一般你会在云端环境做些什么呢？会部署处理敏感资料的应用程序吗？或者想要测试新的网页应用程序？还是会跟内部环境传输交换资料？亦或者会提供应用程序给客户、合作伙伴、甚至是全球各地的员工？更有可能你需要应用程序必须24 × 7无休的运作？

哪里有风险，哪里就需要被加以管理和控制！确保你可以保护好你的资料、应用程序和系统有能力对付攻击，不管你所用的是不是云端环境。

正如11月25日，我们在趋势科技微信中提过的，AWS已经设立高标准来确保落实适当的控制以保护实体基础设施和虚拟机管理程序。你所部署在这环境内的资料、应用程序和虚拟机器，以AWS的观点 “是你自己的责任”。你需要确保你有实施适当的控制。

让我们从你的主机和网络开始……

当部署虚拟机器时，建议要利用所提供的工具，类似AWS安全群组来做基本的安全功能，之后再加入额外的控制。

对于你的主机和网络，趋势科技建议您落实控制：

1、限制进出你环境的通讯连接，只允许必要连接进行；

2、确保你对于漏洞攻击有不间断的保护，即使是在修补程序部署周期之间；

3、当系统组件改变时加以识别，判断是否有意义；

4、保护对抗恶意软件和恶意网址。

为了能够涵盖这些要求，你需要部署一些安全控制：

1、通讯控制：限制进出你环境的通讯连接，针对虚拟机器来实施锁好你的防火墙策略，只在必要时才开启，同时也防止进出的通讯连接。寻找有提供记录和警报功能的防火墙，可以更加容易地进行故障排除和管理。

2、一致的系统防护：随着组织要求关键企业应用程序要持续的改变，往往让已知系统漏洞的修补工作很难跟上。这也是为什么可以对抗可能漏洞攻击的入侵防御功能很重要了。一个很重要的入侵防御功能是可以自动地确保正确的保护被实施，甚至在你有机会修补之前。

3、系统变化侦测：系统组件变化的原因可能有很多 – 许多都不是因为你的系统被攻击而造成。话虽如此，监视这些系统变化也对你的安全控制变得越来越关键。它不仅可以提供问题的早期迹象，事实上也是各种合规标准，如PCI DSS所要求的。

4、恶意软件防护：最后，包含网页信誉评比技术的防毒软件不仅可以对抗病毒，也会对已知恶意网址加以侦测和防护。

所以，让我们开始你云端环境控制的安全检查表：

1、基于主机的双向防火墙以防止未经授权的进出通讯连接，加上记录和警报功能使其更易于管理；

2、提供虚拟修补的入侵防御以对抗漏洞攻击，甚至在你部署更新之前；

3、档案完整性监控以捕捉未经授权的系统组件变化；

4、防毒软件加上网页信誉评比技术以对抗病毒和恶意网址。

    了解趋势科技云安全产品，请点击链接：

http://www.trendmicro.com.cn/cloudsecurity/?WT.mc_id=2008CNHP_CLOUD_Tab