「干货」上云安全策略建议(一)（上云服务是什么意思）

经常会收到一些客户的反馈，上云后依然会被安全问题困扰，的确，从公有云安全责任划分看，就算企业上云，安全运维依然不可少。

如下总结部分基本的安全加固建议和方案；

一、风险问题

运维安全漏洞：

1：弱口令密码；弱密码容易受到黑客账户暴力破解攻击，甚至没有安全意识的运维人员将多台主机使用同一个账户密码，当账户被破后，陷入集体攻陷，最常见安全问题，危害巨大。

2：系统漏洞；运维人员对于系统漏洞关注度低，一般是大面积事故问题互联网曝光后，才进行警觉和修复，这样应对延迟导致大面积的中招。

3：常用端口开放风险；因为是通用端口，黑客可以更精准的通过常用协议端口进行各种方式的网络攻击，更加暴力和直接。

人为安全漏洞：

1： 运维人员安全意识弱问题；这部分人为的操作将会成为最大的安全漏洞，

2： 管理权限账户公用问题；多人同时使用一个最高管理员权限账户，出现人为安全事故的几率很高，故障追溯的时候无法确认具体执行人。

二、安全加固方案建议

对于以上常见安全风险，我们需要做一些基础的安全加固，建议方案如下；

1：弱口令密码解决方案；

强密码正则式要求：大写字母，小写字母，数字、符号，不少于8位 ，三个月内至少换一次密码。 运维达人经常通过强度密码生成器生成随机密码，和密码管理软件进行管理维护，常用推荐的密码管理软件如下：

• KeePass：免费 开源 兼容性强
• LastPass：最大的优势是跨浏览器平台
• 1Password：跨平台管理 用户认可度高
• Enpass：支持平台多 20条密码免费

而对于Linux 系统，首先建议用密钥登录代替账户密码，使用密钥登录Linux 操作参见：

https://cloud.tencent.com/document/product/213/35700#LoginWithKey

其次可以修改SSH端口号，默认SSH端口22 ，通过修改sshd_config文件，自定义新端口，具体操作可自行检索。

对于Windows 系统，也可以修改默认3389 远程登录端口，分别修改注册表键值：

注册表：[HKEY_LOCAL_MACHINE\SYSTEM\CurrentContro1Set\Control\Tenninal Server\WinStations\RDP-Tcp]

注册表：[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp]

2：系统漏洞安全运维；

在腾讯云我们可以白嫖下免费版本“主机安全（云镜）”， 如下是主机安全的主要功能；

当然基础版（免费）和专业版（3元/台/天）的功能版本比较介绍参见如下；

https://cloud.tencent.com/document/product/296/2222

其中基础版本中的漏洞管理还是可以帮我们扫描出漏洞风险情况的，运维人员只需要定期的check 漏洞概览表即可，对于资源数比较少的，可以借助免费额度进行深度检测。

3：常用端口开放实践；

在云网络安全，关于端口开放是基于“安全组”的配置规划，安全组是一种虚拟防火墙，具备有状态的数据包过滤功能，用于设置云服务器、负载均衡、云数据库等实例的网络访问控制，控制实例级别的出入流量，是重要的网络安全隔离手段

关于常用端口介绍可参见：
https://cloud.tencent.com/document/product/213/12451

对于端口建议修改远程服务器的默认端口号，windows 远程端口修改3389 ，Linux 远程端口修改 22 （同时禁止默认操作管理员账户登录，删除不需要的用户账户并禁止登录），通过安全组只放行业务协议端口，不建议放行所有协议所有端口，如果你的远程环境固定，可以指定IP地址访问云主机。不建议对公网开放核心应用服务器端口，例如Mysql ，Redis 等。

4. 人为安全管理；

要减少人为安全问题以及实现追责，我们需要对账户进行分角色，分权限。腾讯云访问管理（Cloud Access Management，CAM）了解下， 这是腾讯云提供的一套 Web 服务（免费），用于帮助客户安全地管理腾讯云账户的访问权限，资源管理和使用权限。通过 CAM，您可以创建、管理和销毁用户（组），并通过身份管理和策略管理控制哪些人可以使用哪些腾讯云资源。

我们准守基本知道原则即可：

• 开启MFA（多因子身份验证），增强账户安全性，对于邮箱和微信登录的账户需要进行MFA二次验证。
• 使用子账户访问腾讯云；主账户权限大，对于资源直接使用者应该创建子账户，同时授权该子账户相应的管理权限。
• 最小权限原则；对于子账户权限，仅授予执行任务权限所需的最小权限，不需要授权更多无关权限。

在实现分账户下，如发生安全运维问题，我们还可以通过审计日志查询到执行账号，同时锁定相关人员。

如上是腾讯云基础安全加固的建议，希望对大家有用。