公有云運維安全常見難題分析
大小:0.5 MB 人氣: 2017-10-12 需要積分:1
公有云運維安全四大風險
目前使用公有云的用戶可以分為兩類:
一開始業務就部署在公有云上面,主要以新興互聯網公司為主。已經有自建的IT環境,需要向公有云上遷移。伴隨著用戶IT環境從傳統自建IDC向公有云環境的轉變,運維工作也從內網環境遷移到公網中,這對用戶來說是一個非常大的改變。
本文主要討論傳統IT環境向公有云遷移面臨的運維安全問題,要知道,傳統IT環境下所有IT基礎設施和數據都是用戶自己掌控。從心理上來講用戶感覺會更安全,對公網的暴露面也更小。一旦用戶將業務和數據都遷移到公共云上,用戶可能會有不安全感。
事實上,公共云在基礎架構安全性方面遠超一般用戶自建的IDC,主要體現在以下四個方面:
因為公有云IDC機房建設規格非常高,所以公有云的IDC機房在電力、空調等方面可用性更有保障;公有云有比較好的網絡資源,所以公有云的網絡質量更好;公有云的服務器都是批量采購和檢測,并且一般都有可靠的存儲系統,公有云的硬件可靠性也更有保障;公有云系統、安全方面都有非常專業的團隊,都是業界頂級水平,使用公有云在系統、安全方面的風險更小。
但是,筆者從事運維工作十年,最近在公共云運維實踐過程中也發現:計算環境從本地到云端自身安全性是提高了,但云上的運維工作卻面臨著一些新的安全風險和挑戰。
因為公共云的運維管理工作必須通過互聯網完成,和傳統IT環境運維有很大不同,總結起來風險主要來自以下四個方面:
運維流量被劫持:公共云場景下運維最大的變化就是運維通道不在內網,而是完全通過互聯網直接訪問公共云上的各種運維管理接口。很容易被嗅探或中間人劫持攻擊,造成運維管理賬號和憑證泄露。運維管理接口暴露面增大:原來黑客需要入侵到內網才能暴力破解運維管理接口的密碼,而現在公共云上的用戶一般都是將SSH、RDP或其它應用系統的管理接口直接暴露在互聯網。只能依靠認證這一道防線來保證安全,黑客僅需破解密碼或繞過認證機制就能直接獲取管理員權限。賬號及權限管理困難:多人共享系統賬號密碼,都使用超級管理員權限,存在賬號信息泄露和越權操作風險。操作記錄缺失:公共云中的資源可以通過管理控制臺、API、操作系統、應用系統多個層面進行操作。如果沒有操作記錄,一旦出現被入侵或內部越權濫用的情況將無法追查損失和定位入侵者。
這些風險都是公共云場景下進行運維工作的常見風險。
公有云運維安全八大措施
阿里云在創立第一天就認定安全是頭等重要的事情。針對這些問題,阿里云提供了多種安全防護措施供用戶使用。用戶可以利用阿里云平臺產品自身的安全機制、云盾、云市場中的第三方安全產品配合,來緩解或消除這些風險。
加強運維安全工作可以采取的具體措施如下:
1.使用VPC網絡幫助用戶基于阿里云(http://click.aliyun.com/m/2185/ )構建出一個隔離的網絡環境。用戶可以完全掌控自己的虛擬網絡,包括選擇自有IP地址范圍、劃分網段、配置路由表和網關等。
從運維安全的角度出發使用VPC網絡還需要再對VPC網絡內部網段進行劃分,一般建議分為三個網段:互聯網應用組、內網應用組、安全管理組。
三個網段之間采用安全組隔離,并設置相應的訪問控制策略,限制所有實例SSH、RDP等運維管理端口只允許安全管理組訪問。
非常好我支持^.^
(0) 0%
不好我反對
(0) 0%