（文章來源：CSDN）

隨著虛擬化技術的蓬勃發(fā)展，近幾年云計算產業(yè)規(guī)模不斷壯大，各行業(yè)的數據量激增，通過云計算挖掘數據價值，以及企業(yè)IT基礎架構向云遷移已經成為主流趨勢。國務院發(fā)展研究中心國際技術經濟研究所近日發(fā)布的《中國云計算產業(yè)發(fā)展白皮書》顯示，2018年中國云計算產業(yè)規(guī)模已經達到962.8億元；預計2023年，中國云計算產業(yè)規(guī)模將超過3000億元。

大量的企業(yè)將數據遷移到云上，帶來的網絡安全問題卻日益凸顯，以云計算行業(yè)巨頭阿里云為例，每天遭受攻擊的次數就高達 50 億次，這些攻擊包括通過系統(tǒng)漏洞進行提權、DDOS攻擊、CC 攻擊、暴力破解，入侵成功對數據進行加密、植入木馬或挖礦程序等手段非法牟利。

那么企業(yè)上云后應該做哪些工作，才能避免被入侵而造成的不可估量的損失呢？作為一名云計算行業(yè)的從業(yè)者，我見過太多企業(yè)的服務器被入侵后遭受嚴重損失的案例，在這里，我在這里和大家分享以下上云后的安全防護應該如何做。首先，大家要糾正一個觀念，那就是上云并非萬事大吉了。云計算提供的彈性伸縮和水平擴容大大縮減了企業(yè)運維人員的工作提升了效率，例如不用大老遠的跑到機房去升級操作系統(tǒng)、擴容硬件了。

但是對于操作系統(tǒng)自身的安全問題我相信任何一家云計算公司都不敢打包票說你買了我們的服務器就絕對不會遭受任何攻擊。一般他們會提供安全防護類的產品或建議，但是實際的安全策略部署還是需要自己去完成。

那么當你在云廠商購買一臺服務器之后，你必須要做的事情就是：第一，修改你的遠程連接端口，例如 windows 的 3389，Linux 的 22 端口。應用服務盡量不要對公網開放，尤其是中間件服務，除了 web 服務所提供的 80，443 端口之外都應該盡量不要對公網開放默認端口，例如 MySQL 的 3306 ，Redis 的 6379 等等。

因為互聯(lián)網上大量的入侵都是首先掃描到開放這些默認端口的機器，然后在探測是否存在已知的漏洞進而發(fā)起攻擊。舉個例子，假如入侵者想入侵 redis 3.0 以下版本的 redis，攻擊者可以通過 nmap 或 masscan 這類掃描攻擊掃描某一個 IP 段是否開放以及根據你的服務器特征探測你的服務器是 Linux 還是 Windows來選擇以何種方式發(fā)起攻擊，以 masscan 為例，探測49.111.0.0/16網段內是否有 redis 服務開啟默認 6379 端口。

然后獲取到該網段開放了 6379 端口的 IP，并進行下一步判斷其是否有設置密碼，版本是否是 3.0 以下。執(zhí)行如下命令即可查看這臺 redis 的相關信息

遭遇攻擊后應該怎么辦？如果你恰好 root 權限開放的，那么你這臺服務器就成功被入侵者提權了。從上面這個例子中，我們要防止這樣的入侵案例發(fā)生，除了修改默認端口還是遠遠不夠的。還需要養(yǎng)成定期更新你的系統(tǒng)和應用軟件，因為舊版本軟件大多都會存在漏洞被攻擊者利用。

另外就是盡量不要以管理員權限運行一些應用程序，例如Linux 使用 root 這樣的權限去運行程序。要以一個普通用戶運行指定程序，防止被提權。禁止密碼登錄，改為更安全的密鑰登錄。密鑰采用rsa非對稱加密算法，并設置大于 2048 位以上密鑰，安全系數更高。
? ? ? ?