带你读《从基础到应用云上安全航行指南》——云安全专家教你如何实现一体化、自动化的云安全审计,运营闭环(1):https://developer.aliyun.com/article/1441292
安全防护功能
(1)漏洞管理功能
云安全中心漏洞管理支持发现和识别操作系统、Web内容管理系统、应用程序中的安全漏洞,可对漏洞进行优先级和风险评估,并支持一键修复部分漏洞,可以帮助用户缩小系统的攻击面。
上图中是漏洞管理功能页面相关的截图,该页面中包含了漏洞影响的资产范围、漏洞编号,以及对应修复在云上使用的次数和安全成功正常修复的次数。后面也会以DEMO功能演示的方式帮助大家理解阿里云的样漏洞管理功能。
① 付费情况
免费版默认每两天会自动针对Linux软件漏洞、Windows系统漏洞、和Web-CMS进行周期性漏洞扫描,并可手动应急漏洞的扫描; 付费版云安全中心还支持Linux软件漏洞、Windows系统漏洞、Web-CMS等漏洞的自动更新修复。
② 漏洞修复优先级
当用户的资产被扫描出多个漏洞时,用户无法确认优先修复哪个漏洞,且修复漏洞不可以简单地一键修复,甚至有可能影响业务的正常运转。针对此场景,云安全中心提供的漏洞脆弱性评分系统能够评估漏洞修复的优先顺序,帮助用户作出漏洞修复优先级的决策。
阿里云漏洞脆弱性评分系统在使用CVSS确定漏洞修复优先级和严重性的基础上,根据云上实际攻防状态和漏洞攻击在云上利用的难度以及严重性级别,结合互联网上现有的程序状态,以及云原生中心入侵数据检测数据模型中的利用成熟度,对漏洞进行评分,以帮助企业提高资产可利用风险漏洞的补救效率和有效性。
其中一个典型的场景是,当我们修复漏洞时需要重启系统,则会不可避免地面临短暂的系统不可用风险,但从另外一个角度,漏洞本身也是持续存在的风险,如果长时间不进行修补,又会导致被黑客攻击。基于此,用户可以根据阿里云提供的漏洞修复优先级能力帮助用户评估当天是否进行漏洞修复,是要立刻修复?或是在请求较少时再修复?
漏洞的严重性级别一般由四个因素决定。
∙ 技术影响,漏洞是否容易被利用,它影响的系统和范围;
∙ 漏洞利用的成熟度(是处于PoC状态,只是被确认存在,但无法确定是否可以实现攻击,或者是而说已经被广泛的传播,已被黑客组织列入武器库名单),即该漏洞是已经成为标准化的攻击利用手段,或仍是非完全利用状态,这会极大地影响漏洞修复的严重性;
∙ 第三,风险威胁,即漏洞会造成的风险利用结果,或导致系统的不可用,或导致信息泄露,及其他的风险;
∙ 第四,受影响的数量级,即当前漏洞被黑客所关注的程度,若琪影响面很广,则会被黑客密切关注,因此对于此类漏洞,用户需要尽快修复。
根据业务的不同,各类型系统修复漏洞的优先级需开发/维护人员自行评估,但高危漏洞一般需要立刻修复,以避免被黑客攻击的造成数据泄露或系统不可用的风险。下面通过一个案例来直观地介绍阿里云的漏洞管理功能。
③ 案例
这里展示的只是一部分能力,更多的内容还需要用户参照阿里云原生中心的文档,以获取更准确的信息。
https://cloud.video.taobao.com/play/u/null/p/1/e/6/t/1/448572334698.mp4
在阿里云的漏洞管理页面,可以看到当前所有资产受漏洞影响的情况,在影响资产列表中可以看到漏洞具体影响的范围,以及当前漏洞修复过程中是否需要重启,以帮助用户做对应的修复判断。点击漏洞编号,可以看到漏洞的详情,包含具体的评分、当前的漏洞威胁,帮助用户去做对应的判断。
用户还可以点击对应的实例控制台详情页面,查看对应实例存在的漏洞具体情况。点击“立即处理”即可进行测试处理。点击“修复”,选择“自动创建快照并修复”,其优点在于,如果修复存在问题,对业务造成了一些应用性的影响,即可通过重启恢复快照的方式将系统修复到以前的状态,保证业务修复过程中的完整性和连续性。点击“详情”即可看到具体的修复命令,以及具体的漏洞影响情况,且会随着修复过程实时展示。
修复完成后,进到对应的系统即可检查版本是否完成了升级。案例中的版本由112升级至122-26,阿里云安全中心的漏洞修复能力得到了验证。
(2)基线检查功能
病毒和黑客会利用服务器存在的安全配置缺陷,在服务器上植入后门,除了前面提到的漏洞,不完全的配置也会导致操作系统OS被攻击。基线检查功能针对非漏洞、配置导致的安全漏洞检测和修复,基线检查功能可以针对服务器操作系统、数据库、软件和容器的配置进行安全检测,可以帮用户加固系统安全,降低入侵风险并满足安全合规要求。
基线检查功能可以通过配置不同的基线检查策略,帮助用户快速对服务器进行批量扫描,发现包括系统、账号权限、数据库、弱口令 、等级保护合规配置等存在的风险点,并提供修复建议和一键修复功能。
① 典型的基线检查项
∙ 第一类,未授权访问,如未对Redis、数据库等配置密码,直接允许用户通过未授权的方式进行访问;
∙ 第二类,容器安全,基于阿里云容器最佳安全实践,检测各类 Master和Node节点是否存在节点配置的风险项;
∙ 第三类,最佳安全实践,基于阿里云最佳安全实践标准检测当前操作系统是否存在账号权限、身份鉴别、密码策略、访问控制、安全审计和入侵防范等安全配置风险;第四类,弱口令,使用HASH值与弱口令字典计算的HASH值进行对比来检查是否存在弱口令。
下面简单介绍几个常见的基线检查项:
首先,由于未正确设置用户权限,或密码复杂度较低,导致密码被爆破,系统被恶意攻击者攻击;
其次,是一些与密码相关的基线检查项,如密码失效时间、密码最小间隔时间、密码是否可以重用(修改密码之后是否可以使用修改之前的密码)等;
此外,系统是否允许空密码登录,以及SSH登录是否会限制当前登录的重试次数。
上图中左下角展示了阿里云安全基线检查能力,以及对应的当前主机未通过的项,及其影响资产的范围。下面以一个demo的方式简单介绍阿里云基线检查能力。
https://cloud.video.taobao.com/play/u/null/p/1/e/6/t/1/448589762023.mp4
② 案例展示
在实例详情页面,点击“基线检查”查看实例未通过的详情,这里可以看到具体的检查项,包括SSH空闲退出时间、是否空密码登录、是否允许非root账号登录实例等情况。点击“详情”还可以查看对应的风险下的具体情况。
(3)病毒查杀功能
云安全中心病毒查杀功能使用阿里云机器学习病毒查杀引擎和实时更新的病毒库,提供丰富的系统扫描项,持久化的后门、木马程序、各类shell等,有效地保护服务器免受各类威胁的侵扰和破坏。
①支持扫描及清理的病毒类型、扫描项
∙ 在主机安全中提到的各类病毒,主要包括勒索病毒、挖矿程序、DDoS木马、木马程序、各类后门程序、高危程序等
∙ 扫描项,包括我们当前系统中的活动进程、隐藏进程、Docker进程、内核模块、已安装程序、动态库劫持、服务、计划任务等需要密切关注的敏感项,还可以开启恶意主机行为防御功能。开启后,云安全中心会自动拦截主流木马病毒、勒索软件等常见安全威胁,并阻断其恶意行为。
上图的底部是一些典型的漏洞扫描、病毒查杀过程中的提示,包括具体的文件路径、进程情况,以及对应的处置建议,可以识别对抗安全软件的行为,并做精准的阻断。后面会演示直接在ECS中执行攻防对抗的过程,使得大家对病毒查杀能力有更为直观的认识。
② 案例
https://cloud.video.taobao.com/play/u/null/p/1/e/6/t/1/448275941882.mp4
在测试机上执行一段已知的恶意漏洞代码,其会远程连接到攻击者的主机反弹shell,完成攻击流程。可以看到,在云安全中心详情页面,已经处理了对应的反弹shell攻击,类型是反弹shell,还有对应的事件行为说明,父、子进程的关系,以及黑客攻击者执行的具体代码。
(4)防勒索功能
① 勒索病毒
勒索病毒是近几年中新出现的安全攻击形式,仅2022年上半年,全球就发生了2.361亿次的勒索攻击,如某国政务系统、某国自来水公司被勒索。勒索的最主要手段是将目标企业操作系统中所有的关键文件进行加密,再将原始数据清除,进而向被害者索要加密货币的赎金。从2022年第一季度到第二季度,勒索软件的攻击增加了18%,全球近1.3次事件增加到约1.06亿次。
2022年,仅勒索软件一项就影响了全球71%的企业,62.9%的勒索软件受害者支付了赎金。勒索病毒入侵会对用户的业务数据进行加密,导致用户业务中断、数据泄露和数据丢失,从而带来严重的业务风险。基于此,云安全中心针对勒索病毒提供了服务器防勒索和数据库防勒索两大功能,帮用户解决服务器、数据库被勒索病毒入侵的后顾之忧。
② 功能介绍
针对勒索病毒,云安全中心为用户提供逐层递进的纵深式防御体系。
首先,最直接的是实时防御已知勒索病毒。借助云上海量的威胁情报,云安全中心实现了对大量已知勒索病毒的实时防御,可以在服务器被病毒感染前实现拦截勒索病毒,避免因关键系统文件或数据文件被加密而被勒索的情况。
其次,还可以通过诱捕、拦截新型未知勒索病毒。
勒索病毒会加密一些简单的Word、Excel文件,或数据库文件等,因此,可以通过在系统内放置一些假的诱捕项。当用户访问部分文件时不会造成恶意影响,但当勒索软件尝试遍历访问文件进行加密、删除原文件时,就会被诱捕的“蜜罐”捕获,进而实施勒索病毒捕获行为。一旦识别了对应的异常加密事件,就会立刻拦截对应的病毒,并通知用户进行排查清理,保护用户的数据安全。上图中底部即为开启的勒索功能的示意图。
三、Web应用安全
Web应用安全是云上典型的威胁空间向量,相当一部分威胁攻击都是通过对Web的攻击实现的,如SQL注入、DDos攻击等都属于应用安全的范畴。
威胁概览
Web应用攻击依然是互联网安全的最大威胁来源之一,除了传统的网页和APP,API和各种小程序也作为了新的流量入口快速崛起,更多的流量入口和更易用的调用方式,对应的安全攻击形式也随之增加。
威胁根因
Web应用安全面临威胁的根本原因在于传统Web攻击手段中,WebShell上传/通信、SQL注入和命令执行依然是最常见的行为。
Webshell是恶意的攻击者通过上传恶意的执行代码,导致Web的攻击者可以通过一种类似后门的方式远程控制用户的主机;SQL注入则是利用系统漏洞以混淆用户输入和预期执行SQL语句造成云上数据库中数据的泄露;命令执行也是因为输入校验不严,使得在接受用户输入时,把一部分用户输入当成了系统命令执行,进而导致云上系统的数据泄露或系统不可用。
应对方案
作为云上用户,可以主动从以下两个方面去应对风险和挑战:
第一,缩小攻击面。通过配置云防火墙等云上的安全产品或云安全组,统一梳理云环境对互联网的资产暴露情况,有效缩小网络攻击面,同时做好内部网络边界隔离,避免内部攻击的横向感染。这一点类似于交叉感染,或社区传播,我们可以通过云防火墙或安全组的配置,保证即使在病毒入侵的情况下,它也只能在小范围之内实现攻击,而不会影响到整体。
第二,保障应用的流量安全。我们需要选择有效的Web应用防火墙和对应的抗DDos产品,进而有效地避免来自网络空间的攻击流量或漏洞攻击,避免因此造成业务中断。
第一点更偏向于对内或对一些已经被攻击的资产的后续性攻击的缓解,第二段则倾向于是事前攻击的防御。从上图中的右侧,可以看到各类攻击的占比,可发现DDos攻击流量正呈现出不断上升的趋势。
云防火墙
这部分内容主要包括云防火墙的基本能力及其起到的安全作用。
阿里云云防火墙是一款云平台SaaS化的产品,具备自己的运维和管控平台,可针对用户的云上网络资产的互联网边界、VPC边界及主机边界,实现三位一体的统一安全隔离管控,是用户业务上云的第一道网络防线。
用户可以根据网络边界配置对应的防火墙,以便于用户进行逻辑分层,也方便后续的维护。有一些典型场景:
第一,云上有各类的互联网基础点,主机自己本身有对外的公网IP及EI,甚至还包括SLB等类似于负载均衡的产品。因此,对于此类公网的入口,用户可以通过配置对应的ECS安全组进行防护,也可以通过统一的管控平台进行各类资产的统一接入,使它在安全组的范畴之外额外拥有一道安全防线。
它最主要的优势在于可以实现企业内部整体防护水位的拉平,因为各个region、各个多账户的场景下,要使各类资产具有相同的安全接入防护和水位非常困难,因此,我们需要分别设置不同产品、地域、账户下的安全组规则,来使之达到相同的防御效果。这种运维相对困难,为实现更高维度上的安全防御,阿里云安全中心提供了统一的公网防护能力,来保护Web流量在进入内部的云上VPC时整体的防御能力。
第二,常规的主机防护需求。如果我们希望在云安全组的防控技术之上额外配置漏洞防御统一的数据流量准入和准出规则,就可以通过统一的平台配置对应的主机防护需求。
第三,跨VPC&云上云下防护需求。在一些企业上云过程中,会通过云企业网的方式将传统的VPC流动导入云上环境,此时,我们希望有一道防线去阻挡来自于线下IDC或其他外部的安全攻击导致的危险。此外,还存在一些其他的多账户之间的VPC互访场景,我们可以通过部署跨VPC的云防火墙能力,帮助用户抵御来自不同的维度的风险流量的攻击。
带你读《从基础到应用云上安全航行指南》——云安全专家教你如何实现一体化、自动化的云安全审计,运营闭环(3):https://developer.aliyun.com/article/1441290
