经常会收到一些客户的反馈,上云后依然会被安全问题困扰,的确,从公有云安全责任划分看,就算企业上云,安全运维依然不可少。
如下总结部分基本的安全加固建议和方案;
一、风险问题
运维安全漏洞:
1:弱口令密码;弱密码容易受到黑客账户暴力破解攻击,甚至没有安全意识的运维人员将多台主机使用同一个账户密码,当账户被破后,陷入集体攻陷,最常见安全问题,危害巨大。
2:系统漏洞;运维人员对于系统漏洞关注度低,一般是大面积事故问题互联网曝光后,才进行警觉和修复,这样应对延迟导致大面积的中招。
3:常用端口开放风险;因为是通用端口,黑客可以更精准的通过常用协议端口进行各种方式的网络攻击,更加暴力和直接。
人为安全漏洞:
1: 运维人员安全意识弱问题;这部分人为的操作将会成为最大的安全漏洞,
2: 管理权限账户公用问题;多人同时使用一个最高管理员权限账户,出现人为安全事故的几率很高,故障追溯的时候无法确认具体执行人。
二、安全加固方案建议
对于以上常见安全风险,我们需要做一些基础的安全加固,建议方案如下;
1:弱口令密码解决方案;
强密码正则式要求:大写字母,小写字母,数字、符号,不少于8位 ,三个月内至少换一次密码。 运维达人经常通过强度密码生成器生成随机密码,和密码管理软件进行管理维护,常用推荐的密码管理软件如下:
lKeePass:免费 开源 兼容性强
lLastPass:最大的优势是跨浏览器平台
l1Password:跨平台管理 用户认可度高
lEnpass:支持平台多 20条密码免费
而对于Linux 系统,首先建议用密钥登录代替账户密码,使用密钥登录Linux 操作参见:
https://cloud.tencent.com/document/product/213/35700#LoginWithKey
其次可以修改SSH端口号,默认SSH端口22 ,通过修改sshd_config文件,自定义新端口,具体操作可自行检索。
对于Windows 系统,也可以修改默认3389 远程登录端口,分别修改注册表键值:
注册表:[HKEY_LOCAL_MACHINE\SYSTEM\CurrentContro1Set\Control\Tenninal Server\WinStations\RDP-Tcp]
注册表:[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp]
2:系统漏洞安全运维;
在腾讯云我们可以白嫖下免费版本“主机安全(云镜)”, 如下是主机安全的主要功能;
当然基础版(免费)和专业版(3元/台/天)的功能版本比较介绍参见如下;
https://cloud.tencent.com/document/product/296/2222
其中基础版本中的漏洞管理还是可以帮我们扫描出漏洞风险情况的,运维人员只需要定期的check 漏洞概览表即可,对于资源数比较少的,可以借助免费额度进行深度检测。
3:常用端口开放实践;
在云网络安全,关于端口开放是基于“安全组”的配置规划,安全组是一种虚拟防火墙,具备有状态的数据包过滤功能,用于设置云服务器、负载均衡、云数据库等实例的网络访问控制,控制实例级别的出入流量,是重要的网络安全隔离手段
关于常用端口介绍可参见:https://cloud.tencent.com/document/product/213/12451
对于端口建议修改远程服务器的默认端口号,windows 远程端口修改3389 ,Linux 远程端口修改 22 (同时禁止默认操作管理员账户登录,删除不需要的用户账户并禁止登录),通过安全组只放行业务协议端口,不建议放行所有协议所有端口,如果你的远程环境固定,可以指定IP地址访问云主机。不建议对公网开放核心应用服务器端口,例如Mysql ,Redis 等。
4. 人为安全管理;
要减少人为安全问题以及实现追责,我们需要对账户进行分角色,分权限。腾讯云访问管理(Cloud Access Management,CAM)了解下, 这是腾讯云提供的一套 Web 服务(免费),用于帮助客户安全地管理腾讯云账户的访问权限,资源管理和使用权限。通过 CAM,您可以创建、管理和销毁用户(组),并通过身份管理和策略管理控制哪些人可以使用哪些腾讯云资源。
我们准守基本知道原则即可:
- l开启MFA(多因子身份验证),增强账户安全性,对于邮箱和微信登录的账户需要进行MFA二次验证。
- l使用子账户访问腾讯云;主账户权限大,对于资源直接使用者应该创建子账户,同时授权该子账户相应的管理权限。
- l最小权限原则;对于子账户权限,仅授予执行任务权限所需的最小权限,不需要授权更多无关权限。
在实现分账户下,如发生安全运维问题,我们还可以通过审计日志查询到执行账号,同时锁定相关人员。
如上是腾讯云基础安全加固的建议,希望对大家有用。