前言

根據(jù)CSA（Cloud Security Alliance，云安全聯(lián)盟）在今年年初發(fā)布的《Cloud Adoption,Practices and Priorities Survey Report》調(diào)研報(bào)告，73%的受訪對象表示，安全仍舊是企業(yè)上云的首要顧慮。

由于云服務(wù)器替代傳統(tǒng)服務(wù)器承載了與企業(yè)生存發(fā)展息息相關(guān)的互聯(lián)網(wǎng)業(yè)務(wù)，使得用戶對云安全的疑問很大程度上聚焦在云服務(wù)器的安全上。

云服務(wù)器安全嗎？

這個(gè)問題不僅僅限定在看不到摸不著的虛擬化層面。讓用戶感觸更為深刻的是：突然發(fā)現(xiàn)，之前很多常見和常用的安全防護(hù)系統(tǒng)，特別是“硬件盒子”，都從采購名單上消失了。云計(jì)算環(huán)境對于安全防護(hù)的改變可見一斑。

這樣一來，云服務(wù)器的安全該如何實(shí)現(xiàn)呢？

云服務(wù)器的安全威脅

正像云計(jì)算對于互聯(lián)網(wǎng)業(yè)務(wù)革命性的改變一樣，對安全的改變也是徹底的，不僅體現(xiàn)在安全防護(hù)理念上，還有對安全交付方式的改變。

不過，安全的本質(zhì)并沒有因?yàn)樵朴?jì)算技術(shù)的引入發(fā)生改變。

事實(shí)上，部署在傳統(tǒng)環(huán)境下的服務(wù)器和云環(huán)境下的服務(wù)器，從安全威脅角度上講沒有太多不同。

從上圖可見，云服務(wù)器的安全威脅主要包括：

自身存在的脆弱性，例如漏洞（包括虛擬化層面）、錯(cuò)誤的配置、不該開放的端口等；

外部威脅，例如后門、木馬、暴力破解攻擊等。

不管是部署在傳統(tǒng)數(shù)據(jù)中心還是云數(shù)據(jù)中心中，服務(wù)器安全都要面對和解決上述兩個(gè)方面的威脅。

對于云服務(wù)器來說，首先需要解決的是自身脆弱性的問題，特別是漏洞。

存在漏洞的系統(tǒng)就像一間打開窗戶的房間，不管安裝了多么先進(jìn)的門禁系統(tǒng)，也無法阻擋小偷的光臨。

此外，對服務(wù)器關(guān)鍵配置和端口的檢查和監(jiān)控，一方面可以減少攻擊面，另一個(gè)方面可以隨時(shí)掌握系統(tǒng)安全狀態(tài)。

從外部威脅角度上講，暴力破解仍舊是云服務(wù)器最大的網(wǎng)絡(luò)威脅。暴力破解防護(hù)需要覆蓋系統(tǒng)、應(yīng)用和數(shù)據(jù)庫三個(gè)層面，任何一個(gè)層面的缺失都會增大系統(tǒng)遭受入侵的概率。

最后，能否快速發(fā)現(xiàn)和清除云服務(wù)器上的病毒、木馬和后門是對防護(hù)能力的重大考驗(yàn)。

云服務(wù)器的雙重挑戰(zhàn)

云服務(wù)器安全主要面臨來自內(nèi)部和外部的雙重挑戰(zhàn)。

首先，云服務(wù)器的脆弱性突出體現(xiàn)在未被修復(fù)的漏洞上。

根據(jù)國外某安全機(jī)構(gòu)的統(tǒng)計(jì)，在金融行業(yè)，漏洞平均修復(fù)時(shí)間長達(dá)176天。采用云計(jì)算后這個(gè)數(shù)字稍微有所改善，然而，云服務(wù)器漏洞的平均修復(fù)時(shí)間仍舊是50天。無論是176天還是50天，對于進(jìn)攻一方來說，足夠遍歷整個(gè)服務(wù)器。

其次，根據(jù)國外某安全公司的測試，“黑客”成功入侵AWS服務(wù)器只需要4個(gè)小時(shí)。表面看是系統(tǒng)脆弱性導(dǎo)致，背后實(shí)際上是黑客的暴力破解行為。

在云計(jì)算環(huán)境中，大部分云服務(wù)提供商并不提供暴力破解防護(hù)服務(wù)，而是建議用戶在服務(wù)器上安裝三方防護(hù)軟件。事實(shí)上，市面流行的云服務(wù)器安全軟件一般只提供操作系統(tǒng)層面的暴力破解防護(hù)，并沒有覆蓋到應(yīng)用和數(shù)據(jù)庫層面。應(yīng)用和數(shù)據(jù)庫層面的缺失無疑是在云服務(wù)器防護(hù)上玩起了“鋸箭”法——操作系統(tǒng)我管，上面的找別人。

第三，絕大多數(shù)云服務(wù)器安全系統(tǒng)／方案體現(xiàn)為單點(diǎn)防護(hù)。

單點(diǎn)防護(hù)具有兩個(gè)特點(diǎn)：橫向上，針對服務(wù)器個(gè)體的防護(hù)以及縱向上在服務(wù)器一個(gè)層面進(jìn)行防護(hù)。

橫向上的單點(diǎn)防護(hù)體現(xiàn)為每個(gè)云服務(wù)器都是彼此孤立的個(gè)體。在木馬、后門變異樣本層出不窮的今天，如果惡意樣本采集不是實(shí)時(shí)的，分析和策略分享、下發(fā)不能快速完成，將無異于將主動(dòng)權(quán)拱手讓給入侵者。

縱向上的單點(diǎn)體現(xiàn)在，同時(shí)也是常見云服務(wù)器安全軟件的“通病”，無論是網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用和數(shù)據(jù)防護(hù)都依靠安裝在云服務(wù)器上的軟件來完成。先不說防護(hù)效果，啟用防護(hù)功能需要調(diào)用大量的系統(tǒng)資源，等同于發(fā)起一場自殘式的拒絕服務(wù)攻擊。

最后，安全攻防的背后是人的技能、智慧以及經(jīng)驗(yàn)的對抗。

在特定情況下，要求人員介入，快速完成樣本收集、取證、分析和攻擊阻斷。然而，對于大多數(shù)企業(yè)來說，建立一支具有專業(yè)技能的安全攻防團(tuán)隊(duì)是不現(xiàn)實(shí)的。

因此，云服務(wù)器的安全防護(hù)是對平臺化、體系化以及包括快速響應(yīng)、技術(shù)經(jīng)驗(yàn)在內(nèi)運(yùn)營能力的全面挑戰(zhàn)，而不是簡簡單單安裝一個(gè)主機(jī)防護(hù)軟件就可以實(shí)現(xiàn)的。

云服務(wù)器防護(hù)

一個(gè)完整和全面的云服務(wù)器防護(hù)方案應(yīng)該包含對內(nèi)部脆弱性（漏洞、配置、端口等）的快速定位、修復(fù)以及對外部威脅的迅速發(fā)現(xiàn)和阻斷。

對于內(nèi)部脆弱性，特別是嚴(yán)重威脅云服務(wù)器安全的漏洞，不僅要求精準(zhǔn)定位，對于絕大部分漏洞來說，自動(dòng)化的漏洞修復(fù)將有效提升安全防護(hù)的效率和效果

。對于關(guān)鍵服務(wù)器或有嚴(yán)格合規(guī)／業(yè)務(wù)規(guī)定的服務(wù)器，云服務(wù)商應(yīng)該提供漏洞修復(fù)的風(fēng)險(xiǎn)提示，這個(gè)工作不應(yīng)該交給用戶。云盾安騎士軟件提供自動(dòng)化漏洞修復(fù)功能，以及針對補(bǔ)丁的風(fēng)險(xiǎn)評估及修復(fù)建議。

其次，對于云服務(wù)器首要的外部威脅——暴力破解，防護(hù)系統(tǒng)必須涵蓋系統(tǒng)、應(yīng)用和數(shù)據(jù)庫。

云盾安騎士軟件支持WINDOWS系統(tǒng)和LINUX系統(tǒng)兩大平臺，同時(shí)針對SSH，RDP，Telnet，F(xiàn)tp，MySql，SqlServer等等常見應(yīng)用和數(shù)據(jù)庫提供安全監(jiān)控，隨時(shí)發(fā)現(xiàn)黑客的暴力破解行為。

第三，云服務(wù)器安全防護(hù)需要實(shí)現(xiàn)平臺化和體系化。

平臺化體現(xiàn)在每個(gè)云服務(wù)器都是惡意樣本的采集點(diǎn)，同時(shí)也是實(shí)時(shí)安全策略的接受方，保證基于云端的一體化防御。

云盾安騎士軟件背后是超過100萬臺云服務(wù)器的威脅情報(bào)共享以及超過1億條木馬后門數(shù)據(jù)庫，橫向平臺化優(yōu)勢一目了然。

從體系化角度上來看，黑客對云服務(wù)器的入侵阻斷未必一定要等到攻擊到達(dá)服務(wù)器才進(jìn)行，攻擊路徑上的任何一點(diǎn)都可以成為阻擊點(diǎn)。

以暴力破解防護(hù)為例，云盾安騎士一旦檢測到黑客的暴力破機(jī)攻擊行為，阻斷工作將由阿里云云盾鏈路上的防護(hù)引擎來完成。在鏈路上阻斷最主要的好處是不占用服務(wù)器的任何資源。體系化防護(hù)是縱深防御思路的重要體現(xiàn)。

最后，云服務(wù)器的安全防護(hù)操作需要必要的安全知識和技能，包括處理安全告警、入侵分析和進(jìn)行必要的策略配置。

云盾安騎士的云托管專家服務(wù)可以幫助用戶決定如何實(shí)現(xiàn)服務(wù)器的有效防護(hù)。發(fā)生入侵事件時(shí)，阿里云云盾團(tuán)隊(duì)將負(fù)責(zé)對安全事件分析和響應(yīng)，并負(fù)責(zé)對系統(tǒng)防護(hù)策略的優(yōu)化。

在不久的將來，云計(jì)算一定會徹底走入我們的生活，有興趣入行未來前沿產(chǎn)業(yè)的朋友，可以收藏云計(jì)算，及時(shí)獲取人工智能、大數(shù)據(jù)、云計(jì)算和物聯(lián)網(wǎng)的前沿資訊和基礎(chǔ)知識，讓我們一起攜手，引領(lǐng)人工智能的未來！

標(biāo)簽： linux Mysql 安全 大數(shù)據(jù) 服務(wù)器 服務(wù)器安全 服務(wù)器防護(hù) 服務(wù)商 互聯(lián)網(wǎng) 互聯(lián)網(wǎng)業(yè)務(wù) 金融 漏洞 數(shù)據(jù)庫 網(wǎng)絡(luò) 云服務(wù) 云服務(wù)器 云計(jì)算 云計(jì)算技術(shù)

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點(diǎn)！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請與原作者聯(lián)系。