云主機(jī)安全，從主機(jī)防病毒、入侵防護(hù)，到應(yīng)用程序控制、行為監(jiān)測(cè)及響應(yīng)，再到主機(jī)加固與運(yùn)營(yíng)等，安全能力層層遞進(jìn)，防護(hù)要求也節(jié)節(jié)升級(jí)。面對(duì)云環(huán)境下越發(fā)復(fù)雜和嚴(yán)峻的安全風(fēng)險(xiǎn)，云安全應(yīng)該從何做起？如何打造云端的核心防護(hù)能力？

立于風(fēng)暴中心，看清風(fēng)險(xiǎn)所在

云服務(wù)極大地滿足了用戶使用和拓展存儲(chǔ)資源、軟件資源和計(jì)算資源的需求，而主要風(fēng)險(xiǎn)正來(lái)源于此。

·云平臺(tái)虛擬化資產(chǎn)數(shù)量龐大難以維護(hù)

企業(yè)內(nèi)部極少有人能及時(shí)了解本身的核心資產(chǎn)，如虛擬服務(wù)器規(guī)模、域名、網(wǎng)段的清晰情況。尤其是資產(chǎn)和組織架構(gòu)越來(lái)越復(fù)雜之后，云主機(jī)數(shù)量統(tǒng)計(jì)幾乎成了一道最難搞懂的“高考數(shù)學(xué)題”。

·應(yīng)用系統(tǒng)配置風(fēng)險(xiǎn)漏洞未被重視

從近年來(lái)主機(jī)安全事件來(lái)看，應(yīng)用系統(tǒng)的配置風(fēng)險(xiǎn)是眾多用戶不太重視的問(wèn)題；另外，隨著新的應(yīng)用系統(tǒng)類型不斷增加并被應(yīng)用到生產(chǎn)環(huán)境中，這方面的安全漏洞將會(huì)被大面積利用，這里面除了傳統(tǒng)的數(shù)據(jù)庫(kù)應(yīng)用，Web容器、開(kāi)源監(jiān)控系統(tǒng)（如Zabbix），MongoDb、Redis、Hadoop等新型應(yīng)用配置風(fēng)險(xiǎn)漏洞也將成為黑客利用的目標(biāo)。

云主機(jī)風(fēng)險(xiǎn)推動(dòng)“三大”安全新需求

·信息資產(chǎn)采集管理

面對(duì)云計(jì)算場(chǎng)景大量的虛擬化資產(chǎn)以及快速更迭的系統(tǒng)及應(yīng)用，云安全產(chǎn)品應(yīng)具備強(qiáng)大的資產(chǎn)采集管理能力，通過(guò)對(duì)資產(chǎn)信息進(jìn)行分析為企業(yè)提供漏洞風(fēng)險(xiǎn)及入侵威脅的判斷的基礎(chǔ)信息，有助于深入發(fā)現(xiàn)內(nèi)部暴露的IT風(fēng)險(xiǎn)問(wèn)題和風(fēng)險(xiǎn)。

·漏洞風(fēng)險(xiǎn)檢測(cè)及修復(fù)

服務(wù)器承載各類業(yè)務(wù)系統(tǒng)，時(shí)刻面臨著外部的用戶訪問(wèn)，一旦存在漏洞，將使得平臺(tái)被黑客入侵的風(fēng)險(xiǎn)被成倍放大。因此，云安全產(chǎn)品應(yīng)具備強(qiáng)大的漏洞風(fēng)險(xiǎn)檢測(cè)及修復(fù)能力，需能夠?qū)β┒达L(fēng)險(xiǎn)進(jìn)行精準(zhǔn)發(fā)現(xiàn)，并針對(duì)不同漏洞風(fēng)險(xiǎn)做出精準(zhǔn)分析，提供精確到命令的修復(fù)建議。

·安全合規(guī)需求

國(guó)家對(duì)網(wǎng)絡(luò)安全的重視達(dá)到了一個(gè)新的高度，尤其是《網(wǎng)絡(luò)安全法》的出臺(tái)，代表著網(wǎng)絡(luò)安全的管控已進(jìn)入快車道，既是云安全的新起點(diǎn)，也是重要的轉(zhuǎn)折點(diǎn)。因此，云安全產(chǎn)品應(yīng)具備強(qiáng)大的基線合規(guī)性檢查能力，能夠?qū)ζ脚_(tái)基線進(jìn)行合規(guī)性檢查，對(duì)于存在安全缺陷的項(xiàng)目進(jìn)行識(shí)別及給出相應(yīng)處理意見(jiàn)，防止風(fēng)險(xiǎn)的產(chǎn)生。

打開(kāi)云端資產(chǎn)治理及漏洞管理“新思路”

·摸清家底

亞信安全信艙DS支持全面收集主機(jī)層面資產(chǎn)，包括端口、對(duì)內(nèi)對(duì)外IP、web站點(diǎn)、web中間件、web應(yīng)用、數(shù)據(jù)庫(kù)、進(jìn)程、第三方組件、軟件應(yīng)用、環(huán)境變量、計(jì)劃任務(wù)、jar包等；同時(shí)可對(duì)資產(chǎn)實(shí)時(shí)監(jiān)測(cè)，基于變更規(guī)則（變更頻率）進(jìn)行告警。

【圖：亞信安全信艙DS資產(chǎn)管理】

·漏洞可視

近兩年，勒索病毒一直處于高頻活躍狀態(tài)，通過(guò)分析可以發(fā)現(xiàn)勒索病毒常常以文件服務(wù)器、數(shù)據(jù)庫(kù)等存放數(shù)據(jù)的服務(wù)器為目標(biāo)，并利用弱口令、高危漏洞等作為攻擊入侵的主要途徑。

在亞信安全信艙DS平臺(tái)上，用戶可通過(guò)漏洞管理模塊，全面排查系統(tǒng)中存在的漏洞、弱口令、風(fēng)險(xiǎn)賬號(hào)等，從而提升系統(tǒng)安全性；另外，DS融合了NASL技術(shù)，通過(guò)POC快速對(duì)新出現(xiàn)的漏洞進(jìn)行驗(yàn)證，利用了NASL技術(shù)與國(guó)家漏洞庫(kù)建立聯(lián)動(dòng)機(jī)制，極大地提升了重大活動(dòng)和重點(diǎn)網(wǎng)絡(luò)中的供應(yīng)鏈類漏洞預(yù)警響應(yīng)能力。

圖：亞信安全信艙DS實(shí)現(xiàn)漏洞管理可視化

·快速定位

對(duì)用戶而言，應(yīng)急響應(yīng)時(shí)間的長(zhǎng)短，直接關(guān)乎著企業(yè)的損失。如何快速響應(yīng)，控制威脅一直是安全人員及用戶關(guān)注的重點(diǎn)。對(duì)此，信艙DS“資產(chǎn)一鍵搜”功能，可幫助用戶快速定位受威脅的資產(chǎn)，為處置動(dòng)作爭(zhēng)取更多的時(shí)間。

通過(guò)基線檢測(cè)建設(shè)，實(shí)現(xiàn)云主機(jī)安全加固自動(dòng)化

云主機(jī)承載著關(guān)鍵數(shù)據(jù)及核心業(yè)務(wù)系統(tǒng)，一旦受到攻擊，整個(gè)信息系統(tǒng)中最具價(jià)值的部分將面臨失竊和被破壞的風(fēng)險(xiǎn)，為保障主機(jī)安全，因此需要構(gòu)建以計(jì)算環(huán)境安全為核心的縱深防御體系，加強(qiáng)主動(dòng)評(píng)估風(fēng)險(xiǎn)及主動(dòng)預(yù)警響應(yīng)能力。

為此，亞信安全信艙DS 20提供了強(qiáng)大的基線檢查能力，能夠?qū)Ω鶕?jù)二級(jí)等保、三級(jí)等保等要求對(duì)主機(jī)進(jìn)行統(tǒng)一掃描，支持檢測(cè)操作系統(tǒng)和服務(wù)（數(shù)據(jù)庫(kù)、服務(wù)器軟件、容器等）的賬號(hào)權(quán)限、身份鑒別、密碼策略、訪問(wèn)控制、安全審計(jì)和入侵防范等安全配置，并提供檢測(cè)結(jié)果，針對(duì)存在的風(fēng)險(xiǎn)配置給出加固建議。

圖：亞信安全提供了豐富的安全合規(guī)基線模板

數(shù)字經(jīng)濟(jì)的快速發(fā)展和融合，給數(shù)據(jù)中心帶來(lái)了眾多挑戰(zhàn)，尤其是云數(shù)據(jù)中心面臨的安全風(fēng)險(xiǎn)正在加劇。持續(xù)演化的數(shù)據(jù)中心安全威脅不會(huì)遠(yuǎn)離，云主機(jī)安全將是我們的最后一道防線，其中云主機(jī)資產(chǎn)梳理、漏洞掃描、基線核查無(wú)疑是構(gòu)建云主機(jī)安全加固新防線的三大核心能力。