通过NAT网关和云防火墙防护私网出站流量安全的最佳实践

本文涉及的产品
云服务器 ECS,u1 4核8GB 1个月
云服务器 ECS,u1 4核16GB 1个月
云服务器 ECS,u1 2核4GB 3个月
简介: 针对云上企业出站流量安全攻击,企业可以通过采用“NAT网关+NAT边界防火墙”方案实现出向流量有效监控保护,有效降低恶意软件攻陷风险、内部人员风险、数据泄露风险、供应链风险、出站流量合规风险等

一、出向流量安全挑战

随着网络攻击的复杂化,企业的安全建设也面临更艰巨的挑战。一般企业云上工作负载往往既有互联网访问的入向流量,也有内网主动发起的出向流量。然而,在考虑如何保护网络时,大多企业安全运维团队往往更多关注入站网络流量,并部署相对完善的安全措施。但是出站网络流量的安全往往被忽视,成为很多企业的安全防护体系短板,比如入向防护措施被绕过后攻击渗透至内网,造成窃取数据、下载安装恶意软件或对外连接恶意中控等。同时,由于企业安全管理措施疏忽,也可能会有内部人员对外非授权访问,或访问恶意网站应用等,造成敏感数据泄露等风险。

常见需要企业关注的潜在出向流量安全风险包括:


  1. 失陷恶意外联

当恶意攻击者绕过入向安全防护栈措施,攻陷企业内部工作负载后,往往会外联恶意中控,如回调进行勒索软件下载等。在攻击链路中,恶意软件感染一般是更大规模攻击的初始阶段之一,许多恶意软件仍然需要与命令和控制 (C&C) 服务器进行通信,建立连接,获取更新,请求命令以及将窃取的数据泄露到中控服务器。某些类型的勒索软件、僵尸网络、挖矿行为等都需要进行外联回调。这时候就需要及时告警和阻止恶意外联,防止对企业的IT基础设施、数字资产、开发系统等造成进一步破坏。


  1. 数据泄露风险

盗取企业高价值数据往往是恶意攻击者目标,一旦攻击成功,恶意攻击者可以获取企业的高价值数据,如财务数据、密码、电子邮件、个人身份信息等,并通过网络流量外传,用于非法兜售、财务欺诈、身份盗窃等恶意活动。攻击者还可能利用这些获取的信息对企业进一步提权或访问敏感数据系统等,给企业带来更多破坏性风险。


  1. 内部人员风险

由于安全意识不足或企业安全管理措施疏忽等,内部人员在进行业务系统开发或运维时,可能对外调用访问一些不安全的web服务、地理位置、IP等。或者有意将企业敏感数据上传至外部GitHub等公开或开源平台,给企业造成攻击入侵风险和敏感数据泄露风险。这是需要及时有效的监测这些风险行为,并及时告警及阻止,同时也需要进一步审计溯源。


  1. 供应链风险

如果企业自身安全系统完善,但是由于业务中需要涉及三方开发系统,或者需要与供应商、子公司等业务互联互访,一旦相应供应商或子公司由于安全措施不足,导致被破坏攻陷后,攻击也会影响到企业,并进行恶意外联等。这就需要企业针对来自供应链方的流量也需要进行安全监控和审计,发现攻击后能及时溯源止损。


  1. 出站流量合规风险

一些行业监管机构以及安全内审团队,针对出向流量提出来较明确和严格的监管要求,提升系统的安全性。比如支付卡行业数据安全标准 (PCI DSS) v 4.0的要求:1.3.2要求限制源自持卡人数据环境 (CDE) 的出站流量。根据要求 1.3.2,仅允许被认为必要的出站流量。必须阻止所有其他出站流量。此要求旨在防止实体网络内的恶意个人和受损系统组件与不受信任的外部主机进行通信。因此也需要企业针对出站流量进行严格的安全管理和审计。


近一周云防火墙检测和防护的出站流量攻击告警分布:

image.png


二、解决方案

针对出向流量安全管理,企业可以通过采用NAT网关+NAT防火墙的方案实现可对出向流量的有效监控和保护。


NAT网关通过自定义SNAT、DNAT规则可为云上服务器提供对外公网服务、及主动访问公网能力。通过NAT网关的SNAT能力,当ECS主动发起对外访问连接时,ECS会随机通过SNAT地址池中的EIP访问互联网,避免将私网直接暴露在公网,提升资产安全性。


NAT防火墙为云防火墙的NAT边界安全能力,可针对NAT转化前的VPC内资源(例如ECS、ECI等)通过NAT网关直接访问互联网时,进行4-7层流量安全保护,审计和拦截未授权的流量访问,降低未经授权的访问、数据泄露、恶意流量攻击等安全风险。


image.png

NAT网关:通过SNAT避免私网直接暴露

NAT网关(NAT Gateway)是一款企业级的地址转换网关,通过SNAT访问公网,有效避免对外暴露源ECS主机IP

image.png

NAT防火墙:精细化域名/应用/地理位置等私网访问控制和溯源

NAT防火墙为云防火墙的NAT边界安全能力,可针对NAT转化前的VPC内私网资产,进行4~7层流量安全保护,日志审计和拦截未授权的流量访问,降低安全风险。


image.png

NAT防火墙:一键自动化部署

image.png

NAT边界防火墙一键开启操作视频

https://help.aliyun.com/zh/cloud-firewall/user-guide/nat-firewalls



三、方案架构

场景1:多VPC内多个NAT网关流量安全

某企业机构在云上主要为数据中心系统开发业务,主要有两个专有网络VPC,一个为生产VPC,一个为测试VPC,每个VPC内分别部署有一个NAT网关,实现私网访问公网流量业务,日常开发环境中有外部软件调用需求,如jar包启动更新等,需企业员工开发仅授权访问正常业务,不允许非授权外联,造成安全风险。


image.png

部署方案:

  • 每个VPC内各自部署了一个NAT网关
  • 每个NAT网关前各部署了一个NAT防火墙

配置方案:

  • 在NAT网关上配置SNAT策略,实现私网ECS绑定NAT EIP访问公网
  • 在NAT防火墙上自动同步NAT网关策略
  • NAT防火墙上监控ECS私网访问公网流量趋势及会话明细
  • NAT防火墙上配置白名单机制的ACL访问控制策略,仅允许访问特定网站和IP及地理位置,其他流量拒绝
  • NAT防火墙上对所有出向流量进行策略审计和日志分析


场景2:统一DMZ VPC内单个NAT网关流量安全

某金融机构在云上主要为证券保险业务,有多个业务VPC,包括中台VPC、第三方系统VPC、行情VPC等,所有VPC均通过DMZ访问公网,该DMA内部署了一个NAT网关,实现私网访问公网流量业务,日常环境中有外部支付服务、外部行情服务及监管服务业务访问需求,需仅授权访问正常业务,不允许非授权外联,造成安全风险。同时需对所有出向访问流量实时监控审计,及时发现异常流量和攻击。


image.png


部署方案:

  • 仅DMZ VPC内部署了一个NAT网关
  • 仅DMZ VPC的NAT网关前部署一个NAT防火墙
  • 其他VPC通过云企业网互联访问DMZ VPC实现外网访问

配置方案:

  • 在NAT网关上配置SNAT策略,实现私网ECS绑定NAT EIP访问公网
  • 在NAT防火墙上自动同步NAT网关策略
  • NAT防火墙上监控ECS私网访问公网流量趋势及会话明细
  • NAT防火墙上配置白名单机制的ACL访问控制策略,仅放行访问特定网站和IP及地理位置,其他流量拒绝
  • 针对指定不允许访问的域名、应用、地理位置等,也可以配置黑名单机制的ACL拒绝访问策略
  • NAT防火墙上对所有出向流量进行流量分析,及时发现异常流量
  • NAT防火墙对所有流量和策略日志进行审计记录,方便溯源分析


场景3:单VPC内多个NAT网关流量安全

某大型跨国机构在云上单个VPC中,由于业务访问较为复杂,对外访问系统较多,在同一个VPC内部署多个公网NAT网关,并通过不同的公网NAT网关转发去往不同目的地址的流量,并需要针对不同的公网NAT网关做不同的安全防护,实现更精细化安全策略管理。


image.png


部署方案:

  • 业务VPC内基于不同流量目的部署了两个NAT网关,其中一个NAT网关绑定了多个EIP
  • 每个NAT网关分别对应部署一个NAT防火墙

配置方案:

  • 在NAT网关上配置SNAT策略,实现私网ECS绑定NAT EIP访问公网
  • 在NAT防火墙上自动同步NAT网关策略以及绑定的EIP
  • NAT防火墙上监控ECS私网访问公网流量趋势及会话明细
  • NAT防火墙上配置白名单机制的ACL访问控制策略,不允许访问黑IP和黑域名
  • NAT防火墙上对所有出向流量进行流量分析,及时发现异常流量
  • NAT防火墙对所有流量和策略日志进行审计记录,方便溯源分析


详细配置部署指导:

目录
相关文章
|
1月前
|
安全 网络协议 Shell
【内网安全】 域防火墙&入站出站规则&不出网隧道上线&组策略对象同步
【内网安全】 域防火墙&入站出站规则&不出网隧道上线&组策略对象同步
|
1月前
|
安全 网络协议 Linux
【内网安全】 隧道技术&SMB&ICMP&正反向连接&防火墙出入规则上线
【内网安全】 隧道技术&SMB&ICMP&正反向连接&防火墙出入规则上线
|
2月前
|
SQL 监控 安全
【阿里云云原生专栏】云原生安全体系构建:阿里云云防火墙与WAF的应用
【5月更文挑战第27天】阿里云云防火墙和WAF是构建云原生安全体系的关键产品,提供网络、主机和Web应用多维度防护。云防火墙采用分布式架构抵御网络攻击,确保应用安全稳定;WAF专注Web应用安全,防止SQL注入、XSS和DDoS等威胁。简单部署配置,结合使用可实现全面安全防护,提升企业云上应用安全性,保障业务安全运行。未来,阿里云将持续强化云原生安全建设。
273 1
|
1月前
|
弹性计算 人工智能 供应链
云服务器 ECS产品使用问题之端口已加入安全组,但是端口不通,同时服务器已关闭防火墙,是什么导致的
云服务器ECS(Elastic Compute Service)是各大云服务商阿里云提供的一种基础云计算服务,它允许用户租用云端计算资源来部署和运行各种应用程序。以下是一个关于如何使用ECS产品的综合指南。
|
2月前
|
云安全 数据采集 安全
阿里云安全产品,Web应用防火墙与云防火墙产品各自作用简介
阿里云提供两种关键安全产品:Web应用防火墙和云防火墙。Web应用防火墙专注网站安全,防护Web攻击、CC攻击和Bot防御,具备流量管理、大数据防御能力和简易部署。云防火墙是SaaS化的网络边界防护,管理南北向和东西向流量,提供访问控制、入侵防御和流量可视化。两者结合可实现全面的网络和应用安全。
阿里云安全产品,Web应用防火墙与云防火墙产品各自作用简介
|
2月前
|
弹性计算 Linux 网络安全
三步搭建VPC专有网络NAT网关,配置SNAT和DNAT规则(补充版)
申明:该文档参考于用户 “帅宝宝”的文档进行的优化,新增永久生效的方式
461 1
|
2月前
|
运维 监控 安全
安全防御之入侵检测与防范技术
安全防御中的入侵检测与防范技术主要涉及到入侵检测系统(IDS)和入侵防御技术(IPS)。 入侵检测系统(IDS)是一种对入侵行为自动进行检测、监控和分析的软件与硬件的组合系统。IDS通过从计算机网络或系统中的若干关键点收集信息,并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和遭到攻击的迹象。 入侵防御技术(IPS)是一种主动的安全防御技术,旨在防止恶意软件入侵和数据泄露。它通过实时监测和拦截网络流量中的威胁,保护网络和系统免受攻击。
125 0
|
2月前
|
安全 Serverless 网络安全
SAE防火墙功能默认阻止所有来自公网的流量
SAE防火墙功能默认阻止所有来自公网的流量
132 1
|
8月前
|
新零售 运维 安全
构建多账号云环境的解决方案|云防火墙企业多账号统一管理最佳实践
云防火墙通过与资源目录RD深度集成,可帮助企业将云上多个业务账号进行统一集中安全管控,大大提升运维效率。通过多账号统一管理能力,用户无需采购和运维多套云防火墙,仅需采购和运维一套,即可实现安全策略统一下发和防护效果统一分析审计等,更好满足企业网络安全集中化管控需求,并大大降低成本。
50334 6
|
10月前
|
SQL 安全 算法
Web 应用防火墙 -- 规则防护
4.4.2 白名单加白 基于请求特征对误报流量加白, 加白后的流量会被 WAF bypass,从而解决误报问题。
98 0