给一线讲产品·7期|用户在云上如何快速搭建安全防护体系？

“ 看那么多PPT，越看越糊涂，还不如我一首打油诗清楚呢：

资源藏屋里，门口给关上，漏洞及时补，边界筑围墙，网站勤体检，内控要商量；等保得通过，风险都阻拦，数据加上锁，备份要经常，网站装证书，流量须堤防。”

公有云安全还是自建机房安全？

各类权威报告和调查都表明，已经上云或者即将上云的用户，起码90%以上都非常关心业务和数据在云上的安全性，特别是企业用户，其关心和投入的程度更是非比寻常。

这很好理解，以前是在自家或租来的封闭的机房（数据中心）里部署业务，就像把现金放在家里，安不安全不说，起码觉得是自己的，很安心；把业务和数据搬到公有云了，其实更安全，但总觉得是把自家的业务和数据放在别人那里，安不安全？心里那个弯确实很难转过来。

为什么说公有云比自建的机房安全？技术细节不说，单做个比喻。公有云就好比是银行，大家想想无论是建筑的安全程度、保卫人员的数量和专业性，是家里更适合放大量的现金还是银行更适合？

责任共担模型是什么意思？

好吧，既然大家都说公有云更安全，我也有点信了，但我买你的公有云，安全不是云服务商提供的么？居然让我们用户自己也负责安全？就像我把钱存银行，还要让去买保险柜、请保安？

其实不是这样。公有云虽然在某些场景类似银行，但很多方面还是不一样的，云服务商当然要负责云本身的安全，但业务和数据本身的安全，用户还是要负责起来，因为公有云客观中立，要绝对尊重用户的数据和隐私，因此，用户在公有云上部署了什么业务和什么数据，云服务商是不知道的，不知道的情况下，就很难说去负责起来，这时就需要用户负责。这就是业界大名鼎鼎的安全责任共担模型：云服务商负责云平台本身的安全，用户则负责自己的业务、数据以及相关的配置的安全，大家相互协作，一起做好安全。技术上各个云服务商定义的责任共担模型都各有自己的理解，但都大同小异，本质是一样的。

怎么快速全面构建安全体系？

用户怎么做才能使得自己的业务和数据更安全一些？其实基本上每个云服务商都提供了一系列好用的工具和产品，让用户能快速全面地搭建起符合自身业务需要的安全体系来。为了让大家方便记忆，我写了一首打油诗，大家可以按照诗句的顺序检查自己的安全体系是否搭建完备了，缺了的，补上即可。体系又分为基础安全体系和高阶安全体系，基础安全防护就是无论如何一定要启用要配置的最基本的防护措施；高阶安全防护，则是针对云上资源体量大或者面临某些特定安全风险的企业，在基础安全外需要做的更高级的防护措施。

基础安全防护：资源藏屋里，门口给关上，漏洞及时补，边界筑围墙，网站勤体检，内控要商量。

高阶安全防护：等保得通过，风险都阻拦，数据加上锁，备份要经常，网站装证书，流量须堤防。

具体什么意思呢？咱们一句句来：

资源藏屋里：只要是云上的资源，比如云主机，云服务商默认都提供了VPC（虚拟私有云）来进行资源的隔离和安全防护，VPC就是云上的大的局域网，相当于一个大屋子；而子网，就是VPC这个大局域网里面，又可以划分出很多小的局域网，相当于屋子里的小房间。云主机等资源类似物品，都存在屋子里。每个VPC之间默认都是网络隔离的，没有授权相互是不可以访问的，资源在里面相对就比较安全。所以大家要上云，第一步就是要做好资源规格和网络规划，特别是VPC和子网规划。

门口给关上：VPC和子网是把资源隔离起来了，但有的端口要对外服务，有的不要；不要对外的端口，就要关闭起来，以免节外生枝。端口，就相当于局域网这个“屋子”里的门口，不用每个门口都开，不需要开的就关上，安全上也叫权限最小化原理。

漏洞及时补：云主机、数据库等资源上面发现漏洞或者官网有最新的安全补丁？那就及时补上，华为云企业主机安全就提供了这一功能。

边界筑围墙：如果在云上搭建了网站，那么多流量来来往往，哪些是安全的？哪些是恶意攻击？用个Web应用防火墙（WAF）在用户和网站服务器之间建起一道防火墙，这道防火墙可以对流量进行检测、发现并阻断其中的恶意攻击。

网站勤体检：跟人没病也要体检，有病就要看病一样，网站也是得经常检查哪里有安全风险和漏洞，及时修复起来。华为云提供了漏洞扫描和态势感知，都能帮助用户及时发现安全风险和漏洞。

内控要商量：企业云上运维，对内部员工（比如云主机的管理员和运维员）的安全管理和控制是必不可少的。堡垒机提供了审计工具，对运维和管理资源的人进行实时录屏和事后追溯；还提供了自动化运维工具，帮助企业提升运维效率。

以上是企业必须做的基础性的安全工作，如果上面没做好，业务和数据在云上的安全性是比较不可控的。下面说说高阶安全防护：

等保得通过：网络等级保护（等保）是国家法律规定的基本安全制度，稍具规模和影响的业务和网站，都必须过2级以上的等保。华为云的等保安全服务可以帮助大家专业准确地解读等保条款并进行整改，以满足等保测评的要求。

风险都阻拦：一些企业经常要做活动，吸引新用户，回馈老用户，但总有不少“羊毛党”来薅羊毛，让企业花费大量时间和金钱却效果不佳。华为云业务风险识别可以消除企业的烦恼，精准找出“羊毛党”，让这些“羊毛党”空手而归。

数据加上锁：如果有重要的数据存放在云数据库上，安全起见，再加一道保险是必要的，华为云数据库安全服务可以拦截针对数据库的恶意攻击、对敏感数据进行脱敏、对所有操作进行审计；如果数据敏感程度非常高，再用数据加密服务对数据都加上密，既不影响数据使用效率，攻击者即使得到了数据也解不开里面是什么内容。

备份要经常：数据经常备份是一个良好的习惯，华为云提供了数据备份服务，防止万一出现的错操作或者滥操作导致的数据丢失。

网站装证书：网站和用户之间的通信数据，如果是明文传输，那只要有攻击者去测探，很容易把这些数据拿到手，何不试着把这些通信数据都加密起来？华为云SSL证书服务可以办得到。

流量须堤防：如果有人恶意用很大的流量去攻击一个网站，十有八九这个网站都会卡顿甚至奔溃。所以网站访问流量如果突然变得很大，那可不一定是好事，要注意是不是超过了网站的带宽上限，注意是不是攻击流量。华为云的DDoS高防可以精准地识别并阻断想来到网站的恶意大流量，多大？10Tbps都没问题。让这些恶意流量还没来到网站就被丢弃了。

下一期你想听些什么话题？

以上就是如何利用云服务商提供的安全工具和产品搭建基础和高阶安全防护体系的介绍，不知道大家有没有觉得有所收获，觉得专业复杂的安全防护，其实也没那么专业复杂了？

下一期想听些什么话题呢？欢迎留言告诉我。

作者：给一线讲产品