前言

随着雲計算技術的普及，越來越多的企業将其系統向雲端遷移，雲計算便捷、可靠和廉價的特性被廣大用戶接受。

從另一方面來說，盡管距離商業化公有雲業務的推出已經超過10年，根據CSA（Cloud Security Alliance，雲安全聯盟）在今年年初發布的《Cloud Adoption, Practices and Priorities Survey Report》調研報告，73%的受訪對象表示安全仍舊是企業上雲的首要顧慮。

對于很多企業用戶來來說，由于雲服務器替代傳統服務器承載了與企業生存發展息息相關的互聯網業務，使得用戶對雲安全的疑問很大程度上聚焦在雲服務器的安全上。

雲服務器安全嗎？這個問題不僅僅限定在看不到摸不着的虛拟化層面，讓用戶感觸更為深刻的是——突然發現，之前很多常見和常用的安全防護系統，特别是“硬件盒子”，都從采購名單上消失了。雲計算環境對于安全防護的改變可見一斑。

這樣一來，雲服務器的安全該如何實現呢？

雲服務器安全面臨的威脅

正像雲計算對于互聯網業務革命性的改變一樣，對安全的改變也是徹底的，不僅體現在安全防護理念上，還對安全交付方式的改變。

不過，安全的本質并沒有因為雲計算技術的引入發生改變。事實上，部署在傳統環境下的服務器和雲環境下的服務器，從安全風險角度上講沒有太多不同。

從上圖可見，雲服務器的安全風險主要包括：

（1）自身存在的脆弱性，例如漏洞（包括虛拟化層面）、錯誤的配置、不該開放的端口等；

（2）外部威脅，例如後門、木馬、暴力破解攻擊等。

不管是部署在傳統數據中心還是雲數據中心中，服務器安全都要面對和解決上述兩個方面的風險。

對于雲服務器來說，首先需要解決的是自身脆弱性的問題，特别是漏洞。存在漏洞的系統就像一間打開窗戶的房間，不管安裝了多麼先進的門禁系統，也無法阻擋小偷的光臨。此外，對服務器關鍵配置和端口的檢查和監控，一方面可以減少攻擊面，另一個方面可以随時掌握系統安全狀态。從外部威脅角度上講，暴力破解仍舊是雲服務器最大的網絡威脅。暴力破解防護需要覆蓋系統、應用和數據庫三個層面，任何一個層面的缺失都會增大系統遭受入侵的概率。最後，能否快速發現和清除雲服務器上的病毒、木馬和後門是對防護能力的重大考驗。

雲服務器防護的雙重挑戰

然而，現實是骨感的。雲服務器安全面臨來自内部和外部的雙重挑戰。

首先，雲服務器的脆弱性突出體現在未被修複的漏洞上。根據國外某安全機構的統計，在金融行業，漏洞平均修複時間長達176天。采用雲計算後這個數字稍微有所改善，然而，雲服務器漏洞的平均修複時間仍舊是50天。無論是176天還是50天，對于進攻一方來說，足夠遍曆整個服務器。

其次，根據國外某安全公司的測試，“黑客”成功入侵AWS服務器隻需要4個小時。表面看是系統脆弱性導緻，背後實際上是黑客的暴力破解行為。在雲計算環境中，大部分雲服務提供商并不提供暴力破解防護服務，而是建議用戶在服務器上安裝三方防護軟件。事實上，市面流行的雲服務器安全軟件一般隻提供操作系統層面的暴力破解防護，并沒有覆蓋到應用和數據庫層面。應用和數據庫層面的缺失無疑是在雲服務器防護上玩起了“鋸箭”法——操作系統我管，上面的找别人。

第三，絕大多數雲服務器安全系統/方案體現為單點防護。單點防護具有兩個特點：橫向上針對服務器個體的防護以及縱向上在服務器一個層面進行防護。橫向上的單點防護體現為每個雲服務器都是彼此孤立的個體。在木馬、後門變異樣本層出不窮的今天，如果惡意樣本采集不是實時的，分析和策略分享、下發不能快速完成，将無異于将主動權拱手讓給入侵者。縱向上的單點體現在，同時也是常見雲服務器安全軟件的“通病”，無論是網絡、系統、應用和數據防護都依靠安裝在雲服務器上的軟件來完成。先不說防護效果，啟用防護功能需要調用大量的系統資源，等同于發起一場自殘式的拒絕服務攻擊。

最後，安全攻防的背後是人的技能、智慧以及經驗的對抗。在特定情況下，要求人員介入，快速完成樣本收集、取證、分析和攻擊阻斷。然而，對于大多數企業來說，建立一支具有專業技能的安全攻防團隊是不現實的。

因此，雲服務器的安全防護是對平台化、體系化以及包括快速響應、技術經驗在内運營能力的全面挑戰，而不是簡簡單單安裝一個主機防護軟件就可以實現的。

雲服務器防護應該是什麼樣子？

一個完整和全面的雲服務器防護方案應該包含對内部脆弱性（漏洞、配置、端口等）的快速定位、修複以及對外部威脅的迅速發現和阻斷。

對于内部脆弱性，特别是嚴重威脅雲服務器安全的漏洞，不僅要求精準定位，對于絕大部分漏洞來說，自動化的漏洞修複将有效提升安全防護的效率和效果。對于關鍵服務器或有嚴格合規/業務規定的服務器，雲服務商應該提供漏洞修複的風險提示，這個工作不應該交給用戶。雲盾安騎士軟件提供自動化漏洞修複功能，以及針對補丁的風險評估及修複建議。

其次，對于雲服務器首要的外部威脅——暴力破解，防護系統必須涵蓋系統、應用和數據庫。雲盾安騎士軟件支持WINDOWS系統和LINUX系統兩大平台，同時針對SSH，RDP，Telnet，Ftp，MySql，SqlServer等等常見應用和數據庫提供安全監控，随時發現黑客的暴力破解行為。

第三，雲服務器安全防護需要實現平台化和體系化。平台化體現在每個雲服務器都是惡意樣本的采集點，同時也是實時安全策略的接受方，保證基于雲端的一體化防禦。雲盾安騎士軟件背後是超過100萬台雲服務器的威脅情報共享以及超過1億條木馬後門數據庫，橫向平台化優勢一目了然。

從體系化角度上來看，黑客對雲服務器的入侵阻斷未必一定要等到攻擊到達服務器才進行，攻擊路徑上的任何一點都可以成為阻擊點。以暴力破解防護為例，雲盾安騎士一旦檢測到黑客的暴力破機攻擊行為，阻斷工作将由阿裡雲雲盾鍊路上的防護引擎來完成。在鍊路上阻斷最主要的好處是不占用服務器的任何資源。體系化防護是縱深防禦思路的重要體現。

最後，雲服務器的安全防護操作需要必要的安全知識和技能，包括處理安全告警、入侵分析和進行必要的策略配置。雲盾安騎士的雲托管專家服務可以幫助用戶決定如何實現服務器的有效防護。發生入侵事件時，阿裡雲雲盾團隊将負責對安全事件分析和響應，并負責對系統防護策略的優化。

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!