346      阿裏雲  技術社區[雲棲]

網絡架構、基礎設施、賬號、應用，四大安全措施加固企業雲安全

2017年在線技術分會——運維/DevOps在線技術峰會上，來自阿裏雲雲平台安全的天公分享了企業上雲安全加固最佳實踐。他首先分析了雲安全存在的問題，然後從網絡架構安全、基礎設施安全、賬號安全、應用安全四個方麵詳細分享了企業利用阿裏雲進行雲安全加固的具體方法。

以下內容根據直播視頻整理而成。

存在問題

我們的係統不管是部署在IDC機房（自建的IDC、租用的IDC），還是部署在阿裏雲的雲平台上，都會麵臨安全問題。黑客入侵導致的應用漏洞、係統被黑、數據泄露，DDOS攻擊導致網站不可用。對於一個企業來說，沒有專門的安全團隊是沒有辦法解決上述問題的。在公有雲平台，我們可以利用雲計算幫我們解決安全方麵的風險：利用VPC、雲WAF、DDOS防禦、入侵檢測即可解決前麵提到的問題。

如何解決

利用好公有雲提供的安全能力，對這些能力進行最優化的使用，相當於有一支專業的安全團隊來幫我們解決相關的安全問題。在網絡架構安全方麵，通過選擇VPC 網絡結構，而不是經典網絡結構可以將係統與外部網絡進行隔離；在基礎設施安全方麵，雲計算為我們提供了很多安全防護的能力，比如對ECS（用於係統計算）、RDS（用於數據存儲）、OSS（用於文件的離線存儲）提供相應的防護；在賬號安全方麵，保管好鑰匙是非常重要的；在應用安全方麵，雲計算提供的防禦手段可以保護好我們的應用。

網絡架構安全

網絡架構方麵，有兩種選擇。VPC是私有專有網絡，從安全角度出發比較推薦此架構，因為它可以和公網有網絡隔離的能力。它可以通過VPC專線與企業私網進行打通，比較方便的構建混合雲，同時支持自定義的網段，安全組的隔離可以做到企業係統內網隔離的功能。對於經典網絡，每個ECS默認都是暴露在公網上，與其他用戶都是處於同一平麵。如果用經典網絡保護自己的話需要使用經典網絡提供的安全組的功能來做一些網絡防護控製，需要做比較多的工作才能達到與VPC相同的網絡安全防護的能力。

基礎設施安全

ECS安全（計算）

ECS麵臨的一些問題包括：遠程登錄會被黑客暴力破解攻擊，開放的服務會被黑客入侵攻擊，對外提供的服務可能遭受到DDOS攻擊造成服務的不可用。針對上述問題，ECS提供了一些安全防禦的能力：在遠程登錄方麵，從互聯網登錄ECS建議使用ssh key驗證，避免通過密碼被暴力破解的風險，如果使用密碼登錄的話，建議使用強密碼，12位以上，同時包含數字、大小寫字母、特殊符號；端口開放限製方麵，建議隻開放必要的服務（公網開放80、443等，內網訪問全部拒絕），高危端口（MySQL、Redis、Memcache等）隻允許本機訪問；部分服務設定IP白名單，如SSH、RDP、安全組；DDOS防禦方麵，阿裏雲平台默認提供了雲盾5G免費清洗，商業用戶建議購買雲盾高防。

RDS安全（DB）

任何一個係統最終存儲的係統的業務數據都是放在RDS數據庫中。所以，如果RDS不安全的話，會增加係統數據泄露的風險。RDS存在的安全問題和解決方案如下：

在密碼安全方麵，由於遠程連接需要提供用戶名和密碼進行遠程登錄，而應用登錄沒辦法通過類似於證書這種辦法進行遠程登錄，所以建議RDS的遠程登錄密碼必須使用強密碼（12位以上，同時包含數字、大小寫字母、特殊符號）。在應用中會連接數據庫進行數據的讀寫操作，不可避免的將數據庫的連接串和連接密碼編碼到應用中，應用被入侵之後，密碼可能泄露，建議接入阿裏雲提供的秘鑰管理服務KMS。

數據庫提供了賬號權限控製機製，可以針對不同角色、不同應用建立不同賬號，建議針對每個賬號設置不同權限，用戶可以靈活控製權限。

RDS本身支持VPC網絡，在經典網絡和VPC網絡下都支持設置IP白名單，通過這個功能可限製隻允許合法的發起數據庫連接的地址連接我們的數據庫。

RDS提供了SQL日誌審計的功能，在控製台上可以查到所有SQL執行過的語句。用戶可以針對日誌進行查詢和審計，同時雲盾的WAF可以防止應用層的SQL注入攻擊。

RDS也提供了數據備份和恢複的功能，可以防止在某些特殊的情況下（被黑客攻擊或者誤操作情況）導致的數據丟失。

OSS安全（存儲）

OSS最核心的是提供了訪問控製的功能，可以根據不同的bucket設置網絡訪問控製的策略。建議係統需要對外對用戶提供直接訪問資源的話，比如頁麵的js、css樣式文件、圖片等靜態資源，設置對應的bucket為公共讀的權限。對於係統比較敏感的文件，數據庫的備份和係統的其他不讓外部用戶下載的數據（比如雲上雲下的係統數據中轉），建議存放在bucket裏麵，設置為私有的bucket。從安全角度來看，不建議使用公共讀寫。OSS提供了防盜鏈功能，防止資源被其他網站盜用，日誌審計可以記錄文件的上傳和下載。

賬號安全

係統部署在公有雲上之後，需要注意一些其他額外的問題來防止係統不被黑客攻擊到。

雲賬號安全（雲計算平台的鑰匙）

雲賬號在阿裏雲上是通過密碼進行登錄，必須使用一個比較強的密碼策略。由於互聯網經常存在一些撞庫、爆破攻擊，建議定期更換密碼，並且與其他網站使用不同密碼。此外，還可以利用阿裏雲提供的二次保護產品，比如保密郵箱、保密問題等在密碼丟失之後及時找回。阿裏雲提供了二次驗證的功能，MFA可以綁定手機設備，類似於隨機動態口令進行登陸驗證。為了防止密碼丟失之後黑客對雲資源進行高危操作，控製台提供了高危操作短信二次驗證功能。阿裏雲提供的ActionTrail可以用於後期審計。

AK安全（雲產品API的鑰匙）

對於訪問公有雲上的雲產品，風險主要集中在AK泄露(github上傳等場景)，導致數據泄露。所以，建議禁用主賬號AK，因為主賬號AK擁有訪問所有產品的權限。采用RAM產品提供的子賬號功能，每個子賬號分配一個子賬號AK，對每個子賬號AK通過RAM進行權限劃分，授予對應的權限，減少泄露某個AK對全局帶來的影響。子賬號AK也提供了IP維度的訪問控製的功能，即設置發起調用訪問來源IP、VPC ID作為訪問控製，即使AK泄露也有額外多一層的保護。

應用安全

網站服務可能遭受DDOS攻擊導致不可訪問，對於某些業務場景來說可能是災難性的影響， 建議采取SLB+雲盾高防組合來保障網絡的可用性。雲盾提供web攻擊防禦，WAF雲防護可以防禦常見的SQL注入、XSS、代碼執行等。為了減少黑客的攻擊，需要盡量在我們的係統上線之前把應用層的漏洞發現和修複。雲盾的態勢感知提供了主機基線漏洞掃描、web漏洞掃描。入侵檢測功能可以及時發現係統或者主機上存在的webshell和肉雞行為，防止遠程爆破。自主日誌分析功能可以將web訪問日誌記錄下來，上傳到ODPS供用戶離線分析。如果企業需要有高級的安全需求（SRC、眾測），或利用白帽子盡快發現係統的漏洞，先知平台可以幫助搭建自己威脅情報的能力。

對於更加個性化的安全需求，比如堡壘機、VPN、業務風控、內容安全、安全托管，阿裏雲平台上都有對應的產品供選擇。

總結

最後更新：2017-04-25 00:30:56

  上一篇： The Future of Augmented Reality and Virtual Reality

  下一篇： Docker改名啦？什麼是 Project Moby