上“云”時(shí)代，云安全越發(fā)重要。我認(rèn)為，云安全和傳統(tǒng)的網(wǎng)絡(luò)安全一樣，單一的措施無法解決問題，因此縱深防御思想同樣很重要。
縱深防御思想的本質(zhì)是強(qiáng)調(diào)冗余的安全性。也就是說，云安全管理者可以通過在物理層、網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層分別構(gòu)建相互獨(dú)立的安全防護(hù)措施，即使某一防護(hù)措施被突破，依然可以通過其它的安全措施來阻止威脅，從而有效降低黑客攻擊的成功率。具體如下圖：

縱深防御思想

不同的云環(huán)境下提供不同的安全產(chǎn)品，但大體思路是一致的，本文基于華為公有云產(chǎn)品來構(gòu)建安全防御方案。

一、物理層

華為云的物理層安全與傳統(tǒng)環(huán)境的關(guān)注重點(diǎn)不一樣。
傳統(tǒng)環(huán)境下，物理安全主要關(guān)注的是數(shù)據(jù)機(jī)房的環(huán)境安全，比如安裝部署報(bào)警器、監(jiān)視器、空調(diào)、UPS等機(jī)房設(shè)施。
華為云環(huán)境下，數(shù)據(jù)機(jī)房的物理環(huán)境安全由華為公司負(fù)責(zé)，用戶無需關(guān)心上述細(xì)節(jié)問題，從而可以將注意力放在華為云的分布式物理環(huán)境的安全應(yīng)用上。
什么是華為的分布式物理環(huán)境呢？華為將云服務(wù)所需的硬件和軟件服務(wù)部署至不同的物理數(shù)據(jù)中心，這里“物理”指的是不同的地區(qū)或同一地區(qū)的不同機(jī)房，來確保提供不會(huì)中斷云服務(wù)。為了便于理解，華為云使用“區(qū)域”和“可用區(qū)”這兩個(gè)概念來描述。

• 區(qū)域（Region）：從地理位置和網(wǎng)絡(luò)時(shí)延維度劃分，同一個(gè)Region內(nèi)共享彈性計(jì)算、塊存儲(chǔ)、對(duì)象存儲(chǔ)、VPC網(wǎng)絡(luò)、彈性公網(wǎng)IP、鏡像等公共服務(wù)。
  *可用區(qū)（AZ）：是一個(gè)或多個(gè)物理數(shù)據(jù)中心的集合。

簡(jiǎn)單來說，區(qū)域就是在地理空間上不同地區(qū)的數(shù)據(jù)中心；可用區(qū)就是在同一個(gè)地區(qū)的不同位置的數(shù)據(jù)中心。
如下圖所示：

區(qū)域與可用區(qū)

分布式物理安全

此處還涉及到數(shù)據(jù)同步、冷備、熱備等相關(guān)知識(shí)，建議大家遇到具體情況時(shí)再具體分析和解決。

二、網(wǎng)絡(luò)層

華為云網(wǎng)絡(luò)層的安全主要依托VPC網(wǎng)絡(luò)、iptables和DDOS防護(hù)產(chǎn)品來實(shí)現(xiàn)。

1、VPC網(wǎng)絡(luò)

華為云的主流網(wǎng)絡(luò)架構(gòu)是VPC網(wǎng)絡(luò)，其網(wǎng)段劃分、網(wǎng)絡(luò)隔離以及相關(guān)網(wǎng)絡(luò)功能都是企業(yè)級(jí)云網(wǎng)絡(luò)所必須的。
那么什么是VPC網(wǎng)絡(luò)呢？VPC即Vitrual Private Cloud，虛擬專用網(wǎng)絡(luò)。它采用的是數(shù)據(jù)鏈路層隔離技術(shù)，有點(diǎn)類似于傳統(tǒng)網(wǎng)絡(luò)中VLAN的劃分，既能夠?qū)崿F(xiàn)VPC之間的100%安全隔離，也能夠靈活的控制VPC內(nèi)和VPC間的通信訪問。
安全隔離包括兩個(gè)方面功能：

• 安全組:通過對(duì)報(bào)文協(xié)議（TCP、UDP、ICMP）以及端口的過濾來實(shí)現(xiàn)嚴(yán)格控制外部對(duì)ECS的網(wǎng)絡(luò)訪問
• 防火墻：VPC子網(wǎng)支持黑白名單，可以用來放行或禁止進(jìn)出一個(gè)或多個(gè)子網(wǎng)的流量
  靈活控制通信包括三個(gè)方面功能：
• 自定義路由：可以自定義VPC內(nèi)的路由規(guī)則
• 對(duì)待連接：在兩個(gè)VPC之間，能夠使用私有IP地址進(jìn)行通信

• VPC和云專線服務(wù)：打通線下數(shù)據(jù)中心和華為云之間的數(shù)據(jù)通道
  下圖是基于VPC網(wǎng)絡(luò)架構(gòu)的華為云部署示意圖。

  
  
  VPC網(wǎng)絡(luò)架構(gòu)

2、iptables

在實(shí)踐應(yīng)用中，我們一般會(huì)在ECS（云服務(wù)器）上開啟iptables來做網(wǎng)絡(luò)訪問安全規(guī)則，iptables能夠?qū)崿F(xiàn)包過濾、地址轉(zhuǎn)換等功能。

3、DDOS防護(hù)產(chǎn)品

對(duì)云來說，DDOS攻擊是網(wǎng)絡(luò)層最大的威脅，也是最常見的威脅。DDOS攻擊即分布式拒絕攻擊，指的是攻擊者通過大規(guī)模的網(wǎng)絡(luò)請(qǐng)求數(shù)據(jù)包，造成我們的云服務(wù)器網(wǎng)絡(luò)、服務(wù)、應(yīng)用等癱瘓，不能對(duì)外提供正常服務(wù)。
從某種角度來說，DDOS攻擊利用的是合法的數(shù)據(jù)訪問，因此是無法真正解決的。在我的博文《“圖蘭軍”攻擊事件的威脅分析》中曾經(jīng)指出:目前情況下，應(yīng)對(duì)DDoS的方法主要是三板斧：

• 頭板斧：小流量封鎖。對(duì)網(wǎng)絡(luò)流量進(jìn)行分析，檢測(cè)到DDoS攻擊后立刻通過防火墻進(jìn)行阻斷，或通過路由黑洞、路由協(xié)議轉(zhuǎn)發(fā)等方式進(jìn)行流量封鎖。但是小流量封鎖的方式在攻擊流量超過出口帶寬時(shí)，就不再有效了。
• 二板斧：大流量清洗。大流量清洗主要側(cè)面借助華為云的帶寬擴(kuò)容或者華為云DDOS防護(hù)產(chǎn)品進(jìn)行數(shù)據(jù)清洗。
• 三板斧：CDN分流。內(nèi)容分發(fā)服務(wù)（CDN）是指通過在網(wǎng)絡(luò)各處放置節(jié)點(diǎn)服務(wù)器，讓用戶能夠就近訪問網(wǎng)站服務(wù)。在出現(xiàn)DDoS攻擊時(shí)，我們可以將所有靜態(tài)站遷移到CDN去，進(jìn)一步稀釋攻擊流量。
  此處還需介紹一下華為云DDOS防護(hù)產(chǎn)品。華為云DDOS防護(hù)服務(wù)（Anti-DDoS Service，簡(jiǎn)稱ADS）有如下3個(gè)版本：
• DDoS原生基礎(chǔ)防護(hù)（Anti-DDoS流量清洗）
• DDOS原生高級(jí)防護(hù)（DDoS原生標(biāo)準(zhǔn)版、DDoS原生防護(hù)-全力防基礎(chǔ)版、 DDoS原生防護(hù)-全力防高級(jí)版和DDoS原生鉑金版）

• DDOS高防（DDoS高防中國(guó)地區(qū)和DDoS高防國(guó)際版）。
  其中，Anti-DDoS流量清洗為免費(fèi)服務(wù)，DDoS原生高級(jí)防護(hù)和DDoS高防為收費(fèi)服務(wù)。
  基于DDOS威脅太大，所以建議采購(gòu)DDOS原生高級(jí)防護(hù)產(chǎn)品，但是相關(guān)產(chǎn)品價(jià)格比較貴，因此應(yīng)該注意按需采購(gòu)，即，保底防護(hù)帶寬與日常遭受攻擊的流量值持平或者略高，其它的突發(fā)攻擊交給彈性防護(hù)帶寬來解決。這樣就能盡量少花錢，其部署方式如下圖所示：

  
  
  DDOS部署

三、系統(tǒng)層

系統(tǒng)層安全主要對(duì)應(yīng)的是操作系統(tǒng)安全：一方面，企事業(yè)單位的實(shí)際需求和個(gè)人主機(jī)的應(yīng)用場(chǎng)景不一樣；另一方面，云操作系統(tǒng)往往以服務(wù)器為主，穩(wěn)定性和可用性非常重要。
綜合兩方面情況，系統(tǒng)層的終端或服務(wù)器安全應(yīng)以云服務(wù)提供商的安全防護(hù)產(chǎn)品為主，以對(duì)操作系統(tǒng)的用戶管理、軟件包管理、文件系統(tǒng)管理等基線配置為輔，綜合做好系統(tǒng)層安全管理工作。

1、華為云企業(yè)主機(jī)安全 HSS

企業(yè)主機(jī)安全（Host Security Service）產(chǎn)品能夠提供資產(chǎn)管理、漏洞管理、基線檢查、入侵檢測(cè)、程序運(yùn)行認(rèn)證、文件完整性校驗(yàn)等安全運(yùn)營(yíng)功能，基本符合云安全例規(guī)相關(guān)要求。與此同時(shí)，使用非常方便，一鍵購(gòu)買和開啟云主機(jī)的安裝防護(hù)，如下圖所示。

HSS

2、主機(jī)系統(tǒng)基線安全

拿Linux操作系統(tǒng)為例，需要設(shè)置的安全基線如下：

• 用戶管理安全方面：
  • passwd文件和shadow文件管理
  • 用戶口令復(fù)雜度
  • 特權(quán)用戶使用管理
  • 最小權(quán)限用戶新建、使用和刪除
• 軟件包管理：
  • 自啟動(dòng)應(yīng)用和服務(wù)管理
  • 安裝包來源設(shè)置和檢查
• 文件系統(tǒng)管理：
  • 關(guān)鍵文件系統(tǒng)加鎖
  • 日志文件的操作和應(yīng)用
  • 敏感文件的掃描和清除
• 數(shù)據(jù)管理：
  • 數(shù)據(jù)備份和刪除
  • 數(shù)據(jù)加密

限于篇幅，本文先簡(jiǎn)單帶過這些內(nèi)容，后期專門寫一篇博文來進(jìn)行介紹。
部分基線安全設(shè)置已在《Python腳本：一鍵加固Ubuntu服務(wù)器》和《批處理腳本：一鍵加固Windows終端》等兩篇博文中有所涉及。

四、應(yīng)用層

需要對(duì)外開放的云端應(yīng)用主要是Web應(yīng)用，因此應(yīng)用層安全主要以Web服務(wù)安全為主。
在我的博文《典型Web安全防護(hù)策略》中，已經(jīng)詳細(xì)介紹過傳統(tǒng)環(huán)境下Web安全防御防護(hù)基礎(chǔ)知識(shí)。
此處重點(diǎn)介紹一下華為云的Web應(yīng)用防火墻產(chǎn)品，它在針對(duì)華為云環(huán)境進(jìn)行適配的基礎(chǔ)上，通過對(duì)網(wǎng)站業(yè)務(wù)流量進(jìn)行多維度檢測(cè)和防護(hù)，結(jié)合深度機(jī)器學(xué)習(xí)智能識(shí)別惡意請(qǐng)求特征和防御未知威脅，具備較好的Web攻擊防護(hù)、CC攻擊防護(hù)、訪問控制、安全可視化等功能。
華為云官網(wǎng)介紹WAF如下圖所示：

WAF

筆者認(rèn)為，其主要優(yōu)勢(shì)包括以下幾點(diǎn)：

• 使用簡(jiǎn)單。無需安裝任何軟件或者部署任何硬件設(shè)備，在購(gòu)買WAF后，把域名解析到WAF的CNAME地址上，并配置網(wǎng)站服務(wù)器IP地址，就可以啟用WAF。
• 自動(dòng)更新。補(bǔ)丁、插件、功能等由華為云負(fù)責(zé)更新和維護(hù)，用戶無需擔(dān)心最新Web漏洞的問題。
• 功能齊全。能夠有效防御SQL注入、XSS跨站、木馬上傳等常見攻擊，過濾CC攻擊，支持對(duì)HTTP\HTTPS流量進(jìn)行防護(hù)，提供實(shí)時(shí)查看攻擊信息和事件日志的功能。

綜上所述，部署華為公有云的企業(yè)，如果對(duì)外開放Web服務(wù)，那么就應(yīng)該購(gòu)買華為云WAF產(chǎn)品。

五、態(tài)勢(shì)感知系統(tǒng)

云上態(tài)勢(shì)感知系統(tǒng)其實(shí)就是一套能夠集中展現(xiàn)物理層、網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層的整體安全情況的預(yù)警系統(tǒng)。
態(tài)勢(shì)感知系統(tǒng)中的“態(tài)勢(shì)”二字指的是將來可能發(fā)生的事。顧名思義，態(tài)勢(shì)感知系統(tǒng)能夠提前感知將來可能發(fā)生的事，實(shí)現(xiàn)網(wǎng)絡(luò)空間的“知己知彼、百戰(zhàn)不殆”。而云態(tài)勢(shì)感知系統(tǒng)是以大數(shù)據(jù)技術(shù)和高性能計(jì)算為基礎(chǔ)，通過對(duì)威脅情報(bào)進(jìn)行分析，形成對(duì)云上網(wǎng)絡(luò)威脅的預(yù)判。
這里可以把威脅情報(bào)簡(jiǎn)單理解成各類安全數(shù)據(jù)庫(kù)，比如軟件白名單、惡意地址庫(kù)、反網(wǎng)絡(luò)病毒聯(lián)盟信息、國(guó)家漏洞發(fā)布數(shù)據(jù)以及云上部署的安全系統(tǒng)和軟件日志、云上資產(chǎn)指紋等，它是態(tài)勢(shì)感知系統(tǒng)的數(shù)據(jù)依據(jù)。
因此，在云上部署態(tài)勢(shì)感知系統(tǒng)的最大作用是發(fā)現(xiàn)威脅，而不是解決威脅。它覆蓋了物理層、網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層等各個(gè)層級(jí)，卻與各個(gè)層級(jí)的安全產(chǎn)品作用并不相同，它搜集這些已經(jīng)部署的安全產(chǎn)品信息，起到的是事件集中呈現(xiàn)、整體安全評(píng)估、威脅分析告警的作用。
如下圖所示，是華為云態(tài)勢(shì)感知系統(tǒng)與其它云服務(wù)的關(guān)系。

態(tài)勢(shì)感知系統(tǒng)的補(bǔ)充作用