??公有云安全事件??

最近小半年接連處理了幾起零售行業公有云安全事件，都是因為某種原因造成的數據泄露。有防護措施不當的，也有因為應用漏洞泄露被黑的，也有內部人員不慎造成的。

事后總結發現主要原因有三個：安全意識不足、沒有按照公有云安全架構最佳實踐配置、云安全投入不足。

??安全意識不足方面

政府和金融行業是強監管的，安全不達標應用系統不能上線，因此這些行業從領導到技術人員，信息安全意識都很強。

零售行業往往是業務導向，經常是出了安全事件造成損失，才意識到安全的重要性，然后開始亡羊補牢。

??沒有按照公有云安全架構最佳時間配置方面

接觸到一些零售企業，公有云環境基本的安全配置很不規范。VPC就劃分了一個，云的超級賬號口令技術人員全員共享，也沒有開啟二次認證，安全組全部放開。

其實如果能夠按照公有云安全架構最佳實踐配置，在不怎么花錢的情況下，也可以取得基本的防護效果。

??安全措施云安全投入不足方面

許多零售行業的領導不愿意在安全上面花錢，在這方面存在誤區。有些領導認為安全投入性價比不高看不見摸不著，錢要花到刀刃上干脆先不投入了，往往是出了事情再手忙腳亂的花錢補課。也有些領導認為安全是一個無底洞花多少費用都沒有用，做了和沒做一個樣。

在安全投入方面有兩個事實，第一是安全投入遵循木桶原理，如果錢能花到刀刃上，通過擬補薄弱的環節，可以極大的減少風險。第二是安全投入遵循二八原則，在一定范圍內，可以做到投入性價比很高。

針對以上情況，對應的解決方案為專人負責、云安全架構優化、適當的加大投入。

??專人負責

專人負責意味著對安全的重視，對一些中小企業來說，專人負責并不意味著必須是全職負責，可以指定一個人占有一部分工作時間。有人負責才會體系化的考慮安全，落實安全措施持續優化安全。

另外，近年來國家對信息安全越來越重視，零售行業因為往往有大量的用戶信息，在監管方面要考慮合規，等級保護需要提上日程，安全建設需要按照等級保護規范建設。

??云安全架構優化

許多人看到云安全產品很多而且費用比較高，往往不知道如何選擇安全產品，也不太愿意使用。根據新鈦云服實戰經驗，對于零售行業的企業來說，做好以下基本的安全配置，就可以取得不錯的效果。

01賬號

• 最小權限原則，根據權限需求范圍不同劃分子帳號
• 所有賬號開啟兩步認證
• 如果需要使用，acesskey通過創建子賬號的方式分配最小的權限，將acesskey保存在配置中心中，以其它憑據獲取需調用的accesskey

02VPC

• 生產環境和研發測試環境劃分到不同的VPC，根據業務規模，可以進一步劃分PRO、UAT、TEST等VPC
• 如果對外的業務比較多，可以劃分DMZ VPC，所有的對外業務部署在DMZ VPC。如果業務規模不大，DMZ VPC和PRO VPC可以是一個
• VPC之間通訊遵循白名單原則，默認不允許打通

03縮小公網暴露范圍，暴露在公網的地方一定要有防護

• 對外永遠只開放具體的端口，而不是IP
• 確實需要對外的業務才開放端口，對內的業務比如OA等，盡量通過VPN訪問，如果企業人比較多并且分散在各地，通過VPN控制有困難，也需要落實復雜密碼定期修改等措施，并有必要的安全防護措施。技術部門使用的系統一定通過VPN訪問，不暴露在公網。
• 對外的公網IP綁定在SLB上，盡量不要綁定在云主機上，SLB之前部署云防火墻、WAF、防DDoS等云安全產品，進行多重防護。
• 云主機訪問通過堡壘機訪問，進行細粒度的權限劃分。

04預算有限的情況下，開啟免費或者少花錢的云安全產品

• 通常公有云的云安全中心，DDoS都有免費版本，建議開啟；如果臨時需要，可以購買短期或者按量版本。
• 日志審計服務往往按照存儲量收費，規則配置恰到的情況下，可以少花錢，建議開啟。

??適當的加大投入

一般來說，IT預算的5-10%用于信息安全是合適的。

根據新鈦云服的經驗，對于不同規模的零售企業，可以采用以下的安全投入方案。

• 對應小型零售企業來說，主機規模小于20臺，如果沒有監測到惡意攻擊，使用WAF等安全產品費用上往往難以承受。建議一方面按照云安全架構優化，一方面考慮購買主機安全產品，構建好安全的最后一道防線。所有的攻擊最終都是針對主機，主機安全產品可以實時發現系統和應用漏洞，發現實時的攻擊。
• 對應中型零售企業來說，主機規模在20-100臺之間，需要考慮WAF、云防火墻、云安全中心等云產品，這些其實也是等保三級要求的產品，可以對安全起到比較好的防護。
• 對應更大的零售企業來說，在上面的基礎上，可以考慮更復雜的云產品，更好的起到安全加固的作用。

最后，還需要強調的是，安全是需要持續運營的，不是購買產品配置完成就結束了，需要不斷的查看報警，修補漏洞，根據業務情況優化配置，才能取得良好的效果。