雲計算是大勢所趨,根據2016年IDC的統計分析報告指出:
2015-2020年間IT總市場複合增長率僅爲3%
全球公有云市場複合增長率爲19%
74%的中國企業認爲雲值得信任
62%的企業認爲雲在基礎防禦、平臺穩定、團隊專業上具有先天優勢。
因此隨着各大雲廠商的雲平臺的發展,越來越多的企業在嘗試將自己的應用從本地機房遷移上雲。
當四五年前公有云剛在國內市場嶄露頭角之時,大部分企業都在保持一種觀望的狀態。畢竟在信息化高速發展的今天,數據是一個企業的命根。把數據放在公有云上,讓傳統企業的管理者心懷忐忑。但是隨着這幾年企業應用上雲的試水,逐漸讓更多的企業管理者相信在公有云上,數據會更安全。
最近在跟客戶聊天的時候,發現了一個奇怪的想法,客戶問了一個問題:
現在不是所有云廠商在給自己的公有云做廣告時候宣傳是安全可靠的麼,爲什麼我們還需要購買安全產品???
其實這裏有一個理解上的差異,雲廠家通常所說的公有云是安全可靠的,我認爲其實大多時候指的是相對於我們在本地機房時候。
我們把服務器或者數據存放在雲端是安全可靠的,因爲這些原來需要物理條件支撐的資源,現在做成SaaS形式給租戶。其實其風險將會依賴於各大雲廠家的機房物理條件,而各大雲廠家龐大的物理條件,當然穩定性會高於本地化的小機房。
國家互聯網應急中心8月13日發佈的《2019年上半年我國互聯網網絡安全態勢》顯示,2019年上半年,發生在我國雲平臺上的網絡安全事件情況相比2018年進一步加劇。
根據國家互聯網應急中心監測數據,發生在我國主流雲平臺上的各類網絡安全事件數量佔比仍然較高,其中雲平臺上遭受DDoS attack,次數佔境內目標被attack次數的69.6%,被植入後門鏈接數量佔境內全部被植入後門鏈接數量的63.1%,被篡改網頁數量佔境內被篡改網頁數量的62.5%。
我們的應用系統,無論是在本地機房還是公有云,其實面臨的風險都是一致。只是當我們應用放在公有云上時候,我們不需要自己去購買安全盒子,自己去準備環境進行防禦了,我們可以很方便的直接使用各大雲廠家提供的安全產品的SaaS直接對我們的應用進行防護。
我們的應用系統將會面臨怎樣的風險呢?
從圖中介紹的維度,我們可以清晰的將應用系統面對的風險劃分爲四個維度。分別爲:網絡安全、業務安全、主機安全、APP安全。其實這四類的風險,無論是我們將應用放在本地機房,還是將應用放在公有云上,都將是我們的應用系統需要面對的,當然如果我們的應用是B/S架構的,就不會有APP安全的風險。
根據過往的經驗,我們知道,在線下機房,我們可以通過採購一系列的硬件盒子,並將這些安全硬件盒子與我們本地的網絡、服務器組合起來使用,起到了安全防護的作用。那麼在我們公有云環境上面,我們需要怎樣的最小配置,才能讓雲上的應用系統得到更好的保護?
爲了更直觀的體現後續介紹,我們需要採用哪些安全措施來保障應用安全,我用以下簡單的架構圖例子來輔佐進行說明。
1. 主機層面
殺毒軟件:以官網服務器爲例(架構圖中的右下角),需要在服務器上安裝殺毒軟件。一般雲廠商會有自研的殺毒軟件。雲廠家的殺毒軟件會比傳統的殺毒軟件功能會更強。除了具有殺毒功能外,一般還會包括漏洞掃描與修復,服務器安全基線掃描,資產管理等功能。可以更好的從主機層面上防護系統。
雲數據庫審計:可針對數據庫SQL注入、風險操作等數據庫風險操作行爲進行記錄與告警。支持雲數據庫、自建數據庫,爲雲上數據庫提供安全診斷、維護、管理能力。
2. 網絡訪問層面
在架構圖中從終端用戶到應用訪問的網絡路徑中,會先經過多個雲安全產品從網絡數據傳輸上對應用進行防護。此處,我們列舉常用的三款雲安全產品:
Web應用防火牆:
基於雲安全大數據能力,有效防禦各類OWASP常見Web attack並過濾海量惡意CC attack,實現網站防篡改,避免您的網站資產數據泄露,保障網站業務安全性與可用性。
DDoS防護:
有效防火DDoS attack,保護應用不受DDoS attack影響。
證書服務:
以最小的成本將您的服務從HTTP轉換成HTTPS,實現網站的身份驗證和數據加密傳輸。
3. 運維安全管理層面
這一個防範措施往往是用戶容易忽略的,甚至很多用戶會認爲,這些防護手段在傳統IDC機房慣用的防護手段,在雲環境中沒有必要去做,其實這是對雲上運維工作錯誤的理解。上雲後解決的是我們對物理環境的運維,以及減輕大量的手工運維工作。
堡壘機:
集中了運維身份鑑別、賬號管控、系統操作審計等多種功能。基於協議正向代理實現,通過正向代理可實現對SSH、Windows遠程桌面、SFTP等常見運維協議的數據流進行全程記錄,再通過協議數據流重組的方式進行錄像回放,達到運維審計的目的。
安全加固:
通過堡壘機,對包括了操作系統、數據庫、中間件等的安全參數、日誌審計、賬號審計、登錄審計等進行配置
漏洞修復:
通過堡壘機,對包括操作系統、數據庫、中間件、應用等的漏洞進行修復。
子網劃分:
通過不同的子網,規範雲資源的管理工作,對雲資源進行訪問控制。
總結上述三種安全保護措施,當我們在公有云上發佈應用時候,爲了保障應用安全性以及合規性。我們最小需要配置的雲安全產品應包括:殺毒軟件、DDoS防護、Web應用防火牆、證書服務、數據庫審計、堡壘機等雲安全產品。同時還需要雲服務器、數據庫、中間件等資源進行安全加固和漏洞修復等運維工作。
作者:林偉棟
———— / END / ————
更多討論
嘉爲出席GOPS全球運維大會:運維巔峯時代,研運中臺或是唯一選擇