大咖介紹

王鹿苑

王鹿苑，品高云教育行業(yè)產(chǎn)品經(jīng)理，亞信安全認(rèn)證云安全專家，服務(wù)于高校信息化建設(shè)超過 7 年，具備大型高校數(shù)據(jù)中心網(wǎng)絡(luò)與云平臺建設(shè)規(guī)劃經(jīng)驗，目前負(fù)責(zé)品高云教育行業(yè)解決方案開發(fā)工作。

在我這么多年服務(wù)于高校網(wǎng)絡(luò)中心的工作經(jīng)驗中，經(jīng)歷過幾次學(xué)校的安全事件，也了解一些學(xué)校的安全運維工作的情況。其中有一些學(xué)校的信息安全工作做的非常好，也有一些學(xué)校對信息安全不是特別重視。

我認(rèn)為在當(dāng)前的信息化發(fā)展趨勢下，做好信息安全工作應(yīng)該比出門時照看好你的手機錢包更重要，甚至更應(yīng)該說是一種責(zé)任的體現(xiàn)。

在金融、政府行業(yè)通常對信息安全的要求很高，難道在教育行業(yè)就可以掉以輕心么？隨著云計算技術(shù)越來越多的被應(yīng)用到各大高校用戶，品高云希望能夠通過高校上云這個轉(zhuǎn)折點，幫助學(xué)校加強信息安全建設(shè)。

下面我來向大家介紹一下，品高云在安全方面的設(shè)計及其在高校中的應(yīng)用場景。

云網(wǎng)絡(luò)安全

IT 架構(gòu)的安全從來都離不開網(wǎng)絡(luò)安全，我們先來看看品高云上跟網(wǎng)絡(luò)安全相關(guān)的功能。

01

云網(wǎng)絡(luò)VPC

首先，品高云網(wǎng)絡(luò)是采用自主研發(fā)的 SDN 技術(shù)，今天我們不談底層的 SDN 技術(shù)實現(xiàn)，主要是介紹 SDN 上的云網(wǎng)絡(luò)應(yīng)用。

VPC（虛擬私有云），是一個與傳統(tǒng)網(wǎng)絡(luò)極其相似的虛擬網(wǎng)絡(luò)，提供了一種在品高云中將某個用戶的虛擬機實例的路由、IP 分配等信息可以自主化配置的方法，VPC 允許網(wǎng)管人員在云中創(chuàng)建一個與其現(xiàn)有網(wǎng)絡(luò)更加一致的虛擬網(wǎng)絡(luò)環(huán)境，并且支持通過 VPN 的方式撥號到 VPC 網(wǎng)絡(luò)中，像使用本地網(wǎng)絡(luò)一樣使用云中的資源。

以上是在《品高云技術(shù)白皮書》中針對 VPC 的介紹，VPC 可以幫助用戶完成云平臺上的網(wǎng)絡(luò)配置，可以創(chuàng)建與物理網(wǎng)絡(luò)互通的外部 VPC，亦可以創(chuàng)建與物理網(wǎng)絡(luò)隔離的私有 VPC，這樣用戶可以將一些安全級別較高的虛擬機放置在私有 VPC 中，云平臺可提供“彈性 IP 地址”（屬于外部 VPC 的 IP 地址）與私有 VPC 中的虛擬實例進行綁定，以實現(xiàn)私有 VPC 中的虛擬實例的外部訪問，這樣就可以實現(xiàn)同一個 VPC 中，只開通部分虛擬實例的外部訪問，以保障其他高安全級別虛擬實例的隱蔽性。

舉個例子：學(xué)校的 OA 系統(tǒng)需要對外開放訪問，這是管理員可將 OA 系統(tǒng)的 Web 服務(wù)器、數(shù)據(jù)庫服務(wù)器放置在私有 VPC 中，為 Web 服務(wù)器綁定一個彈性 IP 地址，這樣僅有 Web 服務(wù)器可以對外訪問，保證了數(shù)據(jù)庫服務(wù)器的安全性。

品高云中的 VPC 配置界面

02

安全組

上面說到通過云網(wǎng)絡(luò)的規(guī)劃來實現(xiàn)虛擬網(wǎng)絡(luò)的隔離，從而提升虛擬實例的安全性，下面這個安全組功能，幫助用戶保護每一臺虛擬實例的安全。

在傳統(tǒng)模式下，用戶需要為每一臺服務(wù)器配置相應(yīng)的防火墻策略，有可能是操作系統(tǒng)內(nèi)部的防火墻，也有可能是外部的防火墻設(shè)備，在云平臺中，虛擬實例是運行在云網(wǎng)絡(luò)中的，外部防火墻難以保護到云網(wǎng)絡(luò)中的東西向流量，一臺一臺配置虛擬實例操作系統(tǒng)的防火墻比較繁瑣、且難以維護。云平臺提供的安全組功能就可以很好的實現(xiàn)東西向流量的防護，安全組可實現(xiàn)“源／目的 IP、源／目的端口／協(xié)議”的安全策略配置，策略以虛擬機為單位進行配置，實現(xiàn)精細(xì)化的防護。

安全組的特點：

1. 通過云平臺統(tǒng)一界面配置和管理；

2. 策略可隨虛擬機遷移；

3. 由每個租戶管理自己的安全組策略；

品高云中的安全組配置界面

這里講一個我經(jīng)歷過的故事，曾經(jīng)我的一個學(xué)校客戶，數(shù)據(jù)中心內(nèi)部的一臺 Windows 服務(wù)器被學(xué)生破解了遠程登錄，通過這臺服務(wù)器做跳板，又進一步操作了一臺關(guān)鍵的數(shù)據(jù)庫服務(wù)器，造成的影響不小。網(wǎng)絡(luò)中心管理人員為了避免后續(xù)再出現(xiàn)這種情況，就在數(shù)據(jù)中心的交換機每個端口上都配置了訪問控制策略，這樣雖然做到了安全防護，但是維護這些交換機的安全策略工作量很大，萬一服務(wù)器的接入端口發(fā)生變化、新增服務(wù)器，都要產(chǎn)生很繁瑣的配置工作。

那么上述這種情況，就可以很簡單的通過云平臺中的安全組功能來實現(xiàn)了。

03

虛擬WAF（云甲服務(wù)）

在品高云 7.0 版本中，提供了虛擬 WAF 高級服務(wù)，用戶可以將它部署在 Web 服務(wù)器之前的虛擬負(fù)載均衡（ELB）上，讓用戶可以部署并維護 Web 安全規(guī)則，以保護 Web 應(yīng)用程序免受常見 Web 漏洞的攻擊。

虛擬 WAF 讓您可以自行定義 Web 安全規(guī)則，在允許部分流量訪問 Web 應(yīng)用程序的同時阻止其他流量。還可以使用虛擬 WAF 中內(nèi)置的安全規(guī)則來阻擋諸如 SQL 注入或跨站腳本等常見攻擊模式。

　　品高云中的虛擬 WAF 功能

云平臺安全

上面介紹了云平臺中于網(wǎng)絡(luò)安全相關(guān)的功能，下面介紹一下云平臺自身的一些安全屬性。

01

虛擬實例安全登錄

虛擬機實例作為云平臺中最最常用的服務(wù)，實例中可能運行著用戶的關(guān)鍵業(yè)務(wù)系統(tǒng)、存儲著用戶的關(guān)鍵數(shù)據(jù)。當(dāng)用戶關(guān)心網(wǎng)絡(luò)安全及其他外部安全時，往往會忽略了虛擬機操作系統(tǒng)的登錄口令安全，有些登錄口令可能是弱密碼，或者重復(fù)的使用同一個密碼等等。這樣，如果網(wǎng)絡(luò)安全防線被攻破后，黑客即可輕松的入侵操作系統(tǒng)，所以登錄口令安全同樣不容忽視。

品高云平臺的虛擬實例提供兩種口令驗證模式，包含密碼驗證和密鑰驗證，并且由云平臺來管理虛擬實例的登錄密碼和密鑰，所有的密碼和密鑰由云平臺自動生成，保證了密碼的復(fù)雜度和安全性。

由品高云自動生成的操作系統(tǒng)登錄密碼

這樣，用戶無需使用專門的工具或文檔來管理服務(wù)器的登錄口令，需要時通過云平臺來查看即可，既實現(xiàn)了安全登錄，又方便管理。

用戶的登錄密鑰管理界面

使用密鑰登錄虛擬機比密碼更加安全，在品高云中密鑰僅在生成時提供用戶下載，為了提升密鑰的安全性，云平臺不提供密鑰的存儲。

02

云平臺操作記錄審計

品高云對于每個管理員在云平臺中的操作記錄，都有進行審計并且會保存日志，除了詳細(xì)的操作內(nèi)容記錄之外，還可記錄操作時用戶所使用的 IP 地址，配合校園網(wǎng)的用戶實名認(rèn)證，可以輕松追蹤到對云平臺進行非法操作的人員。

品高云中的管理員操作日志審計

03

S3對象存儲加密

品高云中還提供了面向開發(fā)者的對象存儲系統(tǒng)（S3），在 S3 中的數(shù)據(jù)可實現(xiàn)加密存儲，這樣無論是云平臺管理員，還是入侵系統(tǒng)的黑客，都無法查看到 S3 中存儲的用戶數(shù)據(jù)，可保護應(yīng)用程序中的敏感數(shù)據(jù)不被泄露。

對于高校來說，可將學(xué)籍系統(tǒng)、學(xué)生檔案系統(tǒng)等應(yīng)用的數(shù)據(jù)與 S3 的 API 進行對接，實現(xiàn)教工學(xué)生個人信息的安全存儲。

品高云對象存儲服務(wù)管理界面

第三方安全廠商聯(lián)動

當(dāng)今網(wǎng)絡(luò)上的攻擊行為，多種多樣，單純通過網(wǎng)絡(luò)防火墻很難實現(xiàn)全方位的安全防護，品高云是一個開放中立的云平臺，我們通過與專業(yè)的云安全產(chǎn)品對接聯(lián)動，為云平臺上的業(yè)務(wù)系統(tǒng)提供多方位的安全防護。

目前通過與眾多安全產(chǎn)品合作，可以在品高云中實現(xiàn)高級網(wǎng)絡(luò)防火墻、虛擬機病毒防護與查殺、入侵防御與檢測、虛擬漏洞補丁、數(shù)據(jù)庫安全審計等安全功能。

01

提供的無代理安全防護功能介紹

云平臺中的高級安全功能為了適應(yīng)虛擬化、多租戶的環(huán)境，均通過無代理的方式實現(xiàn)安全防護，即用戶無需在虛擬機操作系統(tǒng)中額外安裝客戶端，云安全平臺通過虛擬化底層 API 實現(xiàn)對虛擬機的防火墻、防病毒等安全功能。

通過無代理的方式，可簡化管理成本、降低資源損耗、并且安全規(guī)則可以隨著用戶、虛擬機的遷移而自動遷移。讓云安全也變成一種云資源，用戶可以隨時按需申請使用，更加符合云計算的服務(wù)理念。

云平臺無代理安全防護原理示意圖

02

合作安全廠家名錄

目前與品高云成功對接，并完成測試報告與認(rèn)證報告的安全廠家如下（排名不分先后）

● 山石網(wǎng)科（云 格）

● 亞信安全（DeepSecurity）

● 360 安全（虛擬化安全管理系統(tǒng)）

● 啟明星辰（天闐入侵檢測系統(tǒng)）

● 昂楷科技（云數(shù)據(jù)庫審計系統(tǒng)）

有意愿部署品高云或了解更多產(chǎn)品信息，可以聯(lián)系溫柔可人的品高云官方客服小表妹，我們將為您提供貼心到位的顧問式服務(wù)。