国务院发展研究中心国际技术经济研究所近日发布的《中国云计算产业发展白皮书》显示,2018年中国云计算产业规模已经达到962.8亿元;预计2023年,中国云计算产业规模将超过3000亿元。
大量的企业将数据迁移到云上,带来的网络安全问题却日益凸显,以云计算行业巨头阿里云为例,每天遭受攻击的次数就高达 50 亿次,这些攻击包括通过系统漏洞进行提权、DDOS攻击、CC 攻击、暴力破解,入侵成功对数据进行加密、植入木马或挖矿程序等手段非法牟利。
那么企业上云后应该做哪些工作,才能避免被入侵而造成的不可估量的损失呢?作为一名云计算行业的从业者,我见过太多企业的服务器被入侵后遭受严重损失的案例,在这里,我在这里和大家分享以下上云后的安全防护应该如何做。首先,大家要纠正一个观念,那就是上云并非万事大吉了。云计算提供的弹性伸缩和水平扩容大大缩减了企业运维人员的工作提升了效率,例如不用大老远的跑到机房去升级操作系统、扩容硬件了。
但是对于操作系统自身的安全问题我相信任何一家云计算公司都不敢打包票说你买了我们的服务器就绝对不会遭受任何攻击。一般他们会提供安全防护类的产品或建议,但是实际的安全策略部署还是需要自己去完成。
那么当你在云厂商购买一台服务器之后,你必须要做的事情就是:第一,修改你的远程连接端口,例如 windows 的 3389,Linux 的 22 端口。应用服务尽量不要对公网开放,尤其是中间件服务,除了 web 服务所提供的 80,443 端口之外都应该尽量不要对公网开放默认端口,例如 MySQL 的 3306 ,Redis 的 6379 等等。
因为互联网上大量的入侵都是首先扫描到开放这些默认端口的机器,然后在探测是否存在已知的漏洞进而发起攻击。举个例子,假如入侵者想入侵 redis 3.0 以下版本的 redis,攻击者可以通过 nmap 或 masscan 这类扫描攻击扫描某一个 IP 段是否开放以及根据你的服务器特征探测你的服务器是 Linux 还是 Windows来选择以何种方式发起攻击,以 masscan 为例,探测49.111.0.0/16网段内是否有 redis 服务开启默认 6379 端口。
然后获取到该网段开放了 6379 端口的 IP,并进行下一步判断其是否有设置密码,版本是否是 3.0 以下。执行如下命令即可查看这台 redis 的相关信息
遭遇攻击后应该怎么办?如果你恰好 root 权限开放的,那么你这台服务器就成功被入侵者提权了。从上面这个例子中,我们要防止这样的入侵案例发生,除了修改默认端口还是远远不够的。还需要养成定期更新你的系统和应用软件,因为旧版本软件大多都会存在漏洞被攻击者利用。
另外就是尽量不要以管理员权限运行一些应用程序,例如Linux 使用 root 这样的权限去运行程序。要以一个普通用户运行指定程序,防止被提权。禁止密码登录,改为更安全的密钥登录。密钥采用rsa非对称加密算法,并设置大于 2048 位以上密钥,安全系数更高。