带你读《从基础到应用云上安全航行指南》——九大提升ECS实例操作系统安全性的技巧(1):https://developer.aliyun.com/article/1441589
三、如何安全加固您的操作系统
接下来介绍一下如何安全加固操作系统。
本章节主要包括三部分,使用OOS补丁基线自动更新安全补丁、Alibaba Cloud Linux操作系统内核热补丁以及使用免费的基础安全服务。
首先来看一下OOS补丁基线自动更新安全补丁。
为什么需要更新安全补丁,回顾安全事件案例二,斯里兰卡国家政务云正是因为使用了存在漏洞的软件,导致操作系统被入侵,丢失了将近四个月的重要数据。如图所示的一些官方渠道经常会发布一些安全漏洞的公告以及修复漏洞的安全补丁。
黑客常常利用网上已经公布的安全漏洞,并且特定的工具进行扫描、攻击、入侵。您若未及时更新操作系统,时间越久,您就面临的安全风险越高。安全攻防常常是攻击方、防守方时间上的竞速,实际上不存在完美的系统,但只要修复的比攻击的更快,系统永远是安全的。
另外一方面,许多行业标准、法律法规都要求企业定期更新软件或操作系统,并及时安装最新的安全补丁,以满足合规性的一些要求。既安全补丁的更新重要,如何尽快知道操作系统中存在安全漏洞,以及如何快速找到对应的安全补丁,并且安装补丁快速修复安全漏洞。
阿里云系统管理与运维服务,也就是OOS是阿里云提供的云上自动化运维服务,能够自动化管理和执行任务。OOS的补丁基线支持用户根据默认或者自定义的补丁基线对ECS实例的补丁进行扫描和安装。在这个过程中,用户可以选择安全相关或者其他类型的更新,自动修复相应的ECS实例。它能够支持主流的Windows、Linux多达31种操作系统,包括CentOS、Red Hat、Ubuntu、Windows Service等等。
不同的操作系统版本补丁基线实现的原理因为使用不同的包管理工具,扫描与安装补丁的原理都会有所差异。如图所示的CentOS7使用的yum、CentOS8使用的是dnf,Ubuntu使用的是apt,yum包管理工具为例,存在更新通知的概念,在软件仓库存储者名为updateinfo.xml的一个文件来存储软件的更新通知。
根据updateinfo中的更新通知如图CentOS公共安全基线规则配置所示的补丁基线配置了包括更新通知的类型以及严重等级,包括了Security\Bugfix\...对应的更新通知的类型以及严重等级为Critical\Important\...。配置后它工作流等效的命令相当于执行了严重重要等级的安全补丁以及漏洞补丁,执行yum update的命令。可以配置只升级严重以及重要等级的安全补丁。
常用补丁存在以下几种场景,比如操作系统以及应用程序的安全补丁的应用,Windows安装ServicePack以及Linux小版本的升级,按照操作系统类型,同时对多台ECS实例进行批量的漏洞修复,查看缺失的补丁报告,自动安装缺失的补丁以及跨账号跨地域补丁修复,对于跨账号跨地域的补丁修复的场景,对规模比较大的一些企业,不同的部门ECS实例可能会存在多个账号,多个账号的一些是的补丁集中管理是比较重要的一个问题。
在跨账号的补丁修复的产品中,阿里云的角色主要分为两个,一个是管理账号,另外一个是资源账号,其中资源账号可以是一个也可以是多个,管理员账号本身其实也是一个资源账号,如右图所示的可以通过所有资源账号下创建一个管理账号,账号可以分别扮演对应的RAM角色的方式授予补丁修复的所需要的相关的权限,从而达到管理账号内账号跨地补丁修复的效果。
操作系统内严重的安全漏洞修复是刻不容缓的,但是修复通常需要重启操作系统才能够进行生效,重启又会影响线上业务的运行,接下来看一下什么是Alibaba Cloud Linux操作系统内核热补丁。
Alibaba Cloud Linux操作系统为内核热补丁的高危安全漏洞,也就是CVE以及重要的错误修复Bugfix提供了热补丁支持,内核热补丁可以在保证服务的安全性以及稳定性的情况下,平滑且快速的为内核更新高危安全漏洞以及重要的错误修复的补丁。
它有以下的几个优点,第一是不需要重启服务器以及任何业务相关的任务进程,也不需要等待长时间运行的任务完成,也不需要用户注销登录,不需要进行业务进行迁移。
不过它也存在一些限制,它仅仅适用于Alibaba Cloud Linux的操作系统,而且要求是指定内核版本以上,并不是所有的安全漏洞以及Bugfix都是支持热补丁。热补丁主要的修复范围是严重级别以上的CVE以及严重级别的错误修复。在更新补丁的过程以及补丁生效之后,不能对补丁的函数进行测试以及跟踪。
采用热补丁的升级方法主要有两种:
一种是手动的查看Alibaba Cloud Linux CVE公告平台,获取热补丁升级的RPM包,使用yum安装的一个指定操作系统内核版本的热补丁,但是这种方式是比较繁琐的,推荐使用第二种方式,安装使用阿里云提供的内核热布定管理工具livepatch-mgr,它能够极大的简化流程,只要一个命令就能够实现,支持热补丁的查看、安装、卸载等等能力。
除了使用OOS补丁基线以及内核热补丁外,ECS实例还为您提供了免费的基础安全服务。
在使用公共镜像新购ECS实例时,阿里云默认会为您提供较为丰富的基础安全服务,也就是云安全中心免费版。也可以选择取消该能力,但是强烈建议您开启该能力,它能够为您提供基础的安全加固能力,包括主流的服务器漏洞扫描、云产品安全配置基线核查、登录异常告警、AK异常调用、合规检查等等。云安全中心免费版是完全免费的服务,不收取任何费用。如果有更多的一些需求,可以购买相应的高级版、企业版以及旗舰版。
我们的云安全中心免费版免费为您提供了漏洞扫描的能力,支持Linux Windows系统的漏洞,也支持web-CMS等常见的漏洞一些扫描,还能针对近期互联网上爆发的高危漏洞做应急漏洞检查,帮助您及时发现系统中存在的重大漏洞。建议您定期检查与管理您的漏洞,以帮助您更全面的了解您资产中存在的漏洞风险,降低系统被入侵的风险。
云安全中心免费版还为您提供异常登录检查的能力。异常登录检查的原理是云安全中心agent通过定时收集服务器上的一些登录日志并上传到云端,在云端进行分析和匹配。如果发现非常用登陆地或者非常用登录的IP在非常用的登录时间、非常用登录账号登录成功的时间将会触发告警。
如何判定不同的IP的具体登录行为,当云安全中心首次应用在您的服务器上时,由于您服务器未设置常用登录地点,这段期间内登录行为不会触罚告警。
当某公网IP第一次成功登录到的服务器后,云安全中心将会该IP地址的位置标记为常用登陆地。并且从这个时间开始往顺延24小时内,所有的公网登录地址将会被记录为常用登陆地,超过24小时,所有不在上述常用登陆地的行为被视为异常登录告警,当某IP判定为异常登录行为时,只有第一次登录行为会进行短信告警,如果IP成功登录六次或者六次以上,云安全中心默认将IP地址记录为常用登录地址,异常登录只对公网IP有效,云安全中心会对某异常IP进行第一处理。
如果使用的云安全中心高级版,企业版或者旗舰版。可以针对服务器进行设置常用登录地、常用登录IP、采用登录时间、采用登录账号以及对上述的登陆地IP、登录时间登录账号之外的均设置为提示告警。
除了漏洞扫描、异常登录检查外,云安全中心还支持提供AK泄露检查。AK泄露检查会实时检查GitHub等平台公开源代码中是否包含阿里云的账号AK,以鉴定您的AK泄露风险。通常支持的通知方式如下几种方式,一种是AK泄露检查异变的告警,只要检测到AK泄露,无论AK是否有效都会提供告警。
另外是控制台弹窗的提示,只有检测到泄露的SK信息有效时,在访问阿里云控制台首页或者多数云产品的控制台时才会提示,根据通知设置发送告警通知,只有检测到泄露的SK信息有效时,才会根据您设置通知方式,比如站内信、邮件、短信等发送通知。建议您定期做AK的轮转,以避免AK泄露造成的严重安全问题。
带你读《从基础到应用云上安全航行指南》——九大提升ECS实例操作系统安全性的技巧(3):https://developer.aliyun.com/article/1441587
