CloudOps云上运维系列课程第八节由阿里云弹性计算高级技术专家张振华和阿里云弹性计算技术专家陈怀可主讲《体系化提升ECS安全性的最佳实践》。
Cloudops是阿里云为用户倾力打造云上自动化运维工具,它除了能提供云上业务降本增效,提升ECS可用性和ECS弹性能力的解决方案之外,也提供了ECS安全防护方面的运维能力。在用户允许的前提下,可以为用户的云上ECS做一次安全方面的“体检”,为用户提供安全方面的指导建议和意见,为用户在云上ECS的环境安全保驾护航。
本节课的主要分为以下四个部分:
第一部分,云上ECS所面临的典型安全威胁及云上安全的责任共担模型;
第二部分,ECS的安全能力图谱;
第三部分,借助cloudops体系化地提升ECS安全性;
最后,课程总结。
1. 云上ECS面临的典型安全威胁
1.1 云上ECS面临的典型安全威胁
根据历史经验和以往的用户工单统计,目前云上ECS主要面临5种安全威胁,包括蠕虫或木马类病毒、DDos网络攻击、勒索软件、用户AK或密钥泄露,以及利用漏洞从公网进行的直接Web类入侵。
有关于阿里云与各类安全威胁的对抗记录中,有这样一组数据:阿里云平均每年要对客户发出10万次挖矿病毒的告警;阿里云防御过的最大一次DDos攻击达到了惊人的2.08Tbps,防御了每秒万亿级别的网络峰值流量;阿里云每年通过漏洞检测可以发现3亿个系统漏洞,并提示用户及时修复漏洞;2022年,阿里云帮助用户清理的黑客工具超过700万个。
总之,阿里云一直在帮助用户守护云上ECS的安全,并一直把增强用户ECS的安全防护能力作为非常重要的事情来对待。
1.2 安全的责任共担模型
为提升用户在云上ECS的安全防护能力,阿里云也需要得到用户的全力支持和配合。
首先,阿里云作为云厂商,会负责基础设施和云服务的安全性。其中,基础设施包括了物理主机安全、硬件安全加固、虚拟化安全等,为用户提供安全、合规、可靠服务所需的基础设施;云服务安全包括控制平面、数据安全、通信安全及合规性等全方位的安全保障。总而言之,阿里云负责云本身的安全性。
而作为用户,也需要保障云上的安全性。这里主要包括了用户自身的数据安全、网络安全、身份和访问控制安全,以及GuestOS内的系统和软件层面的安全。
在这种安全责任共担的模型下,阿里云保障云平台层面的安全并提供云产品的安全能力和Cloudops安全服务给用户,同时,也希望用户能在阿里云的建议下,及时地对ECS进行安全加固,提升自身的安全水位,以降低对安全威胁的顾虑,更专注于核心业务的发展。
2. ECS安全能力图谱
首先了解一下ECS作为一款云产品所提供的安全能力,即ECS安全能力图谱。
2.1 ECS安全能力图谱
ECS的安全能力分为5个模块,这5个模块的安全能力,都被Cloudops安全性能力评估所覆盖。这5个模块的能力说明如下图所示。
从下至上依次进行介绍:
(1)GuestOS安全:指的是用户虚拟机内的安全能力。ECS会提供远程登陆的安全保护,以及操作系统中镜像加固和自动安装安全补丁的保护能力。
(2)网络安全:ECS提供了强大的网络隔离和访问控制能力,包括了普通安全组与企业级安全组两种安全组、VPC隔离和网络ACL两种网络隔离能力,以及PrivateLink私网连接的能力,避免用户通过公网访问业务,会将不需要暴露的内部业务和服务暴露给公网,带来潜在的安全风险。
(3)身份与访问控制:身份认证是非常重要的安全能力,阿里云提供了多达6种不同的认证方式,比较推荐的是MFA多因素认证模式。在访问授权方面,阿里云提供了单个ECS实例级别的访问控制能力,以及通过资源组来进行批量授权的能力。操作审计,可以为用户提供事后的操作审计日志和记录,方便用户排查历史上针对ECS实例的操作内容、操作时间、操作人等信息。
(4)数据安全:ECS提供了对于快照、镜像的自动备份、加密,以及针对于计算环境的安全,如机密计算实例,可以保护计算环境的安全。
(5)应用安全:用户可以借助云安全中心和阿里云其他安全产品,实现对ECS内的应用漏洞检测、修复等安全加固。此外,阿里云还提供了应用防火墙WAF、DDos防护、堡垒机等其他安全产品,这里不作一一介绍。
2.2 CloudOps安全性能力评分
在阿里云看来,保护用户数据安全和用户隐私是ECS非常重要的任务和目标。为此,阿里云提供了Cloud0ps安全性能力评分,引导用户正确使用ECS产品的安全特性,帮助用户提升云上资产的安全与合规性。
在阿里云看来,保护用户数据安全和用户隐私是ECS非常重要的任务和目标。为此,阿里云提供了Cloud0ps安全性能力评分,引导用户正确使用ECS产品的安全特性,帮助用户提升云上资产的安全与合规性。
用户只需要在ECS控制台左侧的导航页中,找到“概览”,点击“概览”后,在右侧找到“ECS使用成熟度评估与洞察”,进行成熟度评分,就可以看到自己安全性能力的评估详情。根据评分结果和ECS提供的指导意见,可以一步步操作进行安全加固。
3. 如何体系化提升ECS安全性
前面已经学习了“云上ECS面临的安全威胁”以及”ECS安全能力图谱”,接下来继续学习“如何体系化提升ECS安全性”。
按照“ECS安全能力图谱”,这部分内容将围绕以下五个维度详细展开,分别是GuestOS安全、网络安全、身份与访问控制、数据安全和应用安全。
1) GuestOS安全
在具体讨论“如何体系化提升ECS安全性”之前,先了解一个真实的安全事件案例——特朗普推特账号被盗事件。
前美国总统特朗普酷爱推特分享,但在特朗普时任总统期间,他的推特账号曾经被盗用过。而其作为公众人物,一言一行都具有较大的影响力,因此安全事件造成了极大的影响。整个安全事件的起因是:2012年,LinkedIn网站被黑客攻击"脱库",并于2016年,LinkedIn泄露的数据库被公开,公开的数据库包含了特朗普的账号和密码,通过该账号、密码,攻击者又攻击了他的Twitter账号密码。
这是一个典型的撞库攻击案例。在大多数人的行为习惯中,会在所有场景中长期使用一个或几个密码最为固定的密码,不会特意去修改。而LinkedIn泄露的数据库包含了川普总统常用的账密,导致攻击者可以使用该账密在其他任意主流平台上尝试登录。不幸的是,特朗普总统也和大多数人一样,习惯性使用同一套密码而且并不会定期修改密码,最终导致了他的推特被入侵。
回首整个安全事件,事件的根本原因在于长期使用一套固定的密码,而不作定期修改。
除了刚刚安全事件案例中使用的撞库攻击手段外,业界还存在其他的常规密码破解方案。下图右侧表格中展示了一些常用的密码,如“123456”“123456789”“abc123”“admin”“password”“iloveyou”“welcome”等等,可能很多人都曾经使用过或正在使用这些密码。攻击者会使用大多数人常用的密码进行字典攻击。使用这些简单的密码,攻击者攻击的成本是非常低廉的。在这个角度,使用复杂的密码可以在一定程度上提高被攻击的难度,但仍旧无法保证账号百分之百的安全,毕竟类似暴破、钓鱼、社工等多达8种的攻击手段防不胜防。
使用账密如此危险,因此,在云上ECS实例中,阿里云建议客户尽量避免密码的使用,以减低相关安全风险。关于非使用账号密码的登录方式,ECS在GuestOS安全产品能力中为用户提供了一套详细的解决方案。
(1)使用会话管理免密登录ECS实例
传统的登录方式常用的方法是 开放公网IP,然后使用账密登录。这个方法存在几个缺点:首先,公网IP开放,导致所有人都可以访问到该实例,增加了攻击面,容易被攻击;其次,简单的密码容易被破解,复杂的密码也有可能通过撞库等方式被攻破,需要定期修改密码,导致账密的管理较为困难;此外,由于无法记录和审计,不能及时发现非预期的访问。
而使用云助手会话管理登录能够极大的提高安全性,这种登录方法包括以下几个优点:第一,不需要分配公网IP就可以直接访问,避免ECS实例暴露到公网环境,降低被被攻击的风险;第二,不需要设置管理密码,可以直接免密登录,避免了账密泄露导致的风险;第三,还可以使用 RAM管理 灵活分配和收回登录权限;第四,可记录、可审计,能够及时发现非预期内的访问行为。
(2)基础安全服务
除了具有访问用户的操作系统安全产品能力外,ECS还提供了很多操作系统本身的安全能力,包括安全加固镜像、自动化补丁基线、热补丁系统内核。
在购买实例时,ECS会默认为用户启用安全加固能力(云安全中心Agent),免费为客户提供了基础的安全服务,包括异常登录检查、漏洞扫描、基线配置核查、AK泄露检查等。
另外在自动化补丁基线中,用户还可以使用OOS运维编排服务中的补丁基线,只要经过简单的配置即可实现自动扫描与修复操作系统的高危安全漏洞。
最后,在热补丁系统内核,当用户的操作系统内核出现高危漏洞或者一些重要的错误需要修复时,也无需重启操作系统,而不会影响部署的业务,ECS的Alibaba Cloud Linux 2提供了系统内核的热补丁能力。
∙ 等保合规镜像服务
∙ 对于有更高安全要求的客户,阿里云还提供了符合国家等保2.0三级版本的镜像。
该镜像天然符合三级等保合规要求,包括身份鉴权、访问控制、入侵防御和恶意代码防范能力等。
上面在GuestOS安全中介绍了ECS的几个产品安全能力,包括使用会话管理免密登陆;提供了基础安全服务的安全加固镜像;通过OOS补丁基线自动升级高危安全漏洞;同时若系统内核发现高危安全漏洞时,支持热补丁技术修复;对安全有更高要求的用户,可使用满足三级等保合规的镜像。
但是即使客户使用这些产品安全能力后,也仍旧无法高枕无忧。接下来,了解一起安全事件案例——美国国家安全委员会数据泄露事件。
2023年3月7日,有攻击者发现美国国家安全委员会网站的一个子域名,该子域名可能是用于内部开发测试目的,网站中包含了2000多家公司,将近1万份账号及密码,但其却意外地允许公众直接访问这些机密数据,最终导致2000多家公司的账密泄漏,这可能会导致有关公司被部署勒索软件、窃取或者破坏内部文件。导致该安全事件的根本原因在于:内网数据非预期暴露到公网环境,以及未对敏感信息做身份认证与访问控制。对于避免此类的问题发生,ECS在网络安全产品能力与身份与访问控制能力中为此提供了解决方案。
2) 网络安全
(1)实例级虚拟化防火墙
安全组是ECS免费为用户提供的实例级别虚拟化防火墙,使用安全组可控制用户的ECS实例数据的流入和流出,它具备状态检测和数据包过滤功能。使用安全组可设置单台或多台云服务器的网络访问控制,它是重要的网络安全隔离手段,用于在云端划分网络安全域。ECS提供安全组作为一项重要的安全工具用于保护用户的实例,用户需要对其进行配置以满足自身的安全需求。
安全组分为普通安全组与企业安全组,如上图所示,它们主要的区别在于:普通安全组默认实例间可以通信,并允许访问公网;而企业安全组禁止实例间通信,默认禁止访问公网。一般情况下,除非必要,建议使用企业安全组,并合理地使用安全组规则用于控制ECS实例的出入流量。
(2)VPC专有网络隔离
除安全组外,ECS还为用户提供VPC专有网络,帮助用户基于隧道技术实现数据链路层的隔离,为每个用户提供独立隔离的虚拟安全网络环境。
在 VPC 内部,用户可以自定义子网、网段、路由表、网关等对应信息,阿里云建议客户使用单独的VPC按照组织实体或者业务隔离实例,如可以使用子网隔离单个VPC中的应用程序,例如数据库和Web。
在VPC中,还提供网络ACL访问控制功能:
用户可以自定义设置网络ACL规则,并将网络ACL与交换机绑定,用户控制交换机中数据的流入和流出,实现对交换机中云服务器ECS实例出入流量的访问控制。阿里云建议用户根据业务场景的实际需求,使用网络ACL访问控制能力,用户可以自定义设置网络ACL规则,并将网络ACL与交换机绑定,用户控制交换机数据的流入和流出,实现对交换机中云服务器ECS实例出入流量的访问控制。
阿里云建议用户根据业务场景的实际需求,使用网络ACL访问控制能力,通过白名单限制指定预期访问对象流量访问到用户实例中。
刚刚在网络安全中介绍了ECS的几个产品安全能力,包括以下几个方面:
有实例级别虚拟化防火墙安全组,可以帮助用户控制实例的数据流量,也有可以帮助用户按照组织实体或者业务隔离实例的VPC专用网络,还有通过交换机实例流量进行访问控制的网络ACL。使用些产品安全能力能够帮助用户更便捷地进行网络安全防护。
3) 身份与访问控制
美国国家安全委员会信息泄露事件,除了内网数据暴露之外,导致该事件发生还存在第二个根本原因,即未对敏感信息作身份认证与访问控制。
由此可以得出,除了进行网络安全防御外,还应做好身份与访问控制。
3.1 基于身份授予资源访问权限
很多人使用云账号的时候,会直接使用主账号,而这种使用方式并不十分安全,因为主账号具备所有资源操作的超级权限,如云服务器、负载均衡、对象存储、VPC、NAT网关、云数据库等。阿里云建议用户限制自身的ECS资源只被特定的对象访问,可以根据组织实体或业务场景,创建不同的RAM账号、用户组,并为每个用户分配唯一的安全凭证,根据最小权限原则,控制每个用户、用户组对ECS资源授予不同的操作权限,分权管理不同的资源,以降低信息泄露风险。
如上图所示,用户可以为实例的运维团队、业务团队、网络管理人员、数据库管理人员授予不同资源的访问权限。阿里云建议用户根据实际业务场景,基于身份授予最小级的资源防控权限,合理地分配、使用权限,尽量避免用户授予角色权限过大的问题。
3.2 使用资源组进行批量授权
对有更细粒度的ECS资源访问控制需求的用户,我们推荐使用资源组进行批量授权。当前资源标签支持实例、存储、快照、镜像、安全组、弹性网卡、专有宿主机、SSH密钥对等ECS资源创建指定的标签来设计资源或者角色访问控制。下图是一个批量授权案例:
该案例展示了三个游戏项目,每个项目涉及多种云资源,每个项目都需要独立管理,并且只能看到自己负责的项目内容,此时就可以使用资源组,分别把三个项目涉及的资源,放入各自对应的资源组中,三个项目的成员分别赋予各自项目资源组的权限,这样项目之间的用户就无法访问到其他项目中的资源了。
3.3 开启操作审计
阿里云还强烈建议客户开启操作审计服务。
ActionTrail(操作审计服务)可以帮助用户监控记录云账号对产品、服务的访问和使用行为,用户可以根据这些行为进行安全分析,以监控未授权的访问,识别潜在的安全配置错误、威胁或意外行为,或满足行为合规审计要求等操作。
刚刚在身份与访问控制中介绍了ECS的几个产品安全能力。阿里云建议用户基于身份授予访问ECS资源权限;对有更细粒度的ECS资源访问控制需求的用户,推荐使用资源组进行批量授权;建议用户启用操作审计服务,监控云账号对操作行为,以进一步进行安全分析。
但使用了 GuestOS安全、网络安全、身份与访问控制几个维度的产品安全能力,仍旧无法保证安全。接下来,继续了解一个安全事件——斯里兰卡国家政务云被黑事件。
2023年9月份,斯里兰卡国家政务云被攻破,且丢失了4个月的重要数据。分析该事件,发现斯里兰卡政务云中使用了一款软件,这款软件已经过时,不再维护,并且软件中存在着致命的安全漏洞,攻击者通过这个软件漏洞发起了勒索软件攻击,最终导致近4个月的数据永久丢失。
导致该事件发生的原因有两个,一是使用了“停服”的软件,另一个是缺失数据备份计划。针对此类安全事件,ECS在数据安全产品及应用安全能力中提供了相应的解决方案。
3.4 数据安全
(1) 定期备份数据
阿里云建议用户针对重要的数据制定定期备份计划,用户可以使用快照、镜像备份重要数据。当系统出现问题时,用户使用快照将云盘回滚到之前的某个时刻,或者使用快照或镜像新创建一个云盘或实例,在新云盘或实例中保留之前的备份数据。
阿里云建议在创建云盘时启用“自动快照策略”,它将会自动定期备份数据,以防止重要数据以外丢失问题。
(2)加密数据
对数据安全或法规合规场景有需求的客户,ECS还提供了数据加密能力。
用户可以使用ECS免费创建的KMS服务密钥,也可以自行在KMS托管密钥材料创建BYOK密钥,使用这些密钥对落盘数据进行加密,以保证数据安全性。值得注意的是,加密能力一旦开启,将无法禁用。换言之,加密云盘、快照、镜像后,将无法转化为非加密云盘、快照、镜像。且加密密钥销毁后,密钥关联的云盘、快照、镜像中的数据将不可恢复。
阿里云强烈建议您在购买实例或购买云盘时,启用加密能力,以更好地保护数据安全性。
(3)高密与机密数据保护
对于有更高安全要求的特殊场景,例如金融服务、医疗服务、互联网服务,ECS还提供了加密计算、可信计算能力,对高密、机密数据进行保护。
机密计算、可信计算对整个计算环境,是基于硬件安全芯片,从CPU、内存甚至是device交互整个过程对数据进行的加密保护。它是芯片级别安全环境隔离,能更好地保证数据的安全性。这部分内容会在后续的机密计算专题详细展开讲解。
刚刚在数据安全中介绍了ECS的几个产品安全能力,包括定期备份重要数据,开启数据加密,针对于高密、机密业务场景,启用机密计算、可信计算,以便更好的保护数据。
5) 应用安全
回顾前面提及的斯里兰卡政务云被黑安全事件:
其起因除了数据未及时备份之外,还在于系统中客户使用了过期停服的软件。针对该类问题,ECS在应用安全产品能力中提供了解决方案。
(1)定期漏洞扫描
云安全中心免费版提供了漏洞扫描能力,可以进行定期漏洞扫描。
该能力支持Linux、Windows系统漏洞,也支持Web-CMS等常见漏洞类型的扫描,可以帮助用户更全面地了解自身资产中的漏洞风险;另外,它还能针对近期互联网上爆发的高危漏洞,做应急漏洞检查,帮助用户及时发现系统中存在重大漏洞。阿里云建议用户定期检查、管理漏洞,以确保用户了解自身资产面临的漏洞风险,降低系统被入侵的风险。
(2)AK泄露检查
除了漏洞扫描之外,云安全中心免费版还支持AK泄露检查。
AK泄露检查可以实时检查GitHub等平台公开源代码中是否包含阿里云账号AK,避免AK泄露风险。
在应用安全中,介绍了ECS的几个产品安全能力。
建议用户使用云安全中心免费版,定期执行漏洞扫描管理您的漏洞,以及使用AK泄露检查能力,避免AK泄露后的重大安全风险。
4. 总结
前面了解了三个实际发生的安全事件案例,针对这些安全事件,ECS提供了很多产品上的的安全能力解决方案,可以发现仅从某一个或某几个方面做安全防御是远远不够的,纵深安全防御是提升ECS安全性的关键。
安全对抗防御不是一个点的防御,而是需要体系化的纵深防御。数据安全和用户隐私一直以来是ECS最重要的原则。为此,ECS投入了大量的资金和精力,为用户提供了从GuestOS安全、身份与访问控制、网络安全、数据安全、应用安全五个维度的安全纵深防御的产品安全能力。未来,阿里云将会在安全领域上持续的投入,为用户提供更安全、更稳定的产品能力。
此外,ECS还提供了Cloudops安全性评分工具,旨在引导客户使用ECS产品安全能力,以帮助客户提升云上资产安全性与合规性。通过Cloudops安全性评分工具,用户可以快速提升自身的ECS安全性。
