酷应用

这套安全上云的武功秘籍，请收好

百家作者：绿盟科技 2020-04-15 18:31:42

2020年4月15日

全民国家安全教育日

（National Security Education Day）

4月9日，工信部下发《工业和信息化部办公厅关于开展2020年中小企业公共服务体系助力复工复产重点服务活动的通知》。该通知指出将推动实施《中小企业数字化赋能专项行动》，支持中小企业设备上云和业务系统向云端迁移。

当设备上云和业务系统上云迁移时，安全风险并没有随之而消失，一次安全事件就可能影响到企业为复工复产所作的努力。为此，建议中小企业在上云前，做好合理的安全规划并逐步实施，实现安全复工复产。

第一步：制定上云计划

在企业将业务系统向云迁移前，应提前做好合理的上云计划和技能储备，有计划、有准备的上云，避免因上云带来的业务影响。

上云计划：梳理企业的业务系统，从业务系统重要性和业务特点等方面，确定哪些业务系统可以上云，选择业务系统整体上云，还是部分（如对延迟敏感）部署在本地数据中心，选择使用IaaS服务还是PaaS模式等。

安全培训：统计数据显示，云上安全事件的发生多数是由于错误配置和管理不善造成的，建议业务系统上云时，安全管理人员了解云计算安全风险，掌握一定的云计算安全知识，从而降低安全事件发生的可能性。

第二步：评估安全风险

尽管不同的云计算服务模式确定了企业应该承担不同的安全职责，但数据安全责任最终是由企业承担的。因此，当业务系统上云前，企业应进行风险评估，选择合理的风险处置方法，降低安全风险。

云服务商风险评估：云平台的安全程度决定了云上业务系统的安全。在选择云服务商时，应评估云平台和云服务产品安全情况，一种简便的方式是了解云服务商所获得的安全认证，如ISO 27000，CSA STAR，网络安全等级保护级别，PCI DSS等，这些认证是云服务商安全情况的证明，可为业务系统安全打好基础。

业务系统风险评估：评估业务系统存在的脆弱性和威胁，确定安全风险和业务影响，从而确定风险处置方式，以及实施怎样的安全控制措施。

第三步：实施安全措施

根据业务系统风险评估结果、业务系统和数据的重要性，充分利用云服务商提供的基础安全能力，合理规划网络结构，并选择相应的安全产品，为业务系统建立纵深安全防护。

多层网络结构

利用VPC、ACL和安全组，从业务系统及其组件等层面，分别进行网络隔离，缩小攻击面。

业务系统隔离：根据业务量大小和部署等要求，利用VPC实现业务隔离，比如将不同业务系统部署在不同VPC内，从而实现业务间隔离。

业务组件间隔离：根据业务系统内组件用途（如WEB/应用/数据库），将不同类型的组件加入到不同子网，并添加ACL实现不同类型组件间的网络隔离，如Web服务器可以访问应用服务器，但不能访问数据服务器。

管理网络和业务网络隔离：采用管理网络和业务网络分离的原则，增加管理子网和ACL，只能通过管理网络对业务系统进行管理。

建立纵深防护

据《2019年上半年我国互联网网络安全态势》数据显示，发生在我国云平台上的网络安全事件相比2018年进一步增加，安全事件涉及DDoS攻击、网页被篡改、存在恶意程序、木马和僵尸网络恶意程序等。因此，建议企业上云时为业务系统建立基础、纵深的安全防护。

DDoS防护：利用DDoS防护产品，监控和清洗包括畸形报文过滤、网络层DDoS和应用层DDoS等不同类型攻击，保护业务系统。

Web应用防护：利用Web应用防护产品，防御SQL注入、XSS跨站脚本和漏洞等OWASP常见攻击，全面防护网站的系统及业务安全。

主机安全：利用主机安全产品，检测云服务器是否存在漏洞和弱配置，是否被入侵，解决云服务器面临的主要安全风险，以及避免被利用成为攻击工具引起的额外损失。

数据安全：利用数据加密产品，对企业敏感数据进行加解密，尽量自己保管密钥或使用自己的密钥，以及做好数据备份，从而保护企业敏感数据。

运维安全：利用堡垒机产品，建设安全和高效的运维通道，运维人员通过管理网络对云产品进行安全运维，全程记录操作数据。

第四步：安全监控和优化

现在，网络环境日益严峻，安全防护的建设是一个持续的过程。为实现有效、主动的安全防护，企业应该持续监控业务系统的安全状态，及时响应安全事件，以及调整和优化安全防护体系。

安全状态监控：利用安全管理中心类产品，统一收集和分析业务系统的各类安全相关数据，建立统一的安全管理和态势，实现云上安全事件的监控和展示，全面了解云上业务系统的威胁和脆弱性。

安全事件响应：不断增加的安全事件和告警信息，运维人员难以有效处置，利用安全管理中心类产品的安全编排与自动化响应能力，自动化实现对安全事件的研判和处置，提升运维人员的工作效率。

安全持续优化：根据云上业务系统的安全趋势和各种安全指标，在掌握业务系统的安全状态的基础上，主动调整业务系统的防护重点和方向，提升业务系统的安全防护能力。

经过上述建设，业务系统得到一定的安全保障。然而，安全建设是一项系统性工程，不仅仅只是部署几项安全措施，还涉及到管理和运营等内容，企业在实现复工复产后，应该更系统的考虑安全建设，建立企业安全架构，让业务系统更规范、快速、安全的上云，帮助企业实现数字化转型。

绿盟科技于2010年启动云安全研究，现已覆盖云安全前沿技术研究、攻防、解决方案和产品等多个领域，提倡软件定义安全的理念，先后发布了软件定义安全相关报告和专著，以及绿盟云和云安全集中管理系统等多款产品，推动云安全在私有云、行业云和公有云的应用，已成功为电信运营商、金融和政府等多个行业客户提供安全解决方案，助力业务安全上云。