业务安全

单纯业务监控还不够，还要保证业务系统的安全，避免出现安全事故。安全无小事，只要出现问题，很多时候都会变成大的问题。安全体系建设也是业务系统搭建和维护里重要的一环。我在这里主要是讨论如何用云产品来构建加固自己业务的安全防线，仅供参考。

资源访问安全

我们虽然业务已经容器化，但是免不了还是需要登录到服务器上去做一些操作。这时候就需要在开发或者运维人员的电脑对服务器远程登录. 以前我们的做法是服务器打开 SSH 的 22 端口，开放公网访问，然后直接连接就行访问。 虽然这样访问很方便，但随之带来的问题是我们的服务器经常被恶意进行端口扫描和攻击。

后来我们做了两个事情：

1. 建立安全组，所有的端口均不对公网访问，让公网无法扫描到我们的业务服务器，针对个别端口，比如 22 端口设置访问白名单

2. 登录业务服务器，必须先登录云堡垒机。 云堡垒机是阿里云的一个产品（详细介绍见什么是堡垒机^[1]），它能帮助我们更安全的访问业务服务器。首先登录堡垒机会进行双因素认证， 其次堡垒机可以严格的分配账号权限， 最后堡垒机有操作审计功能，可以进行事后追踪。

通过这两个措施，原来的端口扫描攻击的问题也解决了，而且登录服务器也没有因此变得特别复杂。

通信链路安全

无论是接口还是网页，我们都用了 HTTPS 的访问方式。 HTTP 的方式的问题是容易被中间人攻击，就是如果在不安全的网络环境里，攻击者可以清楚的截获和篡改客户端和服务端的通信数据。

举个例子，如果你的网站是http://www.abc.com， 用户连接了一个黑客部署的一个 wifi 热点，此时用户正在访问自己的会员页面和个人信息页面，此时黑客通过抓包在后台清楚的看到用户的个人信息和账户信息。 但是一般情况下， 用户是没有任何感知的。

为了网站的安全，一定要开启 https.

云平台的 API 网关，CDN，OSS 产品都是可以开启 https 功能的。

在开启 https 之前，你需要一个 ssl 证书，这个证书你可以免费申请，也可以付费购买，而且价格差异比较大。 以下是我从云厂商页面截的一个购买页面：

SSL 证书的购买需要结合业务的情况购买，以下建议仅供参考：

• 有预算的买贵的通配符证书，多个域名可以共用

• 没预算的买便宜的，多个域名可以共用

• 不想花钱的用免费申请单域名证书，多用几个阿里云账号申请，每个账号好像可以申请 5 个免费证书

• 不想花钱还有另外一种方式就是到 https://letsencrypt.org/网站申请，然后托管到阿里云上（这个方法我没有尝试，网络上有很多教程）

病毒和攻击防护

网站的威胁和攻击目前已经多样化了，除了常规的钓鱼和端口扫描，还会有漏洞攻击，病毒攻击等等。 初创企业往往没有自己的安全团队，这时候怎么办呢？后面通过一番考虑，我们决定还是"破财消灾"，购买阿里云的云安全中心产品。

这个云安全中心有哪些功能呢？ 我直接摘录下官方的文档：

云安全中心是一个实时识别、分析、预警安全威胁的统一安全管理系统，通过防勒索、防病毒、防篡改、镜像安全扫描、合规检查等安全能力，帮助您实现威胁检测、响应、溯源的自动化安全运营闭环，保护云上资产和本地服务器并满足监管合规要求。 更多介绍请参考云安全中心文档^[2]

开启了云安全中心后，可以看到目前的业务系统和服务器被攻击的情况，有哪些漏洞需要修复，有哪些云产品配置的有问题，都一目了然。大部分的问题，安全中心都自动做了防护，但是还有一部分需要手动去处理，比如漏洞的修复，云产品配置的修改等等，不过这些在安全中心都会有操作建议，我个人觉得使用门槛是比较低的，使用体验比较 OK。

其它防护

其它的安全措施还有抵御 DDoS 的防护(参考 DDoS 高防^[3])，恶意业务流量的过滤清洗(参考 Web 应用防火墙^[4])等等，阿里云上也有对应的产品，这里不做赘述。

总而言之，安全体系建设是一个长期的工作，而且是一个专业度和复杂度很高的工作，我相信仅仅只是用几个云产品是不够完善，真正要做好，还有很多事情要做， 比如招聘专业的信息安全人员，对员工做安全意识培训，找外部公司做安全评估等等，当然这个不是本文的重点，不做赘述。

参考资料

[1]

什么是堡垒机: https://help.aliyun.com/document_detail/52922.html

[2]

什么是云安全中心: https://help.aliyun.com/knowledge_detail/42302.html

[3]

DDoS 防护产品介绍: https://help.aliyun.com/document_detail/123164.html

[4]

什么是 Web 应用防火墙: https://help.aliyun.com/document_detail/28517.html