456主机测评
指南 | 传统企业如何设计“上云”安全解决方案
原创: 京小云 京东云开发者社区 3月28日
如今,大数据、云计算等新兴技术正在以一种前所未有的方式迅速改变着这个世界。企业级用户不愿意把自身业务迁移到公有云,最主要的因素还是出于对价格、数据安全、以及稳定性等方面。
但近几年的政策持续利好,国内云计算市场掀起一阵发展浪潮。“上云”已经成为大多数企业的势在必行的举动。
内容支持 :
京东云安全团队
京东云企业云业务团队
传统企业数字化转型的浪潮高歌猛进,但每一个企业在转型过程中也经历着切肤之痛。或担心于企业数据安全、业务稳定,或受制于陈旧的IT基础设施,或困惑于新技术、新概念更新迭代之快,企业“上云”的选择与条件,需因地制宜。
今天与大家分享的是一个典型的大型传统企业:
“品牌+连锁”的经营战略
线下专卖店规模庞大(≥1000家)
经营范围包括了产品全生命周期
在这样的场景下,“上云”的安全性是企业的首要考虑的问题。
1
核心数据库监管审计安全管控难?
对于传统企业“上云”而言,线上交易和库存管理等核心交易系统转变为云服务模式,对应核心数据库监管审计的管控是十分重要的一环。 数据安全的核心是对“数据”全方位的安全防护,其产品及解决方案直接涉及企业的核心机密。因此数据库审计方面,京东云团队为核心交易数据库提供了访问记录、安全审计、数据库防注入等。
2
对粗放式安全管理的挑战?
企业用户的核心系统采用云端服务对传统防火墙等粗放式安全管理是一项不小的挑战。在IP高防方面,我们设计了弹性DDOS防护能力,并且智能调度用户流量,为客户提供四层防护。Web应用防火墙针对大型传统企业应用层提供七层防护,防御SQL注入、XSS跨站脚本、常见Web服务器插件漏洞、木马上传、等OWASP常见攻击,抵御恶意CC攻击,为网站保驾护航。
3
防护安全能力未知?
传统企业“上云”涉及的上线智慧门店系统,多会面临企业定制开发的应用模块,防漏洞、防注入、防篡改等能力未知的问题。漏洞扫描服务必不可少,整体扫描线上系统,找出系统漏洞和高危漏洞,并给出改进建议是一个“优秀”的安全解决方案需要具备的能力。防渗透测试也为客户解决了应用系统安全问题和被攻击问题等。
4
不可预知的公网安全风险?
传统大型企业IT系统全线上云之后其实会面临着更多不可预知的公网安全风险。这时候安全优化是我们需要做的第一步,这其中包含云端系统安全部署优化建议和应急响应。(应急响应是当用户遇到黑客入侵、病毒、重点时期等特殊问题时,及时快速帮助用户分析问题,提供解决方案。)
安全解决方案
— 大型传统企业客户案例—
在了解传统企业用户“上云”的安全痛点及建议后,我们给出了一个大型传统企业客户“上云的案例解决方案:
传统企业“上云”安全解决方案架构图
方案解读
-
规划自己的专属 VPC,包含网段及 IP 分配信息;
-
在专属 VPC 内创建与生产中心一一对应的灾备云主机和控制台,用以承载灾备数据 和管理控制灾备任务;
-
通过数据专线连通生产中心与京东云灾备 VPC,提高备份数据传输效率和安全性;
-
在生产中心物理服务器和京东云灾备主机上部署 Agent,用以监控系统状态和数据
变化; -
通过统一管理界面,实现集中运维管理,实现应用系统到京东云的容灾。
使用产品
借助以上京东安全解决方案,在低成本、短建设周期的前提下可为客户实现异地灾备中心的建设,并可享有专属灾备培训和指导。
同时,利用京东云公有云弹性伸缩、按量计费等普惠优点,降低传统运维维护成本,提高自有数据安全性和业务连续性,在提升运维管理效率的同时将更多精力放在业务创新上。
我们也通过此方案,在过去两年中,帮同量级的企业客户实现了营业收入突破百亿元。?
在不同的业务场景下,我们给出了一份企业安全“上云”指南:
01账号口令安全指南
1、杜绝弱口令,弱口令是最容易出现的也是最容易被利用的漏洞。
2、为所有服务配置强密码,要求至少8个字符以上,包含大小写字母、数字、特殊符号,并且不定期更新口令。
3、Linux系统,禁止使用root账号直接登录,使用证书登录,设置可信登录主机的IP。
4、Windows系统,修改 administrator 默认名称,设置可信登录主机的IP。
5、Web应用系统,必须使用强密码安全策略和验证码,防止暴力破解和撞库。
6、数据库系统(Redis、MongoDB、MySQL、MSsql Server)禁止使用弱密码或无密码。
7、增强安全策略,使用多因素验证机制(MFA)、强制密码安全策略(如:锁定策略),和审计功能(异常告警)。
02网络架构安全指南
1、使用虚拟专有网络(VPC),隔离企业内部不同安全级别的云主机,避免同网络环境下一台服务器被入侵后影响到其它云主机。
2、在VPC中使用NAT提供上网服务,禁止云主机直接绑定公网IP,直接绑定公网IP会导致云主机完全暴露在互联网遭受攻击入侵。
3、对互联网提供服务,通过负载均衡(LB)将需要开放对外的端口(如:80,443)代理到后端的应用服务,并将对外服务放置在独立的子网中。
4、防火墙隔离(安全组)是云上的主要网络安全隔离手段,通过安全组设置在网络层过滤服务器的访问行为,限定服务器对外/对内的的端口访问,授权访问地址,从而减少攻击面,保护服务器的安全。
5、高危网络端口,开启的服务端口越多越不安全。只对外开放提供服务的必要端口,禁止将RDP、SSH、Redis、MongoDB、MySQL、MSsql等高危服务直接暴露在互联网上。
03应用开发安全指南
1、对应用服务软件(如 Tomcat、Apache、Nginx 等软件),建议使用官方最新版的稳定版。
2、及时更新Web应用版本,如:Struts、ElasticSearch非最新版都爆发过远程命令执行漏洞。
3、WDCP、TOMCAT、Apache、Nginx、Jekins、PHPMyAdmin、WebLogic、Jboss等Web服务管理后台不要使用默认密码或空密码;不使用的管理后台建议直接关闭。
4、使用安全扫描工具 (例如,系统漏扫工具:Nessus、Nexpose,Web 漏扫工具:Appscan、AWVS)上线前扫描应用服务,是否仍存在高风险漏洞,修复完漏洞后再发布使用。
04系统运维安全
1、使用跳板机/堡垒机进行远程维护,实施强密码策略,合理分配权限,对于所有操作行为严格记录并审计。
2、为操作系统云服务器安装防病毒软件,并定期更新病毒库。
3、定期更新补丁,修补操作系统漏洞,关注安全漏洞情报,当出现高风险漏洞时,及时更新操作系统所有补丁。
4、Windows系统的补丁更新要一直开启,Linux系统要设置定期任务执行yum update -y来更新系统软件包及内核。
5、开启系统日志记录功能,集中管理日志和审计分析。
6、对所有业务系统进行实时监控,当发现异常时,立即介入处理。对软件安全加固(Apache、Nginx、Tomcat、Mysql、MSsql、Redis等服务)标准化安全配置,禁止随意修改。
·END·
RECOMMEND推荐阅读
- 海报
