导语:本篇文章整理自【弹性计算技术公开课——ECS安全季】中,阿里云安全专家于国瑞 带来的《如何实现一体化、自动化的安全审计、运营闭环》一节。
一、云安全中心安全纵深防护体系
当前时代是一个高度信息化的时代,网络安全攻击无孔不入,安全攻击手段和方案也都不断发生着变化。因此,我们需要在不同层级维度上共同防御,才能取得更好的效果。因此,阿构建了安全纵深防护体系,来保障用户的安全。
在当前高度信息化的时代,安全攻击无孔不入。所谓兵无常事,水无常情,安全攻击的手段和方案也都在发生着变化,因此,我们一般需要在各个层级维度上共同防御,才能取得最好的效果,对此,阿里云构建了安全纵深防护体系保障用户的安全。
基本介绍
云安全中心是一款集持续监测、深度防御、全面分析、快速响应能力于一体的云上安全管理平台。不同于传统的撒谎毒软件/软件防御系统,两者之间最主要区别在于阿里云安全中心是基于云原生的架构优势,多年的云上安全防护实践经验,以及云上海量日志分析模型和超强算力,共同构建了云上强大的安全态势感知和防御能力的综合平台。
快速响应和防御的关键在于足够多和可靠的风险数据,这得益于阿里云的海量用户群体。类比于人体,阿里云就像是一个见多识广的“免疫系统”,对于其他个体而言较新的攻击,对于阿里云而言则是司空见惯,如同针对抑制病毒接种的疫苗,这是阿里云安全中心的核心优势。
阿里云安全中心还具备云上资产管理、配置核查、主动防御、安全加固、云产品配置评估等云原生安全核心能力,可以帮助用户实现一体化、自动化的安全运营闭环,保护多云环境下的主机、虚拟机、容器等各类工作负担的安全,同时满足监管合规的需求。
体系详解
首先,阿里云安全中心提供了“一个平台”,在该运营平台上,用户可以完成一站式的安全运维以及自动化的管理。如果用户的系统较为复杂,则要在各个子系统之间进行安全管理,这是不切实际的。因此,阿里云安全中心提供的统一运营平台可以帮助用户完成端到端的闭环运维。
其次,阿里云安全中心包含了两大核心安全能力,即主机安全和容器安全,这都是十分常见的应用,也是各类数据承载的计算核心能力。通过这两大核心能力,我们可以帮助用户实现安全防御、运维管理,以及对应的风险检测和保障能力。
同时,我们根植于三类核心场景:
第一,持续合规。它指的并不仅仅是满足国家的战略强制性需求,还需要满足用户内部的人员控制措施,以及对应的最佳安全实践。如设置主机不能启动密码登录,或主机不默认对外开放所有的端口等基本持续性安全基线检查能力,它将对应的防御和加固置于产品的前期,而非在安全事件之后再做应对,以保证云上资产时刻处于安全状态。
第二,支持态势感知。可以帮助用户进行入侵检测、用户凭证泄露检测等。
第三,支持多种云架构实现统一防御能力。云安全中心构建了涵盖网络层、主机曾和应用层的安全纵深防护体系,主要包括网络入侵防护、主机入侵防护、Web应用防护、Web漏洞检测等完整的安全防护能力。
∙ 在网络层,主要是云环境的网络边界上,通过流量镜像的方式,对出入云平台的所有网络流量进行逐包检测分析;
∙ 在主机层,通过对主机资产的实时检测,及时发现异常进程、异常端口、异常网络连接行为,并定期扫描主机漏洞及配置风险项,全面防护主机资产。
∙ 下面将从主机、Web应用和网络三个维度介绍阿里云的安全防护能力。
二、主机安全
主机安全可以说是信息安全攻防战中的病假必争之地,由于大家几乎所有的业务都离不开各种类型的主机来提供计算能力,并且主机也是各类Web应用、数据库、OSS等各类云上服务交汇贯通的样核心按钮,因此,如何保护主机安全成为云上安全绕不开的话题。
下面,将从介绍主机安全面临的威胁出发,针对各类风险依次介绍对应的安全解决方案。
主机安全威胁及根因
(1)威胁概览:根据三方2023年的研究报告,僵尸网络、挖矿病毒、后门程序等都是Linux系统面临的最主要威胁。
(2)威胁根因,导致这些原因主要分为三类:
第一,也是最主要的原因,即未能及时安装各类系统以及应用的漏洞补丁,导致被恶意攻击者入侵。这里有一个典型的思维误区,即应用在部署完成后并非万事大吉,其仍旧需要持续地进行漏洞修补和漏洞运维,否则其安全属性就像暴露在空气中的铁一样,会慢慢锈蚀。随着时间的推移,系统会愈加不安全,因此,作为维护者或开发者,一定要持续关注系统的安全状态,并及时安装各类安全补丁来实现对应的安全防护。后面会通过Demo演示的方式介绍阿里云漏洞管理功能,进而帮助用户管控此类风险。
第二,弱口令被爆破。这是最为典型的一些场景,如系统对外暴露了一些弱密码的服务,如密码为123的样XSH服务等,攻击者就可以直接通过本地的弱口令库(如123或qw12等),用户云上的资产就会时刻处于被恶意供应者扫描的过程中。因此,要保证云上资产的安全,首先要保证密码的安全,或是直接进入到密码登录。后面也会介绍阿里云基线扫描能力,以帮助用户应对此类危险。
第三,用户安装了不明来源的软件,且主机上未安装反病毒的防护程序。这里的“不明来源”一方面是指用户直接在网上下载的不明来源的软件,另一方面是指用户的软件受到了攻击,在这样情况下,用户也会被非预期的软件攻击。因此,在主机上安装反病毒防护程序非常必要。
带你读《从基础到应用云上安全航行指南》——云安全专家教你如何实现一体化、自动化的云安全审计,运营闭环(2):https://developer.aliyun.com/article/1441291
