开发者社区> 晚来风急> 正文
阿里云
为了无法计算的价值
打开APP
阿里云APP内打开

一个完整和全面的云服务器安全方案是什么样子的?

简介:
+关注继续查看

对于很多企业用户来来说,由于云服务器替代传统服务器承载了与企业生存发展息息相关的互联网业务,使得用户对云安全的疑问很大程度上聚焦在云服务器的安全上。

云服务器安全吗?这个问题不仅仅限定在看不到摸不着的虚拟化层面,让用户感触更为深刻的是——突然发现,之前很多常见和常用的安全防护系统,特别是“硬件盒子”,都从采购名单上消失了。云计算环境对于安全防护的改变可见一斑。

这样一来,云服务器的安全该如何实现呢?

 一个完整和全面的云服务器安全方案是什么样子的?

云服务器安全面临的威胁

正像云计算对于互联网业务革命性的改变一样,对安全的改变也是彻底的,不仅体现在安全防护理念上,还对安全交付方式的改变。

不过,安全的本质并没有因为云计算技术的引入发生改变。事实上,部署在传统环境下的服务器和云环境下的服务器,从安全风险角度上讲没有太多不同。

从上图可见,云服务器的安全风险主要包括:

(1)自身存在的脆弱性,例如漏洞(包括虚拟化层面)、错误的配置、不该开放的端口等;

(2)外部威胁,例如后门、木马、暴力破解攻击等。

不管是部署在传统数据中心还是云数据中心中,服务器安全都要面对和解决上述两个方面的风险。

对于云服务器来说,首先需要解决的是自身脆弱性的问题,特别是漏洞。存在漏洞的系统就像一间打开窗户的房间,不管安装了多么先进的门禁系统,也无法阻挡小偷的光临。此外,对服务器关键配置和端口的检查和监控,一方面可以减少攻击面,另一个方面可以随时掌握系统安全状态。从外部威胁角度上讲,暴力破解仍旧是云服务器最大的网络威胁。暴力破解防护需要覆盖系统、应用和数据库三个层面,任何一个层面的缺失都会增大系统遭受入侵的概率。最后,能否快速发现和清除云服务器上的病毒、木马和后门是对防护能力的重大考验。

云服务器防护的双重挑战

然而,现实是骨感的。云服务器安全面临来自内部和外部的双重挑战。

首先,云服务器的脆弱性突出体现在未被修复的漏洞上。根据国外某安全机构的统计,在金融行业,漏洞平均修复时间长达176天。采用云计算后这个数字稍微有所改善,然而,云服务器漏洞的平均修复时间仍旧是50天。无论是176天还是50天,对于进攻一方来说,足够遍历整个服务器。

其次,根据国外某安全公司的测试,“黑客”成功入侵AWS服务器只需要4个小时。表面看是系统脆弱性导致,背后实际上是黑客的暴力破解行为。在云计算环境中,大部分云服务提供商并不提供暴力破解防护服务,而是建议用户在服务器上安装三方防护软件。事实上,市面流行的云服务器安全软件一般只提供操作系统层面的暴力破解防护,并没有覆盖到应用和数据库层面。应用和数据库层面的缺失无疑是在云服务器防护上玩起了“锯箭”法——操作系统我管,上面的找别人。

第三,绝大多数云服务器安全系统/方案体现为单点防护。单点防护具有两个特点:横向上针对服务器个体的防护以及纵向上在服务器一个层面进行防护。横向上的单点防护体现为每个云服务器都是彼此孤立的个体。在木马、后门变异样本层出不穷的今天,如果恶意样本采集不是实时的,分析和策略分享、下发不能快速完成,将无异于将主动权拱手让给入侵者。纵向上的单点体现在,同时也是常见云服务器安全软件的“通病”,无论是网络、系统、应用和数据防护都依靠安装在云服务器上的软件来完成。先不说防护效果,启用防护功能需要调用大量的系统资源,等同于发起一场自残式的拒绝服务攻击。

最后,安全攻防的背后是人的技能、智慧以及经验的对抗。在特定情况下,要求人员介入,快速完成样本收集、取证、分析和攻击阻断。然而,对于大多数企业来说,建立一支具有专业技能的安全攻防团队是不现实的。

因此,云服务器的安全防护是对平台化、体系化以及包括快速响应、技术经验在内运营能力的全面挑战,而不是简简单单安装一个主机防护软件就可以实现的。

云服务器防护应该是什么样子?

一个完整和全面的云服务器防护方案应该包含对内部脆弱性(漏洞、配置、端口等)的快速定位、修复以及对外部威胁的迅速发现和阻断。

对于内部脆弱性,特别是严重威胁云服务器安全的漏洞,不仅要求精准定位,对于绝大部分漏洞来说,自动化的漏洞修复将有效提升安全防护的效率和效果。对于关键服务器或有严格合规/业务规定的服务器,云服务商应该提供漏洞修复的风险提示,这个工作不应该交给用户。

其次,对于云服务器首要的外部威胁——暴力破解,防护系统必须涵盖系统、应用和数据库。

第三,云服务器安全防护需要实现平台化和体系化。平台化体现在每个云服务器都是恶意样本的采集点,同时也是实时安全策略的接受方,保证基于云端的一体化防御。


本文作者:佚名

来源:51CTO

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
《ECS全知道(下) 镜像与快照+块存储、安全、网运维与监控》电子版地址
《ECS全知道》精准锁定镜像与快照+块存储,安全,网络,运维与监控,希望可以给正在学习和使用ECS的用户提供一些帮助。
0 0
阿里云服务器ECS详解(性能/安全/速度)
阿里云服务器安全可靠、弹性可伸缩,CPU可选256核、内存选到3072GB,云服务器ECS规格通用型、计算型、内存型、通用算力型、裸金属、GPU、大数据等ECS实例规格,公网带宽可选到200M,绑定弹性公网EIP带宽可达1000M,共享带宽可达20000M,阿里云百科来详细说下阿里云服务器怎么样?云服务器性能评测以及使用教程:
0 0
《ECS全知道(下) 镜像与快照+块存储、安全、网运维与监控》电子版下载地址
作为阿里云五大基础服务之一,云服务器ECS一直是阿里云的核心产品。为更好的帮助用户了解ECS以及解决可能遇到的问题,阿里云内容设计中心团队根据丰富的内容设计经验,从各渠道的用户反馈中,总结归纳出了ECS各方面的常见问题,与阿里云开发者社区联合打造了《ECS全知道》上下两册电子手册,《ECS全知道》精准锁定镜像与快照+块存储,安全,网络,运维与监控,希望可以给正在学习和使用ECS的用户提供一些帮助。
0 0
阿里云国际版Windows云服务器使用IE浏览器打开网站提示“增强安全配置正在阻止来自下列网站内容”
本文www.123clouds.com介绍在Windows云服务器上使用IE浏览器打开网站报错时对应的解决方法。
0 0
阿里云-不安全的地址及ECS时间不一致处理
阿里云-提示不安全的地址及 EDAS 与ECS时间不一致问题处理
0 0
【视频】-《ECS 进阶概念-安全》 | 学习笔记(二)
快速学习【视频】-《ECS 进阶概念-安全》
0 0
阿里云国际站版怎么注册充值与怎么保证云服务器的安全
从“个人信息保护”和“数据行为审计”两大维度,助力您满足GDPR、个人信息保护、等保2.0二级、等保2.0三级中有关数据安全的合规要求。
0 0
ecs实例安全组实践
ecs实例安全组实践
0 0
+关注
文章
问答
文章排行榜
最热
最新
相关电子书
更多
ECS全知道(上) 实例+计费
立即下载
ECS全知道(下) 镜像与快照+块存储、安全、网运维与监控
立即下载
冬季实战营第一期:从零到一上手玩转云服务器
立即下载