【內(nèi)容聲明】本文收集整理于互聯(lián)網(wǎng),不確保內(nèi)容真實性和質(zhì)量度,僅供參考!若有服務(wù)器產(chǎn)品相關(guān)問題,請咨詢[YINGSOO]在線客服,獲取專業(yè)解答!

　　【推薦產(chǎn)品】美國高防云服務(wù)器丨韓國高防服務(wù)器丨香港高防云服務(wù)器丨日本高防服務(wù)器

　　【精選文章】 防御DDoS攻擊的高防服務(wù)器該如何選擇？來看這7點

　　云服務(wù)器安全：根據(jù)CSA(Cloud Security Alliance，云安全聯(lián)盟)在今年年初發(fā)布的《Cloud Adoption,Practices and Priorities Survey Report》調(diào)研報告，73%的受訪對象表示，安全仍舊是企業(yè)上云的首要顧慮。

　　1）云服務(wù)安全嗎?云服務(wù)器首要的外部威脅有哪些?

　　由于云服務(wù)器替代傳統(tǒng)服務(wù)器承載了與企業(yè)生存發(fā)展息息相關(guān)的互聯(lián)網(wǎng)業(yè)務(wù)，使得用戶對云安全的疑問很大程度上聚焦在云服務(wù)器的安全上。

　　云服務(wù)器安全嗎?

　　這個問題不僅僅限定在看不到摸不著的虛擬化層面。讓用戶感觸更為深刻的是：突然發(fā)現(xiàn)，之前很多常見和常用的安全防護(hù)系統(tǒng)，特別是“硬件盒子”，都從采購名單上消失了。云計算環(huán)境對于安全防護(hù)的改變可見一斑。

　　這樣一來，云服務(wù)器的安全該如何實現(xiàn)呢?

　　云服務(wù)器的安全威脅

　　正像云計算對于互聯(lián)網(wǎng)業(yè)務(wù)革命性的改變一樣，對安全的改變也是徹底的，不僅體現(xiàn)在安全防護(hù)理念上，還有對安全交付方式的改變。

　　不過，安全的本質(zhì)并沒有因為云計算技術(shù)的引入發(fā)生改變。

　　事實上，部署在傳統(tǒng)環(huán)境下的服務(wù)器和云環(huán)境下的服務(wù)器，從安全威脅角度上講沒有太多不同。

　　從上圖可見，云服務(wù)器的安全威脅主要包括：

　　自身存在的脆弱性，例如漏洞(包括虛擬化層面)、錯誤的配置、不該開放的端口等;

　　外部威脅，例如后門、木馬、暴力破解攻擊等。

　　不管是部署在傳統(tǒng)數(shù)據(jù)中心還是云數(shù)據(jù)中心中，服務(wù)器安全都要面對和解決上述兩個方面的威脅。

　　對于云服務(wù)器來說，首先需要解決的是自身脆弱性的問題，特別是漏洞。

　　存在漏洞的系統(tǒng)就像一間打開窗戶的房間，不管安裝了多么先進(jìn)的門禁系統(tǒng)，也無法阻擋小偷的光臨。

　　此外，對服務(wù)器關(guān)鍵配置和端口的檢查和監(jiān)控，一方面可以減少攻擊面，另一個方面可以隨時掌握系統(tǒng)安全狀態(tài)。

　　從外部威脅角度上講，暴力破解仍舊是云服務(wù)器最大的網(wǎng)絡(luò)威脅。暴力破解防護(hù)需要覆蓋系統(tǒng)、應(yīng)用和數(shù)據(jù)庫三個層面，任何一個層面的缺失都會增大系統(tǒng)遭受入侵的概率。

　　最后，能否快速發(fā)現(xiàn)和清除云服務(wù)器上的病毒、木馬和后門是對防護(hù)能力的重大考驗。

　　云服務(wù)器的雙重挑戰(zhàn)

　　云服務(wù)器安全主要面臨來自內(nèi)部和外部的雙重挑戰(zhàn)。

　　首先，云服務(wù)器的脆弱性突出體現(xiàn)在未被修復(fù)的漏洞上。

　　根據(jù)國外某安全機(jī)構(gòu)的統(tǒng)計，在金融行業(yè)，漏洞平均修復(fù)時間長達(dá)176天。采用云計算后這個數(shù)字稍微有所改善，然而，云服務(wù)器漏洞的平均修復(fù)時間仍舊是50天。無論是176天還是50天，對于進(jìn)攻一方來說，足夠遍歷整個服務(wù)器。

　　其次，根據(jù)國外某安全公司的測試，“黑客”成功入侵AWS服務(wù)器只需要4個小時。表面看是系統(tǒng)脆弱性導(dǎo)致，背后實際上是黑客的暴力破解行為。YINGSOO：Yingsoo.com

　　在云計算環(huán)境中，大部分云服務(wù)提供商并不提供暴力破解防護(hù)服務(wù)，而是建議用戶在服務(wù)器上安裝三方防護(hù)軟件。事實上，市面流行的云服務(wù)器安全軟件一般只提供操作系統(tǒng)層面的暴力破解防護(hù)，并沒有覆蓋到應(yīng)用和數(shù)據(jù)庫層面。應(yīng)用和數(shù)據(jù)庫層面的缺失無疑是在云服務(wù)器防護(hù)上玩起了“鋸箭”法——操作系統(tǒng)我管，上面的找別人。

　　第三，絕大多數(shù)云服務(wù)器安全系統(tǒng)/方案體現(xiàn)為單點防護(hù)。

　　單點防護(hù)具有兩個特點：橫向上，針對服務(wù)器個體的防護(hù)以及縱向上在服務(wù)器一個層面進(jìn)行防護(hù)。

　　橫向上的單點防護(hù)體現(xiàn)為每個云服務(wù)器都是彼此孤立的個體。在木馬、后門變異樣本層出不窮的今天，如果惡意樣本采集不是實時的，分析和策略分享、下發(fā)不能快速完成，將無異于將主動權(quán)拱手讓給入侵者。

　　縱向上的單點體現(xiàn)在，同時也是常見云服務(wù)器安全軟件的“通病”，無論是網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用和數(shù)據(jù)防護(hù)都依靠安裝在云服務(wù)器上的軟件來完成。先不說防護(hù)效果，啟用防護(hù)功能需要調(diào)用大量的系統(tǒng)資源，等同于發(fā)起一場自殘式的拒絕服務(wù)攻擊。

　　最后，安全攻防的背后是人的技能、智慧以及經(jīng)驗的對抗。

　　在特定情況下，要求人員介入，快速完成樣本收集、取證、分析和攻擊阻斷。然而，對于大多數(shù)企業(yè)來說，建立一支具有專業(yè)技能的安全攻防團(tuán)隊是不現(xiàn)實的。

　　因此，云服務(wù)器的安全防護(hù)是對平臺化、體系化以及包括快速響應(yīng)、技術(shù)經(jīng)驗在內(nèi)運(yùn)營能力的全面挑戰(zhàn)，而不是簡簡單單安裝一個主機(jī)防護(hù)軟件就可以實現(xiàn)的。

　　云服務(wù)器防護(hù)

　　一個完整和全面的云服務(wù)器防護(hù)方案應(yīng)該包含對內(nèi)部脆弱性(漏洞、配置、端口等)的快速定位、修復(fù)以及對外部威脅的迅速發(fā)現(xiàn)和阻斷。

　　對于內(nèi)部脆弱性，特別是嚴(yán)重威脅云服務(wù)器安全的漏洞，不僅要求精準(zhǔn)定位，對于絕大部分漏洞來說，自動化的漏洞修復(fù)將有效提升安全防護(hù)的效率和效果。對于關(guān)鍵服務(wù)器或有嚴(yán)格合規(guī)/業(yè)務(wù)規(guī)定的服務(wù)器，云服務(wù)商應(yīng)該提供漏洞修復(fù)的風(fēng)險提示，這個工作不應(yīng)該交給用戶。云盾安騎士軟件提供自動化漏洞修復(fù)功能，以及針對補(bǔ)丁的風(fēng)險評估及修復(fù)建議。

　　其次，對于云服務(wù)器首要的外部威脅——暴力破解，防護(hù)系統(tǒng)必須涵蓋系統(tǒng)、應(yīng)用和數(shù)據(jù)庫。

　　2)云服務(wù)器安全你的是云端化嗎?

　　服務(wù)器對于企業(yè)而言重要性不言而喻，其被攻陷形同于整個企業(yè)的系統(tǒng)被攻陷，也正因為如此，如何筑牢服務(wù)器安全這個“最后一道防線”成為了當(dāng)前熱門的安全話題。

　　根據(jù)一些權(quán)威機(jī)構(gòu)的報告，挖礦木馬、勒索病毒、后門、以及其他惡意程序等各類服務(wù)器安全威脅的占比仍在持續(xù)走高，特別是加密貨幣相關(guān)的惡意軟件，過去一年增長了數(shù)十倍，完全可以預(yù)估，今明兩年內(nèi)，挖礦、勒索等關(guān)鍵詞仍然將占據(jù)安全圈的頭條，企業(yè)在服務(wù)器安全防護(hù)方面需要更加謹(jǐn)慎。

　　為了解決這個問題，旗魚云梯在服務(wù)器安全領(lǐng)域進(jìn)行了大量探索，結(jié)合大量的實際案例，我們推出了如何加強(qiáng)服務(wù)器安全防護(hù)的解決方案，集系統(tǒng)、網(wǎng)絡(luò)、端口、IP多重防護(hù)于一體，為服務(wù)器安全保駕護(hù)航。

　　加強(qiáng)系統(tǒng)防護(hù)

　　服務(wù)器的各項系統(tǒng)安全設(shè)置，能夠有效抵御外部攻擊，降低安全隱患。

　　旗魚云梯通過啟動系統(tǒng)防火墻、端口白名單、服務(wù)器禁PING、IP黑白名單、RDP遠(yuǎn)程桌面端口等功能設(shè)置，全面加強(qiáng)服務(wù)器系統(tǒng)防護(hù)能力，提升服務(wù)器自身安全性。

　　實時管控網(wǎng)絡(luò)連接

　　針對不同網(wǎng)絡(luò)協(xié)議進(jìn)行流量監(jiān)控和分析，如果某一協(xié)議在一個時間段內(nèi)出現(xiàn)進(jìn)程或訪問狀態(tài)異常，就有可能是攻擊流量或蠕蟲病毒出現(xiàn)。

　　網(wǎng)絡(luò)協(xié)議上的端口，它為程序在網(wǎng)絡(luò)連接中提供了接口，黑客也可以利用開放的端口進(jìn)而掌握該端口對應(yīng)的系統(tǒng)服務(wù)，并利用系統(tǒng)服務(wù)達(dá)到入侵主機(jī)的目的。

　　旗魚云梯通過網(wǎng)絡(luò)連接管控可查看到連接網(wǎng)絡(luò)的協(xié)議類型、本地外部地址、占用進(jìn)程、歸屬用戶和狀態(tài)，以監(jiān)控網(wǎng)絡(luò)訪問是否異常;并可直接進(jìn)行管理，一鍵添加至端口白名單或IP黑白名單，提高網(wǎng)絡(luò)安全防護(hù)性。

　　全面管理系統(tǒng)監(jiān)聽端口

　　在日常服務(wù)器維護(hù)時，及時有效的端口管理可以隔絕大多數(shù)網(wǎng)絡(luò)攻擊。那么服務(wù)器端口如何管理呢?其實就是確定業(yè)務(wù)層需要使用的端口，除了開放這些使用的端口之外，其他不使用的端口全部隔絕。 旗魚云梯通過管理系統(tǒng)監(jiān)聽端口，可直接選擇信任端口，并能實時查看端口訪問情況，以便在發(fā)現(xiàn)高危端口時，能夠及時提醒安全運(yùn)維人員做出相應(yīng)處理，有效避免入侵事件發(fā)生。

　　及時管控出入站IP

　　DDOS攻擊，會對你的服務(wù)器突發(fā)性地輸入/輸出大量無效或慢速的訪問請求，導(dǎo)致服務(wù)器流量需求激增、帶寬超限、服務(wù)器卡死，IP下的所有網(wǎng)站無法訪問。因此我們需要對IP訪問進(jìn)行管控。 出站即你訪問外網(wǎng)，入站就是外網(wǎng)訪問你。旗魚云梯通過創(chuàng)建入站和出站規(guī)則，并應(yīng)用于超級黑白名單，從而阻擋或者允許特定ip或者端口進(jìn)行訪問，做到出入站IP有效管控，輕松應(yīng)對各類基于IP的攻擊。 旗魚云梯作為云安全領(lǐng)域的先行者之一，始終致力于讓用戶的安全管理更加簡單、更加高效，在服務(wù)器安全領(lǐng)域，我們后續(xù)還將持續(xù)跟進(jìn)開拓，提供更好地解決方案，為用戶的安全保駕護(hù)航!

　　關(guān)鍵詞：云服務(wù)器安全,云服務(wù)器的外部威脅

版權(quán)聲明：本站文章來源標(biāo)注為YINGSOO的內(nèi)容版權(quán)均為本站所有，歡迎引用、轉(zhuǎn)載，請保持原文完整并注明來源及原文鏈接。禁止復(fù)制或仿造本網(wǎng)站，禁止在非maisonbaluchon.cn所屬的服務(wù)器上建立鏡像，否則將依法追究法律責(zé)任。本站部分內(nèi)容來源于網(wǎng)友推薦、互聯(lián)網(wǎng)收集整理而來，僅供學(xué)習(xí)參考，不代表本站立場，如有內(nèi)容涉嫌侵權(quán)，請聯(lián)系alex-e#qq.com處理。