根據CSA（云安全聯(lián)盟）在今年年初發(fā)布的《CloudAdoption,PracticesandPrioritiesSurveyReport》調研報告，73%的受訪對象表示，安全仍舊是企業(yè)上云的首要顧慮。由于云主機替代傳統(tǒng)服務器承載了與企業(yè)生存發(fā)展息息相關的互聯(lián)網業(yè)務，使得用戶對云安全的疑問很大程度上聚焦在云主機的安全上。那么如何增強云主機的安全呢？

一、基礎安全

首先集群成分布式部署在多個數據中心，對數據中心的資產設備、物資、耗材都有嚴格的規(guī)則機制，網絡基本都位于核心骨干區(qū)域，物業(yè)保安7x24小時分段巡邏，并對所有基礎設施進行7x24小時集中視頻監(jiān)控。確保了物理機和運行環(huán)境的有力保障。

二、賬號與系統(tǒng)安全

組織專業(yè)的安全團隊，結合處理多年的安全實際處理經驗，云主機的鏡像進行了一系列的安全加固策略。包括賬號管理與安全認證，比如禁止root賬號登錄(其他云服務商均未做限制)禁用非常用端口、隱藏歷史操作記錄;復雜口令設置包括：強制密碼長度、必須包含大小寫字母的復雜度設定，有效降低了用戶賬號被暴力破解的風險。

物理機系統(tǒng)選擇發(fā)行中穩(wěn)定版的操作系統(tǒng),采用自定義方式安裝軟件包,以最小化安裝的方式部署基礎系統(tǒng);及時升級補丁及軟件版本，封堵已知漏洞。

支持雙因子認證，購買云主機后就與租戶手機綁定，重置密碼、重裝系統(tǒng)、刪除都需要輸入校驗碼才能繼續(xù)操作。雙因子認證的加入是對賬號安全的又一個有效的保障。

三、安全審計

集群內物理機全部啟用安全相關的日志記錄功能(shelllog),重定向日志到獨立的日志服務器;為整個安全基礎設施包括虛擬環(huán)境在內提供統(tǒng)一的日志安全審計系統(tǒng);針對賬戶管理、登錄事件、系統(tǒng)事件、策略更改、帳戶登錄事件的成功、失敗開啟審計。

四、網絡安全

網絡安全方面采用多重防御，通過防火墻、ACL等安全措施對集群內流量進行嚴格管控，保護集群內云主機免受來自內部、外部的網絡攻擊。物理機與云主機全部采用VLAN嚴格隔離，同一租戶落入一個VLAN，不同租戶做二層隔離，可以有效防止云主機產生的包括arp欺騙、端口掃描等安全威脅。采用白名單形式設置訪問控制列表，使得只有可信主機才能訪問集群內主機;自主研發(fā)的頂級防護產品網站衛(wèi)士、網絡全流量分析等設備的投入都可以有效的阻止synflood、cc等常見的網絡攻擊。定期進行安全掃描，及時發(fā)現(xiàn)安全漏洞，快速對漏洞進行修補或者防護。

五、安全運維

集中的組和角色管理系統(tǒng)來定義和控制權限,運維工程師都有唯一身份;通過加密信道進行管理,具備身份鑒別和認證;所有登陸、操作過程均被實時審計.建立內部流量匯聚點,監(jiān)控整網的動態(tài)和流量。

對物理機、云主機進行實時的CPU、帶寬、磁盤監(jiān)控,發(fā)現(xiàn)異常情況立即通過短信、郵件告警;實時的資源監(jiān)控是對資源使用情況的有效展現(xiàn)方式，也是自動化運維的有效方式之一。

云主機商應該致力于為企業(yè)和個人用戶提供高性能、可信賴、安全的云服務，最大程度降低企業(yè)發(fā)展所需的IT基礎架構技術、成本門檻，為企業(yè)遷移到云端提供最大的便利和最專業(yè)的安全服務體系保障。