安全運(yùn)維和運(yùn)維安全是兩個(gè)概念。運(yùn)維是工程師對(duì)各種安全設(shè)備和軟件進(jìn)行運(yùn)維保障系統(tǒng)安全，而運(yùn)維安全相比之下是涵蓋了整個(gè)云計(jì)算系統(tǒng)和安全有關(guān)的方方面面。本文主要探討公有云環(huán)境下運(yùn)維安全常見的難題及解決方案。
　　
　　公有云運(yùn)維安全四大風(fēng)險(xiǎn)
　　目前使用公有云的用戶可以分為兩類：
　　一開始業(yè)務(wù)就部署在公有云上面，主要以新興互聯(lián)網(wǎng)公司為主。已經(jīng)有自建的IT環(huán)境，需要向公有云上遷移。伴隨著用戶IT環(huán)境從傳統(tǒng)自建IDC向公有云環(huán)境的轉(zhuǎn)變，運(yùn)維工作也從內(nèi)網(wǎng)環(huán)境遷移到公網(wǎng)中，這對(duì)用戶來說是一個(gè)非常大的改變。
　　本文主要討論傳統(tǒng)IT環(huán)境向公有云遷移面臨的運(yùn)維安全問題，要知道，傳統(tǒng)IT環(huán)境下所有IT基礎(chǔ)設(shè)施和數(shù)據(jù)都是用戶自己掌控。從心理上來講用戶感覺會(huì)更安全，對(duì)公網(wǎng)的暴露面也更小。一旦用戶將業(yè)務(wù)和數(shù)據(jù)都遷移到公共云上，用戶可能會(huì)有不安全感。
　　事實(shí)上，公共云在基礎(chǔ)架構(gòu)安全性方面遠(yuǎn)超一般用戶自建的IDC，主要體現(xiàn)在以下四個(gè)方面：
　　因?yàn)楣性艻DC機(jī)房建設(shè)規(guī)格非常高，所以公有云的IDC機(jī)房在電力、空調(diào)等方面可用性更有保障；公有云有比較好的網(wǎng)絡(luò)資源，所以公有云的網(wǎng)絡(luò)質(zhì)量更好；公有云的服務(wù)器都是批量采購和檢測(cè)，并且一般都有可靠的存儲(chǔ)系統(tǒng)，公有云的硬件可靠性也更有保障；公有云系統(tǒng)、安全方面都有非常專業(yè)的團(tuán)隊(duì)，都是業(yè)界頂級(jí)水平，使用公有云在系統(tǒng)、安全方面的風(fēng)險(xiǎn)更小。
　　但是，筆者從事運(yùn)維工作十年，最近在公共云運(yùn)維實(shí)踐過程中也發(fā)現(xiàn)：計(jì)算環(huán)境從本地到云端自身安全性是提高了，但云上的運(yùn)維工作卻面臨著一些新的安全風(fēng)險(xiǎn)和挑戰(zhàn)。
　　因?yàn)楣苍频倪\(yùn)維管理工作必須通過互聯(lián)網(wǎng)完成，和傳統(tǒng)IT環(huán)境運(yùn)維有很大不同，總結(jié)起來風(fēng)險(xiǎn)主要來自以下四個(gè)方面：
　　運(yùn)維流量被劫持：公共云場(chǎng)景下運(yùn)維最大的變化就是運(yùn)維通道不在內(nèi)網(wǎng)，而是完全通過互聯(lián)網(wǎng)直接訪問公共云上的各種運(yùn)維管理接口。很容易被嗅探或中間人劫持攻擊，造成運(yùn)維管理賬號(hào)和憑證泄露。運(yùn)維管理接口暴露面增大：原來黑客需要入侵到內(nèi)網(wǎng)才能暴力破解運(yùn)維管理接口的密碼，而現(xiàn)在公共云上的用戶一般都是將SSH、RDP或其它應(yīng)用系統(tǒng)的管理接口直接暴露在互聯(lián)網(wǎng)。只能依靠認(rèn)證這一道防線來保證安全，黑客僅需破解密碼或繞過認(rèn)證機(jī)制就能直接獲取管理員權(quán)限。賬號(hào)及權(quán)限管理困難：多人共享系統(tǒng)賬號(hào)密碼，都使用超級(jí)管理員權(quán)限，存在賬號(hào)信息泄露和越權(quán)操作風(fēng)險(xiǎn)。操作記錄缺失：公共云中的資源可以通過管理控制臺(tái)、API、操作系統(tǒng)、應(yīng)用系統(tǒng)多個(gè)層面進(jìn)行操作。如果沒有操作記錄，一旦出現(xiàn)被入侵或內(nèi)部越權(quán)濫用的情況將無法追查損失和定位入侵者。
　　這些風(fēng)險(xiǎn)都是公共云場(chǎng)景下進(jìn)行運(yùn)維工作的常見風(fēng)險(xiǎn)。
　　公有云運(yùn)維安全八大措施
　　阿里云在創(chuàng)立第一天就認(rèn)定安全是頭等重要的事情。針對(duì)這些問題，阿里云提供了多種安全防護(hù)措施供用戶使用。用戶可以利用阿里云平臺(tái)產(chǎn)品自身的安全機(jī)制、云盾、云市場(chǎng)中的第三方安全產(chǎn)品配合，來緩解或消除這些風(fēng)險(xiǎn)。
　　加強(qiáng)運(yùn)維安全工作可以采取的具體措施如下：
　　1.使用VPC網(wǎng)絡(luò)幫助用戶基于阿里云（http://click.aliyun.com/m/2185/ ）構(gòu)建出一個(gè)隔離的網(wǎng)絡(luò)環(huán)境。用戶可以完全掌控自己的虛擬網(wǎng)絡(luò)，包括選擇自有IP地址范圍、劃分網(wǎng)段、配置路由表和網(wǎng)關(guān)等。
　　從運(yùn)維安全的角度出發(fā)使用VPC網(wǎng)絡(luò)還需要再對(duì)VPC網(wǎng)絡(luò)內(nèi)部網(wǎng)段進(jìn)行劃分，一般建議分為三個(gè)網(wǎng)段：互聯(lián)網(wǎng)應(yīng)用組、內(nèi)網(wǎng)應(yīng)用組、安全管理組。
　　
　　三個(gè)網(wǎng)段之間采用安全組隔離，并設(shè)置相應(yīng)的訪問控制策略，限制所有實(shí)例SSH、RDP等運(yùn)維管理端口只允許安全管理組訪問。

普通下載普通下載

相關(guān)電子資料下載

• 無人值守：智慧陸上風(fēng)電場(chǎng)3D可視化物聯(lián)網(wǎng)平臺(tái) 83
• 麥捷科技：前三季度歸母凈利潤同比增長12% 98
• 滿足企業(yè)大模型落地五大需求：百度智能云升級(jí)“云智一體”戰(zhàn)略 508
• 工業(yè)無線智能網(wǎng)關(guān)在油田物聯(lián)網(wǎng)中的應(yīng)用 57
• 基于云計(jì)算的無線傳感網(wǎng)數(shù)據(jù)同步方案 28
• 遭遇“罕見”挫折？傳OpenAI停止Arrakis新模型開發(fā) 186
• MaaS，云廠商在打一場(chǎng)“翻身仗” 525
• 傳統(tǒng) ERP 云服務(wù)器高不可攀，華為云耀云服務(wù)器 L 實(shí)例可以“交個(gè)朋友” 37
• 力壓阿里云輕量服務(wù)器，華為云耀云服務(wù)器 L 實(shí)例如何成為中小企業(yè)的“新歡” 42
• 語音識(shí)別技術(shù)中的實(shí)時(shí)處理與云計(jì)算 31