在選擇云主機(jī)之前，你應(yīng)該了解這些安全問題

云主機(jī)是云計(jì)算在基礎(chǔ)設(shè)施應(yīng)用上非常重要的組成部分，位于云計(jì)算產(chǎn)業(yè)鏈金字塔底層。云主機(jī)涵蓋了互聯(lián)網(wǎng)應(yīng)用三大核心要素：計(jì)算、存儲(chǔ)、網(wǎng)絡(luò)，面向用戶提供公用化的互聯(lián)網(wǎng)基礎(chǔ)設(shè)施服務(wù)。

云主機(jī)是通過虛擬化技術(shù)在一組集群主機(jī)上虛擬多個(gè)類似于獨(dú)立主機(jī)的部分，每個(gè)部分都是獨(dú)立的操作系統(tǒng)。云主機(jī)可以提供基于云計(jì)算模式的服務(wù)器租賃服務(wù)。

云主機(jī)是新一代主機(jī)租賃服務(wù)，集成了高性能服務(wù)器和高質(zhì)量的網(wǎng)絡(luò)帶寬，有效解決了傳統(tǒng)主機(jī)租賃價(jià)格高、服務(wù)質(zhì)量參差不齊的缺點(diǎn)，可以充分滿足中小企業(yè)和個(gè)人站長(zhǎng)用戶對(duì)主機(jī)租賃服務(wù)的低成本、高可用性和易于管理的需求。

眾所周知，云主機(jī)的優(yōu)勢(shì)，但如何應(yīng)對(duì)云主機(jī)獨(dú)特的安全威脅越來(lái)越受到重視，包括多租戶、更好的服務(wù)器利用率和數(shù)據(jù)中心集成。安全性能得不到保證是一個(gè)亟待關(guān)注的問題。安全是當(dāng)前廣泛使用的公共云中最關(guān)鍵的因素。如何解決安全問題不僅是云制造商的責(zé)任，也是安全制造商必須解決的問題。云計(jì)算用戶迫切需要一個(gè)安全、穩(wěn)定、高可用的云主機(jī)平臺(tái)。

云主機(jī)面臨的主要安全問題

說(shuō)到云主機(jī)的安全性，有很多方面：數(shù)據(jù)安全、網(wǎng)絡(luò)安全和系統(tǒng)穩(wěn)定性。我們可以從以下角度進(jìn)行詳細(xì)說(shuō)明：

云主機(jī)安全。首先云主機(jī)是以多租戶的模式向大眾提供服務(wù)，租戶之間彼此獨(dú)立。為了更佳的服務(wù)器利用率和數(shù)據(jù)中心整合，租戶與租戶混雜，云主機(jī)之間彼此獨(dú)立是多租戶的前提，如果做好不同租戶之間的系統(tǒng)隔離是云主機(jī)安全可靠的前提。物理機(jī)安全。云主機(jī)是通過虛擬化技術(shù)在物理機(jī)上實(shí)現(xiàn)的多個(gè)獨(dú)立操作系統(tǒng)，物理機(jī)本身的問題都可能導(dǎo)致云主機(jī)異常，因此物理機(jī)安全是云主機(jī)安全的根本前提。首先物理機(jī)主要是托管在IDC因此，機(jī)房需要一個(gè)能夠有效應(yīng)對(duì)緊急情況和高可用性的托管環(huán)境。除了托管環(huán)境的不可抗力外，物理機(jī)器還需要在自身的系統(tǒng)安全方面做出足夠的努力。在當(dāng)前網(wǎng)絡(luò)安全形勢(shì)和挑戰(zhàn)下，如何應(yīng)對(duì)持續(xù)大量的端口掃描和密碼暴力破解，ddos攻擊能力是云主機(jī)平臺(tái)始終面臨的安全威脅。.數(shù)據(jù)安全。隨著越來(lái)越多的企業(yè)遷移到云端，安全問題一直是困擾云端的最大挑戰(zhàn)之一。企業(yè)數(shù)據(jù)被放置在云中，脫離了企業(yè)的實(shí)際控制，甚至許多企業(yè)共享云架構(gòu)和基礎(chǔ)設(shè)施。近年來(lái)，無(wú)論數(shù)量如何，在這個(gè)范圍內(nèi)，損失增長(zhǎng)迅速。多租戶和多應(yīng)用程序必然會(huì)導(dǎo)致數(shù)據(jù)混合，不同級(jí)別的數(shù)據(jù)（或虛擬機(jī)存儲(chǔ)不同級(jí)別的數(shù)據(jù)）可能會(huì)混合在同一個(gè)物理機(jī)器中。如何有效地管理和隔離這些數(shù)據(jù)也是一個(gè)巨大的挑戰(zhàn)。企業(yè)非常擔(dān)心企業(yè)的相關(guān)數(shù)據(jù)可能會(huì)被其他用戶恢復(fù)或磁盤回收，刪除的數(shù)據(jù)是否會(huì)被恢復(fù)。.邊界安全。虛擬化對(duì)網(wǎng)絡(luò)安全構(gòu)成了巨大威脅，傳統(tǒng)網(wǎng)絡(luò)可以通過交換機(jī)、IDS云主機(jī)間可以通過硬件背板而不是網(wǎng)絡(luò)進(jìn)行日常監(jiān)控和審計(jì)，這對(duì)于標(biāo)準(zhǔn)的網(wǎng)絡(luò)安全控制來(lái)說(shuō)是看不見的。傳統(tǒng)的保護(hù)工具已經(jīng)成為一種無(wú)用的裝飾。.性能下降。云主機(jī)通過虛擬化技術(shù)最大限度地提高設(shè)備資源利用率，性能是否滿足已成為一個(gè)新問題。例如，虛擬通常按1-4進(jìn)行，即一個(gè)物理核虛擬為4核。它最多可以由四個(gè)操作系統(tǒng)共享，每個(gè)操作系統(tǒng)己的獨(dú)立軟件，這是對(duì)性能的測(cè)試。例如，殺毒軟件是典型的消耗CPU四個(gè)殺毒軟件一起掃描，結(jié)果會(huì)是什么？.通信安全。搬到云端后，為了保證業(yè)務(wù)的穩(wěn)定有序進(jìn)行，需要可靠的通信保障。如何解決其他租戶帶來(lái)的干擾也是一個(gè)挑戰(zhàn)。同一臺(tái)物理機(jī)上的租戶共享物理機(jī)網(wǎng)卡和交換機(jī)接口。如果隔離不有效，正常租戶的通信可能會(huì)被非法監(jiān)控，云主機(jī)中了apr病毒可能導(dǎo)致一批云主機(jī)斷網(wǎng)，業(yè)務(wù)中斷。.災(zāi)難恢復(fù)和業(yè)務(wù)連續(xù)性。硬件故障、自然災(zāi)害或其他災(zāi)難時(shí)有發(fā)生。如何減少單點(diǎn)故障帶來(lái)的業(yè)務(wù)影響是企業(yè)和個(gè)人用戶非常擔(dān)心的問題。如何快速恢復(fù)災(zāi)難是測(cè)試云服務(wù)器提供云服務(wù)質(zhì)量的基本指標(biāo)。

行業(yè)解決方案

針對(duì)上述安全問題，云制造商的應(yīng)對(duì)方法和策略相似。方法基本上是通過技術(shù)手段進(jìn)行資源隔離、用戶數(shù)據(jù)加密、云主機(jī)系統(tǒng)安全加固，投資一些自主研發(fā)或從第三方購(gòu)買的安全檢測(cè)和保護(hù)設(shè)備，并投資大量的安全團(tuán)隊(duì)和運(yùn)維團(tuán)隊(duì)提供7*24小時(shí)不間斷服務(wù)。

有幾種方法可以提高安全性：

1.基礎(chǔ)安全

首先，集群成分布式部署在多個(gè)數(shù)據(jù)中心，對(duì)數(shù)據(jù)中心的資產(chǎn)、設(shè)備、材料和耗材有嚴(yán)格的規(guī)則和機(jī)制。該網(wǎng)絡(luò)基本上位于核心骨干區(qū)域，物業(yè)安全 7×；24 小時(shí)分段巡邏，所有基礎(chǔ)設(shè)施 7×；24 小時(shí)集中視頻監(jiān)控。保證物理機(jī)器和運(yùn)行環(huán)境的有力保障。

2.賬號(hào)與系統(tǒng)安全

組織專業(yè)的安全團(tuán)隊(duì)，結(jié)合多年的實(shí)際安全處理經(jīng)驗(yàn)，云主機(jī)鏡像進(jìn)行了一系列的安全加固策略。包括賬戶管理和安全認(rèn)證，如禁止root賬戶登錄（其他云服務(wù)提供商不受限制）禁止非常用的端口，隱藏歷史操作記錄；復(fù)雜密碼設(shè)置包括：強(qiáng)制密碼長(zhǎng)度和必須包含大小寫字母的復(fù)雜設(shè)置，有效降低了暴力破解用戶賬戶的風(fēng)險(xiǎn)。

物理機(jī)系統(tǒng)選擇穩(wěn)定版本的操作系統(tǒng)，定制安裝軟件包，最小化安裝，及時(shí)升級(jí)補(bǔ)丁和軟件版本，堵塞已知漏洞。支持雙因素認(rèn)證，購(gòu)買云主機(jī)后綁定租戶手機(jī)，重置密碼、重新安裝系統(tǒng)、刪除需要輸入驗(yàn)證碼才能繼續(xù)操作。雙因素認(rèn)證的增加是對(duì)賬戶安全的另一個(gè)有效保證。

3.網(wǎng)絡(luò)安全

網(wǎng)絡(luò)安全方面采用多重防御，通過防火墻、ACL等安全措施嚴(yán)格控制集群內(nèi)流量，保護(hù)集群內(nèi)云主機(jī)免受內(nèi)外網(wǎng)絡(luò)攻擊。物理機(jī)和云主機(jī)均采用VLAN嚴(yán)格隔離，同一租戶落入一個(gè)VLAN，不同的租戶進(jìn)行二層隔離，可以有效防止云主機(jī)的產(chǎn)生arp欺騙、端口掃描等安全威脅。訪問控制列表以白名單的形式設(shè)置，只有可信的主機(jī)才能訪問集群中的主機(jī)；獨(dú)立開發(fā)的頂級(jí)防護(hù)產(chǎn)品網(wǎng)站警衛(wèi)、網(wǎng)絡(luò)全流量分析等設(shè)備的投資可以有效防止syn flood、cc網(wǎng)絡(luò)攻擊等常見。

定期進(jìn)行安全掃描，及時(shí)發(fā)現(xiàn)安全漏洞，迅速修復(fù)或保護(hù)漏洞。

4.安全審計(jì)

所有集群物理機(jī)都使用安全相關(guān)的日志記錄功能（shell log），重定向日志到獨(dú)立的日志服務(wù)器；為整個(gè)安全基礎(chǔ)設(shè)施提供統(tǒng)一的日志安全審計(jì)系統(tǒng)，包括虛擬環(huán)境； 開始審計(jì)賬戶管理、登錄事件、系統(tǒng)事件、戰(zhàn)略變更、賬戶登錄事件的成敗。

5.安全運(yùn)維

集中的團(tuán)隊(duì)和角色管理系統(tǒng)來(lái)定義和控制權(quán)限，操作和維護(hù)工程師有唯一的身份；通過加密信道進(jìn)行管理，具有身份識(shí)別和認(rèn)證；所有登錄和操作過程實(shí)時(shí)審計(jì)。建立內(nèi)部流量聚集點(diǎn)，監(jiān)控整個(gè)網(wǎng)絡(luò)的動(dòng)態(tài)和流量。

實(shí)時(shí)對(duì)物理機(jī)和云主機(jī)進(jìn)行實(shí)時(shí)處理CPU、帶寬、磁盤監(jiān)控，發(fā)現(xiàn)異常情況立即通過短信、電子郵件報(bào)警； 實(shí)時(shí)資源監(jiān)控是資源使用的有效有效方式，也是自動(dòng)運(yùn)行和維護(hù)的有效方式之一。

未來(lái)發(fā)展方向

云服務(wù)器提供商應(yīng)致力于為企業(yè)和個(gè)人用戶提供高性能、可靠、安全的云服務(wù)，以減少企業(yè)發(fā)展所需的需求IT基礎(chǔ)設(shè)施技術(shù)和成本門檻為企業(yè)遷移到云端提供了最大的便利和最專業(yè)的安全服務(wù)體系。