指南 | 傳統企業如何設計“上雲”安全解決方案

京東科技開發者發表於2019-04-03

如今,大資料、雲端計算等新興技術正在以一種前所未有的方式迅速改變著這個世界。企業級使用者不願意把自身業務遷移到公有云,最主要的因素還是出於對 價格 資料安全 、以及 穩定性 等方面。

但近幾年的政策持續利好,國內雲端計算市場掀起一陣發展浪潮。“上雲”已經成為大多數企業的勢在必行的舉動。

傳統企業數字化轉型的浪潮高歌猛進,但每一個企業在轉型過程中也經歷著切膚之痛。或擔心於企業資料安全、業務穩定,或受制於陳舊的IT基礎設施,或困惑於新技術、新概念更新迭代之快,企業“上雲”的選擇與條件,需因地制宜。

今天與大家分享的是一個典型的大型傳統企業:

“品牌+連鎖”的經營戰略

線下專賣店規模龐大(≥1000家)

經營範圍包括了產品全生命週期

在這樣的場景下, “上雲”的安全性是企業的首要考慮的問題。

1、核心資料庫監管審計安全管控難?


對於傳統企業“上雲”而言,線上交易和庫存管理等核心交易系統轉變為雲服務模式,對應核心資料庫監管審計的管控是十分重要的一環。  資料安全的核心是對“資料”全方位的安全防護,其產品及解決方案直接涉及企業的核心機密。因此 資料庫審計方面,京東雲團隊為核心交易資料庫提供了 訪問記錄 安全審計 資料庫防注入等。


2、對粗放式安全管理的挑戰?


企業使用者的核心繫統採用雲端服務對傳統防火牆等粗放式安全管理是一項不小的挑戰。在 IP高防方面,我們設計了彈性DDOS防護能力,並且智慧排程使用者流量,為客戶提供四層防護。 Web應用防火牆針對大型傳統企業應用層提供七層防護,防禦SQL隱碼攻擊、XSS跨站指令碼、常見Web伺服器外掛漏洞、木馬上傳、等OWASP常見攻擊,抵禦惡意CC攻擊,為網站保駕護航。



3、防護安全能力未知?


傳統企業“上雲”涉及的上線智慧門店系統,多會面臨企業定製開發的應用模組,防漏洞、防注入、防篡改等能力未知的問題。 漏洞掃描服務必不可少,整體掃描線上系統,找出系統漏洞和高危漏洞,並給出改進建議是一個“優秀”的安全解決方案需要具備的能力。 防滲透測試也為客戶解決了應用系統安全問題和被攻擊問題等。



4、不可預知的公網安全風險?


傳統大型企業IT系統全線上雲之後其實會面臨著更多不可預知的公網安全風險。 這時候 安全最佳化是我們需要做的第一步,這其中包含雲端系統安全部署最佳化建議和應急響應。(應急響應是當使用者遇到駭客入侵、病毒、重點時期等特殊問題時,及時快速幫助使用者分析問題,提供解決方案。)




指南 | 傳統企業如何設計“上雲”安全解決方案



安全解決方案

— 大型傳統企業客戶案例—



在瞭解傳統企業使用者“上雲”的安全痛點及建議後,我們給出了一個大型傳統企業客戶“上雲的案例解決方案:


指南 | 傳統企業如何設計“上雲”安全解決方案

傳統企業“上雲”安全解決方案架構圖


方案解讀


  • 規劃自己的專屬 VPC,包含網段及 IP 分配資訊;

  • 在專屬 VPC 內建立與生產中心一一對應的災備雲主機和控制檯,用以承載災備資料 和管理控制災備任務; 

  • 透過資料專線連通生產中心與京東雲災備 VPC,提高備份資料傳輸效率和安全性; 

  • 在生產中心物理伺服器和京東雲災備主機上部署 Agent,用以監控系統狀態和資料 
    變化; 

  • 透過統一管理介面,實現集中運維管理,實現應用系統到京東雲的容災。



使用產品


指南 | 傳統企業如何設計“上雲”安全解決方案



藉助以上京東安全解決方案,在 低成本 短建設週期 的前提下可為客戶實現異地災備中心的建設,並可享有專屬災備培訓和指導。


同時,利用京東雲公有云彈性伸縮、按量計費等普惠優點,降低傳統運維維護成本,提高自有資料安全性和業務連續性,在提升運維管理效率的同時將更多精力放在業務創新上。


我們也透過此方案,在過去兩年中,幫同量級的企業客戶實現了營業收入突破百億元。?


指南 | 傳統企業如何設計“上雲”安全解決方案



在不同的業務場景下,我們給出了一份 企業安全“上雲”指南


賬號口令安全指南

  1. 杜絕弱口令,弱口令是最容易出現的也是最容易被利用的漏洞。

  2. 為所有服務配置強密碼,要求至少8個字元以上,包含大小寫字母、數字、特殊符號,並且不定期更新口令。

  3. Linux系統,禁止使用root賬號直接登入,使用證照登入,設定可信登入主機的IP。

  4. Windows系統,修改 administrator 預設名稱,設定可信登入主機的IP。

  5. Web應用系統,必須使用強密碼安全策略和驗證碼,防止暴力破解和撞庫。

  6. 資料庫系統(Redis、MongoDB、MySQL、MSsql Server)禁止使用弱密碼或無密碼。

  7. 增強安全策略,使用多因素驗證機制(MFA)、強制密碼安全策略(如:鎖定策略),和審計功能(異常告警)。


網路架構安全指南


  1. 使用虛擬專有網路(VPC),隔離企業內部不同安全級別的雲主機,避免同網路環境下一臺伺服器被入侵後影響到其它雲主機。

  2. 在VPC中使用NAT提供上網服務,禁止雲主機直接繫結公網IP,直接繫結公網IP會導致雲主機完全暴露在網際網路遭受攻擊入侵。

  3. 對網際網路提供服務,透過負載均衡(LB)將需要開放對外的埠(如:80,443)代理到後端的應用服務,並將對外服務放置在獨立的子網中。

  4. 防火牆隔離(安全組)是雲上的主要網路安全隔離手段,透過安全組設定在網路層過濾伺服器的訪問行為,限定伺服器對外/對內的的埠訪問,授權訪問地址,從而減少攻擊面,保護伺服器的安全。

  5. 高危網路埠,開啟的服務埠越多越不安全。只對外開放提供服務的必要埠,禁止將RDP、SSH、Redis、MongoDB、MySQL、MSsql等高危服務直接暴露在網際網路上。


應用開發安全指南


  1. 對應用服務軟體(如 Tomcat、Apache、Nginx 等軟體),建議使用官方最新版的穩定版。

  2. 及時更新Web應用版本,如:Struts、ElasticSearch非最新版都爆發過遠端命令執行漏洞。

  3. WDCP、TOMCAT、Apache、Nginx、Jekins、PHPMyAdmin、WebLogic、Jboss等Web服務管理後臺不要使用預設密碼或空密碼;不使用的管理後臺建議直接關閉。

  4. 使用安全掃描工具 (例如,系統漏掃工具:Nessus、Nexpose,Web 漏掃工具:Appscan、AWVS)上線前掃描應用服務,是否仍存在高風險漏洞,修復完漏洞後再發布使用。


系統運維安全


  1. 使用跳板機/堡壘機進行遠端維護,實施強密碼策略,合理分配許可權,對於所有操作行為嚴格記錄並審計。

  2. 為作業系統雲伺服器安裝防病毒軟體,並定期更新病毒庫。

  3. 定期更新補丁,修補作業系統漏洞,關注安全漏洞情報,當出現高風險漏洞時,及時更新作業系統所有補丁。

  4. Windows系統的補丁更新要一直開啟,Linux系統要設定定期任務執行yum update -y來更新系統軟體包及核心。

  5. 開啟系統日誌記錄功能,集中管理日誌和審計分析。

  6. 對所有業務系統進行實時監控,當發現異常時,立即介入處理。對軟體安全加固(Apache、Nginx、Tomcat、Mysql、MSsql、Redis等服務)標準化安全配置,禁止隨意修改。

內容支援 :京東雲安全團隊、京東雲企業雲業務團隊

歡迎點選“ 京東雲 ”瞭解更多精彩內容

來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/69912185/viewspace-2640206/,如需轉載,請註明出處,否則將追究法律責任。

相關文章