选择云主机前,你需要知道这些安全问题

简介:

什么是云主机

云主机是云计算在基础设施应用上非常重要的组成部分,位于云计算产业链金字塔底层。云主机涵盖了互联网应用三大核心要素:计算、存储、网络,面向用户提供公用化的互联网基础设施服务。云主机是一种通过虚拟化技术在一组集群主机上虚拟出多个类似独立主机的部分,每个部分都是独立的操作系统。云主机能提供基于云计算模式的按需使用和按需付费能力的服务器租用服务。云主机是新一代的主机租用服务,它整合了高性能服务器与优质网络带宽,有效解决了传统主机租用价格偏高、服务品质参差不齐等缺点,可全面满足中小企业、个人站长用户对主机租用服务低成本,高可用,易管理的需求。

打造安全云主机

云主机的优点已是众所周知,但是包括多租户、更佳的服务器利用率和数据中心整合的同时,如何应对云主机特有的安全威胁越来越受重视。安全性能不能得到保障是亟需关注的问题。现在广泛使用的公共云,安全问题更是首当其冲最关键的因素。如何解决其中的安全问题不再只是云厂商的责任,也是安全厂商必须解决的问题。广大云计算用户的亟需一套安全、稳定、高可用的云主机平台。

云主机面临的主要安全问题

提到云主机的安全问题,很广泛,大概包含这么几个方面:数据安全、网络安全、系统稳定性。我们可以从如下几个角度详细说明:

1.云主机安全

首先云主机是以多租户的模式向大众提供服务,租户之间彼此独立。为了更佳的服务器利用率和数据中心整合,租户与租户混杂,云主机之间彼此独立是多租户的前提,如果做好不同租户之间的系统隔离是云主机安全可靠的前提。

2.物理机安全

云主机是通过虚拟化技术在物理机上实现的多个独立操作系统,物理机本身的问题都可能导致云主机异常,因此物理机安全是云主机安全的根本前提。首先物理机主要是托管在IDC机房,因此需要一个能够有效应对突发事件,高可用的托管环境。前一段时间阿里云机房电缆被挖,青云机房被雷击导致服务暂停都是典型的案例。

在托管环境不可抗力情况下外,物理机还需要在自身系统安全方面做足功夫。在当前网络安全形势与挑战下,如何应对不断的、大量的端口扫描,密码暴力破解,DDOS攻击的能力,都是云主机平台时刻面临的安全威胁。

3.数据安全

随着越来越多的企业迁移到云端,然而安全问题一直是困扰走向云端的最大挑战之一。企业数据放到云端,脱离企业的实际掌控,甚至很多企业共用云架构和基础设施。最近几年数据泄露无论数量上,范围上,损失上都迅速的增长。

多租户、多应用势必造成数据混杂,不同等级的数据(或虚拟机储存着不同等级的数据)可能交错混杂在同一台物理机器中。如何有效的管理、隔离这些数据也是一个很大的挑战。企业有关数据可能被其他用户恢复或当磁盘被回收时恢复,删除的数据是否会被恢复,是企业十分担心的问题。

4.边界安全

云主机间的攻击和盲点。

虚拟化对网络安全带来了巨大的威胁,传统网络可以通过交换机、IDS等设备进行日常监测、审计,而云主机间可能通过硬件背板而不是网络进行通讯,这些通讯流量对标准的网络安全控制来说是不可见的。传统的防护工具变成了无用的摆设。

5.性能降低

云主机是通过虚拟化技术将设备资源利用率发挥到最大,性能是否满足又成了新的问题,比如通常是按照1比4进行虚拟,即1个物理核虚拟成4核。最多供四个操作系统共享使用,而每个操作系统上会运行各自独立的软件,因此对性能方面是一个考验。比如杀毒软件就是典型耗CPU的软件,四个杀毒软件一起进行扫描,将会是什么结果呢?

6.通讯安全

迁移到云端后,为了确保业务稳定、有序进行,就需要可靠的通讯保证,如何解决其他租户带来的干扰也是一个挑战。同一台物理机上的租户共用一个物理机网卡,共用一个交换机接口。如果没有做好有效的隔离,正常租户的通讯可能被非法监听,某个云主机中了apr病毒,可能会导致一批云主机断网,业务中断。

7.灾难恢复与业务连续性

硬件故障、自然灾害或者其他灾难时有发生,如何降低单点失效带来的业务影响是企业和个人用户都十分担心的问题。如何做到灾难快速恢复,恢复时长是考验一个云服务器提供云服务质量的一个基本指标。

业内解决方案

针对上述的各种安全问题,各个云厂商应对方法和策略比较类似。方法基本都是通过技术手段做资源隔离、对用户数据进行加密、云主机系统进行安全加固,投入一些自主研发或向第三方购买的安全检测、防护设备,同时投入大量安全团队、运维团队提供7*24小时不间断服务。

增强安全性的方法可以有如下几种:

1.基础安全

首先集群成分布式部署在多个数据中心,对数据中心的资产设备、物资、耗材都有严格的规则机制,网络基本都位于核心骨干区域,物业保安 7x24 小时分段巡逻,并对所有基础设施进行 7x24 小时集中视频监控。确保了物理机和运行环境的有力保障。

2.账号与系统安全

组织专业的安全团队,结合处理多年的安全实际处理经验,云主机的镜像进行了一系列的安全加固策略。包括账号管理与安全认证,比如禁止root账号登录(其他云服务商均未做限制)禁用非常用端口、隐藏历史操作记录;复杂口令设置包括:强制密码长度、必须包含大小写字母的复杂度设定,有效降低了用户账号被暴力破解的风险。

物理机系统选择发行中稳定版的操作系统,采用自定义方式安装软件包,以最小化安装的方式部署基础系统;及时升级补丁及软件版本,封堵已知漏洞。

支持双因子认证,购买云主机后就与租户手机绑定,重置密码、重装系统、删除都需要输入校验码才能继续操作。双因子认证的加入是对账号安全的又一个有效的保障。

3.网络安全

网络安全方面采用多重防御,通过防火墙、ACL等安全措施对集群内流量进行严格管控,保护集群内云主机免受来自内部、外部的网络攻击。物理机与云主机全部采用VLAN严格隔离,同一租户落入一个VLAN,不同租户做二层隔离,可以有效防止云主机产生的包括arp欺骗、端口扫描等安全威胁。采用白名单形式设置访问控制列表,使得只有可信主机才能访问集群内主机;自主研发的顶级防护产品网站卫士、网络全流量分析等设备的投入都可以有效的阻止syn flood、cc等常见的网络攻击。

定期进行安全扫描,及时发现安全漏洞,快速对漏洞进行修补或者防护。

4.安全审计

集群内物理机全部启用安全相关的日志记录功能(shell log),重定向日志到独立的日志服务器;为整个安全基础设施包括虚拟环境在内提供统一的日志安全审计系统; 针对账户管理、登录事件、系统事件、策略更改、帐户登录事件的成功、失败开启审计。

5.安全运维

集中的组和角色管理系统来定义和控制权限, 运维工程师都有唯一身份;通过加密信道进行管理,具备身份鉴别和认证;所有登陆、操作过程均被实时审计.建立内部流量汇聚点,监控整网的动态和流量。

对物理机、云主机进行实时的CPU、带宽、磁盘监控,发现异常情况立即通过短信、邮件告警; 实时的资源监控是对资源使用情况的有效展现方式,也是自动化运维的有效方式之一。

未来发展方向

云服务器商应该致力于为企业和个人用户提供高性能、可信赖、安全的云服务,最大程度降低企业发展所需的IT基础架构技术、成本门槛,为企业迁移到云端提供最大的便利和最专业的安全服务体系保障。


本文作者:佚名

来源:51CTO

相关文章
|
2月前
|
存储 监控 安全
服务器的安全包括哪些方面?服务器安全该如何去加固处理?
服务器的安全包括哪些方面?服务器安全该如何去加固处理?
|
云安全 监控 安全
阿里云服务器安全性怎么样?有什么安全防护措施
大多用户在选购云服务器的时候首先考虑的就是阿里云服务器,不仅是因为阿里云服务器是国内知名度最高的云服务器品牌,还有一个重要原因就是阿里云服务器有一定的安全性保障吧。阿里云服务器本身自带一些安全防护措施。
1727 0
阿里云服务器安全性怎么样?有什么安全防护措施
|
存储 安全 关系型数据库
如何应对 WordPress建站时受到的网络攻击?
北京六翼信息技术有限公司的开发工程师指出请不要担心,因为各地的 WordPress 网站所有者都会遇到这种情况。WordPress 平台是最流行的内容管理系统之一,用于为全球网站提供支持。然而,随着广泛的使用,风险也随之而来。
如何应对 WordPress建站时受到的网络攻击?
|
安全 网络安全 数据安全/隐私保护
加固你的网站——云上应用的安全
加固你的网站——云上应用的安全自制脑图, 介绍了安全组有什么用和创建与配置安全组。
85 0
加固你的网站——云上应用的安全
|
运维 安全 Linux
linux服务器安全防护加固防黑客攻击方案
对于咱们 Linux系统来说,其实它的运维是运维,它的安全方面加固是方方面面的,这涉及到的东西有点多,安全加固牵扯到的安全因素和运维不是一回事。然后咱们今天主要挑其中的几点来为大家来讲一下,也是一些比较基础的。今天周一,因为我们这一周都是讲安全相关的,我来起个头就讲一些比较基础的。其实咱们对于Linux系统加固,对于系统架构,咱们首先要从以下几个方面来进行考虑。首先是用户安全,其次是文件安全以及登录安全这三个首先要从这三个方面来进行考虑,然后再考虑咱们的业务,包括一些咱们的服务在考虑他们的性能。
146 1
linux服务器安全防护加固防黑客攻击方案
|
安全 测试技术 网络安全
怎么选择渗透测试公司更降低成本
第一步:内部安全团队或第三方安全公司进行渗透测试如SINE安全,鹰盾安全,绿盟等等,与开发团队深入沟通,从代码层和承载环境层建立强有力的保护方案;第二步:利用企业SRC或第三方公开测试平台开展短期公开测试活动,纠正第一步保护措施的不足
219 0
怎么选择渗透测试公司更降低成本
|
安全
服务器安全防护的计算机设备建议
如今,各行各业的运行和发展都离不开计算机设备,但在实际运行过程中,计算机设备往往存在硬件和软件问题,对企业的运行产生不利影响。计算机设备网络服务器的检查和维护对专业水平要求较高,包括检查计算机硬件问题、检测软件问题、杀灭计算机病毒等
206 0
服务器安全防护的计算机设备建议
|
SQL 运维 安全
服务器安全防护 防止被黑客攻击经验的分享
在这里我跟大家分享一下关于服务器安全的知识点经验,虽说我很早以前想过要搞黑客技术,然而由于种种原因我最后都没有搞黑客技术,但是我一直都在很留意服务器安全领域的。
281 0
服务器安全防护 防止被黑客攻击经验的分享
|
云安全 弹性计算 安全
阿里云服务器免费DDoS基础防护与基础安全防护介绍
DDoS基础防护服务可以有效防止云服务器ECS实例受到恶意攻击,从而保证ECS系统的稳定,即当流入ECS实例的流量超出实例规格对应的限制时,云盾就会帮助ECS实例限流,避免ECS系统出现问题。
1463 0
阿里云服务器免费DDoS基础防护与基础安全防护介绍
|
弹性计算 运维 监控
云服务器被DDOS攻击该如何防御?
相信很多大型网站遭遇到DDoS攻击,导致网站无法访问而又难以解决,包括小编的个人博客也曾接受过DDOS的“洗礼”,对此感同身受。所以,本文我们一起来了解下DDOS攻击并分享一些在一定程度范围内的应对方案。