什么是云主機
云主機是云計算在基礎設施應用上非常重要的組成部分,位于云計算產業鏈金字塔底層。云主機涵蓋了互聯網應用三大核心要素:計算、存儲、網絡,面向用戶提供公用化的互聯網基礎設施服務。云主機是一種通過虛擬化技術在一組集群主機上虛擬出多個類似獨立主機的部分,每個部分都是獨立的操作系統。云主機能提供基于云計算模式的按需使用和按需付費能力的服務器租用服務。云主機是新一代的主機租用服務,它整合了高性能服務器與優質網絡帶寬,有效解決了傳統主機租用價格偏高、服務品質參差不齊等缺點,可全面滿足中小企業、個人站長用戶對主機租用服務低成本,高可用,易管理的需求。
打造安全云主機
云主機的優點已是眾所周知,但是包括多租戶、更佳的服務器利用率和數據中心整合的同時,如何應對云主機特有的安全威脅越來越受重視。安全性能不能得到保障是亟需關注的問題。現在廣泛使用的公共云,安全問題更是首當其沖最關鍵的因素。如何解決其中的安全問題不再只是云廠商的責任,也是安全廠商必須解決的問題。廣大云計算用戶的亟需一套安全、穩定、高可用的云主機平臺。
云主機面臨的主要安全問題
提到云主機的安全問題,很廣泛,大概包含這么幾個方面:數據安全、網絡安全、系統穩定性。我們可以從如下幾個角度詳細說明:
1.云主機安全
首先云主機是以多租戶的模式向大眾提供服務,租戶之間彼此獨立。為了更佳的服務器利用率和數據中心整合,租戶與租戶混雜,云主機之間彼此獨立是多租戶的前提,如果做好不同租戶之間的系統隔離是云主機安全可靠的前提。
2.物理機安全
云主機是通過虛擬化技術在物理機上實現的多個獨立操作系統,物理機本身的問題都可能導致云主機異常,因此物理機安全是云主機安全的根本前提。首先物理機主要是托管在IDC機房,因此需要一個能夠有效應對突發事件,高可用的托管環境。前一段時間阿里云機房電纜被挖,青云機房被雷擊導致服務暫停都是典型的案例。
在托管環境不可抗力情況下外,物理機還需要在自身系統安全方面做足功夫。在當前網絡安全形勢與挑戰下,如何應對不斷的、大量的端口掃描,密碼暴力破解,DDOS攻擊的能力,都是云主機平臺時刻面臨的安全威脅。
3.數據安全
隨著越來越多的企業遷移到云端,然而安全問題一直是困擾走向云端的最大挑戰之一。企業數據放到云端,脫離企業的實際掌控,甚至很多企業共用云架構和基礎設施。最近幾年數據泄露無論數量上,范圍上,損失上都迅速的增長。
多租戶、多應用勢必造成數據混雜,不同等級的數據(或虛擬機儲存著不同等級的數據)可能交錯混雜在同一臺物理機器中。如何有效的管理、隔離這些數據也是一個很大的挑戰。企業有關數據可能被其他用戶恢復或當磁盤被回收時恢復,刪除的數據是否會被恢復,是企業十分擔心的問題。
4.邊界安全
云主機間的攻擊和盲點。
虛擬化對網絡安全帶來了巨大的威脅,傳統網絡可以通過交換機、IDS等設備進行日常監測、審計,而云主機間可能通過硬件背板而不是網絡進行通訊,這些通訊流量對標準的網絡安全控制來說是不可見的。傳統的防護工具變成了無用的擺設。
5.性能降低
云主機是通過虛擬化技術將設備資源利用率發揮到最大,性能是否滿足又成了新的問題,比如通常是按照1比4進行虛擬,即1個物理核虛擬成4核。最多供四個操作系統共享使用,而每個操作系統上會運行各自獨立的軟件,因此對性能方面是一個考驗。比如殺毒軟件就是典型耗CPU的軟件,四個殺毒軟件一起進行掃描,將會是什么結果呢?
6.通訊安全
遷移到云端后,為了確保業務穩定、有序進行,就需要可靠的通訊保證,如何解決其他租戶帶來的干擾也是一個挑戰。同一臺物理機上的租戶共用一個物理機網卡,共用一個交換機接口。如果沒有做好有效的隔離,正常租戶的通訊可能被非法監聽,某個云主機中了apr病毒,可能會導致一批云主機斷網,業務中斷。
7.災難恢復與業務連續性
硬件故障、自然災害或者其他災難時有發生,如何降低單點失效帶來的業務影響是企業和個人用戶都十分擔心的問題。如何做到災難快速恢復,恢復時長是考驗一個云服務器提供云服務質量的一個基本指標。
業內解決方案
針對上述的各種安全問題,各個云廠商應對方法和策略比較類似。方法基本都是通過技術手段做資源隔離、對用戶數據進行加密、云主機系統進行安全加固,投入一些自主研發或向第三方購買的安全檢測、防護設備,同時投入大量安全團隊、運維團隊提供7*24小時不間斷服務。
[page]增強安全性的方法可以有如下幾種:
1.基礎安全
首先集群成分布式部署在多個數據中心,對數據中心的資產設備、物資、耗材都有嚴格的規則機制,網絡基本都位于核心骨干區域,物業保安 7x24 小時分段巡邏,并對所有基礎設施進行 7x24 小時集中視頻監控。確保了物理機和運行環境的有力保障。
2.賬號與系統安全
組織專業的安全團隊,結合處理多年的安全實際處理經驗,云主機的鏡像進行了一系列的安全加固策略。包括賬號管理與安全認證,比如禁止root賬號登錄(其他云服務商均未做限制)禁用非常用端口、隱藏歷史操作記錄;復雜口令設置包括:強制密碼長度、必須包含大小寫字母的復雜度設定,有效降低了用戶賬號被暴力破解的風險。
物理機系統選擇發行中穩定版的操作系統,采用自定義方式安裝軟件包,以最小化安裝的方式部署基礎系統;及時升級補丁及軟件版本,封堵已知漏洞。
支持雙因子認證,購買云主機后就與租戶手機綁定,重置密碼、重裝系統、刪除都需要輸入校驗碼才能繼續操作。雙因子認證的加入是對賬號安全的又一個有效的保障。
3.網絡安全
網絡安全方面采用多重防御,通過防火墻、ACL等安全措施對集群內流量進行嚴格管控,保護集群內云主機免受來自內部、外部的網絡攻擊。物理機與云主機全部采用VLAN嚴格隔離,同一租戶落入一個VLAN,不同租戶做二層隔離,可以有效防止云主機產生的包括arp欺騙、端口掃描等安全威脅。采用白名單形式設置訪問控制列表,使得只有可信主機才能訪問集群內主機;自主研發的頂級防護產品網站衛士、網絡全流量分析等設備的投入都可以有效的阻止syn flood、cc等常見的網絡攻擊。
定期進行安全掃描,及時發現安全漏洞,快速對漏洞進行修補或者防護。
4.安全審計
集群內物理機全部啟用安全相關的日志記錄功能(shell log),重定向日志到獨立的日志服務器;為整個安全基礎設施包括虛擬環境在內提供統一的日志安全審計系統; 針對賬戶管理、登錄事件、系統事件、策略更改、帳戶登錄事件的成功、失敗開啟審計。
5.安全運維
集中的組和角色管理系統來定義和控制權限, 運維工程師都有唯一身份;通過加密信道進行管理,具備身份鑒別和認證;所有登陸、操作過程均被實時審計.建立內部流量匯聚點,監控整網的動態和流量。
對物理機、云主機進行實時的CPU、帶寬、磁盤監控,發現異常情況立即通過短信、郵件告警; 實時的資源監控是對資源使用情況的有效展現方式,也是自動化運維的有效方式之一。
未來發展方向
云服務器商應該致力于為企業和個人用戶提供高性能、可信賴、安全的云服務,最大程度降低企業發展所需的IT基礎架構技術、成本門檻,為企業遷移到云端提供最大的便利和最專業的安全服務體系保障。
京公網安備 11010502049343號