关于云租户安全建设的思路分享

随着企业云化的深刻，安全策略成为企业云上建设须要着重考虑的问题，如何安全有效的使用云计算开展本身的业务？本篇文章将简单分享云租户的安全建设思路：知己知彼，将安全风险控制在可接受范围以内。

（一）知已

了解本身多是最难的，也多是最重要的。不一样企业拥有不一样的云上系统或项目，而业务系统或项目有着不一样的重要程度，企业首先要作的就是分析本身的业务系统，根据业务系统的重要程度及安全收益率进行安全预算安排。

（二）知彼

企业云上业务系统在运营过程当中，面临诸多安全威胁，有效识别出可能的安全威胁来源，是构建云安全防护体系的前提。那么，企业云上业务系统可能面临哪些安全威胁？

（1）网络层：拒绝服务攻击

分布式拒绝服务攻击（DDoS），是最暴力、血腥、有效的攻击方式，可直接致使企业云上业务系统带宽堵塞。

（2）主机层：云主机入侵攻击

云主机是企业云上业务系统的重要承载，攻击者经过暴力破解或配置漏洞等缺陷入侵云主机，用以构建僵尸网络、窃取数据及敲诈勒索等。

（3）应用层：Web应用漏洞攻击

企业云上业务系统对外提供服务的诸多系统采用HTTP/S应用协议（Web），攻击者利用Web服务可能存在的诸多漏洞进行攻击，窃取业务系统数据或权限等。

（4）数据层：数据窃取或篡改

云上业务系统数据在传输过程当中通过互联网，可能被中途窃取或篡改，形成数据完整性和机密性受到影响。

（5）运维层：运维人员违规风险操做

企业云上业务系统须要内部人员进行运维操做，如何防范高风险的运维操做相当重要。

（6）合规层：国家等级保护

2017年6月，国家网络安全法开始实施，企业安全建设不单单是内部驱动，同时也有法律驱动。

（三）安全风险控制

企业梳理了云上业务系统的重要程度，结合可能会面临的安全风险，开始构建云上的安全体系：

（1）云上业务系统架构

经过使用云上VPC（私有网络），构建属于云租户的、逻辑隔离的网络环境。在私有网络中，建立指定网断的VPC，并在VPC中建立子网、自主管理云资源，同时可经过网络ACL实现安全防御。

（2）服务端口梳理

企业梳理各业务系统的开放IP、端口及服务等，仅放开必须开放的IP、端口服务等，减少受攻击面。

（3）安全配置基线

企业根据自身状况，制定云上系统的内部基线配置并落地实施，例如Linux系统安全配置基线（共享帐号检查、多余帐号锁定策略、ROOT远程帐户登陆限制、口令复杂度策略、口令最长生存期策略、目录权限控制等）。

（4）云安全方案

采用高防服务，控制网络层面临的拒绝服务攻击风险； 采用Web应用防火墙，控制应用层面临的Web应用漏洞攻击风险； 采用主机入侵检测，控制云主机面临的暴力破解、漏洞攻击及木马风险； 采用SSL证书和数据库审计，控制数据传输和处理过程当中面临的窃取、篡改等风险； 采用堡垒机，控制企业内部运维人员违规运维风险； 采用等保咨询服务，知足国家网络安全等级保护合规要求。

UCloud安全产品选型指南

（5）应急响应方案

安全是相对的，没有绝对的安全。企业应构建本身的安全应急响应团队或采用第三方应急响应服务，应对可能发生的安全事件。

（四）写在最后

安全体系的建设离不开对安全技术知识的全面了解，除了相关的思路方法，咱们也整理了一张安全工程师的技术学习图谱，但愿这张图谱能帮助你们更好的理解、掌握安全领域知识体系。须要明确的是，世间万事不可一律而论，具体问题下还须要结合实际状况具体分析，实践方能出真知。

网站图片压缩会致使部份内容不清晰，感兴趣的读者能够点击连接免费下载高清电子版：https://static.ucloud.cn/002cbba594444c92a18a59ee370e6254.jpg