云上安全体系建立必要性

在当今数字化浪潮下，云服务已成为企业运营与发展的关键基础设施，云上安全体系的构建也显得尤为重要。一方面，企业将业务迁移至云端后，面临着复杂多变的网络安全威胁，包括数据泄露、黑客攻击、恶意软件等，这些威胁可能给企业带来巨大的经济损失和声誉损害。另一方面，云计算环境的复杂性使得安全防护难度大幅增加，涉及物理基础设施、虚拟化层、网络、数据等多个层面，任何一个环节出现漏洞都可能导致严重的安全事件。

天翼云作为云服务提供商，致力于为用户提供更安全、可靠的云平台环境，保障客户应用和服务的高性能、稳定、安全与合规，避免宕机风险，这涵盖了从物理基础设施、虚拟化系统到云服务平台等方面进行深度安全保障、同时，天翼云还通过提供多样化的安全工具和产品功能，如防火墙、DDos防护、安全卫士等，辅助客户进行云上资源的安全防护，降低客户的云上安全配置复杂度，助力客户在数字化转型过程中实现业务的安全、稳定运行，为企业的云端之旅保驾护航。

云主机安全体系模型：责任共担

安全并非某一方的单方面义务，需要云厂商与用户的协同合作共建。云厂商主要保证“云本身”可靠（云平台安全，即云主机服务所依赖的底层平台），用户需进行云上资源的防护。双方联动形成互补防线，共担风险。天翼云负责保障云平台基础设施、底层架构及云资源自身的安全，包括物理服务器、网络设备、存储设备、虚拟化层等的防护；用户则需对自身在云平台上部署的应用、数据、操作系统、网络配置等云上内容的安全负责。双方协同合作，共同构建云主机的全方位安全防线。

云主机底层平台的安全由云厂商保证

天翼云云主机负责以下方面的安全性：

• 数据中心安全：包括机房容灾、人员管理、运维审计等。

• 物理基础设施安全：涉及计算服务器、网络设备、存储设备的安全，以及数据销毁、网络隔离、资产管理等。

• 虚拟化系统安全：包括租户隔离、安全加固、逃逸检测修复、补丁热修复、云盘三副本、数据擦除等。

• 云服务平台安全：包括但不限于云平台主子账号管理、多因素认证机制、云资源加固能力等。

云上资源的防护由客户保证

客户需要对以下方面负责：

• 操作系统安全：提升访问安全、使用安全加固操作系统、提升操作系统安全性。

• 网络安全：网络隔离、控制网络流量、网络流量监控、网关访问安全。

• 数据安全：加密存储、可信计算、备份与恢复等。

• 应用安全：漏洞防护、应用网络安全、应用流量安全等。

• 身份与访问控制：细粒度资源管控、多因素账号认证、访问控制安全性等。

• 监控与日志：健康状态监控、基础云监控、云审计、操作日志等。

安全体系落地实践

以云主机搭建场景WordPress为例，结合天翼云安全责任共担模型，通过以下安全防护措施，确保客户的网站免受常见网络威胁的影响：

购买云主机前

制定全局安全战略，将安全性融入DevOps中，自动化防御体系，深入理解云环境安全合规标准，识别、分类资产并管控访问。

创建云主机时

• 使用 VPC ：创建虚拟私有网络，实现网络隔离，保护内部网络。

• 开启安全防护 ：开启主机安全防护功能，如云主机安全卫士，提升主机安全性。

• 使用加密磁盘 ：选择加密磁盘，保护存储数据的安全。

• 配置安全组 ：合理配置安全组规则，限制端口访问，避免非法访问。

• 创建快照策略 ：创建云盘快照策略，定期备份数据，确保数据可用性。

• 设置 IAM 授权 ：创建 IAM 用户并分配合适权限，避免权限滥用。

云主机创建完成后

• SSH 加固 ：更改 SSH 默认端口，禁用 root 用户登录，提升登录安全性。

• 配置 MySQL 安全 ：更改 MySQL 默认密码，限制数据库访问权限，保护数据库安全。

• 部署 WordPress ：从官方网站下载并安装 WordPress，启用安全插件，如 Wordfence 等，增强应用安全。

• 配置安全卫士 ：安装并配置服务器安全卫士，提供实时安全防护，提升系统安全性。

• 具体操作请参考：基于弹性云主机部署 WordPress 的安全防护