雲端安全防禦中的最後一道防線,即在運維層次的安全保障,進一步做運維層安全加強。
- 雲端堡壘機
堡壘機是遠端控制的必要安全手段,即我們需通過堡壘機來對伺服器進行遠端管理。堡壘機具備安全審計、權限管理等核心安全管理功能,也可以避免黑客惡意遠端登入等安全問題。
- 運維使用者管理
運維使用者管理,是指運作在作業系統中的程序使用者,以及遠端使用者方面的安全管理。合理的使用者權限,能有效避免黑客對系統進行提權。
- 密碼安全管理
在雲端,最好的密碼安全管理方案便是沒密碼。即伺服器遠端登入管理,采用證書方式是最為安全的。
- 防火牆安全管理
通過安全組+Iptables防火牆的方式,來保障通路連接配接的安全性。通過安全組+Iptables防火牆設定端口服務通路位址的白名單/黑名單,還能一定程度上應對黑客針對網絡層面的破壞。
- 端口安全管理
盡量不要在公網上暴露内部業務或資料庫等端口,如果必須暴露的話,最好要設定auth權限認證校驗。
- 資料安全傳輸
HTTPS主要用于加密客戶請求端和服務端之間的資料傳輸,避免資料明文傳輸而被黑客截取。在實際應用場景中,我們一般把證書存放在流量入口處。特别是CDN+WAF+SLB+ECS的架構,并不是要在CDN、WAF、SLB上都配置證書。
- 安全巡檢管理
定期進行安全巡檢,及時進行安全更新檔更新、漏洞修複。必要時采用安全測試對業務及系統進行更加深入的安全評估。在運維側能及時發現問題,便能及時解決問題并且防患于未然,而不是被動地應修補安全問題。