[[140433]]

什么是云主機

云主機是云計算在基礎(chǔ)設(shè)施應(yīng)用上非常重要的組成部分，位于云計算產(chǎn)業(yè)鏈金字塔底層。云主機涵蓋了互聯(lián)網(wǎng)應(yīng)用三大核心要素：計算、存儲、網(wǎng)絡(luò)，面向用戶提供公用化的互聯(lián)網(wǎng)基礎(chǔ)設(shè)施服務(wù)。云主機是一種通過虛擬化技術(shù)在一組集群主機上虛擬出多個類似獨立主機的部分，每個部分都是獨立的操作系統(tǒng)。云主機能提供基于云計算模式的按需使用和按需付費能力的服務(wù)器租用服務(wù)。云主機是新一代的主機租用服務(wù)，它整合了高性能服務(wù)器與優(yōu)質(zhì)網(wǎng)絡(luò)帶寬，有效解決了傳統(tǒng)主機租用價格偏高、服務(wù)品質(zhì)參差不齊等缺點，可全面滿足中小企業(yè)、個人站長用戶對主機租用服務(wù)低成本，高可用，易管理的需求。

打造安全云主機

云主機的優(yōu)點已是眾所周知，但是包括多租戶、更佳的服務(wù)器利用率和數(shù)據(jù)中心整合的同時，如何應(yīng)對云主機特有的安全威脅越來越受重視。安全性能不能得到保障是亟需關(guān)注的問題。現(xiàn)在廣泛使用的公共云，安全問題更是首當其沖最關(guān)鍵的因素。如何解決其中的安全問題不再只是云廠商的責任，也是安全廠商必須解決的問題。廣大云計算用戶的亟需一套安全、穩(wěn)定、高可用的云主機平臺。

云主機面臨的主要安全問題

提到云主機的安全問題，很廣泛，大概包含這么幾個方面：數(shù)據(jù)安全、網(wǎng)絡(luò)安全、系統(tǒng)穩(wěn)定性。我們可以從如下幾個角度詳細說明：

1.云主機安全

首先云主機是以多租戶的模式向大眾提供服務(wù)，租戶之間彼此獨立。為了更佳的服務(wù)器利用率和數(shù)據(jù)中心整合，租戶與租戶混雜，云主機之間彼此獨立是多租戶的前提，如果做好不同租戶之間的系統(tǒng)隔離是云主機安全可靠的前提。

2.物理機安全

云主機是通過虛擬化技術(shù)在物理機上實現(xiàn)的多個獨立操作系統(tǒng)，物理機本身的問題都可能導(dǎo)致云主機異常，因此物理機安全是云主機安全的根本前提。首先物理機主要是托管在IDC機房，因此需要一個能夠有效應(yīng)對突發(fā)事件，高可用的托管環(huán)境。前一段時間阿里云機房電纜被挖，青云機房被雷擊導(dǎo)致服務(wù)暫停都是典型的案例。

在托管環(huán)境不可抗力情況下外，物理機還需要在自身系統(tǒng)安全方面做足功夫。在當前網(wǎng)絡(luò)安全形勢與挑戰(zhàn)下，如何應(yīng)對不斷的、大量的端口掃描，密碼暴力破解，DDOS攻擊的能力，都是云主機平臺時刻面臨的安全威脅。

3.數(shù)據(jù)安全

隨著越來越多的企業(yè)遷移到云端，然而安全問題一直是困擾走向云端的最大挑戰(zhàn)之一。企業(yè)數(shù)據(jù)放到云端，脫離企業(yè)的實際掌控，甚至很多企業(yè)共用云架構(gòu)和基礎(chǔ)設(shè)施。最近幾年數(shù)據(jù)泄露無論數(shù)量上，范圍上，損失上都迅速的增長。

多租戶、多應(yīng)用勢必造成數(shù)據(jù)混雜，不同等級的數(shù)據(jù)(或虛擬機儲存著不同等級的數(shù)據(jù))可能交錯混雜在同一臺物理機器中。如何有效的管理、隔離這些數(shù)據(jù)也是一個很大的挑戰(zhàn)。企業(yè)有關(guān)數(shù)據(jù)可能被其他用戶恢復(fù)或當磁盤被回收時恢復(fù)，刪除的數(shù)據(jù)是否會被恢復(fù)，是企業(yè)十分擔心的問題。

4.邊界安全

云主機間的攻擊和盲點。

虛擬化對網(wǎng)絡(luò)安全帶來了巨大的威脅，傳統(tǒng)網(wǎng)絡(luò)可以通過交換機、IDS等設(shè)備進行日常監(jiān)測、審計，而云主機間可能通過硬件背板而不是網(wǎng)絡(luò)進行通訊，這些通訊流量對標準的網(wǎng)絡(luò)安全控制來說是不可見的。傳統(tǒng)的防護工具變成了無用的擺設(shè)。

5.性能降低

云主機是通過虛擬化技術(shù)將設(shè)備資源利用率發(fā)揮到最大，性能是否滿足又成了新的問題，比如通常是按照1比4進行虛擬，即1個物理核虛擬成4核。最多供四個操作系統(tǒng)共享使用，而每個操作系統(tǒng)上會運行各自獨立的軟件，因此對性能方面是一個考驗。比如殺毒軟件就是典型耗CPU的軟件，四個殺毒軟件一起進行掃描，將會是什么結(jié)果呢?

6.通訊安全

遷移到云端后，為了確保業(yè)務(wù)穩(wěn)定、有序進行，就需要可靠的通訊保證，如何解決其他租戶帶來的干擾也是一個挑戰(zhàn)。同一臺物理機上的租戶共用一個物理機網(wǎng)卡，共用一個交換機接口。如果沒有做好有效的隔離，正常租戶的通訊可能被非法監(jiān)聽，某個云主機中了apr病毒，可能會導(dǎo)致一批云主機斷網(wǎng)，業(yè)務(wù)中斷。

7.災(zāi)難恢復(fù)與業(yè)務(wù)連續(xù)性

硬件故障、自然災(zāi)害或者其他災(zāi)難時有發(fā)生，如何降低單點失效帶來的業(yè)務(wù)影響是企業(yè)和個人用戶都十分擔心的問題。如何做到災(zāi)難快速恢復(fù)，恢復(fù)時長是考驗一個云服務(wù)器提供云服務(wù)質(zhì)量的一個基本指標。

業(yè)內(nèi)解決方案

針對上述的各種安全問題，各個云廠商應(yīng)對方法和策略比較類似。方法基本都是通過技術(shù)手段做資源隔離、對用戶數(shù)據(jù)進行加密、云主機系統(tǒng)進行安全加固，投入一些自主研發(fā)或向第三方購買的安全檢測、防護設(shè)備，同時投入大量安全團隊、運維團隊提供7*24小時不間斷服務(wù)。

#p#

增強安全性的方法可以有如下幾種：

1.基礎(chǔ)安全

首先集群成分布式部署在多個數(shù)據(jù)中心，對數(shù)據(jù)中心的資產(chǎn)設(shè)備、物資、耗材都有嚴格的規(guī)則機制，網(wǎng)絡(luò)基本都位于核心骨干區(qū)域，物業(yè)保安 7x24 小時分段巡邏，并對所有基礎(chǔ)設(shè)施進行 7x24 小時集中視頻監(jiān)控。確保了物理機和運行環(huán)境的有力保障。

2.賬號與系統(tǒng)安全

組織專業(yè)的安全團隊，結(jié)合處理多年的安全實際處理經(jīng)驗，云主機的鏡像進行了一系列的安全加固策略。包括賬號管理與安全認證，比如禁止root賬號登錄(其他云服務(wù)商均未做限制)禁用非常用端口、隱藏歷史操作記錄;復(fù)雜口令設(shè)置包括：強制密碼長度、必須包含大小寫字母的復(fù)雜度設(shè)定，有效降低了用戶賬號被暴力破解的風險。

物理機系統(tǒng)選擇發(fā)行中穩(wěn)定版的操作系統(tǒng),采用自定義方式安裝軟件包,以最小化安裝的方式部署基礎(chǔ)系統(tǒng);及時升級補丁及軟件版本，封堵已知漏洞。

支持雙因子認證，購買云主機后就與租戶手機綁定，重置密碼、重裝系統(tǒng)、刪除都需要輸入校驗碼才能繼續(xù)操作。雙因子認證的加入是對賬號安全的又一個有效的保障。

3.網(wǎng)絡(luò)安全

網(wǎng)絡(luò)安全方面采用多重防御，通過防火墻、ACL等安全措施對集群內(nèi)流量進行嚴格管控，保護集群內(nèi)云主機免受來自內(nèi)部、外部的網(wǎng)絡(luò)攻擊。物理機與云主機全部采用VLAN嚴格隔離，同一租戶落入一個VLAN，不同租戶做二層隔離，可以有效防止云主機產(chǎn)生的包括arp欺騙、端口掃描等安全威脅。采用白名單形式設(shè)置訪問控制列表，使得只有可信主機才能訪問集群內(nèi)主機;自主研發(fā)的頂級防護產(chǎn)品網(wǎng)站衛(wèi)士、網(wǎng)絡(luò)全流量分析等設(shè)備的投入都可以有效的阻止syn flood、cc等常見的網(wǎng)絡(luò)攻擊。

定期進行安全掃描，及時發(fā)現(xiàn)安全漏洞，快速對漏洞進行修補或者防護。

4.安全審計

集群內(nèi)物理機全部啟用安全相關(guān)的日志記錄功能(shell log),重定向日志到獨立的日志服務(wù)器;為整個安全基礎(chǔ)設(shè)施包括虛擬環(huán)境在內(nèi)提供統(tǒng)一的日志安全審計系統(tǒng); 針對賬戶管理、登錄事件、系統(tǒng)事件、策略更改、帳戶登錄事件的成功、失敗開啟審計。

5.安全運維

集中的組和角色管理系統(tǒng)來定義和控制權(quán)限, 運維工程師都有唯一身份;通過加密信道進行管理,具備身份鑒別和認證;所有登陸、操作過程均被實時審計.建立內(nèi)部流量匯聚點,監(jiān)控整網(wǎng)的動態(tài)和流量。

對物理機、云主機進行實時的CPU、帶寬、磁盤監(jiān)控,發(fā)現(xiàn)異常情況立即通過短信、郵件告警; 實時的資源監(jiān)控是對資源使用情況的有效展現(xiàn)方式，也是自動化運維的有效方式之一。

未來發(fā)展方向

云服務(wù)器商應(yīng)該致力于為企業(yè)和個人用戶提供高性能、可信賴、安全的云服務(wù)，最大程度降低企業(yè)發(fā)展所需的IT基礎(chǔ)架構(gòu)技術(shù)、成本門檻，為企業(yè)遷移到云端提供最大的便利和最專業(yè)的安全服務(wù)體系保障。

本文節(jié)選自360云：如何給用戶交付安全云主機