雲主機的優點已是衆所周知,但是包括多租戶、更佳的服務器利用率和數據中心連接的同時,如何應對雲主機特有的安全威脅越來越受重視。安全性能不能得到保障是需要關注的問題。那麼如何增強雲主機的安全性呢?
一、基礎安全
首先集羣成分佈式部署在多個數據中心,對數據中心的資產設備、物資、耗材都有嚴格的規則機制,網絡基本都位於核心骨幹區域,物業保安7x24小時分段巡邏,並對所有基礎設施進行7x24小時集中視頻監控。確保了物理機和運行環境的有力保障。
二、賬號與系統安全
組織專業的安全團隊,根據處理多年的安全實際處理經驗,雲主機的鏡像進行了一系列的安全加固策略。包括賬號管理與安全認證,比如禁止root賬號登錄(其他雲服務商均未做控制)禁用非常用端口、隱藏曆史操作記錄;複雜口令設置包括:強制密碼長度、必須包含大小寫字母的複雜度設定,有效降低了用戶賬號被解析的風險。
物理機系統選擇發行中穩定版的操作系統,採用自定義方式安裝軟件包,以最小化安裝的方式部署基礎系統;及時升級補丁及軟件版本,封堵已知漏洞。
支持雙因子認證,選購雲主機後就與租戶號碼綁定,重置密碼、重裝系統、刪除都需要輸入校驗碼才能繼續操作。雙因子認證的加入是對賬號安全的又一個有效的保障。
三、安全審計
集羣內物理機全部啓用安全相關的日誌記錄功能(shelllog),重定向日誌到單獨的日誌服務器;爲整個安全基礎設施包括虛擬環境在內供應統一的日誌安全審計系統;針對賬戶管理、登錄事件、系統事件、策略更改、帳戶登錄事件的成功、失敗開啓審計。
四、網絡安全
網絡安全方面採用多重防禦,通過防火牆、ACL等安全措施對集羣內流量進行嚴格管控,保護集羣內雲主機免受來自內部、外部的網絡攻擊。物理機與雲主機全部採用VLAN嚴格隔離,同一租戶落入一個VLAN,不同租戶做二層隔離,可以有效防止雲主機產生的包括arp欺騙、端口掃描等安全威脅。採用白名單形式設置訪問控制列表,使得只有可信主機才能訪問集羣內主機;自主研發的防護產品網站衛士、網絡全流量分析等設備的投入都可以有效的阻止synflood、cc等常見的網絡攻擊。定期進行安全掃描,及時發現安全漏洞,快速對漏洞進行修補或者防護。
五、安全運維
集中的組和角色管理系統來定義和控制權限,運維工程師都有唯一身份;通過加密信道進行管理,具備身份鑑別和認證;所有登陸、操作過程均被實時審計.建立內部流量匯聚點,監控整網的動態和流量。
對物理機、雲主機進行實時的CPU、帶寬、磁盤監控,發現異常情況立即通過短消息、郵件告警;實時的資源監控是對資源使用情況的有效展現方式,也是自動化運維的有效方式之一。
雲主機商應該致力於爲企業和個人用戶供應高性能、可信賴、安全的雲服務,最大程度降低企業發展所需的IT基礎架構技術、成本門檻,爲企業遷移到雲端供應最大的便利和最專業的安全服務體系保障。
諮詢熱線:400;
QQ:613078133