导语:本篇文章整理自【弹性计算技术公开课——ECS安全季】中,阿里云安全专家于国瑞带来的《如何实现一体化、自动化的安全审计、运营闭环》一节。
一、云安全中心安全纵深防护体系
当前时代是一个高度信息化的时代,网络安全攻击无孔不入,安全攻击手段和方案也都不断发生着变化。因此,我们需要在不同层级维度上共同防御,才能取得更好的效果。因此,阿构建了安全纵深防护体系,来保障用户的安全。
在当前高度信息化的时代,安全攻击无孔不入。所谓兵无常事,水无常情,安全攻击的手段和方案也都在发生着变化,因此,我们一般需要在各个层级维度上共同防御,才能取得最好的效果,对此,阿里云构建了安全纵深防护体系保障用户的安全。
1、基本介绍
云安全中心是一款集持续监测、深度防御、全面分析、快速响应能力于一体的云上安全管理平台。不同于传统的撒谎毒软件/软件防御系统,两者之间最主要区别在于阿里云安全中心是基于云原生的架构优势,多年的云上安全防护实践经验,以及云上海量日志分析模型和超强算力,共同构建了云上强大的安全态势感知和防御能力的综合平台。
快速响应和防御的关键在于足够多和可靠的风险数据,这得益于阿里云的海量用户群体。类比于人体,阿里云就像是一个见多识广的“免疫系统”,对于其他个体而言较新的攻击,对于阿里云而言则是司空见惯,如同针对抑制病毒接种的疫苗,这是阿里云安全中心的核心优势。
阿里云安全中心还具备云上资产管理、配置核查、主动防御、安全加固、云产品配置评估等云原生安全核心能力,可以帮助用户实现一体化、自动化的安全运营闭环,保护多云环境下的主机、虚拟机、容器等各类工作负担的安全,同时满足监管合规的需求。
2、体系详解
首先,阿里云安全中心提供了“一个平台”,在该运营平台上,用户可以完成一站式的安全运维以及自动化的管理。如果用户的系统较为复杂,则要在各个子系统之间进行安全管理,这是不切实际的。因此,阿里云安全中心提供的统一运营平台可以帮助用户完成端到端的闭环运维。
其次,阿里云安全中心包含了两大核心安全能力,即主机安全和容器安全,这都是十分常见的应用,也是各类数据承载的计算核心能力。通过这两大核心能力,我们可以帮助用户实现安全防御、运维管理,以及对应的风险检测和保障能力。
同时,我们根植于三类核心场景:
第一,持续合规。它指的并不仅仅是满足国家的战略强制性需求,还需要满足用户内部的人员控制措施,以及对应的最佳安全实践。如设置主机不能启动密码登录,或主机不默认对外开放所有的端口等基本持续性安全基线检查能力,它将对应的防御和加固置于产品的前期,而非在安全事件之后再做应对,以保证云上资产时刻处于安全状态。
第二,支持态势感知。可以帮助用户进行入侵检测、用户凭证泄露检测等。
第三,支持多种云架构实现统一防御能力。云安全中心构建了涵盖网络层、主机曾和应用层的安全纵深防护体系,主要包括网络入侵防护、主机入侵防护、Web应用防护、Web漏洞检测等完整的安全防护能力。
在网络层,主要是云环境的网络边界上,通过流量镜像的方式,对出入云平台的所有网络流量进行逐包检测分析;
在主机层,通过对主机资产的实时检测,及时发现异常进程、异常端口、异常网络连接行为,并定期扫描主机漏洞及配置风险项,全面防护主机资产。
下面将从主机、Web应用和网络三个维度介绍阿里云的安全防护能力。
二、主机安全
主机安全可以说是信息安全攻防战中的病假必争之地,由于大家几乎所有的业务都离不开各种类型的主机来提供计算能力,并且主机也是各类Web应用、数据库、OSS等各类云上服务交汇贯通的样核心按钮,因此,如何保护主机安全成为云上安全绕不开的话题。
下面,将从介绍主机安全面临的威胁出发,针对各类风险依次介绍对应的安全解决方案。
1、主机安全威胁及根因
(1)威胁概览:根据三方2023年的研究报告,僵尸网络、挖矿病毒、后门程序等都是Linux系统面临的最主要威胁。
(2)威胁根因,导致这些原因主要分为三类:
第一,也是最主要的原因,即未能及时安装各类系统以及应用的漏洞补丁,导致被恶意攻击者入侵。这里有一个典型的思维误区,即应用在部署完成后并非万事大吉,其仍旧需要持续地进行漏洞修补和漏洞运维,否则其安全属性就像暴露在空气中的铁一样,会慢慢锈蚀。随着时间的推移,系统会愈加不安全,因此,作为维护者或开发者,一定要持续关注系统的安全状态,并及时安装各类安全补丁来实现对应的安全防护。后面会通过Demo演示的方式介绍阿里云漏洞管理功能,进而帮助用户管控此类风险。
第二,弱口令被爆破。这是最为典型的一些场景,如系统对外暴露了一些弱密码的服务,如密码为123的样XSH服务等,攻击者就可以直接通过本地的弱口令库(如123或qw12等),用户云上的资产就会时刻处于被恶意供应者扫描的过程中。因此,要保证云上资产的安全,首先要保证密码的安全,或是直接进入到密码登录。后面也会介绍阿里云基线扫描能力,以帮助用户应对此类危险。
第三,用户安装了不明来源的软件,且主机上未安装反病毒的防护程序。这里的“不明来源”一方面是指用户直接在网上下载的不明来源的软件,另一方面是指用户的软件受到了攻击,在这样情况下,用户也会被非预期的软件攻击。因此,在主机上安装反病毒防护程序非常必要。
2、安全防护功能
(1)漏洞管理功能
云安全中心漏洞管理支持发现和识别操作系统、Web内容管理系统、应用程序中的安全漏洞,可对漏洞进行优先级和风险评估,并支持一键修复部分漏洞,可以帮助用户缩小系统的攻击面。
上图中是漏洞管理功能页面相关的截图,该页面中包含了漏洞影响的资产范围、漏洞编号,以及对应修复在云上使用的次数和安全成功正常修复的次数。后面也会以DEMO功能演示的方式帮助大家理解阿里云的样漏洞管理功能。
① 付费情况:免费版默认每两天会自动针对Linux软件漏洞、Windows系统漏洞、和Web-CMS进行周期性漏洞扫描,并可手动应急漏洞的扫描; 付费版云安全中心还支持Linux软件漏洞、Windows系统漏洞、Web-CMS等漏洞的自动更新修复。
② 漏洞修复优先级:当用户的资产被扫描出多个漏洞时,用户无法确认优先修复哪个漏洞,且修复漏洞不可以简单地一键修复,甚至有可能影响业务的正常运转。针对此场景,云安全中心提供的漏洞脆弱性评分系统能够评估漏洞修复的优先顺序,帮助用户作出漏洞修复优先级的决策。
阿里云漏洞脆弱性评分系统在使用CVSS确定漏洞修复优先级和严重性的基础上,根据云上实际攻防状态和漏洞攻击在云上利用的难度以及严重性级别,结合互联网上现有的程序状态,以及云原生中心入侵数据检测数据模型中的利用成熟度,对漏洞进行评分,以帮助企业提高资产可利用风险漏洞的补救效率和有效性。
其中一个典型的场景是,当我们修复漏洞时需要重启系统,则会不可避免地面临短暂的系统不可用风险,但从另外一个角度,漏洞本身也是持续存在的风险,如果长时间不进行修补,又会导致被黑客攻击。基于此,用户可以根据阿里云提供的漏洞修复优先级能力帮助用户评估当天是否进行漏洞修复,是要立刻修复?或是在请求较少时再修复?
漏洞的严重性级别一般由四个因素决定。第一,技术影响,漏洞是否容易被利用,它影响的系统和范围;第二,漏洞利用的成熟度(是处于PoC状态,只是被确认存在,但无法确定是否可以实现攻击,或者是而说已经被广泛的传播,已被黑客组织列入武器库名单),即该漏洞是已经成为标准化的攻击利用手段,或仍是非完全利用状态,这会极大地影响漏洞修复的严重性;第三,风险威胁,即漏洞会造成的风险利用结果,或导致系统的不可用,或导致信息泄露,及其他的风险;第四,受影响的数量级,即当前漏洞被黑客所关注的程度,若琪影响面很广,则会被黑客密切关注,因此对于此类漏洞,用户需要尽快修复。
根据业务的不同,各类型系统修复漏洞的优先级需开发/维护人员自行评估,但高危漏洞一般需要立刻修复,以避免被黑客攻击的造成数据泄露或系统不可用的风险。下面通过一个案例来直观地介绍阿里云的漏洞管理功能。
③ 案例
这里展示的只是一部分能力,更多的内容还需要用户参照阿里云原生中心的文档,以获取更准确的信息。
在阿里云的漏洞管理页面,可以看到当前所有资产受漏洞影响的情况,在影响资产列表中可以看到漏洞具体影响的范围,以及当前漏洞修复过程中是否需要重启,以帮助用户做对应的修复判断。点击漏洞编号,可以看到漏洞的详情,包含具体的评分、当前的漏洞威胁,帮助用户去做对应的判断。
用户还可以点击对应的实例控制台详情页面,查看对应实例存在的漏洞具体情况。点击“立即处理”即可进行测试处理。点击“修复”,选择“自动创建快照并修复”,其优点在于,如果修复存在问题,对业务造成了一些应用性的影响,即可通过重启恢复快照的方式将系统修复到以前的状态,保证业务修复过程中的完整性和连续性。点击“详情”即可看到具体的修复命令,以及具体的漏洞影响情况,且会随着修复过程实时展示。修复完成后,进到对应的系统即可检查版本是否完成了升级。案例中的版本由112升级至122-26,阿里云安全中心的漏洞修复能力得到了验证。
(2)基线检查功能
病毒和黑客会利用服务器存在的安全配置缺陷,在服务器上植入后门,除了前面提到的漏洞,不完全的配置也会导致操作系统OS被攻击。基线检查功能针对非漏洞、配置导致的安全漏洞检测和修复,基线检查功能可以针对服务器操作系统、数据库、软件和容器的配置进行安全检测,可以帮用户加固系统安全,降低入侵风险并满足安全合规要求。
基线检查功能可以通过配置不同的基线检查策略,帮助用户快速对服务器进行批量扫描,发现包括系统、账号权限、数据库、弱口令 、等级保护合规配置等存在的风险点,并提供修复建议和一键修复功能。
① 典型的基线检查项
第一类,未授权访问,如未对Redis、数据库等配置密码,直接允许用户通过未授权的方式进行访问;第二类,容器安全,基于阿里云容器最佳安全实践,检测各类 Master和Node节点是否存在节点配置的风险项;第三类,最佳安全实践,基于阿里云最佳安全实践标准检测当前操作系统是否存在账号权限、身份鉴别、密码策略、访问控制、安全审计和入侵防范等安全配置风险;第四类,弱口令,使用HASH值与弱口令字典计算的HASH值进行对比来检查是否存在弱口令。
下面简单介绍几个常见的基线检查项:
首先,由于未正确设置用户权限,或密码复杂度较低,导致密码被爆破,系统被恶意攻击者攻击;其次,是一些与密码相关的基线检查项,如密码失效时间、密码最小间隔时间、密码是否可以重用(修改密码之后是否可以使用修改之前的密码)等;此外,系统是否允许空密码登录,以及SSH登录是否会限制当前登录的重试次数。
上图中左下角展示了阿里云安全基线检查能力,以及对应的当前主机未通过的项,及其影响资产的范围。下面以一个demo的方式简单介绍阿里云基线检查能力。
② 案例展示
在实例详情页面,点击“基线检查”查看实例未通过的详情,这里可以看到具体的检查项,包括SSH空闲退出时间、是否空密码登录、是否允许非root账号登录实例等情况。点击“详情”还可以查看对应的风险下的具体情况。
(3)病毒查杀功能
云安全中心病毒查杀功能使用阿里云机器学习病毒查杀引擎和实时更新的病毒库,提供丰富的系统扫描项,持久化的后门、木马程序、各类shell等,有效地保护服务器免受各类威胁的侵扰和破坏。
①支持扫描及清理的病毒类型、扫描项
A.在主机安全中提到的各类病毒,主要包括勒索病毒、挖矿程序、DDoS木马、木马程序、各类后门程序、高危程序等
B.扫描项,包括我们当前系统中的活动进程、隐藏进程、Docker进程、内核模块、已安装程序、动态库劫持、服务、计划任务等需要密切关注的敏感项,还可以开启恶意主机行为防御功能。开启后,云安全中心会自动拦截主流木马病毒、勒索软件等常见安全威胁,并阻断其恶意行为。
上图的底部是一些典型的漏洞扫描、病毒查杀过程中的提示,包括具体的文件路径、进程情况,以及对应的处置建议,可以识别对抗安全软件的行为,并做精准的阻断。后面会演示直接在ECS中执行攻防对抗的过程,使得大家对病毒查杀能力有更为直观的认识。
② 案例
在测试机上执行一段已知的恶意漏洞代码,其会远程连接到攻击者的主机反弹shell,完成攻击流程。可以看到,在云安全中心详情页面,已经处理了对应的反弹shell攻击,类型是反弹shell,还有对应的事件行为说明,父、子进程的关系,以及黑客攻击者执行的具体代码。
(4)防勒索功能
(1)勒索病毒
勒索病毒是近几年中新出现的安全攻击形式,仅2022年上半年,全球就发生了2.361亿次的勒索攻击,如某国政务系统、某国自来水公司被勒索。勒索的最主要手段是将目标企业操作系统中所有的关键文件进行加密,再将原始数据清除,进而向被害者索要加密货币的赎金。从2022年第一季度到第二季度,勒索软件的攻击增加了18%,全球近1.3次事件增加到约1.06亿次。
2022年,仅勒索软件一项就影响了全球71%的企业,62.9%的勒索软件受害者支付了赎金。勒索病毒入侵会对用户的业务数据进行加密,导致用户业务中断、数据泄露和数据丢失,从而带来严重的业务风险。基于此,云安全中心针对勒索病毒提供了服务器防勒索和数据库防勒索两大功能,帮用户解决服务器、数据库被勒索病毒入侵的后顾之忧。
(2)功能介绍
针对勒索病毒,云安全中心为用户提供逐层递进的纵深式防御体系。
首先,最直接的是实时防御已知勒索病毒。借助云上海量的威胁情报,云安全中心实现了对大量已知勒索病毒的实时防御,可以在服务器被病毒感染前实现拦截勒索病毒,避免因关键系统文件或数据文件被加密而被勒索的情况。
其次,还可以通过诱捕、拦截新型未知勒索病毒。
勒索病毒会加密一些简单的Word、Excel文件,或数据库文件等,因此,可以通过在系统内放置一些假的诱捕项。当用户访问部分文件时不会造成恶意影响,但当勒索软件尝试遍历访问文件进行加密、删除原文件时,就会被诱捕的“蜜罐”捕获,进而实施勒索病毒捕获行为。一旦识别了对应的异常加密事件,就会立刻拦截对应的病毒,并通知用户进行排查清理,保护用户的数据安全。上图中底部即为开启的勒索功能的示意图。
三、Web应用安全
Web应用安全是云上典型的威胁空间向量,相当一部分威胁攻击都是通过对Web的攻击实现的,如SQL注入、DDos攻击等都属于应用安全的范畴。
1、威胁概览
Web应用攻击依然是互联网安全的最大威胁来源之一,除了传统的网页和APP,API和各种小程序也作为了新的流量入口快速崛起,更多的流量入口和更易用的调用方式,对应的安全攻击形式也随之增加。
2、威胁根因
Web应用安全面临威胁的根本原因在于传统Web攻击手段中,WebShell上传/通信、SQL注入和命令执行依然是最常见的行为。
Webshell是恶意的攻击者通过上传恶意的执行代码,导致Web的攻击者可以通过一种类似后门的方式远程控制用户的主机;SQL注入则是利用系统漏洞以混淆用户输入和预期执行SQL语句造成云上数据库中数据的泄露;命令执行也是因为输入校验不严,使得在接受用户输入时,把一部分用户输入当成了系统命令执行,进而导致云上系统的数据泄露或系统不可用。
3、应对方案
作为云上用户,可以主动从以下两个方面去应对风险和挑战:
第一,缩小攻击面。通过配置云防火墙等云上的安全产品或云安全组,统一梳理云环境对互联网的资产暴露情况,有效缩小网络攻击面,同时做好内部网络边界隔离,避免内部攻击的横向感染。这一点类似于交叉感染,或社区传播,我们可以通过云防火墙或安全组的配置,保证即使在病毒入侵的情况下,它也只能在小范围之内实现攻击,而不会影响到整体。
第二,保障应用的流量安全。我们需要选择有效的Web应用防火墙和对应的抗DDos产品,进而有效地避免来自网络空间的攻击流量或漏洞攻击,避免因此造成业务中断。
第一点更偏向于对内或对一些已经被攻击的资产的后续性攻击的缓解,第二段则倾向于是事前攻击的防御。从上图中的右侧,可以看到各类攻击的占比,可发现DDos攻击流量正呈现出不断上升的趋势。
4、云防火墙
这部分内容主要包括云防火墙的基本能力及其起到的安全作用。
阿里云云防火墙是一款云平台SaaS化的产品,具备自己的运维和管控平台,可针对用户的云上网络资产的互联网边界、VPC边界及主机边界,实现三位一体的统一安全隔离管控,是用户业务上云的第一道网络防线。
用户可以根据网络边界配置对应的防火墙,以便于用户进行逻辑分层,也方便后续的维护。有一些典型场景:
第一,云上有各类的互联网基础点,主机自己本身有对外的公网IP及EI,甚至还包括SLB等类似于负载均衡的产品。因此,对于此类公网的入口,用户可以通过配置对应的ECS安全组进行防护,也可以通过统一的管控平台进行各类资产的统一接入,使它在安全组的范畴之外额外拥有一道安全防线。
它最主要的优势在于可以实现企业内部整体防护水位的拉平,因为各个region、各个多账户的场景下,要使各类资产具有相同的安全接入防护和水位非常困难,因此,我们需要分别设置不同产品、地域、账户下的安全组规则,来使之达到相同的防御效果。这种运维相对困难,为实现更高维度上的安全防御,阿里云安全中心提供了统一的公网防护能力,来保护Web流量在进入内部的云上VPC时整体的防御能力。
第二,常规的主机防护需求。如果我们希望在云安全组的防控技术之上额外配置漏洞防御统一的数据流量准入和准出规则,就可以通过统一的平台配置对应的主机防护需求。
第三,跨VPC&云上云下防护需求。在一些企业上云过程中,会通过云企业网的方式将传统的VPC流动导入云上环境,此时,我们希望有一道防线去阻挡来自于线下IDC或其他外部的安全攻击导致的危险。此外,还存在一些其他的多账户之间的VPC互访场景,我们可以通过部署跨VPC的云防火墙能力,帮助用户抵御来自不同的维度的风险流量的攻击。
5、WAF防火墙
即Web应用防火墙,它类似于传统的防火墙在HP流量或其他应用层流量上的延伸。它一般对应用业务的负载配漏具备感知能力,如精确识别STB请求或MySQL等连接方面的能力。Web应用防火墙可以对网站或者app的业务流量对网站或者App的业务流量进行恶意特征识别及防护,在对流量清洗和过滤后,将正常、安全的流量返回给服务器,避免网站服务器被已知的SQL注入、XSS跨站等常见的安全攻击威胁,从而保障网站的业务安全和数据安全。
(1)案例
SQL注入:前面提到,由于编程者未妥善校验来自用户的输入,将用户的输入当作SQL语句执行,这样就有可能导致数据库中数据被篡改,或被泄露给攻击者;XSS攻击:会导致受害者客户被另外的客户偷取登录凭证等危险,即会导致其他用户的权限被泄露;Webshell上传:是指在网站被攻击之后,攻击者为了方便后续再次攻击和数据的爬取,就会在上面放置Webshell,后面的攻击与Webshell类似;命令注入:也是由于数据校验不严导致的,即把用户的输入当做shell命令执行,导致用户可以直接获取到系统的命令执行权限,用户攻击者后续再部署一些挖矿软件或僵尸网络等攻击程序,对用户的资产进行攻击;核心文件的非授权访问:如攻击者会尝试获取用户的一些个人信息或密码等。
(2)WAF防护的原理
首先,最下方是互联网的接入。对于正常用户和员工,其经过互联网连接到WAF,再进行流量的转发,就可以把流量转发到对应的ECS或SLB或IDC之上。在这个过程中,WAF会进行恶意的流量的过滤和清洗,以保证正常用户的流量可以通过WAF,并抵达业务服务器,进而保证业务的正常运行。但对于黑客或爬虫,它会在短时间之内发出大量流量,以机器的方式访问网站,导致信息泄露或系统性能的降低,还会有黄牛或者扫描器进行非正常的流量的访问。那么,针对这些流量,WAF可以通过各类MIP的识别、接入应用内容的识别,如典型的Payroll注入、HGP流量或其他的特征方式识别对应的攻击,进行精准防御。下面会通过一个云上WAF案例详细说明云上WAF防卫的能力。
(3)案例展示
首先,完成Web应用部署,在完成了整个环境的搭建之后,通过Dock compose拉起整个环境,包括MySQL等。刷新页面,可以看到对应的业务被上传登录,请求也已经传入了服务端。此时,进行典型Payroll的注入,它是典型的MySQL利用技巧,通过分割单引号来分割数据和SQL注入的数据,然后就可以看到对应的攻击流量已被WAF拦截。接下来切换到对应的业务方防火墙WAF的管理控制台查看情况,在Web应用服务的总览中能看到当前应用的访问量以及已经成功防御入侵防护数量,也可以看到具体的流量成分。
此外,还可以看到攻击来源的具体IP、攻击的网址url、攻击者输入的攻击手段和日志、攻击的类型,案例中是SQL注入,即通过非完整的用户输入检查完成攻击。当然,这只是一个简单的演示,日常情况或实战中的攻击会更加复杂。通过日志服务,我们可以看到Web用户访问的实际情况,包括用户是否被阻断、用户的来源及其他各方面的信息。
在WAF中,用户可以批量地运维、应用保护。
四、网络流量安全
1、DDos攻击
(1)简介
DDos是公认的互联网公害,分布式拒绝服务(Distributed Denial of Service,简称DDoS)是指将多台计算机设备联合起来作为攻击平台,通过远程连接,联合发起攻击,消耗目标服务器的计算资源,使得流量无法正常提供服务。
这里的设备不单指计算机、手机,而是更泛的计算设备,更多的情况下是路由器、摄像头或其他的IOC设备。这类设备之所以容易被黑客攻击,是因为此类的设备缺乏常规的安全运维,其自身的安全更新也难以实现,一般的摄像头、路由器在出厂之后很难进行更新。此类设备在受到黑客攻击之后可能会长久地沦为黑客攻击的跳板。
(2)危害
① 对用户的服务重大经济损失。在遭受DDoS攻击后,用户的源站服务器可能无法提供服务,导致业务无法访问,从而造成巨大的经济损失和品牌损失。如某电商平台在遭受DDoS攻击时,网站无法正常访问甚至出现短暂的关闭,导致合法用户无法下单购买商品等。此外,如OSS或其他服务按量收费,如果未妥善设置,会导致对应流量被大量恶意攻击者消耗,造成一定的经济损失。
② 数据泄露。黑客在对用户的服务器进行DDoS攻击时,由于系统的资源不足,其他的攻击更容易侵入,窃取用户的业务核心数据,因为流量、数据量很多,恶意和善意的流量交织,导致用户无法百分之百拦截所有的恶意流量,使得攻击成功。
③ 恶意竞争。竞争对手可能会通过DDoS攻击恶意攻击服务,从而在行业竞争中获取优势。如某游戏业务遭受了DDoS攻击,游戏玩家无法俸禄,数量锐减,进而导致该游戏业务几天内迅速彻底下线。
(3)判断业务是否遭受DDos攻击的方法
一般情况下,DDos攻击很难通过用户自身的努力、操作和行为完全规避,因此,只能识别DDos攻击并采用对应的策略缓解攻击,降低损失。由于DDos攻击一般不是持续的,因为此类攻击对攻击者也会产生成本,因此只要在攻防战中取得一定的优势,就会获得最终的胜利。
若出现了以下情况,则说明业务可能已经受到了DDos攻击:
① 在网络和设备正常的情况下,服务器突然出现连接断开、访问卡顿、用户掉线等情况;
② CPU或内存出现明显增长,流量数量急剧增多,cpu和内存不足以处理现有的流量;
③ 网络出方向或入方向流量出现激增。
还有一些其他类似的迹象暗示服务器已经遭受了DDos攻击。
(4)用户的DDoS攻击缓解方案
其一,缩小攻击面,隔离资源和不相关的业务,降低被攻击的风险。我们可以通过配置安全组、使用专用网络VPC来隔离对外暴露的的端口,以降低DDos的攻击。因为并不是所有的DDos攻击都是HP流量,我们可以通过缩小对外暴露的端口或对外暴露的应用接口,缓解对外被DDos攻击影响的情况。
其二,优化业务的架构,利用公共云的弹性伸缩和灾备切换的能力防御此类攻击对业务造成的影响。当攻击来临时,如果系统不能容纳流量,就可以进行横向的扩容,抵御DDos攻击。
其三,做好服务器安全加固,避免服务因为已知的漏洞被DDos攻击。如因为系统软件存在的漏洞,恶意攻击者发出精心构造的流量,触发系统中的bug,进而导致系统运行缓慢。在这种场景下,更新系统软件就可以缓解或避免被攻击时的效果。
其四,选择合适的商业化安全方案。阿里云在提供免费的基础DDos防护之上,也提供了商业化的安全方案。阿里云DDos基础防护默认为ECS实例免费提供不超过5Gbps的DDos攻击防御能力。其防御的原理和框架图如上图右侧部分所示,它会根据云上数据定向拦截来自于DDos设备攻击带来的流量,保证正常业务流量顺利抵达后端的SLB或ECS,实现完整的DDos攻击的防御。
我们还推荐配合WAF保护对应的Web应用安全。因为此类DDos攻击一般也伴随着对应用层的安全攻击,与WAF结合之后,可以防御对应的Web安全攻击。
五、操作审计
当前章节主要介绍Action Trail 的一些基础能力。
1、操作审计
主要是为了满足用户对事后审计的需求,如它可以帮助用户记录云上阿里云账号的活动,无论是通过阿里云控制台,或是OpenAPI,或是手机及其他方面操作云上的一些业务和产品,这些事件都会被阿里云操作审计的服务记录,并将其传入OSS或SSH日志服务,可以进行后续的行为分析、安全分析、资源变更行为的追踪,以及合规能力的审计。云上操作行为主要是通过自动化运维、用户手动的能力进行对应的操作,针对不同类型事件,我们会进行分类,如获取当前的ECS数量是典型的读事件,ECS实例创建等属于典型的写事件。
我们把这些事件进行统一的风险分析、异常分析和行为分析,进行告警,可以为用户构建持续性的事件审计及跟踪、安全分析的能力。
2、典型使用场景
① 等保合规需求
根据等保2.0条例要求,云上租户必须记录账户活动并至少保存180天。通过操作审计可以将账号活动记录投递到日志服务或OSS存储空间并长久保存。
② 安全分析
操作审计会对用户操作进行详细的记录,通过这些事件,用户可以判断自身账号是否存在安全问题。例如,用户的安全凭证会被攻击者利用,攻击者会通过获取到的安全凭证创建大量的ECS计算资源,进行挖矿等一系列不合法的活动,用户就可以通过日志审计得到对应的API的调用以及相关的调用情况,如来源IP、使用的AK、登录的授权凭证等,帮助用户进行分析、排查危险。
③ 资源变更和追踪
当ECS由于未知原因关闭或释放,要想知道ECS是被何人、在何时、以何种方式被停用,就可以通过操作审计能力明确对应的操作者或API账号、时间、上下文。
④ 企业内控和合规性审计
当前已经通过各类RAM账号或子账号对企业内部的运维人员进行了合规规约,可以通过操作审计能力,审计操作者、运维者的行为是否符合预先设定的规则。需要提示的是,考虑到当前合规政策的趋紧,假设用户在国内外同时部署了服务,且各地都有核心需求,我们建议用户分别创建追踪不同国家地域之上的操作事件,并分别投递到当地的存储空间,避免对应的风险合规需求。
风险只是一方面,典型的情况是,我们可以通过配置操作审计,创造瞬间跟踪,把对应的API操作日志投递到日志服务,且后续还可以通过SQL进行简单的查询,或通过设置告警的方式在敏感事件发生时进行处理和分析。
六、总结
1、做好主机安全:我们要选择有效的主机安全产品,以确保主机具备合格的反病青和威肋检测能力,从而有效预防病毒和黑客攻击造成的破坏。
2、缩小攻击面:通过配置防火墙,我们可以统一梳理云环境对互联网的资产暴露情况。有效縮小的网络攻击面,同时把网路边界隔离做好避免内部攻击的横向感染。
3、保障应用的网络安全:我们需要选择有效的Web应用防火墙和抗DDoS产品,可以有效阳挡来自网路的攻击流量或是漏洞攻击,避免攻击造成的业务中断。
4、做好漏洞管理:漏洞己经成为主要的入侵方式之一,用户需要选择有具备应用漏洞检测的安全产品,从而确保在第一时间发现漏洞井修复。如果无法修复,也要确保有对应的缓解措施拦截漏洞利用的攻击,同时在主机上安装有效的安全产品及网页防篡改能力的产品,以保障被入侵后可以有效的阻断攻击链。
5、进行定期的操作审计:回溯之前的所有的安全操作链条是否完备,是否有缺陷,再进行调整,进而保证云上处于安全状态。
以上是本次分享的全部内容。
