云安全加固实践分享

2021-08-19 10:13:30 浏览数 (3)

今天围绕云安全,总结一些实践经验,我们从五个角度看一看安全策略规划。

  1. 基础网络安全策略
  2. 防火墙安全策略
  3. 访问安全策略
  4. 主动安全防护策略
  5. 业务安全策略

一、基础网络安全策略

基础网络安全基础网络安全

关注重点:

1:认识VPC、子网、安全组、ACL

2:合理规划VPC、子网、安全组、ACL

3:对外常用默认端口关闭(3389.22 等)

PS: https://blog.csdn.net/HBice2020/article/details/116245207 (常用默认端口 )

VPC;私有网络(Virtual Private Cloud,VPC)

-VPC是一块您在腾讯云上自定义的逻辑隔离网络空间,可以为 云服务器、云数据库 等资源构建逻辑隔离的、用户自定义配置的网络空间,以提升用户云上资源的安全性,并满足不同的应用场景需求

安全组:

-安全组是一种虚拟防火墙,实例级别安全层,具备有状态的数据包过滤功能,用于设置云服务器、负载均衡、云数据库等实例的网络访问控制,控制实例级别的出入流量,是重要的网络安全隔离手段。

ACL (网络访问控制列表,Access Control List,ACL)

-子网级别的可选安全层,控制进出子网的数据流,可以精确到协议和端口颗粒。

对比项

安全组

网络 ACL

流量控制

云服务器、数据库等实例级别的流量访问控制

子网级别的流量控制

规则

支持允许规则、拒绝规则

支持允许规则、拒绝规则

有无状态

有状态:返回数据流会被自动允许,不受任何规则的影响

无状态:返回数据流必须被规则明确允许

生效时间

只有在创建云服务器、云数据库等实例时指定安全组,或实例创建后再关联安全组,规则才会被应用到实例

创建 ACL 并绑定子网后,ACL 将自动应用到关联子网内的所有云服务器、云数据库等实例

规则优先级

有规则冲突时,默认应用位置更前的规则

有规则冲突时,默认应用位置更前的规则

PS;有状态VS无状态

-有状态就是有数据存储功能。有状态对象(Stateful Bean),就是有实例变量的对象,可以保存数据,是非线程安全的。在不同方法调用间不保留任何状态。

-无状态就是一次操作,不能保存数据。无状态对象(Stateless Bean),就是没有实例变量的对象.不能保存数据,是不变类,是线程安全的。

二、防火墙安全策略

云防火墙云防火墙

PS: 需要清楚云防火墙和Web防火墙的区别

云防火墙

-基于公有云环境的 SaaS 化防火墙,为用户提供互联网边界、VPC 边界的网络访问控制,同时基于流量嵌入多种安全能力,实现访问管控与安全防御的集成化与自动化,。

Web 应用防火墙

-腾讯云 Web 应用防火墙是一款专业为网站及 Web 服务的一站式智能防护平台,帮助企业组织应对网站及 Web 业务面临的 Bot 爬虫恶意爬取、漏洞暴露、Web 入侵及数据泄露、网站被篡改或植入、域名非法劫持等带来的业务安全风险问题。其防护原理是通过将原本直接访问 Web 业务站点的流量先引流到腾讯云 Web 应用防火墙防护集群,经过云端威胁清洗过滤后再将安全流量回源到业务站点,从而确保到达用户业务站点的流量安全可信。

如下公有云场景下,Web 应用防火墙的防御过程。

三、访问安全策略

访问安全访问安全

云堡垒机:(主要对访问服务器的行为进行审计)

-主要为企业提供运维人员操作审计,对异常行为进行告警,防止内部数据泄密,等保合规利器。

VPN / 专线:

-帮助构建到云VPC 一条安全、可靠的加密通道

子账户

-根据角色和权限进行子账户的创建

MFA (多因子身份验证)

-通过多种身份认证手段组合,确保用户身份的可信。

四、主动安全防护策略

DDos 防护:https://cloud.tencent.com/product/ddos

网络乳清保护系统:https://cloud.tencent.com/product/nips

移动应用安全:https://cloud.tencent.com/product/ms

小程序安全:https://cloud.tencent.com/product/mmps

手游安全:https://cloud.tencent.com/product/ace/developer

云主机安全也是主动安全防护中必不可少的安全产品;

主机安全主机安全

五、业务安全策略

腾讯安全.天御专注解决“欺诈预防”和“风险识别” 的问题。

天御以人工智能为核心,以腾讯海量互联网数据为基础,结合腾讯20年黑产攻防的经验,打造AI时代的智能风控服务。帮助业务方在流量验真、身份安全、金融风控、业务安全等领域预防欺诈识别风险、为客户业务保驾护航。

业务安全业务安全

以上是个人总结,欢迎大家一起探讨​交流;

0 人点赞