344
王者榮耀
雲端安全之三:最佳實踐
曾經在《遊戲雲間之六:數據安全》這篇文章中,通過物理底層、網絡安全、平台、係統/應用安全等方麵框架性介紹過雲端安全,本文會進一步細化及深入的跟大家分享雲端安全最佳實踐經驗。
言歸正傳,怎麼樣保障我們的業務在雲端是高安全的呢。我們要從以下幾個方麵重點考慮及規劃:
最佳實踐之一:雲平台的選擇
雲平台的選擇,是安全保障的基石。當前在雲計算領域,亞馬遜算是做的最好的。在國內,阿裏雲處於絕對領先地位,當然騰訊雲、ucloud在行業內也占有一席之地。所以成熟/穩定的雲平台,當前是安全保障的基石。值得注意的是,雲平台和傳統虛擬化技術是有很大區分。最大區別就是雲平台是基於分布式,而傳統虛擬化是基礎單機版。如虛擬化出來的vps服務器,數據方麵都是單機存儲。而雲平台的數據,都是分布式多副本冗餘存儲,所以安全性得到很大保障。
在選擇雲計算服務平台後,我們要考慮的是根據業務特點,我們要選擇對應的部署模式:
公有雲部署:傳統互聯網的業務,麵對業務的高速發展、高速迭代,選擇公有雲租用的彈性模式,是個最優選擇。分布式的隔離機製、多副本冗餘等機製,保障了數據安全。但傳統互聯網業務裏麵,有個比較特殊的行業,那就是金融行業。由於保險、證券、銀行等業務,對安全級別要求更高。在當前雲平台方麵,也有專門針對金融領域的金融雲解決方案。從技術角度來講,金融雲的部署采用單獨的物理集群部署,所以底層的存放在物理硬件上的數據跟傳統客戶的數據是物理隔離的。另外在安全策略方麵也會有更多高級別的限製,如常用端口默認限製、管理賬號的需綁定虛擬MFA設備等。
私有化部署:在政務類行業中,麵對“數據不能出省”、“信息安全等級保護”等安全要求,所以政務類業務一般不會部署在公有雲上。傳統類型政務業務,都是自建數據中心與公網隔離的模式來部署及維護。隨著雲計算發展,雲計算在政務行業的應用,采用的是將雲平台私有化部署在自建的數據中心。
混合雲部署:混合雲是公有雲和私有化結合的一種模式,說到混合雲部署的模式,我認為,隨著雲計算的發展,公有雲才是大的趨勢。因為在未來的互聯網公司,我們不會再接觸到數據中心、IDC及對應物理服務器等硬件設備。比如當前,在我們公司,所有業務都是部署在雲平台中,包括企業內部的OA、ERP等內部係統。在我們公司內部,是完全看不到一台物理服務器的。也許有人會問,OA、ERP部署在公網,安全性怎麼保障,其實通過VPN對應技術手段完全可以解決我們對於安全的需求。當然要想整個行業達到這一階段,必然會經過一段時間的發展,所以當前很多客戶的內部係統,依然采用私有化的手段部署在內網中。
最佳實踐之二:雲端安全架構
資源選擇的安全性考慮
大家應該都知道“雞蛋不能放在一個籃子裏”的道理吧,所以在對安全性較高的應用中,我們盡量將自己的應用部署在不同地域的不同機房中。比如,在阿裏雲上的部署,我們可以把業務部署在上海地域節點、北京地域節點,前端通過DNS輪詢來做負載均衡。通過多地域部署,可以有效避免由於自然災害導致地域機房大規模宕機的問題。比如在2016年武漢洪水,導致阿裏雲武漢節點大規模機房受損的問題(當初是聯係客戶,將數據手動遷移至其他地域)。
另外在很多常規應用中,我們一般在某個地域部署單個SLB,後端再部署多個ECS,保障業務的高可用性。值得注意的是,在SLB後端的ECS,我們可以選擇不同可用區的ECS。阿裏雲的可用區的概念,就是同個地域下不同機房的概念。選擇不同可用區的ECS,可以有效避免掉由於某個機房的故障,導致業務完全不可用的問題。
產品使用的安全性考慮
1ã 通過SLB最大限度保障ECS安全性。
經常有客戶會問,為什麼單台ECS的應用前段要加台SLB,這不是多此一舉嗎?
第一方麵,在安全性方麵,在ECS前端加個SLB:
SLB可以有效屏蔽掉後端ECS的公網ip(即DNS的域名解析ip直接是SLB ip),起到有效安全保護作用。
SLB是集群,抗攻擊耐打性比ECS更加強悍。
第二方麵,在性能方麵,SLB+ECS的組合,比單純的ECS的組合性能更好。主要體現在帶寬方麵,單台ECS的帶寬峰值是200Mbps,而SLB的帶寬峰值是1Gbps。
第三方麵,在擴展性方麵,SLB+ECS的組合更加靈活快捷。常規模式下,DNS的域名解析ip是ECS公網ip。後續麵對性能不足,還需要增加服務器,這將變得非常被動及麻煩。SLB+ECS的組合,DNS的域名解析ip是SLB公網ip。後續麵對性能不足,還需要增加服務器的時候,我們隻需要將服務器增加到SLB後端即可,完全無縫水平擴展。
2ã 開啟雲產品對應的白名單機製,可以有效減少安全風險。
安全組(防火牆)對協議、ip、端口進行對應安全控製,是在雲端非常有效及必要安全保障。
數據庫rds方麵,一方麵需要禁用公網相關的訪問。另外一方麵,需要設置客戶端連接數據庫的白名單機製。
Oss存儲方麵,我們需要通過oss的讀寫權限(建議私有讀寫)、防盜鏈等安全設置(建議指定http referer白名單配置),保障oss的安全性。
雲端安全網絡規劃
在開始雲端部署,網絡環境選擇經典網絡,還是vpc虛擬網絡,這整體決定了部署環境的安全性。麵對企業級應用,我們默認優先考慮使用vpc虛擬網絡。虛擬網絡的網段劃分,可以有效對業務服務進行隔離劃分。另外通過虛擬路由+vpn,能夠把線上環境和線下環境內網打通,這塊在安全應用中是比較成熟的解決方案。另外,VPC環境支撐SNAT等功能,這塊也是經典網絡不具備的。
雲盾安全產品的使用
在雲端,使用阿裏雲的“十年攻防,一朝成盾”的雲盾,是最有效的防禦手段之一。
在應用層,通過waf有效解決了應用層方麵的安全性。比如,sql注入、跨站腳本功能、上傳漏洞等。
在網絡層,通過ddos防禦有效解決了網絡層的流量攻擊問題。
在係統層,通過安騎士有效解決了係統層的木馬、病毒、漏洞等問題。
在業務層,通過數據風控、反欺詐等服務,有效解決了業務層的安全性問題。
最佳實踐之三:雲端安全運維體係
通過上述,我們解決了雲端安全架構方麵問題。但在雲端安全實踐中,雲端安全運維體係是雲端安全性保障的最直接體現。
遠程控製:
堡壘機是遠程控製的必要安全手段,即我們需通過堡壘機來對服務器進行遠程管理。堡壘機具備安全審計、權限管理等核心安全管理功能。
用戶管理:
使用普通用戶登錄,sudo成root的方式維護
指定係統用戶才能遠程登錄
程序采用非root用戶用戶
密碼管理:
禁用明文方式傳輸密碼等敏感信息。如在email、doc、Excel等文件中直接明文傳輸密碼。
密碼的存儲、傳輸,統一采用keepass工具。
密碼定期修改策略
密碼強口令策略:即對應密碼設置必須采用8位/16位/32位隨機強密碼。
防火牆管理:
在雲端,我們需要通過安全組+防火牆結合的方式,來保障訪問連接的安全性。
公網安全性管理:
1、關於ECS公網安全性管理:
默認禁用一切ECS的公網訪問(因為需要遠程管理,堡壘機除外),對外的業務,通過SLB+ECS部署方式來提供對外服務。
對應的服務端口,需要默認綁定到內網ip上,禁用對應的服務端口綁定在”0.0.0.0”上。
2、關於數據庫安全性管理:禁用數據庫的公網訪問,另外訪問數據庫需設置白名單機製。
安全巡檢:
定期進行安全巡檢,及時進行安全補丁更新、漏洞修複。必要時候采用安全滲透測試,來對業務及係統進行更加深入的安全評估。
最佳實踐之四: 雲端安全管理及培訓
在《雲端安全之二:麵臨的挑戰》中也提到過,最大的安全問題,並不是黑客技術有多麼的高超,而是我們的安全意識有多麼的低下。例如,總有人把密碼設置為123456、自己的生日、自己的手機號等,總有人把所有服務器的密碼都設置一樣,總有人把密碼放在excel/word/郵件中傳送等等。
結合雲端安全架構、雲端安全運維體係,我們需要製定完善的安全體係規範及製度。
然後通過管理的手段,如定期安全培訓、定期安全巡檢等,來提升人員的安全意識,提升人員的安全專業能力。
杜絕抄襲,支持開源,我為自己呐喊,百分百原創作者:喬銳傑
最後更新:2017-11-29 16:03:55