標題：公有云安全

[taibeihacker]

公有云安全​

1 前言​

Tips
雲租戶安全不在討論範圍內
雲原生應用漏洞略有涉及
微服務不在討論範圍內
雲安全配置錯誤以及不正確的「案例」示範是導致安全問題頻發的重要原因

1.1 为什么要上云​

安全傳統邊界模糊
all in cloud
公司越來越多

1.2 相关资料​

https://aws.amazon.com/n/training/

阿里云培训中心-阿里云

阿里云培训中心依托阿里云领先的技术能力，为开发者提供集课程学习、实操训练、考试认证、技术交流为一体的一站式在线学习平台，并为政府、企业、高校提供全面的数字化人才培养服务。

edu.aliyun.com

腾讯云培训认证中心_云计算技术培训_云计算技术认证 - 腾讯产业互联网学堂

腾讯云培训认证中心为开发者提供云计算技术培训以及认证服务，帮组开发者提升自身价值，获得行业认可。

cloud.tencent.com

https://cloud.google.com/certification/

Browse all training - Training

Learn new skills and discover the power of Microsoft products with step-by-step guidance. Start your journey today by exploring our learning paths and modules.

www.microsoft.com

1.3 常见的云产品​

2 常见概念​

2.1 元数据 - metadata​

在雲計算中，Metadata 並不是一個陌生的概念。從字面上看，Metadata 是元數據的意思。而在雲計算中，Metadata 服務能夠向虛機注入一些額外的信息，這樣虛機在創建之後可以有一些定制化的配置。在OpenStack 中，Metadata 服務能夠向虛機提供主機名，ssh 公鑰，用戶傳入的一些定制數據等其他信息。這些數據被分為兩類：metadata 和user data，metadata 主要包括虛機自身的一些數據比如hostname、ssh 秘鑰、網絡配置等，而user data 主要包括一些定制的腳本、命令等。但是不管是哪一種數據，openstack 向虛機提供數據的方式是一致的。
Tips
可以類比docker file

2.2 可用区 - Available Zone 和区域 - Region​

先來看一下區域（Region）概念。 AWS 雲服務在全球不同的地方都有數據中心，比如北美、南美、歐洲和亞洲等。與此對應，根據地理位置我們把某個地區的基礎設施服務集合稱為一個區域。通過AWS 的區域，一方面可以使得AWS 雲服務在地理位置上更加靠近我們的用戶，另一方面使得用戶可以選擇不同的區域存儲他們的數據以滿足法規遵循方面的要求
以阿里雲為例：

2.3 IAM - Identify and Access Management​

可幫助你安全地控制用戶對AWS 資源的訪問權限。通過IAM 可以控制哪些人可以使用你的AWS 資源(身份驗證)以及他們可以使用的資源和採用的方式(授權)。
IAM-AWS
RAM-阿里雲
CAM-騰訊雲
IAM-華為雲

2.3.1 用户​

如果您購買了多台雲服務器ECS 實例，您的組織裡有多個用戶（如員工、系統或應用程序）需要使用這些實例，您可以創建一個策略允許部分用戶使用這些實例。避免了將同一個AccessKey 洩露給多人的風險。

2.3.2 用户组​

您可以創建多個用戶組，並授予不同權限策略，起到批量管理的效果。例如：
為了加強網絡安全控制，您可以給某個用戶組授權一個權限策略，該策略可以規定：如果用戶的IP 地址不是來自企業網絡，則拒絕此類用戶請求訪問相關ECS 資源。
您可以創建以下兩個用戶組管理不同工作職責的人員，如果某開發人員的工作職責發生轉變，成為一名系統管理人員，您可以將其從Developers 用戶組移到SysAdmins 用戶組。
SysAdmins：該用戶組需要創建和管理的權限。您可以給SysAdmins 組授予一個權限策略，該策略授予用戶組成員執行所有ECS 操作的權限，包括ECS 實例、鏡像、快照和安全組等。
Developers：該用戶組需要使用實例的權限。您可以給Developers 組授予一個權限策略，該策略授予用戶組成員調用DescribeInstances、StartInstance、StopInstance、RunInstance 和DeleteInstance 等權限。

2.3.3 角色​

實例RAM 角色允許您將一個角色關聯到ECS 實例，在實例內部基於STS（Security Token Service）臨時憑證訪問其他雲產品的API，臨時憑證將周期性更新。即可以保證雲賬號AccessKey 安全，還可以藉助訪問控制RAM 實現精細化控制和權限管理。

2.4 VPC - Virtual Private Cloud​

專有網絡VPC 允許用戶在雲上構建出一個邏輯隔離分區，讓用戶在自己定義的虛擬網絡中創建並運行新網的資源。用戶可以完全掌控您的虛擬網絡環境，包括選擇IP 地址範圍，創建子網和配置路由表等。

2.5 ARN - Aliyun Resource Name​

資源ARN 的格式為:
arn:acs:${Service}:${Region}:${Account}:${ResourceType}/${ResourceId}
各字段含義如下：
Service：雲產品code。
Region：地域ID。
Account：阿里雲賬號ID。
ResourceType：資源類型。
ResourceId：資源ID。
arn:acs:ecs:cn-hangzhou:123456789\*\*\*\*:instance/i-