华为云|我的主机安全它做主

小提示：您能找到这篇{华为云|我的主机安全它做主}绝对不是偶然，我们能帮您找到潜在客户，解决您的困扰。如果您对本页介绍的华为云|我的主机安全它做主内容感兴趣，有相关需求意向欢迎拨打我们的服务热线，或留言咨询，我们将第一时间联系您！

< ">主机安全，顾名思义就是保护主机的环境安全的产品。这是一种古老的安全产品，在安全界与“防火墙”“DDoS高防”合称“老三样”，是居家旅行、保护主机的必备良药。

< ">主机安全产品种类繁多、名目不一，但一般常见的就两种：一种，叫HIDS，全称为Host-based Intrusion Detection System，即基于主机型入侵检测系统，通过在主机里安装插件来测探各种信息以判断是否有异常或者攻击发生，这是最通用的一种主机安全产品；还有一种，叫NIDS，全称为Network Intrusion Detection System，即网络入侵检测系统，通过测探进入主机的网络流量来判断有没有发生攻击，但这种方式需要消耗的资源比较多，市面上较为少见。

< ">对云上的用户来说，云主机安全产品都是前一种，即HIDS，比如华为云也发布了一款主机安全产品叫“企业主机安全服务”，就是典型的HIDS，那下面咱们就来说说HIDS的原理，懂得了原理，就容易懂得一切，所谓一通百通。

< ">一、什么是云上的HIDS？

< ">形象地说，云主机是个房子，而HIDS是一个体系，它首先把一个摄像头（专业术语叫Agent或者代理）装在房子里，然后启动摄像头在云主机系统里东看看西看看，比如看看系统日志啊、看看系统文件啊、看看进程啊、看看系统配置啊，看谁在系统里搞事情、有没有留下什么蛛丝马迹，一旦发现有人搞事情，HIDS就会上报给远端的服务器并发出告警。

< ">二、HIDS的组成是怎么样的？

< ">上面说到的摄像头，只是HIDS组件的一个部分，产品架构简图如下：

< ">

< ">可见，主要由3大部分组成，包括Agent、管理控制台、运营平台。其中：

< ">1、主机安全Agent组件：相当于主机里的摄像头，作用是检测系统文件变更、检测服务器状态、上传日志、下发操作指令等。

< ">2、管理控制台：用以给管理人员、运维人员执行防御策略管理、资源管理、命令下发等。

< ">3、运营平台：实战中大规模的主机安全产品，比这复杂得多，主要是要考虑管理海量云主机带来的资源开销和性能损耗，所以真正的主机安全产品，还需要在Agent和管理控制台之间搭建：

< ">用于如何发布新闻获得帮助加快数据分发效率的负载均衡；

< ">用于存储防御策略和日志的数据库集群；

< ">用于后台安全事件运维运营的数据整合服务器集群；

< ">用于实时分析数据得出可能攻击的分析集群等等。

< ">比如一款开源HIDS的典型架构是这样的（如不懂技术可忽略）：

< ">

< ">这样才能做到实时的分析系统状态并及时下发防御策略，并且便于日常维护和运营。

< ">大家有没有发现，HIDS是一款很典型的“云安全”产品：它的Agent放在每个云主机上，但大部分功能都在各种集群里，这样就使得用户花费的计算资源等开销会变得很小，因为功能都在“云”上，也就是在远端的各种服务器集群上实现了大部分功能。

< ">这里也请大家注意，这是目前互联网最常用的架构，而并非是安全产品所独有，比如大家日常用的百度APP，功能可能差别很大，但是其原理也是以一个很小的Agent（应用）装在手机上，大部分功能都在远端的“云”上完成了。

< ">三、如何判断一款主机安全产品是不是好产品？

< ">从各大互联网厂商对一款好的主机安全产品的农业产业园宣传片定义可以作为参考。为什么拿互联网厂商做例子？因为他们的主机是海量的，特别需要主机安全类的产品，而只有少量主机的话，很室外广告电视难遇到复杂的攻防场景。比如美团发布的一篇文章介绍了他们的实践，他们对主机安全产品的需求是这样的（如果对技术不感冒，可以忽略，我后面会总结）：

< ">满足50W-100W服务器量级的IDC规模。

< ">部署在高并发服务器生产环境，要求Agent低性能低损耗。

< ">广泛的部署兼容性。

< ">偏向应用层和用户态入侵检测（可以和内核态检测部分解耦）。

< ">针对利用主机Agent排查漏洞的最急需场景提供基本的能力，可以实现海量环境下快速查找系统漏洞。

< ">Agent跟Server的配置下发通道安全。

< ">配置信息读取写入需要鉴权。

< ">配置变更历史记录。

< ">Agent插件具备自更新功能。

< ">归纳起来，主要是：

< ">Agent对系统资源需求少，系统负载占用小，也就是别一个Agent装到主机里，导致主机卡顿了，对应的指标就是Agent的CPU占用率，一般5%以内都算不错的。

< ">有丰富的API和强大的联动能力，也就是方便安全数据查看分析汇总，方便运维运营。

< ">支持规则引擎，能够灵活的进行防御规则配置和下发，也就是方便管理员随时添加、更新防护策略，保障能精准地发现安全攻击。

< ">分布式、高可用，也就是不能随随便便挂了，要好好的活着给大家防护好。