云上安全體系建立必要性

在當今數字化浪潮下，云服務已成為企業運營與發展的關鍵基礎設施，云上安全體系的構建也顯得尤為重要。一方面，企業將業務遷移至云端后，面臨著復雜多變的網絡安全威脅，包括數據泄露、黑客攻擊、惡意軟件等，這些威脅可能給企業帶來巨大的經濟損失和聲譽損害。另一方面，云計算環境的復雜性使得安全防護難度大幅增加，涉及物理基礎設施、虛擬化層、網絡、數據等多個層面，任何一個環節出現漏洞都可能導致嚴重的安全事件。

天翼云作為云服務提供商，致力于為用戶提供更安全、可靠的云平臺環境，保障客戶應用和服務的高性能、穩定、安全與合規，避免宕機風險，這涵蓋了從物理基礎設施、虛擬化系統到云服務平臺等方面進行深度安全保障、同時，天翼云還通過提供多樣化的安全工具和產品功能，如防火墻、DDos防護、安全衛士等，輔助客戶進行云上資源的安全防護，降低客戶的云上安全配置復雜度，助力客戶在數字化轉型過程中實現業務的安全、穩定運行，為企業的云端之旅保駕護航。

云主機安全體系模型：責任共擔

安全并非某一方的單方面義務，需要云廠商與用戶的協同合作共建。云廠商主要保證“云本身”可靠（云平臺安全，即云主機服務所依賴的底層平臺），用戶需進行云上資源的防護。雙方聯動形成互補防線，共擔風險。天翼云負責保障云平臺基礎設施、底層架構及云資源自身的安全，包括物理服務器、網絡設備、存儲設備、虛擬化層等的防護；用戶則需對自身在云平臺上部署的應用、數據、操作系統、網絡配置等云上內容的安全負責。雙方協同合作，共同構建云主機的全方位安全防線。

云主機底層平臺的安全由云廠商保證

天翼云云主機負責以下方面的安全性：

• 數據中心安全：包括機房容災、人員管理、運維審計等。

• 物理基礎設施安全：涉及計算服務器、網絡設備、存儲設備的安全，以及數據銷毀、網絡隔離、資產管理等。

• 虛擬化系統安全：包括租戶隔離、安全加固、逃逸檢測修復、補丁熱修復、云盤三副本、數據擦除等。

• 云服務平臺安全：包括但不限于云平臺主子賬號管理、多因素認證機制、云資源加固能力等。

云上資源的防護由客戶保證

客戶需要對以下方面負責：

• 操作系統安全：提升訪問安全、使用安全加固操作系統、提升操作系統安全性。

• 網絡安全：網絡隔離、控制網絡流量、網絡流量監控、網關訪問安全。

• 數據安全：加密存儲、可信計算、備份與恢復等。

• 應用安全：漏洞防護、應用網絡安全、應用流量安全等。

• 身份與訪問控制：細粒度資源管控、多因素賬號認證、訪問控制安全性等。

• 監控與日志：健康狀態監控、基礎云監控、云審計、操作日志等。

安全體系落地實踐

以云主機搭建場景WordPress為例，結合天翼云安全責任共擔模型，通過以下安全防護措施，確保客戶的網站免受常見網絡威脅的影響：

購買云主機前

制定全局安全戰略，將安全性融入DevOps中，自動化防御體系，深入理解云環境安全合規標準，識別、分類資產并管控訪問。

創建云主機時

• 使用 VPC ：創建虛擬私有網絡，實現網絡隔離，保護內部網絡。

• 開啟安全防護 ：開啟主機安全防護功能，如云主機安全衛士，提升主機安全性。

• 使用加密磁盤 ：選擇加密磁盤，保護存儲數據的安全。

• 配置安全組 ：合理配置安全組規則，限制端口訪問，避免非法訪問。

• 創建快照策略 ：創建云盤快照策略，定期備份數據，確保數據可用性。

• 設置 IAM 授權 ：創建 IAM 用戶并分配合適權限，避免權限濫用。

云主機創建完成后

• SSH 加固 ：更改 SSH 默認端口，禁用 root 用戶登錄，提升登錄安全性。

• 配置 MySQL 安全 ：更改 MySQL 默認密碼，限制數據庫訪問權限，保護數據庫安全。

• 部署 WordPress ：從官方網站下載并安裝 WordPress，啟用安全插件，如 Wordfence 等，增強應用安全。

• 配置安全衛士 ：安裝并配置服務器安全衛士，提供實時安全防護，提升系統安全性。

• 具體操作請參考：基于彈性云主機部署 WordPress 的安全防護