??公有云安全事件??

最近小半年接連處理了幾起零售行業(yè)公有云安全事件，都是因為某種原因造成的數(shù)據(jù)泄露。有防護措施不當(dāng)?shù)模灿幸驗閼?yīng)用漏洞泄露被黑的，也有內(nèi)部人員不慎造成的。

事后總結(jié)發(fā)現(xiàn)主要原因有三個：安全意識不足、沒有按照公有云安全架構(gòu)最佳實踐配置、云安全投入不足。

??安全意識不足方面

政府和金融行業(yè)是強監(jiān)管的，安全不達(dá)標(biāo)應(yīng)用系統(tǒng)不能上線，因此這些行業(yè)從領(lǐng)導(dǎo)到技術(shù)人員，信息安全意識都很強。

零售行業(yè)往往是業(yè)務(wù)導(dǎo)向，經(jīng)常是出了安全事件造成損失，才意識到安全的重要性，然后開始亡羊補牢。

??沒有按照公有云安全架構(gòu)最佳時間配置方面

接觸到一些零售企業(yè)，公有云環(huán)境基本的安全配置很不規(guī)范。VPC就劃分了一個，云的超級賬號口令技術(shù)人員全員共享，也沒有開啟二次認(rèn)證，安全組全部放開。

其實如果能夠按照公有云安全架構(gòu)最佳實踐配置，在不怎么花錢的情況下，也可以取得基本的防護效果。

??安全措施云安全投入不足方面

許多零售行業(yè)的領(lǐng)導(dǎo)不愿意在安全上面花錢，在這方面存在誤區(qū)。有些領(lǐng)導(dǎo)認(rèn)為安全投入性價比不高看不見摸不著，錢要花到刀刃上干脆先不投入了，往往是出了事情再手忙腳亂的花錢補課。也有些領(lǐng)導(dǎo)認(rèn)為安全是一個無底洞花多少費用都沒有用，做了和沒做一個樣。

在安全投入方面有兩個事實，第一是安全投入遵循木桶原理，如果錢能花到刀刃上，通過擬補薄弱的環(huán)節(jié)，可以極大的減少風(fēng)險。第二是安全投入遵循二八原則，在一定范圍內(nèi)，可以做到投入性價比很高。

針對以上情況，對應(yīng)的解決方案為專人負(fù)責(zé)、云安全架構(gòu)優(yōu)化、適當(dāng)?shù)募哟笸度搿?/p>

??專人負(fù)責(zé)

專人負(fù)責(zé)意味著對安全的重視，對一些中小企業(yè)來說，專人負(fù)責(zé)并不意味著必須是全職負(fù)責(zé)，可以指定一個人占有一部分工作時間。有人負(fù)責(zé)才會體系化的考慮安全，落實安全措施持續(xù)優(yōu)化安全。

另外，近年來國家對信息安全越來越重視，零售行業(yè)因為往往有大量的用戶信息，在監(jiān)管方面要考慮合規(guī)，等級保護需要提上日程，安全建設(shè)需要按照等級保護規(guī)范建設(shè)。

??云安全架構(gòu)優(yōu)化

許多人看到云安全產(chǎn)品很多而且費用比較高，往往不知道如何選擇安全產(chǎn)品，也不太愿意使用。根據(jù)新鈦云服實戰(zhàn)經(jīng)驗，對于零售行業(yè)的企業(yè)來說，做好以下基本的安全配置，就可以取得不錯的效果。

01賬號

• 最小權(quán)限原則，根據(jù)權(quán)限需求范圍不同劃分子帳號
• 所有賬號開啟兩步認(rèn)證
• 如果需要使用，acesskey通過創(chuàng)建子賬號的方式分配最小的權(quán)限，將acesskey保存在配置中心中，以其它憑據(jù)獲取需調(diào)用的accesskey

02VPC

• 生產(chǎn)環(huán)境和研發(fā)測試環(huán)境劃分到不同的VPC，根據(jù)業(yè)務(wù)規(guī)模，可以進(jìn)一步劃分PRO、UAT、TEST等VPC
• 如果對外的業(yè)務(wù)比較多，可以劃分DMZ VPC，所有的對外業(yè)務(wù)部署在DMZ VPC。如果業(yè)務(wù)規(guī)模不大，DMZ VPC和PRO VPC可以是一個
• VPC之間通訊遵循白名單原則，默認(rèn)不允許打通

03縮小公網(wǎng)暴露范圍，暴露在公網(wǎng)的地方一定要有防護

• 對外永遠(yuǎn)只開放具體的端口，而不是IP
• 確實需要對外的業(yè)務(wù)才開放端口，對內(nèi)的業(yè)務(wù)比如OA等，盡量通過VPN訪問，如果企業(yè)人比較多并且分散在各地，通過VPN控制有困難，也需要落實復(fù)雜密碼定期修改等措施，并有必要的安全防護措施。技術(shù)部門使用的系統(tǒng)一定通過VPN訪問，不暴露在公網(wǎng)。
• 對外的公網(wǎng)IP綁定在SLB上，盡量不要綁定在云主機上，SLB之前部署云防火墻、WAF、防DDoS等云安全產(chǎn)品，進(jìn)行多重防護。
• 云主機訪問通過堡壘機訪問，進(jìn)行細(xì)粒度的權(quán)限劃分。

04預(yù)算有限的情況下，開啟免費或者少花錢的云安全產(chǎn)品

• 通常公有云的云安全中心，DDoS都有免費版本，建議開啟；如果臨時需要，可以購買短期或者按量版本。
• 日志審計服務(wù)往往按照存儲量收費，規(guī)則配置恰到的情況下，可以少花錢，建議開啟。

??適當(dāng)?shù)募哟笸度?/h4>

一般來說，IT預(yù)算的5-10%用于信息安全是合適的。

根據(jù)新鈦云服的經(jīng)驗，對于不同規(guī)模的零售企業(yè)，可以采用以下的安全投入方案。

• 對應(yīng)小型零售企業(yè)來說，主機規(guī)模小于20臺，如果沒有監(jiān)測到惡意攻擊，使用WAF等安全產(chǎn)品費用上往往難以承受。建議一方面按照云安全架構(gòu)優(yōu)化，一方面考慮購買主機安全產(chǎn)品，構(gòu)建好安全的最后一道防線。所有的攻擊最終都是針對主機，主機安全產(chǎn)品可以實時發(fā)現(xiàn)系統(tǒng)和應(yīng)用漏洞，發(fā)現(xiàn)實時的攻擊。
• 對應(yīng)中型零售企業(yè)來說，主機規(guī)模在20-100臺之間，需要考慮WAF、云防火墻、云安全中心等云產(chǎn)品，這些其實也是等保三級要求的產(chǎn)品，可以對安全起到比較好的防護。
• 對應(yīng)更大的零售企業(yè)來說，在上面的基礎(chǔ)上，可以考慮更復(fù)雜的云產(chǎn)品，更好的起到安全加固的作用。

最后，還需要強調(diào)的是，安全是需要持續(xù)運營的，不是購買產(chǎn)品配置完成就結(jié)束了，需要不斷的查看報警，修補漏洞，根據(jù)業(yè)務(wù)情況優(yōu)化配置，才能取得良好的效果。