云安全加固实践分享

今天围绕云安全，总结一些实践经验，我们从五个角度看一看安全策略规划。

1. 基础网络安全策略
2. 防火墙安全策略
3. 访问安全策略
4. 主动安全防护策略
5. 业务安全策略

一、基础网络安全策略

基础网络安全

关注重点：

1：认识VPC、子网、安全组、ACL

2：合理规划VPC、子网、安全组、ACL

3：对外常用默认端口关闭（3389.22 等）

PS: https://blog.csdn.net/HBice2020/article/details/116245207 （常用默认端口 ）

VPC；私有网络（Virtual Private Cloud，VPC）

-VPC是一块您在腾讯云上自定义的逻辑隔离网络空间，可以为 云服务器、云数据库 等资源构建逻辑隔离的、用户自定义配置的网络空间，以提升用户云上资源的安全性，并满足不同的应用场景需求

安全组：

-安全组是一种虚拟防火墙，实例级别安全层，具备有状态的数据包过滤功能，用于设置云服务器、负载均衡、云数据库等实例的网络访问控制，控制实例级别的出入流量，是重要的网络安全隔离手段。

ACL （网络访问控制列表，Access Control List，ACL）

-子网级别的可选安全层，控制进出子网的数据流，可以精确到协议和端口颗粒。

PS；有状态VS无状态

-有状态就是有数据存储功能。有状态对象(Stateful Bean)，就是有实例变量的对象，可以保存数据，是非线程安全的。在不同方法调用间不保留任何状态。

-无状态就是一次操作，不能保存数据。无状态对象(Stateless Bean)，就是没有实例变量的对象.不能保存数据，是不变类，是线程安全的。

二、防火墙安全策略

云防火墙

PS: 需要清楚云防火墙和Web防火墙的区别

云防火墙

-基于公有云环境的 SaaS 化防火墙，为用户提供互联网边界、VPC 边界的网络访问控制，同时基于流量嵌入多种安全能力，实现访问管控与安全防御的集成化与自动化，。

Web 应用防火墙

-腾讯云 Web 应用防火墙是一款专业为网站及 Web 服务的一站式智能防护平台，帮助企业组织应对网站及 Web 业务面临的 Bot 爬虫恶意爬取、漏洞暴露、Web 入侵及数据泄露、网站被篡改或植入、域名非法劫持等带来的业务安全风险问题。其防护原理是通过将原本直接访问 Web 业务站点的流量先引流到腾讯云 Web 应用防火墙防护集群，经过云端威胁清洗过滤后再将安全流量回源到业务站点，从而确保到达用户业务站点的流量安全可信。

如下公有云场景下，Web 应用防火墙的防御过程。

三、访问安全策略

访问安全

云堡垒机：(主要对访问服务器的行为进行审计)

-主要为企业提供运维人员操作审计，对异常行为进行告警，防止内部数据泄密，等保合规利器。

VPN / 专线：

-帮助构建到云VPC 一条安全、可靠的加密通道

子账户

-根据角色和权限进行子账户的创建

MFA （多因子身份验证）

-通过多种身份认证手段组合，确保用户身份的可信。

四、主动安全防护策略

DDos 防护：https://cloud.tencent.com/product/ddos

网络乳清保护系统：https://cloud.tencent.com/product/nips

移动应用安全：https://cloud.tencent.com/product/ms

小程序安全：https://cloud.tencent.com/product/mmps

手游安全：https://cloud.tencent.com/product/ace/developer

云主机安全也是主动安全防护中必不可少的安全产品；

主机安全

五、业务安全策略

腾讯安全.天御专注解决“欺诈预防”和“风险识别” 的问题。

天御以人工智能为核心，以腾讯海量互联网数据为基础，结合腾讯20年黑产攻防的经验，打造AI时代的智能风控服务。帮助业务方在流量验真、身份安全、金融风控、业务安全等领域预防欺诈识别风险、为客户业务保驾护航。

业务安全

以上是个人总结，欢迎大家一起探讨​交流；