带你读《从基础到应用云上安全航行指南》——来上课!一文掌握守住ECS网络安全的最佳方法(2):https://developer.aliyun.com/article/1441582
网络流量监控和安全防护
图中是一个非常简单的网络架构,介绍一下两个安全和分析的场景需求,第一个是安全追踪ECS4部署了公司的重要私密服务,存储了商业机密资料。
正常情况下,两个的请求量都是非常小的,有一天运维发现该服务来了一些不明的请求,公司重要资料面临泄露的风险,到底是谁在访问,另外一个是流量分析的场景需求,ECS3是一台测试机研发,从ECS2上访问进行测试,需要对ECS2的流量进行分析。以上两个场景都可以使用阿里云专有网络提供的流日志功能来实现。流日志的概念,专有网络流日志功能可以记录专用网络中弹性网卡传入和传输的流量信息,帮助您检查访问控制规则,监控网络流量和排查网络故障。
流日志支持捕获网卡的流量,也可以指定捕获专有网络虚拟交换机这种更高维度的流量。例如用户配置捕获交换机的流量,交换机下所有已有和新建网卡的流量都会被捕获。流日志会记录流量信息,包括流量来源,账户信息,VPC交换机,以及其他的五元组等等信息会保存到用户设置的SLS LogStore中,用户可以很方便的通过上述属性在在SLS中通过进行过滤分析,这就是流日志的一个整体介绍,下面介绍一个实践应用。
使用流日志分析两个ECS之间的带宽,第一步是登录专有网络管理控制台,在左侧导航栏选择运维与监控流日志功能,首次使用流日志功能时,您需要进行授权,并且开通流日志的功能,第四是在顶部菜单栏处选择需要创建流日志的地域,在流日志的页面单击创建流日志,在创建流日志对话框,根据左侧信息配置流日志,单击确定,完成上述所有操作以后,您可以在流日志的列表页面,发现一条新创建的流日志,点击相应的日志服务,可以进行下一步的分析。
配置好LogStore以后,就可以在SLS中配置如下查询,该SQL语句,定义的时间、带宽,目的地址的三个参数,时间和目的地址作为聚合列,并且按照时间从小到大进行排序,取1000条日志,其中参数明如下,EI网卡ID表示ECS2的弹性网卡ID,目的地址表示ECS4的私网IP地址,其余字段您可以按照示例进行输入,配置完成以后,点击查询就可以看到ECS2到ECS4之间的带宽信息,这就是流日志的相关介绍。
接下来介绍一下流量镜像。
还是跟之前一样,构建两个安全和审计的场景。第一个安全场景,研发人员发现服务遭到了入侵,需要对流量进行分析,由于被入侵的服务是在线上生产环境中,不适合直接操作。
第二个是审计场景,生产环境里有重要的服务,所有的访问都需要对流量进行分析记录,但是由于该服务负载较高,不适合在内部部署分析的应用。
以上两个场景,可以使用阿里云提供的流量镜像功能。
首先介绍一下流量镜像的概念,专有网络中流量镜像功能可以镜像经过弹性网卡且符合筛选条件的报文,例如您可以复制专用网络中ECS实例网络流量,并将复制后的网络流量转发给指定的弹性网卡或者是负载均衡CLB的设备,该功能可以用于内容检查、威胁监控和问题排查等场景,介绍一下整体的概念。
第一,筛选条件,包含入方向的规则和出方向的规则,用于筛选在镜像会话中镜像的网络流量。入方向流量表示弹性网卡接收的流量,出方向流量表示从弹性网卡发出的流量,镜像源,需要镜像网络流量的弹性网卡实例,镜像目的,接收镜像的网络流量的弹性网卡实例或私网CLB实例,镜像会话,通过指定的筛选条件,将网络流量从镜像源复制到镜像目标的过程。关于流量镜像,就讲解这些内容,更详细的信息,您可以在阿里云官网的产品文档进一步学习。
这一章节讲解阿里云安全防护基础产品,为什么要做安全防护?互联网的产品并不总是面向内部的,一定有需要提供公网服务的需求,而网络上的访问也不总是善意的,恶意的流量无法完全避免,在攻击到来时,做好安全措施可以有效的降低损失。
接下来,介绍三个阿里云安全防护的基础产品。
第一个是云防火墙,它定位是ECS安全组的防护边界,主要是ECS。而云防火墙,可以作用更广的范围,包括互联网边界,专有网络的边界等,功能第一是控制所有公网的接入规则,还有控制云企业网高速通道的通信等等,
第二个产品是 DDoS 防护,它的定位是在 DDoS 流量抵达ECS主机前进行清洗,它的功能是可以防止恶意攻击流量导致的一些业务延迟,访问中断等等。
第三个是web应用防火墙WAF,它的定位是在web应用层七层协议进行拦截恶意流量,功能是Web应用防火墙对网站或APP的业务流量进行一些恶意特征的识别,并且能够对服务进行适当的保护。
由于安全的防护,会在后续的章节有其他讲师来进行更加详细的了解,在此只是做一个简单的介绍。
五、总结
首先,做好网络的安全,首先要做好隔离,使用专有网络、虚拟交换机、终端节点,做好组网和内网的访问,避免不必要的网络暴露。
其次,进行网络流量的控制,通过网络ACL安全组、云防火墙等等,只放行必要的网络访问。
最后,进行必要的流量监控与安全防护,使用流日志和流量镜像对网络流量进行监控和分析,第一时间发现非预期的流量。利用阿里云提供的安全防护能力做好云上安全防护,攻击是无法避免的,但是完全可以做到攻击来临时保护好自己的服务不受损。
以上就是本节课程的全部内容。
