带你读《从基础到应用云上安全航行指南》——云安全专家教你如何实现一体化、自动化的云安全审计，运营闭环（3）

带你读《从基础到应用云上安全航行指南》——云安全专家教你如何实现一体化、自动化的云安全审计，运营闭环（2）：https://developer.aliyun.com/article/1441291

WAF防火墙

 

 

即Web应用防火墙，它类似于传统的防火墙在HP流量或其他应用层流量上的延伸。它一般对应用业务的负载配漏具备感知能力，如精确识别STB请求或MySQL等连接方面的能力。Web应用防火墙可以对网站或者app的业务流量对网站或者App的业务流量进行恶意特征识别及防护，在对流量清洗和过滤后，将正常、安全的流量返回给服务器，避免网站服务器被已知的SQL注入、XSS跨站等常见的安全攻击威胁，从而保障网站的业务安全和数据安全。

 

（1）案例

 

SQL注入：前面提到，由于编程者未妥善校验来自用户的输入，将用户的输入当作SQL语句执行，这样就有可能导致数据库中数据被篡改，或被泄露给攻击者；XSS攻击：会导致受害者客户被另外的客户偷取登录凭证等危险，即会导致其他用户的权限被泄露；Webshell上传：是指在网站被攻击之后，攻击者为了方便后续再次攻击和数据的爬取，就会在上面放置Webshell，后面的攻击与Webshell类似；命令注入：也是由于数据校验不严导致的，即把用户的输入当做shell命令执行，导致用户可以直接获取到系统的命令执行权限，用户攻击者后续再部署一些挖矿软件或僵尸网络等攻击程序，对用户的资产进行攻击；核心文件的非授权访问：如攻击者会尝试获取用户的一些个人信息或密码等。

 

（2）WAF防护的原理

 

首先，最下方是互联网的接入。对于正常用户和员工，其经过互联网连接到WAF，再进行流量的转发，就可以把流量转发到对应的ECS或SLB或IDC之上。在这个过程中，WAF会进行恶意的流量的过滤和清洗，以保证正常用户的流量可以通过WAF，并抵达业务服务器，进而保证业务的正常运行。但对于黑客或爬虫，它会在短时间之内发出大量流量，以机器的方式访问网站，导致信息泄露或系统性能的降低，还会有黄牛或者扫描器进行非正常的流量的访问。那么，针对这些流量，WAF可以通过各类MIP的识别、接入应用内容的识别，如典型的Payroll注入、HGP流量或其他的特征方式识别对应的攻击，进行精准防御。下面会通过一个云上WAF案例详细说明云上WAF防卫的能力。

 

（3）案例展示

 

https://cloud.video.taobao.com/play/u/null/p/1/e/6/t/1/448380849880.mp4

 

首先，完成Web应用部署，在完成了整个环境的搭建之后，通过Dock compose拉起整个环境，包括MySQL等。刷新页面，可以看到对应的业务被上传登录，请求也已经传入了服务端。此时，进行典型Payroll的注入，它是典型的MySQL利用技巧，通过分割单引号来分割数据和SQL注入的数据，然后就可以看到对应的攻击流量已被WAF拦截。

  

接下来切换到对应的业务方防火墙WAF的管理控制台查看情况，在Web应用服务的总览中能看到当前应用的访问量以及已经成功防御入侵防护数量，也可以看到具体的流量成分。

 

此外，还可以看到攻击来源的具体IP、攻击的网址url、攻击者输入的攻击手段和日志、攻击的类型，案例中是SQL注入，即通过非完整的用户输入检查完成攻击。当然，这只是一个简单的演示，日常情况或实战中的攻击会更加复杂。通过日志服务，我们可以看到Web用户访问的实际情况，包括用户是否被阻断、用户的来源及其他各方面的信息。

 

在WAF中，用户可以批量地运维、应用保护。

四、网络流量安全

DDos攻击

 

 

（1）简介

DDos是公认的互联网公害，分布式拒绝服务（Distributed Denial of Service，简称DDoS）是指将多台计算机设备联合起来作为攻击平台，通过远程连接，联合发起攻击，消耗目标服务器的计算资源，使得流量无法正常提供服务。

 

这里的设备不单指计算机、手机，而是更泛的计算设备，更多的情况下是路由器、摄像头或其他的IOC设备。这类设备之所以容易被黑客攻击，是因为此类的设备缺乏常规的安全运维，其自身的安全更新也难以实现，一般的摄像头、路由器在出厂之后很难进行更新。此类设备在受到黑客攻击之后可能会长久地沦为黑客攻击的跳板。

 

（2）危害

 

① 对用户的服务重大经济损失。在遭受DDoS攻击后，用户的源站服务器可能无法提供服务，导致业务无法访问，从而造成巨大的经济损失和品牌损失。如某电商平台在遭受DDoS攻击时，网站无法正常访问甚至出现短暂的关闭，导致合法用户无法下单购买商品等。此外，如OSS或其他服务按量收费，如果未妥善设置，会导致对应流量被大量恶意攻击者消耗，造成一定的经济损失。

 

② 数据泄露。黑客在对用户的服务器进行DDoS攻击时，由于系统的资源不足，其他的攻击更容易侵入，窃取用户的业务核心数据，因为流量、数据量很多，恶意和善意的流量交织，导致用户无法百分之百拦截所有的恶意流量，使得攻击成功。

 

③ 恶意竞争。竞争对手可能会通过DDoS攻击恶意攻击服务，从而在行业竞争中获取优势。如某游戏业务遭受了DDoS攻击，游戏玩家无法俸禄，数量锐减，进而导致该游戏业务几天内迅速彻底下线。

 

（3）判断业务是否遭受DDos攻击的方法

一般情况下，DDos攻击很难通过用户自身的努力、操作和行为完全规避，因此，只能识别DDos攻击并采用对应的策略缓解攻击，降低损失。由于DDos攻击一般不是持续的，因为此类攻击对攻击者也会产生成本，因此只要在攻防战中取得一定的优势，就会获得最终的胜利。

 

 

若出现了以下情况，则说明业务可能已经受到了DDos攻击：

 

① 在网络和设备正常的情况下，服务器突然出现连接断开、访问卡顿、用户掉线等情况；

 

② CPU或内存出现明显增长，流量数量急剧增多，cpu和内存不足以处理现有的流量；

 

③ 网络出方向或入方向流量出现激增。

 

还有一些其他类似的迹象暗示服务器已经遭受了DDos攻击。

（4）用户的DDoS攻击缓解方案

其一，缩小攻击面，隔离资源和不相关的业务，降低被攻击的风险。我们可以通过配置安全组、使用专用网络VPC来隔离对外暴露的的端口，以降低DDos的攻击。因为并不是所有的DDos攻击都是HP流量，我们可以通过缩小对外暴露的端口或对外暴露的应用接口，缓解对外被DDos攻击影响的情况。

 

其二，优化业务的架构，利用公共云的弹性伸缩和灾备切换的能力防御此类攻击对业务造成的影响。当攻击来临时，如果系统不能容纳流量，就可以进行横向的扩容，抵御DDos攻击。

 

其三，做好服务器安全加固，避免服务因为已知的漏洞被DDos攻击。如因为系统软件存在的漏洞，恶意攻击者发出精心构造的流量，触发系统中的bug，进而导致系统运行缓慢。在这种场景下，更新系统软件就可以缓解或避免被攻击时的效果。

 

其四，选择合适的商业化安全方案。阿里云在提供免费的基础DDos防护之上，也提供了商业化的安全方案。阿里云DDos基础防护默认为ECS实例免费提供不超过5Gbps的DDos攻击防御能力。其防御的原理和框架图如上图右侧部分所示，它会根据云上数据定向拦截来自于DDos设备攻击带来的流量，保证正常业务流量顺利抵达后端的SLB或ECS，实现完整的DDos攻击的防御。

 

我们还推荐配合WAF保护对应的Web应用安全。因为此类DDos攻击一般也伴随着对应用层的安全攻击，与WAF结合之后，可以防御对应的Web安全攻击。

五、操作审计

当前章节主要介绍Action Trail 的一些基础能力。

操作审计

 

主要是为了满足用户对事后审计的需求，如它可以帮助用户记录云上阿里云账号的活动，无论是通过阿里云控制台，或是OpenAPI，或是手机及其他方面操作云上的一些业务和产品，这些事件都会被阿里云操作审计的服务记录，并将其传入OSS或SSH日志服务，可以进行后续的行为分析、安全分析、资源变更行为的追踪，以及合规能力的审计。

 

云上操作行为主要是通过自动化运维、用户手动的能力进行对应的操作，针对不同类型事件，我们会进行分类，如获取当前的ECS数量是典型的读事件，ECS实例创建等属于典型的写事件。

 

我们把这些事件进行统一的风险分析、异常分析和行为分析，进行告警，可以为用户构建持续性的事件审计及跟踪、安全分析的能力。

 

 

典型使用场景

 

 

① 等保合规需求

 

根据等保2.0条例要求，云上租户必须记录账户活动并至少保存180天。通过操作审计可以将账号活动记录投递到日志服务或OSS存储空间并长久保存。

 

② 安全分析

 

操作审计会对用户操作进行详细的记录，通过这些事件，用户可以判断自身账号是否存在安全问题。例如，用户的安全凭证会被攻击者利用，攻击者会通过获取到的安全凭证创建大量的ECS计算资源，进行挖矿等一系列不合法的活动，用户就可以通过日志审计得到对应的API的调用以及相关的调用情况，如来源IP、使用的AK、登录的授权凭证等，帮助用户进行分析、排查危险。

 

 ③ 资源变更和追踪

 

当ECS由于未知原因关闭或释放，要想知道ECS是被何人、在何时、以何种方式被停用，就可以通过操作审计能力明确对应的操作者或API账号、时间、上下文。

 

④ 企业内控和合规性审计

 

当前已经通过各类RAM账号或子账号对企业内部的运维人员进行了合规规约，可以通过操作审计能力，审计操作者、运维者的行为是否符合预先设定的规则。需要提示的是，考虑到当前合规政策的趋紧，假设用户在国内外同时部署了服务，且各地都有核心需求，我们建议用户分别创建追踪不同国家地域之上的操作事件，并分别投递到当地的存储空间，避免对应的风险合规需求。

 

风险只是一方面，典型的情况是，我们可以通过配置操作审计，创造瞬间跟踪，把对应的API操作日志投递到日志服务，且后续还可以通过SQL进行简单的查询，或通过设置告警的方式在敏感事件发生时进行处理和分析。

六、总结

 

 

∙        做好主机安全：我们要选择有效的主机安全产品，以确保主机具备合格的反病青和威肋检测能力，从而有效预防病毒和黑客攻击造成的破坏。

∙        缩小攻击面：通过配置防火墙，我们可以统一梳理云环境对互联网的资产暴露情况。有效縮小的网络攻击面，同时把网路边界隔离做好避免内部攻击的横向感染。

∙        保障应用的网络安全：我们需要选择有效的Web应用防火墙和抗DDoS产品，可以有效阳挡来自网路的攻击流量或是漏洞攻击，避免攻击造成的业务中断。

∙        做好漏洞管理：漏洞己经成为主要的入侵方式之一，用户需要选择有具备应用漏洞检测的安全产品，从而确保在第一时间发现漏洞井修复。如果无法修复，也要确保有对应的缓解措施拦截漏洞利用的攻击，同时在主机上安装有效的安全产品及网页防篡改能力的产品，以保障被入侵后可以有效的阻断攻击链。

∙        进行定期的操作审计：回溯之前的所有的安全操作链条是否完备，是否有缺陷，再进行调整，进而保证云上处于安全状态。

 

以上是本次分享的全部内容。