务的损失。

    除此之外,很多云上的企业处于业务高速发展阶段,更多的人员投入到业务相关,基础安全建设,特别是安全攻防方面的人员配置不足,云盾也推出了安全管家服务,做好客户的帮手,帮助客户一起保护好云上资产的安全。

    最后,我想说:安全是一个整体,入侵往往发生在最薄弱环节,不能头疼医头,脚痛医脚,需要在业务上云时就有一套完整的安全防护体系,而不是等出了安全事故才想去应该搞安全。

    有人会说,我在云上的ECS也不过几台,怎么在安全上的投入比ECS还贵啊。 其实客户在云上的安全投入和ECS数量并不强相关,而是和业务系统的价值强相关,一般和交易相关(钱)、和用户注册相关(人)、和企业业务数据相关的应用,均是应重点防护的应用。

     就像同样的一个仓库,如果存放的是黄金,和存放普通货物。安全的防护基本肯定是不一定的。

    原文地址:http://click.aliyun.com/m/19948/  

  • 相关阅读:
    A1052. Linked List Sorting (25)
    A1032. Sharing (25)
    A1022. Digital Library (30)
    A1071. Speech Patterns (25)
    A1054. The Dominant Color (20)
    A1060. Are They Equal (25)
    A1063. Set Similarity (25)
    电子码表
    矩阵键盘
    对象追踪、临时对象追踪、绝对坐标与相对坐标
  • 原文地址:https://www.cnblogs.com/iyulang/p/6824986.html
Copyright © 2011-2022 走看看