??公有云安全事件??

最近小半年接連處理了幾起零售行業(yè)公有云安全事件，都是因?yàn)槟撤N原因造成的數(shù)據(jù)泄露。有防護(hù)措施不當(dāng)?shù)?，也有因?yàn)閼?yīng)用漏洞泄露被黑的，也有內(nèi)部人員不慎造成的。

事后總結(jié)發(fā)現(xiàn)主要原因有三個(gè)：安全意識(shí)不足、沒(méi)有按照公有云安全架構(gòu)最佳實(shí)踐配置、云安全投入不足。

??安全意識(shí)不足方面

政府和金融行業(yè)是強(qiáng)監(jiān)管的，安全不達(dá)標(biāo)應(yīng)用系統(tǒng)不能上線，因此這些行業(yè)從領(lǐng)導(dǎo)到技術(shù)人員，信息安全意識(shí)都很強(qiáng)。

零售行業(yè)往往是業(yè)務(wù)導(dǎo)向，經(jīng)常是出了安全事件造成損失，才意識(shí)到安全的重要性，然后開始亡羊補(bǔ)牢。

??沒(méi)有按照公有云安全架構(gòu)最佳時(shí)間配置方面

接觸到一些零售企業(yè)，公有云環(huán)境基本的安全配置很不規(guī)范。VPC就劃分了一個(gè)，云的超級(jí)賬號(hào)口令技術(shù)人員全員共享，也沒(méi)有開啟二次認(rèn)證，安全組全部放開。

其實(shí)如果能夠按照公有云安全架構(gòu)最佳實(shí)踐配置，在不怎么花錢的情況下，也可以取得基本的防護(hù)效果。

??安全措施云安全投入不足方面

許多零售行業(yè)的領(lǐng)導(dǎo)不愿意在安全上面花錢，在這方面存在誤區(qū)。有些領(lǐng)導(dǎo)認(rèn)為安全投入性價(jià)比不高看不見(jiàn)摸不著，錢要花到刀刃上干脆先不投入了，往往是出了事情再手忙腳亂的花錢補(bǔ)課。也有些領(lǐng)導(dǎo)認(rèn)為安全是一個(gè)無(wú)底洞花多少費(fèi)用都沒(méi)有用，做了和沒(méi)做一個(gè)樣。

在安全投入方面有兩個(gè)事實(shí)，第一是安全投入遵循木桶原理，如果錢能花到刀刃上，通過(guò)擬補(bǔ)薄弱的環(huán)節(jié)，可以極大的減少風(fēng)險(xiǎn)。第二是安全投入遵循二八原則，在一定范圍內(nèi)，可以做到投入性價(jià)比很高。

針對(duì)以上情況，對(duì)應(yīng)的解決方案為專人負(fù)責(zé)、云安全架構(gòu)優(yōu)化、適當(dāng)?shù)募哟笸度搿?/p>

??專人負(fù)責(zé)

專人負(fù)責(zé)意味著對(duì)安全的重視，對(duì)一些中小企業(yè)來(lái)說(shuō)，專人負(fù)責(zé)并不意味著必須是全職負(fù)責(zé)，可以指定一個(gè)人占有一部分工作時(shí)間。有人負(fù)責(zé)才會(huì)體系化的考慮安全，落實(shí)安全措施持續(xù)優(yōu)化安全。

另外，近年來(lái)國(guó)家對(duì)信息安全越來(lái)越重視，零售行業(yè)因?yàn)橥写罅康挠脩粜畔ⅲ诒O(jiān)管方面要考慮合規(guī)，等級(jí)保護(hù)需要提上日程，安全建設(shè)需要按照等級(jí)保護(hù)規(guī)范建設(shè)。

??云安全架構(gòu)優(yōu)化

許多人看到云安全產(chǎn)品很多而且費(fèi)用比較高，往往不知道如何選擇安全產(chǎn)品，也不太愿意使用。根據(jù)新鈦云服實(shí)戰(zhàn)經(jīng)驗(yàn)，對(duì)于零售行業(yè)的企業(yè)來(lái)說(shuō)，做好以下基本的安全配置，就可以取得不錯(cuò)的效果。

01賬號(hào)

• 最小權(quán)限原則，根據(jù)權(quán)限需求范圍不同劃分子帳號(hào)
• 所有賬號(hào)開啟兩步認(rèn)證
• 如果需要使用，acesskey通過(guò)創(chuàng)建子賬號(hào)的方式分配最小的權(quán)限，將acesskey保存在配置中心中，以其它憑據(jù)獲取需調(diào)用的accesskey

02VPC

• 生產(chǎn)環(huán)境和研發(fā)測(cè)試環(huán)境劃分到不同的VPC，根據(jù)業(yè)務(wù)規(guī)模，可以進(jìn)一步劃分PRO、UAT、TEST等VPC
• 如果對(duì)外的業(yè)務(wù)比較多，可以劃分DMZ VPC，所有的對(duì)外業(yè)務(wù)部署在DMZ VPC。如果業(yè)務(wù)規(guī)模不大，DMZ VPC和PRO VPC可以是一個(gè)
• VPC之間通訊遵循白名單原則，默認(rèn)不允許打通

03縮小公網(wǎng)暴露范圍，暴露在公網(wǎng)的地方一定要有防護(hù)

• 對(duì)外永遠(yuǎn)只開放具體的端口，而不是IP
• 確實(shí)需要對(duì)外的業(yè)務(wù)才開放端口，對(duì)內(nèi)的業(yè)務(wù)比如OA等，盡量通過(guò)VPN訪問(wèn)，如果企業(yè)人比較多并且分散在各地，通過(guò)VPN控制有困難，也需要落實(shí)復(fù)雜密碼定期修改等措施，并有必要的安全防護(hù)措施。技術(shù)部門使用的系統(tǒng)一定通過(guò)VPN訪問(wèn)，不暴露在公網(wǎng)。
• 對(duì)外的公網(wǎng)IP綁定在SLB上，盡量不要綁定在云主機(jī)上，SLB之前部署云防火墻、WAF、防DDoS等云安全產(chǎn)品，進(jìn)行多重防護(hù)。
• 云主機(jī)訪問(wèn)通過(guò)堡壘機(jī)訪問(wèn)，進(jìn)行細(xì)粒度的權(quán)限劃分。

04預(yù)算有限的情況下，開啟免費(fèi)或者少花錢的云安全產(chǎn)品

• 通常公有云的云安全中心，DDoS都有免費(fèi)版本，建議開啟；如果臨時(shí)需要，可以購(gòu)買短期或者按量版本。
• 日志審計(jì)服務(wù)往往按照存儲(chǔ)量收費(fèi)，規(guī)則配置恰到的情況下，可以少花錢，建議開啟。

??適當(dāng)?shù)募哟笸度?/h4>

一般來(lái)說(shuō)，IT預(yù)算的5-10%用于信息安全是合適的。

根據(jù)新鈦云服的經(jīng)驗(yàn)，對(duì)于不同規(guī)模的零售企業(yè)，可以采用以下的安全投入方案。

• 對(duì)應(yīng)小型零售企業(yè)來(lái)說(shuō)，主機(jī)規(guī)模小于20臺(tái)，如果沒(méi)有監(jiān)測(cè)到惡意攻擊，使用WAF等安全產(chǎn)品費(fèi)用上往往難以承受。建議一方面按照云安全架構(gòu)優(yōu)化，一方面考慮購(gòu)買主機(jī)安全產(chǎn)品，構(gòu)建好安全的最后一道防線。所有的攻擊最終都是針對(duì)主機(jī)，主機(jī)安全產(chǎn)品可以實(shí)時(shí)發(fā)現(xiàn)系統(tǒng)和應(yīng)用漏洞，發(fā)現(xiàn)實(shí)時(shí)的攻擊。
• 對(duì)應(yīng)中型零售企業(yè)來(lái)說(shuō)，主機(jī)規(guī)模在20-100臺(tái)之間，需要考慮WAF、云防火墻、云安全中心等云產(chǎn)品，這些其實(shí)也是等保三級(jí)要求的產(chǎn)品，可以對(duì)安全起到比較好的防護(hù)。
• 對(duì)應(yīng)更大的零售企業(yè)來(lái)說(shuō)，在上面的基礎(chǔ)上，可以考慮更復(fù)雜的云產(chǎn)品，更好的起到安全加固的作用。

最后，還需要強(qiáng)調(diào)的是，安全是需要持續(xù)運(yùn)營(yíng)的，不是購(gòu)買產(chǎn)品配置完成就結(jié)束了，需要不斷的查看報(bào)警，修補(bǔ)漏洞，根據(jù)業(yè)務(wù)情況優(yōu)化配置，才能取得良好的效果。