云安全是一種伙伴關(guān)系。作為一家安全的云服務(wù)器公司，我們提供安全的云托管，負責(zé)物理安全和支持您的虛擬機的平臺的安全。如果您使用我們的管理服務(wù)，我們還會進行安全加固和審計。但是云用戶還應(yīng)該了解如何保護云服務(wù)器，以最大程度地減少安全漏洞和數(shù)據(jù)被盜的可能性。在本文中，我們將介紹您可以采取的 9 個步驟來提高當(dāng)今的云服務(wù)器安全性。

步驟 1：完成云服務(wù)器安全評估

知識就是力量，除非您知道風(fēng)險是什么，否則不可能保護服務(wù)器。評估應(yīng)回答的問題包括：

服務(wù)器運行的是什么軟件？

云平臺的安全性如何？

• 安裝了哪些軟件版本，它們是否有任何已知的漏洞？
• 使用了哪些登錄和管理方法以及它們是否安全：SSH、Web 控制面板和 RDP 都有潛在的弱點
• 哪些數(shù)據(jù)存儲在服務(wù)器上，是否駐留在安全的云存儲中？應(yīng)特別注意敏感的個人或商業(yè)數(shù)據(jù)。
• 如果云服務(wù)器被入侵，你怎么知道？自動惡意軟件和漏洞掃描可以提供幫助。
• 目標是加深對潛在安全問題的理解，以便解決和緩解這些問題。

第 2 步：實施無密碼登錄

即使是最有技術(shù)能力的人也會在涉及密碼時犯錯誤。他們選擇容易猜到的密碼，并且經(jīng)常在網(wǎng)站和服務(wù)器上重復(fù)使用密碼。基于密鑰的登錄更安全，并且不易受到暴力破解和字典攻擊。

在 Linux 云服務(wù)器上，將 SSH 配置為使用基于密鑰的登錄非常簡單。使用 ssh-keygen 命令在服務(wù)器上生成密鑰對，并使用 ssh-copy-id 將公鑰復(fù)制到本地計算機。一旦密鑰到位，通過將以下行添加到 SSH 配置文件來禁用密碼登錄（此文件的位置取決于您的發(fā)行版）：

密碼驗證無

另一個步驟是通過編輯相同的文件來禁用 root 帳戶的遠程登錄：

PermitRootLogin 否

在禁用 root 登錄之前，請確保您有一個替代的非 root 登錄帳戶，否則您將被鎖定在您的服務(wù)器之外。

從 Microsoft 的遠程桌面刪除密碼登錄不太簡單。但是，可以在 Windows 云服務(wù)器上安裝 SSH 服務(wù)器并使用SSH 密鑰對進行身份驗證。您可能還需要考慮使用雙重身份驗證。

第 3 步：關(guān)閉非必要服務(wù)

在云服務(wù)器上運行的每項服務(wù)都是一個潛在的安全漏洞。不良行為者會尋找具有零日漏洞或過時軟件的服務(wù)來加以利用，因此關(guān)閉未使用的服務(wù)會更安全。為什么要運行您不使用的 DNS 服務(wù)或郵件傳輸代理。在具有 Systemd 服務(wù)管理器的現(xiàn)代 Linux 發(fā)行版上，使用“systemctl list-unit-files --type=service”命令來確定哪些服務(wù)正在運行。使用“systemctl stop $nameofservice”停止服務(wù)。在禁用服務(wù)之前，請研究它的作用，以確保您不會禁用重要的東西。

第 4 步：加密靜態(tài)數(shù)據(jù)

我們專注于云服務(wù)安全功能和技術(shù)，以阻止不良行為者破壞服務(wù)器，但如果他們設(shè)法突破其防御系統(tǒng)怎么辦？最好的云安全具有多層保護，在安全的云存儲中加密敏感數(shù)據(jù)可確保其安全，即使服務(wù)器遭到破壞。

在云存儲解決方案中加密數(shù)據(jù)有兩種基本方法。

• 在上傳之前加密敏感數(shù)據(jù)。
• 在服務(wù)器上加密它。

最廣泛使用的數(shù)據(jù)庫能夠以高標準加密數(shù)據(jù)。例如，MySQL在其他加密技術(shù)中提供字段級AES–256 加密，而 PostgreSQL 提供大量數(shù)據(jù)加密選項。

第 5 步：加密動態(tài)數(shù)據(jù)

如果您通過網(wǎng)絡(luò)發(fā)送未加密的數(shù)據(jù)，那么在安全的云存儲平臺上加密靜態(tài)數(shù)據(jù)幾乎沒有什么好處。理想情況下，云用戶應(yīng)該使用端到端加密，所有進出云服務(wù)器的數(shù)據(jù)都應(yīng)該通過加密的 SSL 連接傳輸。SSL（更恰當(dāng)?shù)胤Q為 TLS）使用 SSL 證書和公鑰加密在網(wǎng)絡(luò)上的點之間創(chuàng)建安全連接。您可以從證書頒發(fā)機構(gòu)購買 SSL 證書，或從Let's Encrypt免費獲得。

第 6 步：實施備份解決方案

我們通常不會在安全方面考慮備份，但可靠、自動化的異地云備份是抵御數(shù)據(jù)盜竊、惡意軟件，尤其是勒索軟件攻擊的最后一道防線。如果您可以簡單地擦除受損數(shù)據(jù)并從備份中恢復(fù)，攻擊者就無法勒索您的數(shù)據(jù)。云備份服務(wù)是一種安全且易于使用的解決方案，可以備份您的整個服務(wù)器或特定的存儲設(shè)備，并將您的數(shù)據(jù)存儲在云中。所有備份數(shù)據(jù)在靜態(tài)和傳輸中都經(jīng)過加密，我們提供 15 秒或更短的創(chuàng)紀錄恢復(fù)時間。

第 7 步：定期軟件更新

帶有漏洞的過時軟件是導(dǎo)致安全漏洞的最常見原因。更新可能會帶來不便甚至是破壞性的，但它們比被黑的服務(wù)器要麻煩得多。至少，云用戶應(yīng)該監(jiān)控他們的發(fā)行版的安全建議——例如紅帽的——并在修復(fù)可用時立即更新。

第 8 步：有效的數(shù)據(jù)刪除策略

數(shù)據(jù)既是負債也是資產(chǎn)，尤其是考慮到近年來出臺的強化數(shù)據(jù)隱私法規(guī)，例如歐盟的 GDPR和加利福尼亞的 CCPA。即使是最安全的云存儲也可能存在漏洞。如果存儲在云中的數(shù)據(jù)對您的業(yè)務(wù)沒有用處，則應(yīng)將其刪除。而且，如果您收到 GDPR 數(shù)據(jù)刪除請求或類似請求，您應(yīng)該能夠快速有效地刪除信息。在云服務(wù)器安全評估部分，我們討論了了解哪些數(shù)據(jù)存儲在您的服務(wù)器上的重要性。這部分是為了確保它得到充分保護，但也是為了讓您可以在適當(dāng)?shù)臅r候?qū)⑵鋭h除。

第 9 步：保護您的云控制面板

最后，不要忘記您的云控制面板帳戶。確保您使用唯一且難以猜測的密碼，因為如果攻擊者獲得訪問權(quán)限，他們可以繞過您的所有安全措施。如果您需要云服務(wù)器安全方面的專家?guī)椭埧紤]使用我們的授權(quán)管理包，其中包括無限制的支持請求、每兩周一次的安全掃描和主動安全補丁。