對于很多企業(yè)用戶來來說，由于云服務器替代傳統(tǒng)服務器承載了與企業(yè)生存發(fā)展息息相關的互聯(lián)網(wǎng)業(yè)務，使得用戶對云安全的疑問很大程度上聚焦在云服務器的安全上。

云服務器安全嗎?這個問題不僅僅限定在看不到摸不著的虛擬化層面，讓用戶感觸更為深刻的是——突然發(fā)現(xiàn)，之前很多常見和常用的安全防護系統(tǒng)，特別是“硬件盒子”，都從采購名單上消失了。云計算環(huán)境對于安全防護的改變可見一斑。

這樣一來，云服務器的安全該如何實現(xiàn)呢?

 [[146372]]

云服務器安全面臨的威脅

正像云計算對于互聯(lián)網(wǎng)業(yè)務革命性的改變一樣，對安全的改變也是徹底的，不僅體現(xiàn)在安全防護理念上，還對安全交付方式的改變。

不過，安全的本質(zhì)并沒有因為云計算技術的引入發(fā)生改變。事實上，部署在傳統(tǒng)環(huán)境下的服務器和云環(huán)境下的服務器，從安全風險角度上講沒有太多不同。

從上圖可見，云服務器的安全風險主要包括：

(1)自身存在的脆弱性，例如漏洞(包括虛擬化層面)、錯誤的配置、不該開放的端口等;

(2)外部威脅，例如后門、木馬、暴力破解攻擊等。

不管是部署在傳統(tǒng)數(shù)據(jù)中心還是云數(shù)據(jù)中心中，服務器安全都要面對和解決上述兩個方面的風險。

對于云服務器來說，首先需要解決的是自身脆弱性的問題，特別是漏洞。存在漏洞的系統(tǒng)就像一間打開窗戶的房間，不管安裝了多么先進的門禁系統(tǒng)，也無法阻擋小偷的光臨。此外，對服務器關鍵配置和端口的檢查和監(jiān)控，一方面可以減少攻擊面，另一個方面可以隨時掌握系統(tǒng)安全狀態(tài)。從外部威脅角度上講，暴力破解仍舊是云服務器最大的網(wǎng)絡威脅。暴力破解防護需要覆蓋系統(tǒng)、應用和數(shù)據(jù)庫三個層面，任何一個層面的缺失都會增大系統(tǒng)遭受入侵的概率。最后，能否快速發(fā)現(xiàn)和清除云服務器上的病毒、木馬和后門是對防護能力的重大考驗。

云服務器防護的雙重挑戰(zhàn)

然而，現(xiàn)實是骨感的。云服務器安全面臨來自內(nèi)部和外部的雙重挑戰(zhàn)。

首先，云服務器的脆弱性突出體現(xiàn)在未被修復的漏洞上。根據(jù)國外某安全機構的統(tǒng)計，在金融行業(yè)，漏洞平均修復時間長達176天。采用云計算后這個數(shù)字稍微有所改善，然而，云服務器漏洞的平均修復時間仍舊是50天。無論是176天還是50天，對于進攻一方來說，足夠遍歷整個服務器。

其次，根據(jù)國外某安全公司的測試，“黑客”成功入侵AWS服務器只需要4個小時。表面看是系統(tǒng)脆弱性導致，背后實際上是黑客的暴力破解行為。在云計算環(huán)境中，大部分云服務提供商并不提供暴力破解防護服務，而是建議用戶在服務器上安裝三方防護軟件。事實上，市面流行的云服務器安全軟件一般只提供操作系統(tǒng)層面的暴力破解防護，并沒有覆蓋到應用和數(shù)據(jù)庫層面。應用和數(shù)據(jù)庫層面的缺失無疑是在云服務器防護上玩起了“鋸箭”法——操作系統(tǒng)我管，上面的找別人。

第三，絕大多數(shù)云服務器安全系統(tǒng)/方案體現(xiàn)為單點防護。單點防護具有兩個特點：橫向上針對服務器個體的防護以及縱向上在服務器一個層面進行防護。橫向上的單點防護體現(xiàn)為每個云服務器都是彼此孤立的個體。在木馬、后門變異樣本層出不窮的今天，如果惡意樣本采集不是實時的，分析和策略分享、下發(fā)不能快速完成，將無異于將主動權拱手讓給入侵者。縱向上的單點體現(xiàn)在，同時也是常見云服務器安全軟件的“通病”，無論是網(wǎng)絡、系統(tǒng)、應用和數(shù)據(jù)防護都依靠安裝在云服務器上的軟件來完成。先不說防護效果，啟用防護功能需要調(diào)用大量的系統(tǒng)資源，等同于發(fā)起一場自殘式的拒絕服務攻擊。

最后，安全攻防的背后是人的技能、智慧以及經(jīng)驗的對抗。在特定情況下，要求人員介入，快速完成樣本收集、取證、分析和攻擊阻斷。然而，對于大多數(shù)企業(yè)來說，建立一支具有專業(yè)技能的安全攻防團隊是不現(xiàn)實的。

因此，云服務器的安全防護是對平臺化、體系化以及包括快速響應、技術經(jīng)驗在內(nèi)運營能力的全面挑戰(zhàn)，而不是簡簡單單安裝一個主機防護軟件就可以實現(xiàn)的。

云服務器防護應該是什么樣子?

一個完整和全面的云服務器防護方案應該包含對內(nèi)部脆弱性(漏洞、配置、端口等)的快速定位、修復以及對外部威脅的迅速發(fā)現(xiàn)和阻斷。

對于內(nèi)部脆弱性，特別是嚴重威脅云服務器安全的漏洞，不僅要求精準定位，對于絕大部分漏洞來說，自動化的漏洞修復將有效提升安全防護的效率和效果。對于關鍵服務器或有嚴格合規(guī)/業(yè)務規(guī)定的服務器，云服務商應該提供漏洞修復的風險提示，這個工作不應該交給用戶。

其次，對于云服務器首要的外部威脅——暴力破解，防護系統(tǒng)必須涵蓋系統(tǒng)、應用和數(shù)據(jù)庫。

第三，云服務器安全防護需要實現(xiàn)平臺化和體系化。平臺化體現(xiàn)在每個云服務器都是惡意樣本的采集點，同時也是實時安全策略的接受方，保證基于云端的一體化防御。