指南 | 传统企业如何设计“上云”安全解决方案

现在，大数据、云计算等新兴技术正在以一种史无前例的方式迅速改变着这个世界。企业级用户不肯意把自身业务迁移到公有云，最主要的因素仍是出于对价格、数据安全、以及稳定性等方面。
但近几年的政策持续利好，国内云计算市场掀起一阵发展浪潮。“上云”已经成为大多数企业的势在必行的举动。

传统企业数字化转型的浪潮高歌猛进，但每个企业在转型过程当中也经历着切肤之痛。或担忧于企业数据安全、业务稳定，或受制于陈旧的IT基础设施，或困惑于新技术、新概念更新迭代之快，企业“上云”的选择与条件，需因地制宜。

今天与你们分享的是一个典型的大型传统企业：

• 品牌+连锁”的经营战略
• 线下专卖店规模庞大（≥1000家）
• 经营范围包括了产品全生命周期

在这样的场景下，“上云”的安全性是企业的首要考虑的问题。

一、核心数据库监管审计安全管控难？

对于传统企业“上云”而言，线上交易和库存管理等核心交易系统转变为云服务模式，对应核心数据库监管审计的管控是十分重要的一环。 数据安全的核心是对“数据”全方位的安全防御，其产品及解决方案直接涉及企业的核心机密。所以数据库审计方面，京东云团队为核心交易数据库提供了访问记录、安全审计、数据库防注入等。

二、对粗放式安全管理的挑战？

企业用户的核心系统采用云端服务对传统防火墙等粗放式安全管理是一项不小的挑战。在IP高防方面，咱们设计了弹性DDOS防御能力，而且智能调度用户流量，为客户提供四层防御。Web应用防火墙针对大型传统企业应用层提供七层防御，防护SQL注入、XSS跨站脚本、常见Web服务器插件漏洞、木立刻传、等OWASP常见攻击，抵御恶意CC攻击，为网站保驾护航。

三、防御安全能力未知？

传统企业“上云”涉及的上线智慧门店系统，多会面临企业定制开发的应用模块，防漏洞、防注入、防篡改等能力未知的问题。漏洞扫描服务必不可少，总体扫描线上系统，找出系统漏洞和高危漏洞，并给出改进建议是一个“优秀”的安全解决方案须要具有的能力。防渗透测试也为客户解决了应用系统安全问题和被攻击问题等。

四、不可预知的公网安全风险？

传统大型企业IT系统全线上云以后其实会面临着更多不可预知的公网安全风险。这时候安全优化是咱们须要作的第一步，这其中包含云端系统安所有署优化建议和应急响应。（应急响应是当用户遇到黑客入侵、病毒、重点时期等特殊问题时，及时快速帮助用户分析问题，提供解决方案。）

安全解决方案之大型传统企业客户案例

在了解传统企业用户“上云”的安全痛点及建议后，咱们给出了一个大型传统企业客户“上云的案例解决方案：

方案解读

• 规划本身的专属 VPC，包含网段及 IP 分配信息；
• 在专属 VPC 内建立与生产中心一一对应的灾备云主机和控制台，用以承载灾备数据 和管理控制灾备任务;
• 经过数据专线连通生产中心与京东云灾备 VPC，提升备份数据传输效率和安全性;
• 在生产中心物理服务器和京东云灾备主机上部署 Agent，用以监控系统状态和数据 变化;
• 经过统一管理界面，实现集中运维管理，实现应用系统到京东云的容灾。

使用产品

借助以上京东安全解决方案，在低成本、短建设周期的前提下可为客户实现异地灾备中心的建设，并可享有专属灾备培训和指导。

同时，利用京东云公有云弹性伸缩、按量计费等普惠优势，下降传统运维维护成本，提升自有数据安全性和业务连续性，在提高运维管理效率的同时将更多精力放在业务创新上。

咱们也经过此方案，在过去两年中，帮同量级的企业客户实现了营业收入突破百亿元。😱

在不一样的业务场景下，咱们给出了一份企业安全“上云”指南：

01 帐号口令安全指南

1. 杜绝弱口令，弱口令是最容易出现的也是最容易被利用的漏洞。
2. 为全部服务配置强密码，要求至少8个字符以上，包含大小写字母、数字、特殊符号，而且不按期更新口令。
3. Linux系统，禁止使用root帐号直接登陆，使用证书登陆，设置可信登陆主机的IP。
4. Windows系统，修改 administrator 默认名称，设置可信登陆主机的IP。
5. Web应用系统，必须使用强密码安全策略和验证码，防止暴力破解和撞库。
6. 数据库系统（Redis、MongoDB、MySQL、MSsql Server）禁止使用弱密码或无密码。
7. 加强安全策略，使用多因素验证机制（MFA）、强制密码安全策略（如：锁定策略），和审计功能（异常告警）。

02 网络架构安全指南

1. 使用虚拟专有网络（VPC），隔离企业内部不一样安全级别的云主机，避免同网络环境下一台服务器被入侵后影响到其它云主机。
2. 在VPC中使用NAT提供上网服务，禁止云主机直接绑定公网IP，直接绑定公网IP会致使云主机彻底暴露在互联网遭受攻击入侵。
3. 对互联网提供服务，经过负载均衡（LB）将须要开放对外的端口（如：80，443）代理到后端的应用服务，并将对外服务放置在独立的子网中。
4. 防火墙隔离（安全组）是云上的主要网络安全隔离手段，经过安全组设置在网络层过滤服务器的访问行为，限定服务器对外/对内的的端口访问，受权访问地址，从而减小攻击面，保护服务器的安全。
5. 高危网络端口，开启的服务端口越多越不安全。只对外开放提供服务的必要端口，禁止将RDP、SSH、Redis、MongoDB、MySQL、MSsql等高危服务直接暴露在互联网上。

03 应用开发安全指南

1. 对应用服务软件（如 Tomcat、Apache、Nginx 等软件），建议使用官方最新版的稳定版。
2. 及时更新Web应用版本，如：Struts、ElasticSearch非最新版都爆发过远程命令执行漏洞。
3. WDCP、TOMCAT、Apache、Nginx、Jekins、PHPMyAdmin、WebLogic、Jboss等Web服务管理后台不要使用默认密码或空密码；不使用的管理后台建议直接关闭。
4. 使用安全扫描工具 （例如，系统漏扫工具：Nessus、Nexpose，Web漏扫工具：Appscan、AWVS）上线前扫描应用服务，是否仍存在高风险漏洞，修复完漏洞后再发布使用。

04 系统运维安全

1. 使用跳板机/堡垒机进行远程维护，实施强密码策略，合理分配权限，对于全部操做行为严格记录并审计。
2. 为操做系统云服务器安装防病毒软件，并按期更新病毒库。
3. 按期更新补丁，修补操做系统漏洞，关注安全漏洞情报，当出现高风险漏洞时，及时更新操做系统全部补丁。
4. Windows系统的补丁更新要一直开启，Linux系统要设置按期任务执行yum update -y来更新系统软件包及内核。
5. 开启系统日志记录功能，集中管理日志和审计分析。
6. 对全部业务系统进行实时监控，当发现异常时，当即介入处理。对软件安全加固（Apache、Nginx、Tomcat、Mysql、MSsql、Redis等服务）标准化安全配置，禁止随意修改。

内容支持 ：京东云安全团队、京东云企业云业务团队

欢迎点击“连接”了解京东云更多精彩