云计算环境下的安全防护策略 - 保密网

越来越多的企业把自己的业务和数据往云上搬，原因很清楚：成本低、弹性好、维护省心。但云上安全跟传统机房里那一套打法完全不同。很多企业习惯性地把机房的那套安全策略照搬到云端，结果发现根本不灵。我从实际服务过的上云企业案例里，总结了几条在云环境下必须搞清楚的安全要点。

先理解一个基本原则：责任共担。云计算服务商通常会给你一个责任共担模型，简单说就是云服务商负责云基础设施的安全，而你在云上部署的应用、存储的数据、配置的访问策略，安全责任在你自己这边。很多企业误以为把数据放上云，安全就全交给云厂商了，结果出了事才发现责任划分清清楚楚，数据泄露的锅还得自己背。

那企业在云上容易出哪些安全问题呢？从我观察到的案例看，主要有这么几类。

一是云存储权限配置不当。这是云上安全靠前的隐患。我把敏感数据传到对象存储上之后，如果不小心把存储桶的访问权限设成了公开，任何人在网上都能下载这些文件。这种乌龙事件在国内外都发生过不少。有些是权限配置错误，有些是测试数据用了公开桶忘了改，还有的是为了方便临时打开了公开访问然后就忘了关。在云上，默认是安全隔离的，但如果人的操作疏忽，隔离就会变成开放。

二是云上资产的暴露面扩大。在云上部署应用，往往需要开通各种网络端口和出站规则。一个云主机可能同时开启了SSH、RDP、HTTP、HTTPS等多个端口，而且部分端口的来源IP限制可能是0.0.0.0/0。这就相当于把自家的大门直接对着互联网敞开了。黑客通过扫描工具发现这些开放端口，就可以尝试暴力破解SSH密码或利用系统漏洞入侵。

三是云上身份和密钥管理混乱。云厂商每个服务都需要权限凭证才能调用，这些凭证包括访问密钥、API密钥、服务账号密码等等。很多企业的开发人员为了方便，把密钥直接写在了代码里，或者上传到了代码仓库。代码仓库如果被公开或者被内部人泄露，这些密钥就等于直接交给了攻击者。一个泄露的云服务密钥，可能让攻击者获得对云上所有资源的完全控制权，后果非常严重。

四是对云上日志和监控的忽视。在传统机房中，你可以通过硬件设备采集网络流量信息。在云上，很多流量形态变成了虚拟网络和API调用，传统的监控手段用不上。如果云上日志没有开启，或者日志没有集中管理，出了安全问题你根本无法追溯源头。很多上云企业被攻击后连什么时候被入侵的都说不清楚，就是因为没有开启云审计日志。

那云上安全防护策略应该怎么做呢？我建议从以下几个方面搭建。

首先是访问控制。云上的第一道防线不是防火墙，而是身份和访问管理。遵循较小权限原则，只给每个人和每个服务分配刚好够用的权限。定期审查权限配置，回收闲置账号和多余的权限。启用多因素认证，特别是对云管理控制台的访问，必须用多因素认证加固。对于云服务账号，建议启用联合身份认证，将云上的账号跟企业的统一身份平台对接，实现集中管理和权限控制。

其次是网络安全配置。使用云厂商提供的虚拟私有云和安全组功能，像搭积木一样把网络划分成不同的安全区域。核心数据库放在不对公网开放的私有子网里，只有应用服务器才能访问。Web服务器放在公网子网里，通过安全组精确控制开放哪些端口、哪些来源IP可以访问。配置网络访问控制列表作为安全组的第二道防线。对于对外公开的应用，可以在前端加上Web应用防火墙或者内容分发网络，隐藏真实源IP。

第三是数据保护。云上的数据在存储时必须加密，在传输时也要用TLS加密。云厂商一般都提供透明加密服务，可以在不改造应用的情况下对存储的数据进行加密。更重要的是密钥管理，建议使用云厂商专有的密钥管理服务，不要把密钥放在本地或者代码里。对于非常敏感的数据，可以考虑在应用层再做一层加密，实现双层防护。

第四是监控与告警。开启云厂商提供的审计日志服务和云监控服务，把所有云资源的操作日志、网络流量日志、安全事件日志统一采集。配置关键事件的告警规则，比如管理控制台的异地登录尝试、安全组的非预期变更、审计日志的停止或修改。把告警接入你已有的安全运营体系，确保有人能看到并响应。

第五是要定期做安全评估。云上环境变化比传统机房快得多，今天新开了一个存储桶，明天新部署了一个服务，后天改了一条安全组规则。所以安全评估不能一年做一次，建议至少每个季度做一次云上安全审计，用云厂商提供的安全扫描工具检查配置有没有偏离安全基线。

对于想上云或者已经上云的企业，我给的一个核心建议是：不要只看云厂商的安全能力，更要管好自己对云上资源的操作行为。云上一系列安全事件的发生不是云不安全，而是用云的人没有按照安全规范来操作。把访问控制做好、把日志打开、把权限审好，云上安全远比你想象中可控。

Q: 中小企业上云选什么部署模式比较安全？ A: 对大多数中小企业来说，采用公有云的私有网络加安全组的组合就够用了。如果行业合规要求特别高，可以考虑用私有云或者专属云的方式。不需要为了安全而选择私有云，在公有云上配置得当，安全级别完全可以满足绝大部分业务需求。

Q: 云上被入侵后怎么快速止损？ A: 第一件事是切断入侵途径，比如关闭受影响的服务器、吊销泄露的密钥、修改相关的密码。然后开启全面审计模式，分析入侵路径、定位受损范围、评估数据影响。在确保入侵路径已经断开后，再进行数据恢复和系统加固。

Q: 云上的数据备份怎么做更安全？ A: 采用异地多副本备份策略，把备份数据放在不同的可用区或不同区域。备份数据也要加密存储，并且严格控制备份数据的访问权限。定期做数据恢复演练，确保备份可用。