不是云廠商宣傳自己的云是安全可靠么，為什么我們還要買安全產品???

云計算是大勢所趨，根據2016年IDC的統計分析報告指出：

• 2015-2020年間IT總市場復合增長率僅為3%
  

• 全球公有云市場復合增長率為19%
  

• 74%的中國企業認為云值得信任
  

• 62%的企業認為云在基礎防御、平臺穩定、團隊專業上具有先天優勢。
  

因此隨著各大云廠商的云平臺的發展，越來越多的企業在嘗試將自己的應用從本地機房遷移上云。

當四五年前公有云剛在國內市場嶄露頭角之時，大部分企業都在保持一種觀望的狀態。畢竟在信息化高速發展的今天，數據是一個企業的命根。把數據放在公有云上，讓傳統企業的管理者心懷忐忑。但是隨著這幾年企業應用上云的試水，逐漸讓更多的企業管理者相信在公有云上，數據會更安全。

最近在跟客戶聊天的時候，發現了一個奇怪的想法，客戶問了一個問題：

現在不是所有云廠商在給自己的公有云做廣告時候宣傳是安全可靠的么，為什么我們還需要購買安全產品？？？

其實這里有一個理解上的差異，云廠家通常所說的公有云是安全可靠的，我認為其實大多時候指的是相對于我們在本地機房時候。

我們把服務器或者數據存放在云端是安全可靠的，因為這些原來需要物理條件支撐的資源，現在做成SaaS形式給租戶。其實其風險將會依賴于各大云廠家的機房物理條件，而各大云廠家龐大的物理條件，當然穩定性會高于本地化的小機房。

國家互聯網應急中心8月13日發布的《2019年上半年我國互聯網網絡安全態勢》顯示，2019年上半年，發生在我國云平臺上的網絡安全事件情況相比2018年進一步加劇。

根據國家互聯網應急中心監測數據，發生在我國主流云平臺上的各類網絡安全事件數量占比仍然較高，其中云平臺上遭受DDoS attack，次數占境內目標被attack次數的69.6%，被植入后門鏈接數量占境內全部被植入后門鏈接數量的63.1%，被篡改網頁數量占境內被篡改網頁數量的62.5%。

我們的應用系統，無論是在本地機房還是公有云，其實面臨的風險都是一致。只是當我們應用放在公有云上時候，我們不需要自己去購買安全盒子，自己去準備環境進行防御了，我們可以很方便的直接使用各大云廠家提供的安全產品的SaaS直接對我們的應用進行防護。

我們的應用系統將會面臨怎樣的風險呢？

從圖中介紹的維度，我們可以清晰的將應用系統面對的風險劃分為四個維度。分別為：網絡安全、業務安全、主機安全、APP安全。其實這四類的風險，無論是我們將應用放在本地機房，還是將應用放在公有云上，都將是我們的應用系統需要面對的，當然如果我們的應用是B/S架構的，就不會有APP安全的風險。

根據過往的經驗，我們知道，在線下機房，我們可以通過采購一系列的硬件盒子，并將這些安全硬件盒子與我們本地的網絡、服務器組合起來使用，起到了安全防護的作用。那么在我們公有云環境上面，我們需要怎樣的最小配置，才能讓云上的應用系統得到更好的保護？

為了更直觀的體現后續介紹，我們需要采用哪些安全措施來保障應用安全，我用以下簡單的架構圖例子來輔佐進行說明。

1.?主機層面

殺毒軟件：以官網服務器為例（架構圖中的右下角），需要在服務器上安裝殺毒軟件。一般云廠商會有自研的殺毒軟件。云廠家的殺毒軟件會比傳統的殺毒軟件功能會更強。除了具有殺毒功能外，一般還會包括漏洞掃描與修復，服務器安全基線掃描，資產管理等功能。可以更好的從主機層面上防護系統。

云數據庫審計：可針對數據庫SQL注入、風險操作等數據庫風險操作行為進行記錄與告警。支持云數據庫、自建數據庫，為云上數據庫提供安全診斷、維護、管理能力。

2.?網絡訪問層面

在架構圖中從終端用戶到應用訪問的網絡路徑中，會先經過多個云安全產品從網絡數據傳輸上對應用進行防護。此處，我們列舉常用的三款云安全產品：

Web應用防火墻：

基于云安全大數據能力，有效防御各類OWASP常見Web attack并過濾海量惡意CC attack，實現網站防篡改，避免您的網站資產數據泄露，保障網站業務安全性與可用性。

DDoS防護：

有效防火DDoS attack，保護應用不受DDoS attack影響。

證書服務：

以最小的成本將您的服務從HTTP轉換成HTTPS，實現網站的身份驗證和數據加密傳輸。

3.?運維安全管理層面

這一個防范措施往往是用戶容易忽略的，甚至很多用戶會認為，這些防護手段在傳統IDC機房慣用的防護手段，在云環境中沒有必要去做，其實這是對云上運維工作錯誤的理解。上云后解決的是我們對物理環境的運維，以及減輕大量的手工運維工作。

堡壘機：

集中了運維身份鑒別、賬號管控、系統操作審計等多種功能。基于協議正向代理實現，通過正向代理可實現對SSH、Windows遠程桌面、SFTP等常見運維協議的數據流進行全程記錄，再通過協議數據流重組的方式進行錄像回放，達到運維審計的目的。

安全加固：

通過堡壘機，對包括了操作系統、數據庫、中間件等的安全參數、日志審計、賬號審計、登錄審計等進行配置

漏洞修復：

通過堡壘機，對包括操作系統、數據庫、中間件、應用等的漏洞進行修復。

子網劃分：

通過不同的子網，規范云資源的管理工作，對云資源進行訪問控制。

總結上述三種安全保護措施，當我們在公有云上發布應用時候，為了保障應用安全性以及合規性。我們最小需要配置的云安全產品應包括：殺毒軟件、DDoS防護、Web應用防火墻、證書服務、數據庫審計、堡壘機等云安全產品。同時還需要云服務器、數據庫、中間件等資源進行安全加固和漏洞修復等運維工作。

作者：林偉棟

———— / END / ————

更多討論

如何基于TAPD實踐Scrum的敏捷開發？

嘉為出席GOPS全球運維大會：運維巔峰時代，研運中臺或是唯一選擇

錯誤提示：網絡連接問題？試試用netstat監控網絡連接！

如何納管與定義多云？