带你读《从基础到应用云上安全航行指南》——云安全专家教你如何实现一体化、自动化的云安全审计,运营闭环(2)

本文涉及的产品
云服务器 ECS,每月免费额度200元 3个月
云服务器ECS,u1 2核4GB 1个月
简介: 带你读《从基础到应用云上安全航行指南》——云安全专家教你如何实现一体化、自动化的云安全审计,运营闭环(2)

带你读《从基础到应用云上安全航行指南》——云安全专家教你如何实现一体化、自动化的云安全审计,运营闭环(1):https://developer.aliyun.com/article/1441292


安全防护功能

1)漏洞管理功能

云安全中心漏洞管理支持发现和识别操作系统、Web内容管理系统、应用程序中的安全漏洞,可对漏洞进行优先级和风险评估,并支持一键修复部分漏洞,可以帮助用户缩小系统的攻击面。

 

image.png

上图中是漏洞管理功能页面相关的截图,该页面中包含了漏洞影响的资产范围、漏洞编号,以及对应修复在云上使用的次数和安全成功正常修复的次数。后面也会以DEMO功能演示的方式帮助大家理解阿里云的样漏洞管理功能。

 

付费情况

 

免费版默认每两天会自动针对Linux软件漏洞、Windows系统漏洞、和Web-CMS进行周期性漏洞扫描,并可手动应急漏洞的扫描; 付费版云安全中心还支持Linux软件漏洞、Windows系统漏洞、Web-CMS等漏洞的自动更新修复。

 

漏洞修复优先级

 

当用户的资产被扫描出多个漏洞时,用户无法确认优先修复哪个漏洞,且修复漏洞不可以简单地一键修复,甚至有可能影响业务的正常运转。针对此场景,云安全中心提供的漏洞脆弱性评分系统能够评估漏洞修复的优先顺序,帮助用户作出漏洞修复优先级的决策。

 

阿里云漏洞脆弱性评分系统在使用CVSS确定漏洞修复优先级和严重性的基础上,根据云上实际攻防状态和漏洞攻击在云上利用的难度以及严重性级别,结合互联网上现有的程序状态,以及云原生中心入侵数据检测数据模型中的利用成熟度,对漏洞进行评分,以帮助企业提高资产可利用风险漏洞的补救效率和有效性。

 

其中一个典型的场景是,当我们修复漏洞时需要重启系统,则会不可避免地面临短暂的系统不可用风险,但从另外一个角度,漏洞本身也是持续存在的风险,如果长时间不进行修补,又会导致被黑客攻击。基于此,用户可以根据阿里云提供的漏洞修复优先级能力帮助用户评估当天是否进行漏洞修复,是要立刻修复?或是在请求较少时再修复?

 

漏洞的严重性级别一般由四个因素决定。

 

∙        技术影响,漏洞是否容易被利用,它影响的系统和范围;

∙        漏洞利用的成熟度(是处于PoC状态,只是被确认存在,但无法确定是否可以实现攻击,或者是而说已经被广泛的传播,已被黑客组织列入武器库名单),即该漏洞是已经成为标准化的攻击利用手段,或仍是非完全利用状态,这会极大地影响漏洞修复的严重性;

∙        第三,风险威胁,即漏洞会造成的风险利用结果,或导致系统的不可用,或导致信息泄露,及其他的风险;

∙        第四,受影响的数量级,即当前漏洞被黑客所关注的程度,若琪影响面很广,则会被黑客密切关注,因此对于此类漏洞,用户需要尽快修复。

根据业务的不同,各类型系统修复漏洞的优先级需开发/维护人员自行评估,但高危漏洞一般需要立刻修复,以避免被黑客攻击的造成数据泄露或系统不可用的风险。下面通过一个案例来直观地介绍阿里云的漏洞管理功能。

 

案例

 

这里展示的只是一部分能力,更多的内容还需要用户参照阿里云原生中心的文档,以获取更准确的信息。

 

https://cloud.video.taobao.com/play/u/null/p/1/e/6/t/1/448572334698.mp4

 

在阿里云的漏洞管理页面,可以看到当前所有资产受漏洞影响的情况,在影响资产列表中可以看到漏洞具体影响的范围,以及当前漏洞修复过程中是否需要重启,以帮助用户做对应的修复判断。点击漏洞编号,可以看到漏洞的详情,包含具体的评分、当前的漏洞威胁,帮助用户去做对应的判断。

 

用户还可以点击对应的实例控制台详情页面,查看对应实例存在的漏洞具体情况。点击立即处理即可进行测试处理。点击修复,选择自动创建快照并修复,其优点在于,如果修复存在问题,对业务造成了一些应用性的影响,即可通过重启恢复快照的方式将系统修复到以前的状态,保证业务修复过程中的完整性和连续性。点击详情即可看到具体的修复命令,以及具体的漏洞影响情况,且会随着修复过程实时展示。

 

修复完成后,进到对应的系统即可检查版本是否完成了升级。案例中的版本由112升级至122-26,阿里云安全中心的漏洞修复能力得到了验证。

2)基线检查功能

病毒和黑客会利用服务器存在的安全配置缺陷,在服务器上植入后门,除了前面提到的漏洞,不完全的配置也会导致操作系统OS被攻击。基线检查功能针对非漏洞、配置导致的安全漏洞检测和修复,基线检查功能可以针对服务器操作系统、数据库、软件和容器的配置进行安全检测,可以帮用户加固系统安全,降低入侵风险并满足安全合规要求。

 

image.png

 

基线检查功能可以通过配置不同的基线检查策略,帮助用户快速对服务器进行批量扫描,发现包括系统、账号权限、数据库、弱口令 、等级保护合规配置等存在的风险点,并提供修复建议和一键修复功能。

 

典型的基线检查项

 

∙        第一类,未授权访问,如未对Redis、数据库等配置密码,直接允许用户通过未授权的方式进行访问;

∙        第二类,容器安全,基于阿里云容器最佳安全实践,检测各类 MasterNode节点是否存在节点配置的风险项;

∙        第三类,最佳安全实践,基于阿里云最佳安全实践标准检测当前操作系统是否存在账号权限、身份鉴别、密码策略、访问控制、安全审计和入侵防范等安全配置风险;第四类,弱口令,使用HASH值与弱口令字典计算的HASH值进行对比来检查是否存在弱口令。

 

 下面简单介绍几个常见的基线检查项:

 

首先,由于未正确设置用户权限,或密码复杂度较低,导致密码被爆破,系统被恶意攻击者攻击;

 

其次,是一些与密码相关的基线检查项,如密码失效时间、密码最小间隔时间、密码是否可以重用(修改密码之后是否可以使用修改之前的密码)等;

 

此外,系统是否允许空密码登录,以及SSH登录是否会限制当前登录的重试次数。

 

上图中左下角展示了阿里云安全基线检查能力,以及对应的当前主机未通过的项,及其影响资产的范围。下面以一个demo的方式简单介绍阿里云基线检查能力。

 

https://cloud.video.taobao.com/play/u/null/p/1/e/6/t/1/448589762023.mp4

 

案例展示

 

在实例详情页面,点击基线检查查看实例未通过的详情,这里可以看到具体的检查项,包括SSH空闲退出时间、是否空密码登录、是否允许非root账号登录实例等情况。点击详情还可以查看对应的风险下的具体情况。

3)病毒查杀功能

云安全中心病毒查杀功能使用阿里云机器学习病毒查杀引擎和实时更新的病毒库,提供丰富的系统扫描项,持久化的后门、木马程序、各类shell等,有效地保护服务器免受各类威胁的侵扰和破坏。

 

image.png

支持扫描及清理的病毒类型、扫描项

 

∙        在主机安全中提到的各类病毒,主要包括勒索病毒、挖矿程序、DDoS木马、木马程序、各类后门程序、高危程序等

∙        扫描项,包括我们当前系统中的活动进程、隐藏进程、Docker进程、内核模块、已安装程序、动态库劫持、服务、计划任务等需要密切关注的敏感项,还可以开启恶意主机行为防御功能。开启后,云安全中心会自动拦截主流木马病毒、勒索软件等常见安全威胁,并阻断其恶意行为。

 

上图的底部是一些典型的漏洞扫描、病毒查杀过程中的提示,包括具体的文件路径、进程情况,以及对应的处置建议,可以识别对抗安全软件的行为,并做精准的阻断。后面会演示直接在ECS中执行攻防对抗的过程,使得大家对病毒查杀能力有更为直观的认识。

 

案例

 

https://cloud.video.taobao.com/play/u/null/p/1/e/6/t/1/448275941882.mp4

 

在测试机上执行一段已知的恶意漏洞代码,其会远程连接到攻击者的主机反弹shell,完成攻击流程。可以看到,在云安全中心详情页面,已经处理了对应的反弹shell攻击,类型是反弹shell,还有对应的事件行为说明,父、子进程的关系,以及黑客攻击者执行的具体代码。

4)防勒索功能

 

image.png

 

① 勒索病毒

 

勒索病毒是近几年中新出现的安全攻击形式,仅2022年上半年,全球就发生了2.361亿次的勒索攻击,如某国政务系统、某国自来水公司被勒索。勒索的最主要手段是将目标企业操作系统中所有的关键文件进行加密,再将原始数据清除,进而向被害者索要加密货币的赎金。从2022年第一季度到第二季度,勒索软件的攻击增加了18%,全球近1.3次事件增加到约1.06亿次。

 

2022年,仅勒索软件一项就影响了全球71%的企业,62.9%的勒索软件受害者支付了赎金。勒索病毒入侵会对用户的业务数据进行加密,导致用户业务中断、数据泄露和数据丢失,从而带来严重的业务风险。基于此,云安全中心针对勒索病毒提供了服务器防勒索和数据库防勒索两大功能,帮用户解决服务器、数据库被勒索病毒入侵的后顾之忧。

 

② 功能介绍

 

针对勒索病毒,云安全中心为用户提供逐层递进的纵深式防御体系。

 

首先,最直接的是实时防御已知勒索病毒。借助云上海量的威胁情报,云安全中心实现了对大量已知勒索病毒的实时防御,可以在服务器被病毒感染前实现拦截勒索病毒,避免因关键系统文件或数据文件被加密而被勒索的情况。

其次,还可以通过诱捕、拦截新型未知勒索病毒。

 

勒索病毒会加密一些简单的WordExcel文件,或数据库文件等,因此,可以通过在系统内放置一些假的诱捕项。当用户访问部分文件时不会造成恶意影响,但当勒索软件尝试遍历访问文件进行加密、删除原文件时,就会被诱捕的蜜罐捕获,进而实施勒索病毒捕获行为。一旦识别了对应的异常加密事件,就会立刻拦截对应的病毒,并通知用户进行排查清理,保护用户的数据安全。上图中底部即为开启的勒索功能的示意图。

三、Web应用安全

Web应用安全是云上典型的威胁空间向量,相当一部分威胁攻击都是通过对Web的攻击实现的,如SQL注入、DDos攻击等都属于应用安全的范畴。

威胁概览

Web应用攻击依然是互联网安全的最大威胁来源之一,除了传统的网页和APPAPI和各种小程序也作为了新的流量入口快速崛起,更多的流量入口和更易用的调用方式,对应的安全攻击形式也随之增加。

 

image.png

 

威胁根因

 

Web应用安全面临威胁的根本原因在于传统Web攻击手段中,WebShell上传/通信、SQL注入和命令执行依然是最常见的行为。

 

Webshell是恶意的攻击者通过上传恶意的执行代码,导致Web的攻击者可以通过一种类似后门的方式远程控制用户的主机;SQL注入则是利用系统漏洞以混淆用户输入和预期执行SQL语句造成云上数据库中数据的泄露;命令执行也是因为输入校验不严,使得在接受用户输入时,把一部分用户输入当成了系统命令执行,进而导致云上系统的数据泄露或系统不可用。

应对方案

作为云上用户,可以主动从以下两个方面去应对风险和挑战:

 

第一,缩小攻击面。通过配置云防火墙等云上的安全产品或云安全组,统一梳理云环境对互联网的资产暴露情况,有效缩小网络攻击面,同时做好内部网络边界隔离,避免内部攻击的横向感染。这一点类似于交叉感染,或社区传播,我们可以通过云防火墙或安全组的配置,保证即使在病毒入侵的情况下,它也只能在小范围之内实现攻击,而不会影响到整体。

 

第二,保障应用的流量安全。我们需要选择有效的Web应用防火墙和对应的抗DDos产品,进而有效地避免来自网络空间的攻击流量或漏洞攻击,避免因此造成业务中断。

 

第一点更偏向于对内或对一些已经被攻击的资产的后续性攻击的缓解,第二段则倾向于是事前攻击的防御。从上图中的右侧,可以看到各类攻击的占比,可发现DDos攻击流量正呈现出不断上升的趋势。

 

云防火墙

 

这部分内容主要包括云防火墙的基本能力及其起到的安全作用。

 

image.png

 

阿里云云防火墙是一款云平台SaaS化的产品,具备自己的运维和管控平台,可针对用户的云上网络资产的互联网边界、VPC边界及主机边界,实现三位一体的统一安全隔离管控,是用户业务上云的第一道网络防线。

 

用户可以根据网络边界配置对应的防火墙,以便于用户进行逻辑分层,也方便后续的维护。有一些典型场景:

 

第一,云上有各类的互联网基础点,主机自己本身有对外的公网IPEI,甚至还包括SLB等类似于负载均衡的产品。因此,对于此类公网的入口,用户可以通过配置对应的ECS安全组进行防护,也可以通过统一的管控平台进行各类资产的统一接入,使它在安全组的范畴之外额外拥有一道安全防线。

 

它最主要的优势在于可以实现企业内部整体防护水位的拉平,因为各个region、各个多账户的场景下,要使各类资产具有相同的安全接入防护和水位非常困难,因此,我们需要分别设置不同产品、地域、账户下的安全组规则,来使之达到相同的防御效果。这种运维相对困难,为实现更高维度上的安全防御,阿里云安全中心提供了统一的公网防护能力,来保护Web流量在进入内部的云上VPC时整体的防御能力。

 

第二,常规的主机防护需求。如果我们希望在云安全组的防控技术之上额外配置漏洞防御统一的数据流量准入和准出规则,就可以通过统一的平台配置对应的主机防护需求。

 

第三,跨VPC&云上云下防护需求。在一些企业上云过程中,会通过云企业网的方式将传统的VPC流动导入云上环境,此时,我们希望有一道防线去阻挡来自于线下IDC或其他外部的安全攻击导致的危险。此外,还存在一些其他的多账户之间的VPC互访场景,我们可以通过部署跨VPC的云防火墙能力,帮助用户抵御来自不同的维度的风险流量的攻击。


 带你读《从基础到应用云上安全航行指南》——云安全专家教你如何实现一体化、自动化的云安全审计,运营闭环(3):https://developer.aliyun.com/article/1441290

目录
相关文章
|
1天前
|
传感器 安全
BOSHIDA AC/DC电源模块在工业自动化领域的应用探析
BOSHIDA AC/DC电源模块在工业自动化领域的应用探析
BOSHIDA AC/DC电源模块在工业自动化领域的应用探析
|
3天前
|
存储 边缘计算 安全
探索边缘计算在工业自动化中的应用
【5月更文挑战第14天】本文探讨了边缘计算在工业自动化中的应用,包括实时数据分析、预测性维护、协同制造及安全隐私保护。边缘计算通过在数据源头处理信息,实现更快响应和低延迟,促进生产效率提升、稳定性增强及安全性改善。随着技术发展,边缘计算将在工业自动化领域扮演更重要角色,推动制造业数字化转型。
|
3天前
|
传感器 监控 安全
传感器在机械自动化中的应用有哪些?
传感器在机械自动化中的应用有哪些?
19 2
|
3天前
|
JSON 监控 调度
局域网管理软件的自动化任务调度:Python 中的 APScheduler 库的应用
使用 Python 的 APScheduler 库可简化局域网管理中的自动化任务调度。APScheduler 是一个轻量级定时任务调度库,支持多种触发方式如间隔、时间、日期和 Cron 表达式。示例代码展示了如何创建每 10 秒执行一次的定时任务。在局域网管理场景中,可以利用 APScheduler 定期监控设备状态,当设备离线时自动提交数据到网站,提升管理效率。
28 0
|
3天前
|
Java 测试技术 持续交付
自动化测试框架选型与实战:深入探索与应用
【5月更文挑战第8天】本文探讨了自动化测试框架的选型与实战应用,强调了其在软件质量保障中的重要性。选型原则包括考虑项目需求、技术栈、可扩展性和可维护性,以及社区支持和文档。介绍了Selenium、Appium、JUnit和Pytest等常用框架,并概述了实战应用的步骤,包括明确需求、搭建环境、编写测试用例、执行测试、分析结果、维护代码和持续集成。合理选型与实践能提升测试效率,保障项目成功。
|
3天前
|
JSON 前端开发 JavaScript
快照测试在前端自动化测试中的应用
在前端自动化测试中,快照测试常用于检验组件渲染与布局。
|
3天前
|
敏捷开发 测试技术 持续交付
探索自动化测试在敏捷开发中的应用移动应用的未来:跨平台开发与操作系统的融合
【4月更文挑战第30天】随着软件开发周期的不断缩短,传统的软件测试方法逐渐显得力不从心。本文将深入探讨自动化测试在敏捷开发环境中的关键作用,分析其如何提高测试效率、减少人力资源成本,并确保软件产品的质量与稳定性。通过案例分析,我们还将讨论实施自动化测试的最佳实践和面临的挑战,为追求高效敏捷开发的组织提供参考。
|
3天前
|
数据采集 机器学习/深度学习 人工智能
自动化测试中AI辅助技术的应用与挑战
【4月更文挑战第30天】随着人工智能(AI)技术的飞速发展,其在软件自动化测试领域的应用日益增多。本文探讨了AI辅助技术在自动化测试中的应用情况,包括智能化测试用例生成、测试执行监控、缺陷预测及测试结果分析等方面。同时,文章还分析了在融合AI技术时所面临的挑战,如数据质量要求、模型的透明度与解释性问题以及技术整合成本等,并提出了相应的解决策略。
|
3天前
|
前端开发 IDE 数据可视化
深入理解与应用自动化测试框架Selenium的最佳实践
【4月更文挑战第30天】 本文将深入剖析自动化测试框架Selenium的核心原理,并结合最佳实践案例,探讨如何有效提升测试覆盖率和效率。文中不仅涉及Selenium的架构解析,还将提供针对性的策略来优化测试脚本,确保测试流程的稳定性与可靠性。通过实例演示,读者可以掌握如何在不同测试场景中灵活运用Selenium,以及如何处理常见的技术挑战。
|
3天前
|
敏捷开发 监控 前端开发
深入理解与应用自动化测试框架:以Selenium为例
【4月更文挑战第30天】 在软件开发的快速迭代周期中,质量保证(QA)团队面临持续的压力,需确保产品在每次发布时都达到预期的质量标准。为了应对这一挑战,自动化测试成为了关键工具,它不仅提高了测试效率,还确保了测试的一致性和可重复性。本文将探讨自动化测试框架Selenium的核心组件、工作原理及其在实际测试中的应用。通过分析Selenium的优势和面临的常见问题,我们将讨论如何有效地集成Selenium到现有的测试流程中,以及如何克服常见的技术障碍。我们的目标是为读者提供一个清晰的指南,帮助他们理解和利用自动化测试框架来优化他们的软件测试实践。