楼主从一个故事讲起,让我想起之前超级计算机被入侵的事情。
首先网络安全一直不是一件简单事情,而且大家对黑客入侵一直抱有神秘未知的认知。我们可以把复杂的事情进行拆解分析,首先入侵面我们可以分为OSI七层,自下而上分别是:物理层、数据链路层、网络层、传输层、会话层、表示层和应用层。
物理层:是一些基础硬件设施实现的数据传输环境。大家采购网络设备和服务器的时候已经自带一般不会修改,漏洞也比较少
数据链路层: 大家熟知的mac地址就工作在这一层。因为一些标准化的协议导致大家在这一层需要做的事情也较少
网络层: ip地址工作的区域,大家往往通过交换机,路由器,防火墙进行设置白名单,划分vlan达到安全传输。因为ip地址传输并不会对源主机校验,所以无法完全依赖ip白名单,建议使用加密技术vpn等方法来避免此问题。
传输层: 则是大家熟知的TCP,UDP,黑客往往通过扫描常见端口来攻击一些常见服务,通过限制和关闭对外端口,减少受攻击的面。
会话层、表示层和应用层:这三个层有时候大家会归结到应用这一层, 主要基于大家使用不同的系统和应用程序展现不同形式。这三个层面不仅对大家最为开放,标准和规则多变,而且出现问题的概率也最大。只能尽量要求我们的代码逻辑严谨,少出一些bug。
通过上面对OSI七层简单描述大家会发现,主要安全措施我们还是在网络层、传输层、会话层、表示层和应用层,黑客攻击也主要发生在这5层。
---------------------------------------------------------------------------------------
现在谈谈公有云和自建机房在安全方面的区别:
在网络层和传输层:自建机房至少需要一个网络工程师熟知交换机,路由器,防火墙配置使用和网络进行合理规划,网络设备安全常识,即使这样你还有可能碰到一些意向不到的状况,例如:持续遭遇到大量ddos攻击,这时候如果攻击带宽超过
机房的带宽那么无论如果你的站点已经无法被用户访问到了。而公有云只需要你知道基本网络知识,给你的主机设置安全组,配置端口安全扫描,一旦出现问题也能及时发现,即使遇到ddos攻击公有云的安全产品
也能帮你解决。
会话层、表示层和应用层: 这三层一直是漏洞高发区,因为一些中小公司很喜欢用一些开源项目或工具,而且代码的质量也参差不齐,公司又没有相应安全人员储备导致这里更容易被入侵。自建机房你只能招
聘相应安全人员进行代码审核,这是很多公司不想做的。公有云因为运营商的体量较大有相对成熟的安全产品,可以帮助大家使用较低的成本更好的完成这份工作。
终于到关键点了,即使上了云,也不能保证你的绝对安全。好比一个小孩拿把宝剑却不知如何挥舞。只有增强网络安全意识,学习安全知识,掌握各种安全手段才能让我们的网站更安全。
因为上面是我之前回帖的一些内容所以有点琐碎
本文出自 “我的运维历程” 博客,请务必保留此出处http://nginxs.blog.51cto.com/4676810/1928812
原文地址:http://nginxs.blog.51cto.com/4676810/1928812
