在選擇云主機之前，你應該了解這些安全問題

云主機是云計算在基礎設施應用上非常重要的組成部分，位于云計算產(chǎn)業(yè)鏈金字塔底層。云主機涵蓋了互聯(lián)網(wǎng)應用三大核心要素：計算、存儲、網(wǎng)絡，面向用戶提供公用化的互聯(lián)網(wǎng)基礎設施服務。

云主機是通過虛擬化技術(shù)在一組集群主機上虛擬多個類似于獨立主機的部分，每個部分都是獨立的操作系統(tǒng)。云主機可以提供基于云計算模式的服務器租賃服務。

云主機是新一代主機租賃服務，集成了高性能服務器和高質(zhì)量的網(wǎng)絡帶寬，有效解決了傳統(tǒng)主機租賃價格高、服務質(zhì)量參差不齊的缺點，可以充分滿足中小企業(yè)和個人站長用戶對主機租賃服務的低成本、高可用性和易于管理的需求。

眾所周知，云主機的優(yōu)勢，但如何應對云主機獨特的安全威脅越來越受到重視，包括多租戶、更好的服務器利用率和數(shù)據(jù)中心集成。安全性能得不到保證是一個亟待關(guān)注的問題。安全是當前廣泛使用的公共云中最關(guān)鍵的因素。如何解決安全問題不僅是云制造商的責任，也是安全制造商必須解決的問題。云計算用戶迫切需要一個安全、穩(wěn)定、高可用的云主機平臺。

云主機面臨的主要安全問題

說到云主機的安全性，有很多方面：數(shù)據(jù)安全、網(wǎng)絡安全和系統(tǒng)穩(wěn)定性。我們可以從以下角度進行詳細說明：

云主機安全。首先云主機是以多租戶的模式向大眾提供服務，租戶之間彼此獨立。為了更佳的服務器利用率和數(shù)據(jù)中心整合，租戶與租戶混雜，云主機之間彼此獨立是多租戶的前提，如果做好不同租戶之間的系統(tǒng)隔離是云主機安全可靠的前提。物理機安全。云主機是通過虛擬化技術(shù)在物理機上實現(xiàn)的多個獨立操作系統(tǒng)，物理機本身的問題都可能導致云主機異常，因此物理機安全是云主機安全的根本前提。首先物理機主要是托管在IDC因此，機房需要一個能夠有效應對緊急情況和高可用性的托管環(huán)境。除了托管環(huán)境的不可抗力外，物理機器還需要在自身的系統(tǒng)安全方面做出足夠的努力。在當前網(wǎng)絡安全形勢和挑戰(zhàn)下，如何應對持續(xù)大量的端口掃描和密碼暴力破解，ddos攻擊能力是云主機平臺始終面臨的安全威脅。.數(shù)據(jù)安全。隨著越來越多的企業(yè)遷移到云端，安全問題一直是困擾云端的最大挑戰(zhàn)之一。企業(yè)數(shù)據(jù)被放置在云中，脫離了企業(yè)的實際控制，甚至許多企業(yè)共享云架構(gòu)和基礎設施。近年來，無論數(shù)量如何，在這個范圍內(nèi)，損失增長迅速。多租戶和多應用程序必然會導致數(shù)據(jù)混合，不同級別的數(shù)據(jù)（或虛擬機存儲不同級別的數(shù)據(jù)）可能會混合在同一個物理機器中。如何有效地管理和隔離這些數(shù)據(jù)也是一個巨大的挑戰(zhàn)。企業(yè)非常擔心企業(yè)的相關(guān)數(shù)據(jù)可能會被其他用戶恢復或磁盤回收，刪除的數(shù)據(jù)是否會被恢復。.邊界安全。虛擬化對網(wǎng)絡安全構(gòu)成了巨大威脅，傳統(tǒng)網(wǎng)絡可以通過交換機、IDS云主機間可以通過硬件背板而不是網(wǎng)絡進行日常監(jiān)控和審計，這對于標準的網(wǎng)絡安全控制來說是看不見的。傳統(tǒng)的保護工具已經(jīng)成為一種無用的裝飾。.性能下降。云主機通過虛擬化技術(shù)最大限度地提高設備資源利用率，性能是否滿足已成為一個新問題。例如，虛擬通常按1-4進行，即一個物理核虛擬為4核。它最多可以由四個操作系統(tǒng)共享，每個操作系統(tǒng)己的獨立軟件，這是對性能的測試。例如，殺毒軟件是典型的消耗CPU四個殺毒軟件一起掃描，結(jié)果會是什么？.通信安全。搬到云端后，為了保證業(yè)務的穩(wěn)定有序進行，需要可靠的通信保障。如何解決其他租戶帶來的干擾也是一個挑戰(zhàn)。同一臺物理機上的租戶共享物理機網(wǎng)卡和交換機接口。如果隔離不有效，正常租戶的通信可能會被非法監(jiān)控，云主機中了apr病毒可能導致一批云主機斷網(wǎng)，業(yè)務中斷。.災難恢復和業(yè)務連續(xù)性。硬件故障、自然災害或其他災難時有發(fā)生。如何減少單點故障帶來的業(yè)務影響是企業(yè)和個人用戶非常擔心的問題。如何快速恢復災難是測試云服務器提供云服務質(zhì)量的基本指標。

行業(yè)解決方案

針對上述安全問題，云制造商的應對方法和策略相似。方法基本上是通過技術(shù)手段進行資源隔離、用戶數(shù)據(jù)加密、云主機系統(tǒng)安全加固，投資一些自主研發(fā)或從第三方購買的安全檢測和保護設備，并投資大量的安全團隊和運維團隊提供7*24小時不間斷服務。

有幾種方法可以提高安全性：

1.基礎安全

首先，集群成分布式部署在多個數(shù)據(jù)中心，對數(shù)據(jù)中心的資產(chǎn)、設備、材料和耗材有嚴格的規(guī)則和機制。該網(wǎng)絡基本上位于核心骨干區(qū)域，物業(yè)安全 7×；24 小時分段巡邏，所有基礎設施 7×；24 小時集中視頻監(jiān)控。保證物理機器和運行環(huán)境的有力保障。

2.賬號與系統(tǒng)安全

組織專業(yè)的安全團隊，結(jié)合多年的實際安全處理經(jīng)驗，云主機鏡像進行了一系列的安全加固策略。包括賬戶管理和安全認證，如禁止root賬戶登錄（其他云服務提供商不受限制）禁止非常用的端口，隱藏歷史操作記錄；復雜密碼設置包括：強制密碼長度和必須包含大小寫字母的復雜設置，有效降低了暴力破解用戶賬戶的風險。

物理機系統(tǒng)選擇穩(wěn)定版本的操作系統(tǒng)，定制安裝軟件包，最小化安裝，及時升級補丁和軟件版本，堵塞已知漏洞。支持雙因素認證，購買云主機后綁定租戶手機，重置密碼、重新安裝系統(tǒng)、刪除需要輸入驗證碼才能繼續(xù)操作。雙因素認證的增加是對賬戶安全的另一個有效保證。

3.網(wǎng)絡安全

網(wǎng)絡安全方面采用多重防御，通過防火墻、ACL等安全措施嚴格控制集群內(nèi)流量，保護集群內(nèi)云主機免受內(nèi)外網(wǎng)絡攻擊。物理機和云主機均采用VLAN嚴格隔離，同一租戶落入一個VLAN，不同的租戶進行二層隔離，可以有效防止云主機的產(chǎn)生arp欺騙、端口掃描等安全威脅。訪問控制列表以白名單的形式設置，只有可信的主機才能訪問集群中的主機；獨立開發(fā)的頂級防護產(chǎn)品網(wǎng)站警衛(wèi)、網(wǎng)絡全流量分析等設備的投資可以有效防止syn flood、cc網(wǎng)絡攻擊等常見。

定期進行安全掃描，及時發(fā)現(xiàn)安全漏洞，迅速修復或保護漏洞。

4.安全審計

所有集群物理機都使用安全相關(guān)的日志記錄功能（shell log），重定向日志到獨立的日志服務器；為整個安全基礎設施提供統(tǒng)一的日志安全審計系統(tǒng)，包括虛擬環(huán)境； 開始審計賬戶管理、登錄事件、系統(tǒng)事件、戰(zhàn)略變更、賬戶登錄事件的成敗。

5.安全運維

集中的團隊和角色管理系統(tǒng)來定義和控制權(quán)限，操作和維護工程師有唯一的身份；通過加密信道進行管理，具有身份識別和認證；所有登錄和操作過程實時審計。建立內(nèi)部流量聚集點，監(jiān)控整個網(wǎng)絡的動態(tài)和流量。

實時對物理機和云主機進行實時處理CPU、帶寬、磁盤監(jiān)控，發(fā)現(xiàn)異常情況立即通過短信、電子郵件報警； 實時資源監(jiān)控是資源使用的有效有效方式，也是自動運行和維護的有效方式之一。

未來發(fā)展方向

云服務器提供商應致力于為企業(yè)和個人用戶提供高性能、可靠、安全的云服務，以減少企業(yè)發(fā)展所需的需求IT基礎設施技術(shù)和成本門檻為企業(yè)遷移到云端提供了最大的便利和最專業(yè)的安全服務體系。