淺談云服務(wù)器的安全防護(hù)措施有哪些

2022-10-02    分類: 云服務(wù)器

互聯(lián)網(wǎng)是發(fā)展得越來越好了,但是與此同時,互聯(lián)網(wǎng)上面的網(wǎng)絡(luò)攻擊也變得更加多,更加普遍化了。特別是服務(wù)器上云的時代,我們需要格外關(guān)注我們服務(wù)器的數(shù)據(jù)安全,要做好云服務(wù)器的安全維護(hù)工作。

淺談云服務(wù)器的安全防護(hù)措施有哪些

云服務(wù)器的安全防護(hù)措施有哪些:

 

為保障互聯(lián)網(wǎng)數(shù)據(jù)中心的安全,抵御各種威脅和攻擊,需要聯(lián)合使用安全體系中各個層次的安全技術(shù),形成一個完善的安全防預(yù)體系。

1、 防火墻

防火墻是數(shù)據(jù)中心網(wǎng)絡(luò)最基本的安全設(shè)備,可以對不同的信任級別的安全區(qū)域進(jìn)行隔離,保護(hù)數(shù)據(jù)中心邊界安全,同時提供靈活的部署和擴(kuò)展能力。DoS 攻擊和DDoS 攻擊的手段繁多、攻擊時流量突然增大,因此防DoS 攻擊對防火墻的功能要求和性能要求比較大。目前互聯(lián)網(wǎng)數(shù)據(jù)中心對防火墻的重點(diǎn)需求是基于狀態(tài)的包檢測功能和虛擬防火墻。狀態(tài)防火墻設(shè)備將狀態(tài)檢測技術(shù)應(yīng)用在ACL 技術(shù)上,動態(tài)的決定哪些數(shù)據(jù)包可以通過防火墻,而基于流的狀態(tài)檢測技術(shù)可以提供更高的轉(zhuǎn)發(fā)性能。在物理防火墻無法滿足實(shí)際網(wǎng)絡(luò)環(huán)境的情況下,可以實(shí)施虛擬防火墻,將物理防火墻邏輯劃分出多個相互無干擾的虛擬防火墻,并依據(jù)業(yè)務(wù)需求設(shè)置合理的細(xì)粒度的訪問控制措施。另外,具有QoS 機(jī)制的防火墻能夠提供流量控制功能,針對不同的應(yīng)用做出合理的帶寬分配和流量控制,防止某個應(yīng)用如FTP、Telnet 在某個的時間內(nèi)獨(dú)占帶寬資源而導(dǎo)致關(guān)鍵業(yè)務(wù)流量丟失和實(shí)時性業(yè)務(wù)流量中斷。

目前大多數(shù)據(jù)中心實(shí)施雙機(jī)部署、或者部署異構(gòu)防火墻,以滿足高可用性的要求。

2、安全管理

為達(dá)到互聯(lián)網(wǎng)數(shù)據(jù)中心的運(yùn)營要求,除了部署健全的網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施外,還需建設(shè)的系統(tǒng)的、多層次的、可運(yùn)營的安全管理系統(tǒng),確保安全策略的集中部署、安全部件的統(tǒng)一管理,安全事件的高度關(guān)聯(lián),從安全管理上提升數(shù)據(jù)中心的整體安全防御能力。

首先應(yīng)制訂正式、有效、全面的安全管理制度,在安全管理機(jī)構(gòu)與崗位設(shè)置上嚴(yán)格把關(guān)。加強(qiáng)系統(tǒng)安全運(yùn)維管理,定期進(jìn)行設(shè)備檢查、安全監(jiān)察、漏洞掃描,并采取及時地安全事件處置措施,還可利用輔助性管理工具,實(shí)現(xiàn)安全配置的自動管理。

在安全信息和事件管理方面,應(yīng)對網(wǎng)絡(luò)設(shè)備、主機(jī)服務(wù)器、數(shù)據(jù)庫、應(yīng)用系統(tǒng)、云平臺自身管理節(jié)點(diǎn)的安全信息與事件進(jìn)行管理,進(jìn)行安全日志管理,針對操作日志、運(yùn)行日志、故障日志等進(jìn)行管理,提供設(shè)備、主機(jī)、應(yīng)用系統(tǒng)、漏洞、網(wǎng)絡(luò)流量、主機(jī)資產(chǎn)等報告。

在用戶身份認(rèn)證與訪問管理方面,應(yīng)按照不同用戶等級,設(shè)計相應(yīng)的數(shù)據(jù)中心資源訪問用戶的訪問權(quán)限。用戶訪問等級權(quán)限應(yīng)區(qū)分管理員用戶、普通用戶的不同權(quán)限。

在故障管理方面,應(yīng)進(jìn)行故障預(yù)防管理,通過對高危操作的預(yù)防以達(dá)到將隱患消除在萌芽狀態(tài)的目的。

可根據(jù)不同高危類別,設(shè)定不同級別的高危動作。應(yīng)進(jìn)行故障管理,如告警處理、故障處理、應(yīng)急處理、部件更換等方面。

3、入侵防御

入侵防御系統(tǒng)檢測蠕蟲、網(wǎng)絡(luò)釣魚、后門木馬、間諜軟件等應(yīng)用層攻擊,可在互聯(lián)網(wǎng)數(shù)據(jù)中心出口和內(nèi)部各安全區(qū)的網(wǎng)絡(luò)匯聚層采用旁掛或者與網(wǎng)絡(luò)設(shè)備融合的部署方式進(jìn)行部署,主動提供防護(hù),預(yù)先對入侵流量進(jìn)行攔截,配合防火墻和安全網(wǎng)關(guān)設(shè)備形成從鏈路層到應(yīng)用層的全面防護(hù)?;ヂ?lián)網(wǎng)數(shù)據(jù)中心的應(yīng)用流量對入侵防御系統(tǒng)的性能提出了挑戰(zhàn),需要具備高精度、高效率的入侵檢測引擎和全面及時的攻擊特征庫。

4、流量清洗

為監(jiān)控、告警、防護(hù)對應(yīng)用服務(wù)器發(fā)起的DOS/DDOS 攻擊,可在互聯(lián)網(wǎng)數(shù)據(jù)中心出口處部署流量清洗設(shè)備,監(jiān)測異常流量,當(dāng)發(fā)現(xiàn)攻擊時,開啟防御,將異常流量牽引出來進(jìn)行清洗,將正常的流量回注到服務(wù)器進(jìn)行業(yè)務(wù)處理。

5、虛擬專用網(wǎng)

為了在不安全的互聯(lián)網(wǎng)中實(shí)現(xiàn)企業(yè)應(yīng)用的安全訪問和數(shù)據(jù)的安全傳輸,虛擬專用網(wǎng)(VPN) 技術(shù)無疑是互聯(lián)網(wǎng)數(shù)據(jù)中心必不可少的安全技術(shù)。VPN 通過互聯(lián)網(wǎng)建立一個臨時的、安全的連接,形成一個穿越公網(wǎng)的安全穩(wěn)定的虛擬私有廣域網(wǎng)。網(wǎng)絡(luò)的VPN 應(yīng)用有兩種:除了提供防火墻到防火墻的VPN 應(yīng)用,支持應(yīng)用在企業(yè)分支機(jī)構(gòu)之間互通信息外,還提供移動用戶到VPN 防火墻/網(wǎng)關(guān)設(shè)備的VPN 應(yīng)用,支持移動辦公的IP 地址不固定的企業(yè)員工從互聯(lián)網(wǎng)上對企業(yè)內(nèi)部資源的訪問。隨著互聯(lián)網(wǎng)數(shù)據(jù)中心業(yè)務(wù)的不斷擴(kuò)大,還需要保障在有限的網(wǎng)絡(luò)帶寬下實(shí)現(xiàn)VPN,并提供業(yè)務(wù)質(zhì)量(QoS) 保證。目前的趨勢是采用網(wǎng)絡(luò)控制和應(yīng)用控制,即和身份和訪問管理(IAM) 技術(shù)結(jié)合,提供更靈活的訪問控制和安全隔離服務(wù)。

6、虛擬局域網(wǎng)

數(shù)據(jù)中心多業(yè)務(wù)運(yùn)營的需求,使得數(shù)據(jù)中心網(wǎng)絡(luò)中服務(wù)器和客戶端之間的縱向流量大于服務(wù)器之間的橫向流量,需要使用虛擬局域網(wǎng)將不同客戶的不同業(yè)務(wù)從第二層隔離開,分配一個VLAN 和IP 子網(wǎng)。專用VLAN 可以有不同安全級別的端口:專用端口與服務(wù)器連接,只能與混雜端口通信;混雜端口與路由器或交換機(jī)接口相連,也可以和共有端口通信;共有端口之間也可以相互通信,主要用于需要相互通信的客戶之間。

有效的預(yù)防跟防護(hù),才能夠幫助我們阻攔有預(yù)謀的網(wǎng)絡(luò)攻擊,將傷害降到最低。

網(wǎng)站欄目:淺談云服務(wù)器的安全防護(hù)措施有哪些
轉(zhuǎn)載來于:http://muchs.cn/news/200740.html

網(wǎng)站建設(shè)、網(wǎng)絡(luò)推廣公司-創(chuàng)新互聯(lián),是專注品牌與效果的網(wǎng)站制作,網(wǎng)絡(luò)營銷seo公司;服務(wù)項目有云服務(wù)器

廣告

聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請盡快告知,我們將會在第一時間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場,如需處理請聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時需注明來源: 創(chuàng)新互聯(lián)

搜索引擎優(yōu)化