如何保障企业在使用云计算中的业务安全性？

青云QingCloud认为，安全不只是依靠某些安全产品即可高枕无忧的事情，而应该是IT服务提供商和企业长期共同努力的目标。本文旨在向云计算用户介绍在使用云资源搭建IT系统、部署和运维企业应用的过程中应该注重哪些安全问题，并系统介绍一些常见的安全防范方法。

1、网络安全

私有网络与隔离

首先介绍青云QingCloud提供的两种组网方式：基础网络和私有网络（VxNet）。前者是一个由系统维护的全局网络，后者是用户自行组建的网络。

基础网络是指云平台上所有用户都可以加入的全局网络，其安全保障依靠防火墙（Security Group）来实现。基础网络比较简单，用户也不需要进行任何配置与管理即可直接使用。但因为在基础网络中主机之间可二层连通，故存在安全隐患。

为实现用户之间真正的网络隔离，确保用户安全，QingCloud 还提供了私有网络（VxNet）功能。私有网络类似物理世界中的局域网，可保障在公有云多租户的场景下，用户之间100%的二层隔离。

我们认为，网络层面的真正隔离是最大程度保护用户安全的最基本举措，因此建议用户尽量将业务系统部署于私有网络之内。

路由设置

端口转发

QingCloud 开创性地在云端实现软件定义的网络功能和组件（SDN，software defined network），支持用户将自己在物理网络环境中的经验平滑的移植到云端。为了帮助用户来管理私有网络，QingCloud提供了路由器组件。路由器支持 DHCP 服务、端口转发、VPN、GRE隧道和IPSec等服务，涵盖了常用的网络配置与管理工作。用户还可以创建自管的私有网络，自行配置和管理以实现更加复杂的功能。

过滤控制

缺省情况下，路由器所管理的私有网络之间是可以相互连通的，用户可以通过设置过滤规则来控制路由器内部私有网络之间的隔离。

加密隧道

隧道服务可以将多个不同地域的局域网连接在一起，形成兼顾公有私有的混合云计算环境，帮助用户有效管理多地域的数据中心。OpenVPN、PPTP 等 VPN 服务可以使得用户可以远程安全地拨入⻘云中的私有⺴络。

防火墙规则

QingCloud为每个用户提供了一个缺省防火墙。用户也可以自建更多的防火墙。自建防火墙在初始状态下，所有端口都是封闭的，用户需要建立规则以打开相应端口。采用“白名单”的策略可以更大程度地保障来自外网的访问安全。

2、数据安全

数据存储与安全

QingCloud的存储服务基于一个基本原则：企业用户的数据必须是安全的，绝对不能丢，这是重中之重。基于这个原则，QingCloud所有正式推出的存储服务都会提供存储于不同物理设备的多份副本，以保证在最严重的故障发生后数据可以迅速恢复。

数据备份与恢复

除了被动副本之外，我们建议用户使用数据备份功能以避免误操作等类似问题带来的数据丢失。QingCloud提供块设备级（block device level）的硬盘备份与恢复， 可以同时对多张硬盘做备份（包括系统盘和数据盘），也可以对正在运行的主机做在线备份。 一张硬盘可以有多个备份链，每条备份链包括一个全量备份点以及多个增量备份点，这样用户可以随时从任意一个备份点恢复数据。这里要特别说一下，常见的 Snapshot （快照）功能不能等同于块设备级的备份。因为快照只是在原有数据上打标签，这会破坏原有的结构。而QingCloud会将每次变化的数据取出来，离线存放，不影响原有数据，这样做更安全。

3、账号安全

SSH密钥

同普通的“用户名＋密码”登陆方式相比，QingCloud推荐使用 SSH 密钥登录的方式。另外在创建 SSH 密钥时，支持用户输入公钥。

管理员账号

主账号和子账号

我们认为，在企业中针对不同的业务单元或项目分配IT系统的局部管理权限是更加安全的管理方法，因此推出了“子账户”功能。

主账户可以创建多个子账户，并将多个独立的项目放置于不同的子账户下进行管理。主账户可以查看不同子账户的资源和消费情况，并可以切换到不同的子账户进行资源操作。主账户还可以通过禁用/恢复功能来禁止和恢复子账户的操作权限。

每个账户之间的资源是隔离的，子账户只拥有操作自己资源的权限。每个子账户都拥有唯一的登陆ID，可以独立登陆控制台进行资源操作。

账户锁

每个账户都拥有自己的账户锁，可以通过二级密码对账户进行额外的保护。当账户被锁定时，只能进行只读操作。同时，你也可以单独对控制台或者API的操作进行锁定。

API签名

QingCloud向用户开放所有资源操作相关的API，我们的API是通过 HTTPS GET 方式来进行调用的。在调用我们的API之前，用户需要先在控制台申请 API密钥 ， 包括 API密钥ID ( access_key_id ) 和 API密钥的私钥 ( secret_access_key )。 API密钥 ID 将作为参数包含在每一个请求中发送；而 API密钥的私钥负责生成请求串的签名，API密钥的私钥需要被妥善保管以保护系统安全。

4、构建高可用的系统架构

保证业务的连续、准确和不中断是IT系统架构设计和运维的关键，也是基本的业务安全保障。在云计算的环境中除了可以应用传统IT经验构建健壮、高冗余、避免单点故障的架构外，还有一些管理工具可以辅助提升系统可用性。

监控告警

QingCloud提供监控告警功能，帮助用户通过对 CPU 利用率 / 内存使用 / 磁盘容量 / 网络流量 / 数据库状态等重要资源的运行状态进行监控，及时了解资源使用情况和系统健康情况，处理突发事件。用户通过创建告警策略，指定资源类型、检查周期、告警条件、通知列表等信息，之后便可将其与资源关联，开始监控。满足告警条件即会触发短信和邮件通知。

负载均衡

负载均衡器可以将来自多个公网地址的访问流量分发到多台主机上， 并支持自动检测并隔离不可用的主机，从而提高业务的服务能力和可用性。 QingCloud 负载均衡器支持HTTP / HTTPS / TCP 三种监听模式，并支持透明代理，可以让后端主机不做任何更改，直接获取客户端真实IP。 另外，负载均衡器还支持灵活配置多种转发策略，实现高级的自定义转发控制功能。

可扩展

一个具有扩展性的IT系统既是业务日常平稳运行的保障，也是除了屏蔽请求以外另一个有效应对拒绝服务攻击的手段。作为云服务商，必须保证用户可以快速创建和调整资源，同时提供自动伸缩服务。

资源的秒级创建和修改

在QingCloud，所有资源都可以在秒级响应，这意味着用户随时可以根据业务规模调整资源数量，实现实时的横向伸缩（Scale out/in）和纵向伸缩（Scale up/down）。独有的按秒计费，让用户在实现资源弹性伸缩的同时真正可以按需使用，按量付费。

资源的可动态扩展

自动伸缩（AutoScaling）功能可以帮助用户基于监控数据动态地调节资源配置或集群规模，及时应对突增的系统压力，充分利用云计算的弹性特点调节系统的处理能力，且有效降低维护成本。整个过程自动调节，无需人工介入。

定时器（Scheduler）功能可用来定期执行一系列任务。可在指定的周期重复执行，也可仅执行一次，且每个任务支持指定多个资源批量操作。目前通过QingCloud的定时器功能，用户可以定期执行开关主机、调整公网 IP 带宽上限、为主机或硬盘创建备份等任务。

5、应用安全及攻击防范

SSH登陆破解

这是最常见却最容易被忽视的安全问题，常见于 SSH 开启了允许密码登录的情况。 攻击者用一个常用密码字典，编写脚本不断提交 SSH 登录请求进行试错，亦或直接 遍历密码组合，实施暴力破解。一旦登录成功，会给目标主机安装木马病毒或窃取 重要数据。防范方法如下:

禁用密码登录，改成使用密钥登录，并定期更换新密钥。SSH 密钥登录主机 的方法可参看文档 https://docs.qingcloud.com/faq/index.html#ssh-linux

对于 Linux 系统，修改 SSH 服务配置 /etc/ssh/sshd_config，禁止 root 账号直接 登录。今后如果需要 root 权限操作，可以先用其它账号登录，然后执行 su 命 令切换到 root 账号。

使用青云路由器构建私有网络，并开启 VPN 服务，将主机置于私有网络中， 每次登录前先连接 VPN，然后使用内网地址登录主机。

将 SSH 登录端口换成不常用的端口号。

常用软件账号破解

用户安装的常用软件如 WordPress / AMH / Tomcat / MySQL / Jenkins / Sendmail / Squid 等，通常会有默认账号和密码，且配置了外网可访问。攻击者通过脚本扫描 可用地址和端口，可以轻易获得操作权限，并且有些软件和服务支持上传并执行文 件，造成更大的安全隐患。防范方法如下:

谨慎配置常用软件和服务，修改默认账号和密码，并且只监听特定的 IP 地 址。

尽量不要使用一键安装的应用软件，暴露的服务密码一定不能过于简单甚至 为空。

配置青云防火墙，应用到主机、路由器、负载均衡器等设备，只开启必要的 访问端口。

尽量避免在 root 权限下安装和启动程序，理论上需要使用系统权限运行的程 序很少，如果不是监听 1024 以下端口或读写系统文件，则可以用普通账号运 行程序。

漏洞利用

很多旧版本或不稳定版本的程序和组件存在漏洞，黑客经常利用这些漏洞实施入 侵。例如 OpenSSL 的 Heartbleed 漏洞是近年来最严重的安全漏洞之一，OpenSSL 被 广泛应用于互联网服务器，该漏洞可能造成大量用户隐私内容泄漏。虽然后来软件 维护者通过升级程序修复了漏洞，但尚有大量服务器仍在使用带有漏洞的旧版本。 防范方法如下:

生产环境下尽量安装稳定版的应用程序。

及时对旧版本软件和组件进行升级。

关注安全社区，尽早了解最新的漏洞及修复手段。

Web安全

XSS跨站脚本攻击

指黑客提交一段包含恶意 js 脚本的表单内容，当访问者加载该页面内容时，即会触 发执行该恶意脚本。防范方法如下:

检查用户的输入内容，尤其是评论、博客、邮件等可能包含富文本的输入， 检查数据中是否包含特殊字符，如 < > ‘ “ 等，将这些字符过滤或者编码。

匹配 XSS 特征，比如检查数据中是否包含