零售行业公有云信息安全探讨

作者：肖力 2023-05-11 08:00:30

云计算

云原生对应中型零售企业来说，主机规模在20-100台之间，需要考虑WAF、云防火墙、云安全中心等云产品，这些其实也是等保三级要求的产品，可以对安全起到比较好的防护。

最近小半年接连处理了几起零售行业公有云安全事件，都是因为某种原因造成的数据泄露。有防护措施不当的，也有因为应用漏洞泄露被黑的，也有内部人员不慎造成的。

事后总结发现主要原因有三个：安全意识不足、没有按照公有云安全架构最佳实践配置、云安全投入不足。

政府和金融行业是强监管的，安全不达标应用系统不能上线，因此这些行业从领导到技术人员，信息安全意识都很强。

零售行业往往是业务导向，经常是出了安全事件造成损失，才意识到安全的重要性，然后开始亡羊补牢。

接触到一些零售企业，公有云环境基本的安全配置很不规范。VPC就划分了一个，云的超级账号口令技术人员全员共享，也没有开启二次认证，安全组全部放开。

其实如果能够按照公有云安全架构最佳实践配置，在不怎么花钱的情况下，也可以取得基本的防护效果。

许多零售行业的领导不愿意在安全上面花钱，在这方面存在误区。有些领导认为安全投入性价比不高看不见摸不着，钱要花到刀刃上干脆先不投入了，往往是出了事情再手忙脚乱的花钱补课。也有些领导认为安全是一个无底洞花多少费用都没有用，做了和没做一个样。

在安全投入方面有两个事实，第一是安全投入遵循木桶原理，如果钱能花到刀刃上，通过拟补薄弱的环节，可以极大的减少风险。第二是安全投入遵循二八原则，在一定范围内，可以做到投入性价比很高。

针对以上情况，对应的解决方案为专人负责、云安全架构优化、适当的加大投入。

专人负责意味着对安全的重视，对一些中小企业来说，专人负责并不意味着必须是全职负责，可以指定一个人占有一部分工作时间。有人负责才会体系化的考虑安全，落实安全措施持续优化安全。

另外，近年来国家对信息安全越来越重视，零售行业因为往往有大量的用户信息，在监管方面要考虑合规，等级保护需要提上日程，安全建设需要按照等级保护规范建设。

许多人看到云安全产品很多而且费用比较高，往往不知道如何选择安全产品，也不太愿意使用。根据新钛云服实战经验，对于零售行业的企业来说，做好以下基本的安全配置，就可以取得不错的效果。

01账号

02VPC

03缩小公网暴露范围，暴露在公网的地方一定要有防护

对外永远只开放具体的端口，而不是IP
确实需要对外的业务才开放端口，对内的业务比如OA等，尽量通过VPN访问，如果企业人比较多并且分散在各地，通过VPN控制有困难，也需要落实复杂密码定期修改等措施，并有必要的安全防护措施。技术部门使用的系统一定通过VPN访问，不暴露在公网。
对外的公网IP绑定在SLB上，尽量不要绑定在云主机上，SLB之前部署云防火墙、WAF、防DDoS等云安全产品，进行多重防护。
云主机访问通过堡垒机访问，进行细粒度的权限划分。

04预算有限的情况下，开启免费或者少花钱的云安全产品

一般来说，IT预算的5-10%用于信息安全是合适的。

根据新钛云服的经验，对于不同规模的零售企业，可以采用以下的安全投入方案。

对应小型零售企业来说，主机规模小于20台，如果没有监测到恶意攻击，使用WAF等安全产品费用上往往难以承受。建议一方面按照云安全架构优化，一方面考虑购买主机安全产品，构建好安全的最后一道防线。所有的攻击最终都是针对主机，主机安全产品可以实时发现系统和应用漏洞，发现实时的攻击。
对应中型零售企业来说，主机规模在20-100台之间，需要考虑WAF、云防火墙、云安全中心等云产品，这些其实也是等保三级要求的产品，可以对安全起到比较好的防护。
对应更大的零售企业来说，在上面的基础上，可以考虑更复杂的云产品，更好的起到安全加固的作用。

最后，还需要强调的是，安全是需要持续运营的，不是购买产品配置完成就结束了，需要不断的查看报警，修补漏洞，根据业务情况优化配置，才能取得良好的效果。

文章来源网络，作者：运维，如若转载，请注明出处：https://shuyeidc.com/wp/291298.html<