云端安全防御中的最后一道防线,即在运维层次的安全保障,进一步做运维层安全加固。
云端堡垒机
堡垒机是远程控制的必要安全手段,即我们需通过堡垒机来对服务器进行远程管理。堡垒机具备安全审计、权限管理等核心安全管理功能,也可以避免黑客恶意远程登录等安全问题。
运维用户管理
运维用户管理,是指运行在操作系统中的进程用户,以及远程用户方面的安全管理。合理的用户权限,能有效避免黑客对系统进行提权。
密码安全管理
在云端,最好的密码安全管理方案便是没密码。即服务器远程登录管理,采用证书方式是最为安全的。
防火墙安全管理
通过安全组+Iptables防火墙的方式,来保障访问连接的安全性。通过安全组+Iptables防火墙设置端口服务访问地址的白名单/黑名单,还能一定程度上应对黑客针对网络层面的破坏。
端口安全管理
尽量不要在公网上暴露内部业务或数据库等端口,如果必须暴露的话,最好要设置auth权限认证校验。
数据安全传输
HTTPS主要用于加密客户请求端和服务端之间的数据传输,避免数据明文传输而被黑客截取。在实际应用场景中,我们一般把证书存放在流量入口处。特别是CDN+WAF+SLB+ECS的架构,并不是要在CDN、WAF、SLB上都配置证书。
安全巡检管理
定期进行安全巡检,及时进行安全补丁更新、漏洞修复。必要时采用安全测试对业务及系统进行更加深入的安全评估。在运维侧能及时发现问题,便能及时解决问题并且防患于未然,而不是被动地应修补安全问题。
安全培训管理
提升安全意识在云端安全防御非技术方案中比较重要。定期参加安全培训,提高安全意识,是作为运维人员及技术人员职业修养的必修课。
在云端安全防御中,第一道防线是云端安全产品,它是云端最有效且直接的安全解决方案。第二道防线是云端安全架构,能从宏观角度避免一些安全问题,并能直接提升业务系统的安全防御能力。而在云端安全防御中的最后一道防线,是运维层次的安全保障。
