多年來,每當(dāng)需要將數(shù)據(jù)放到網(wǎng)上時,安全一直是主要關(guān)注點(diǎn)之一,而云計(jì)算的出現(xiàn)并沒有真正減輕人們的擔(dān)憂。事實(shí)上,對許多人來說,它產(chǎn)生了完全相反的效果。這與傳統(tǒng)上許多用戶和企業(yè)習(xí)慣于在現(xiàn)場存儲他們的數(shù)據(jù)這一事實(shí)有關(guān)。即使他們的場所沒有它,他們也想知道負(fù)責(zé)托管它的服務(wù)器的確切位置。
在云托管場景中,用戶通過從不同位置獲取數(shù)據(jù)的虛擬服務(wù)器來管理數(shù)據(jù),許多人留下的印象是他們無法完全控制它。正如我們稍后會發(fā)現(xiàn)的那樣,如果遵循嚴(yán)格的安全協(xié)議,這些擔(dān)憂是沒有根據(jù)的。然而,云托管,就像任何在線服務(wù)一樣,必須在設(shè)計(jì)和配置時考慮到安全性。但是,在使用云托管在線項(xiàng)目時,需要牢記哪些主要考慮因素?
誰負(fù)責(zé)確保云托管網(wǎng)站的安全?
首先,我們顯然需要看看誰負(fù)責(zé)確保存儲在云中的數(shù)據(jù)的安全性。你們中的一些人可能會說網(wǎng)站的安全是托管服務(wù)提供商的唯一責(zé)任,而其他人可能會指出網(wǎng)站所有者應(yīng)該確保業(yè)務(wù)順利運(yùn)行。事實(shí)上,責(zé)任必須在服務(wù)提供者和客戶之間分擔(dān)。
例如,一個易于猜測的密碼可以撤銷托管公司為確保云服務(wù)器配置盡可能安全所做的所有工作。同樣,如果托管服務(wù)提供商沒有正確監(jiān)控服務(wù)器,即使遵循所有安全最佳實(shí)踐的客戶也會遇到麻煩。換句話說,如果數(shù)據(jù)要保持安全,每個人都必須非常重視安全。
云托管安全與傳統(tǒng)托管安全
危害網(wǎng)站安全的方法是有限的,必須說,無論項(xiàng)目是托管在云中還是物理服務(wù)器上,它們中的大多數(shù)都能正常工作。這兩種服務(wù)之間的主要區(qū)別在于,在云托管環(huán)境中,有一個虛擬化層可以發(fā)揮其安全優(yōu)勢。除此之外,需要考慮的場景幾乎相同。
主要云托管安全注意事項(xiàng)
創(chuàng)建一個安全的托管環(huán)境不是可以從待辦事項(xiàng)列表中剔除的事情。這是一個不能也不應(yīng)該停止的過程。應(yīng)該仔細(xì)考慮的事情清單實(shí)際上是無窮無盡的,而您將在下面看到的方面只是滄海一粟。不過,它們應(yīng)該足以讓您了解這項(xiàng)工作的真正復(fù)雜程度。
內(nèi)部攻擊
人們最關(guān)心的一個事實(shí)是,當(dāng)他們聘請?jiān)仆泄芊?wù)提供商時,他們實(shí)際上是在信任他們的網(wǎng)站。雖然讓專業(yè)人員處理像托管網(wǎng)站這樣復(fù)雜的任務(wù)是一件好事,但它不可避免地會帶來內(nèi)部攻擊的風(fēng)險。
無論是誠實(shí)的錯誤還是蓄意破壞,托管服務(wù)提供商都不能低估因員工而丟失數(shù)據(jù)的危險。對團(tuán)隊(duì)新成員進(jìn)行廣泛的培訓(xùn),在雇用新員工時進(jìn)行更徹底的檢查,并考慮詳細(xì)的事件響應(yīng)計(jì)劃,可以降低此類事件的可能性。
虛擬服務(wù)器隔離
用戶經(jīng)常擔(dān)心的另一件事是,在大多數(shù)情況下,多個不同的項(xiàng)目使用同一個云。從這個意義上說,它讓他們想起了傳統(tǒng)的共享主機(jī)設(shè)置。在很大程度上,問題源于人們不了解這兩種服務(wù)之間的顯著差異。
傳統(tǒng)的共享主機(jī)意味著位于服務(wù)器上的所有帳戶共享其硬件資源。相比之下,雖然多個虛擬機(jī)可以駐留在同一個云上,但它們充當(dāng)單獨(dú)的服務(wù)器。這是一種更安全的設(shè)置,但托管服務(wù)提供商必須確保虛擬機(jī)彼此正確隔離。
易受攻擊的軟件
黑客不斷地成功入侵網(wǎng)站,最常見的入侵點(diǎn)之一是存在已知安全漏洞的過時軟件。網(wǎng)站所有者需要隨時了解他們的更新。流行的開源平臺(如 WordPress )的新版本問世不僅是為了提高性能,而且是為了確保解決軟件中發(fā)現(xiàn)的任何安全問題。
誠然,更新整個應(yīng)用程序甚至插件都會導(dǎo)致網(wǎng)站性能出現(xiàn)問題,在某些極端情況下,甚至?xí)?dǎo)致停機(jī)。然而,盡管如此,與在舊平臺上運(yùn)行網(wǎng)站相關(guān)的安全隱患太重要了,不容忽視,托管服務(wù)提供商需要確保用戶可以使用可以簡化流程的工具。
DDoS 緩解
分布式拒絕服務(wù) (DDoS) 攻擊非常普遍,因?yàn)閱铀鼈兎浅H菀浊曳浅1阋恕DoS 攻擊甚至不需要任何專門的技術(shù)技能。通常,網(wǎng)絡(luò)犯罪分子會去黑客論壇,雇傭僵尸網(wǎng)絡(luò)(感染惡意軟件的 PC、服務(wù)器和物聯(lián)網(wǎng)設(shè)備的網(wǎng)絡(luò)),然后簡單地設(shè)置目標(biāo)。
僵尸網(wǎng)絡(luò)然后用流量淹沒目標(biāo)網(wǎng)站,并試圖使其背后的硬件過載。由于底層架構(gòu)的原因,與托管在傳統(tǒng)服務(wù)器上的攻擊相比,針對云托管網(wǎng)站的 DDoS 攻擊往往效率較低。盡管如此,仍有一些工具和產(chǎn)品可以進(jìn)一步保護(hù)客戶,托管服務(wù)提供商必須實(shí)施它們。
訪問控制
在網(wǎng)絡(luò)安全方面,防火墻是最容易實(shí)施的工具。它可以查看誰想要訪問存儲在網(wǎng)站上的數(shù)據(jù),并且可以識別他們是否被授權(quán)這樣做。
如果最壞的情況發(fā)生,防火墻保留的日志在調(diào)查期間通常非常寶貴,它們可以幫助受影響的網(wǎng)站運(yùn)營商避免未來發(fā)生類似事件。正確配置的防火墻在云中與在家中和辦公室中一樣重要。
合規(guī)性
多年來,我們看到了不止幾起影響數(shù)百萬人的重大事件,并促使世界各地的監(jiān)管機(jī)構(gòu)制定實(shí)施安全工具和程序的標(biāo)準(zhǔn)。這些標(biāo)準(zhǔn)適用于托管服務(wù)提供商和網(wǎng)站所有者,并且設(shè)法遵守這些標(biāo)準(zhǔn)的企業(yè)通常會獲得他們自豪地放置在其網(wǎng)站上以宣傳這一事實(shí)的印章和徽章。
然而,安全專家表示,這些徽章的價值往往被高估了。這些標(biāo)準(zhǔn)確實(shí)為如何提高服務(wù)和網(wǎng)站的安全性提供了指導(dǎo),但用戶和企業(yè)犯了一個代價高昂的錯誤,即假設(shè)一旦符合特定標(biāo)準(zhǔn),他們的工作就完成了。
正如我們已經(jīng)提到的,保護(hù)服務(wù)器或托管帳戶是一個永無止境的過程。威脅形勢在不斷發(fā)展,為實(shí)現(xiàn)更好的安全性而推薦的最佳實(shí)踐也是如此。安全專家認(rèn)為,企業(yè)追求的標(biāo)準(zhǔn)并沒有像應(yīng)有的那樣經(jīng)常更新,這意味著達(dá)到特定標(biāo)準(zhǔn)的合規(guī)性遠(yuǎn)遠(yuǎn)不足以讓您對您運(yùn)行的網(wǎng)站或您提供的服務(wù)有任何信心是安全的。
換句話說,當(dāng)您看到一個網(wǎng)站(無論是托管在云端還是傳統(tǒng)托管計(jì)劃)符合特定標(biāo)準(zhǔn)時,這意味著它的所有者已經(jīng)付出了一些努力來提高其安全性。然而,這并不意味著它不能被黑客入侵。
云主機(jī)安全嗎?
在云計(jì)算的早期,由于虛擬化軟件的潛在問題,許多人擔(dān)心使用它來托管他們的網(wǎng)站。那個時候,虛擬化的概念還是比較新的,這種擔(dān)憂在一定程度上是有根據(jù)的。然而,從那時起已經(jīng)過去了很多年,云安全的狀態(tài)已經(jīng)突飛猛進(jìn)。
事實(shí)上,你現(xiàn)在可以說,曾經(jīng)讓人們?nèi)绱藫?dān)心的虛擬化是讓云托管比傳統(tǒng)替代方案更安全的東西。虛擬機(jī)的操作系統(tǒng)與底層硬件交互的方式有所不同,這阻礙了一些黑客的行動。然而,只有正確配置了虛擬化軟件,安全優(yōu)勢才會顯現(xiàn)。其他工具和安全協(xié)議也可以提供幫助。
結(jié)論
托管環(huán)境的安全性取決于非常廣泛的不同方面。籠統(tǒng)地談?wù)摪踩圆⑿Q一種類型的托管比另一種更安全從來都不是一個好的選擇,因?yàn)榕渲貌划?dāng)?shù)脑品?wù)器可能比適當(dāng)保護(hù)的物理機(jī)器更容易成為黑客的目標(biāo),反之亦然。如果用戶使用易于猜測的密碼保護(hù)他們的帳戶,即使是最安全的托管環(huán)境也可能被攻破。話雖如此,云使網(wǎng)站所有者和托管服務(wù)提供商都能夠創(chuàng)建真正安全的托管環(huán)境。我們需要做的就是利用它。
