快速成长期应用架构实践 （21）：安全设计

4.7 安全设计

在云计算的背景下，大量的业务从传统基础架构迁移到了云上，但是仍然面对传统的 网络安全威胁。目前，网络中蠕虫、病毒、木马仍然威胁巨大，各种网络攻击行为时有发 生，随着 APT 攻击的流行，企事业单位正遭受着前所未有的安全威胁。云计算的引入，又 带来了虚拟化安全、数据安全、安全法规等新的安全挑战。

随着网络的普及，攻击工具朝着自动化、易用化、平民化的方向发展，攻击者无需掌 握太多的专业知识，只需要从网上下载一个自动化工具鼠标一点就可以完成一次攻击，导 致攻击的成本和门槛越来越低。是否能够及时发现网络黑客的入侵行为，保证系统安全， 成为所有网络用户包括云计算用户所面临的一个重要问题。

4.7.1 入侵检测 

针对日趋复杂的应用安全威胁和混合型网络攻击，各类企事业单位为了保护好自身的 应用做了很多的工作，各种乙方安全公司也提供一系列的安全产品和解决方案。各类新的 服务层出不穷，例如 Web 应用、H5 应用、App 应用，在给用户带来更好体验的同时，也 带来了前所未有的复杂性和危险性。入侵检测系统 IDS 是检测和发现网络攻击的一种常规 手段，根据部署的位置不同，大致可以分为基于网络入侵检测系统 NIDS 和基于主机的入 侵检测系统 HIDS 两种。

基于网络的入侵检测 NIDS 是传统入侵检测系统，主要通过旁路在计算机网络中检 测设备和系统，对网络数据流量进行深度检测和分析，并对网络中的攻击行为和特 征进行主动检测匹配，如图 4-46 所示。通过使用异常检测、协议分析、会话分析、 实时关联检测、机器学习等多种技术手段，系统可以实现对网络流量的入侵检测。

图 4-46 传统入侵检测系统

经典的开源解决方案有 Snort。Snort 通过对网络的数据包进行嗅探和实时分析，进行 规则的匹配和处理之后，输出各类报警、忽略、Log 等多种处理方式。

基于主机的入侵检测系统 HIDS 是云计算中的入侵检测系统，通常通过安装在主 机上 Agent 程序对该主机的网络实时连接、文件系统、日志进行智能分析和判断。 当有文件发生变化时，HIDS 将文件与攻击特征样本库进行对比，看它们是否匹配。 如果匹配，HIDS 就会向相关人员报警，相关人员在确认之后采取对应的措施。基 于主机的 IDS 在发展过程中融入了其他技术。HIDS 还可以监控端口和进程来发 现入侵行为。对于常用服务端口的暴力破解和异常登录也是 HIDS 常见的功能， 能在很大程度上缓解内外部的攻击行为。

HIDS 典型的开源方案是 OSSEC。如图 4-47 所示，OSSEC 支持多种操作系统，如 Windows、Linux、MacOS 等，它包括了日志分析、rootkit 检测、文件异常检测等功能。OSSEC 使用 CS 方式部署，需要在检测的系统上安装 Agent，通过 Server 端预设的规则进行分析和 报警处理。 

图 4-47 HIDS 典型开源方案 OSSEC

入侵检测实践

目前云计算常见的入侵检测方案也分为网络和主机两种，网络检测方案更多用于特定 的应用场景下，对用户提供更多的是基于主机的入侵检测功能，需要用户配合在虚拟机或 者容器中安装相应的 Agent 客户端进行监控。

一般的入侵检测 Agent 包含检测、修复、防御等功能，提供全面的木马查杀、0day 漏 洞修复、安全基线巡检、主机访问控制、暴力破解防护、异地登录提醒等功能，保障服务 器安全。

文章节选自《云原生应用架构实践》 网易云基础服务架构团队 著 

网易云计算基础服务深度整合了 IaaS、PaaS 及容器技术，提供弹性计算、DevOps 工具链及微服务基础设施等服务，帮助企业解决 IT、架构及运维等问题，使企业更聚焦于业务，是新一代的云计算平台。点击可免费试用。