17、保障云安全：策略与实践

保障云安全：策略与实践

在当今数字化时代，云计算的广泛应用使得云安全成为了至关重要的话题。以下将深入探讨云安全的多个关键方面，包括系统安全配置、SSL 与证书管理、审计等内容。

1. 系统安全配置

不同的操作系统有不同的安全配置。基于 RHEL 和 CentOS 的操作系统默认会安装 SELinux 并处于“强制”状态。而基于 Debian 的系统（如 Ubuntu）则包含 AppArmor，不过其强制或警告的默认行为因版本而异。AppArmor 还可与 Canonical 在其 OpenStack 平台发行版中使用的 LXD（Linux 容器）管理程序一起使用。

1.1 sVirt 解决方案

sVirt 是一种利用强制访问控制（MAC）为虚拟化环境添加有效隔离的解决方案，它通过 SELinux 和 AppArmor 等实现。这可以增强系统对管理程序漏洞的抵抗力，这些漏洞可能被用作攻击管理程序主机或同一管理程序上运行的其他实例的途径。

SELinux 使用基于 MAC 的可插拔框架，允许客户机及其资源拥有唯一的标签。当所有实例以及主机都被标记后，就可以创建规则来允许或拒绝跨实例的访问。

使用 sVirt 时，该过程在后台正常运行，对实例本身不可见。每个实例的进程都用动态创建的标签（有 500,000 个可用）进行标记，并且这些标签应扩展到属于该实例的 qemu - kvm 进程的实际磁盘映像。管理员负责标记磁盘映像。标记后，实例在管理程序上的所有资源都将包含该标签，并且实例将始终以相同的标签启动。

若在带有管理程序的系统上，SELinux 设置为强制模式，基本安全性将自动扩展到实例，以保护主机操作