如何在阿里云从零搭建一个防入侵体系

本文涉及的产品
云服务器 ECS,每月免费额度280元 3个月
云服务器ECS,u1 2核4GB 1个月
云安全中心 免费版,不限时长
简介: 在阿里云从零搭建一个防入侵体系 安全已经成为云计算技术体系中重要组成部分,如果上云后不考虑安全防护措施被入侵的可能性几乎是100%。阿里云提倡安全责任共担模型,阿里云负责云平台基础安全防护,用户负责虚拟化层以上的组件安全。

在阿里云从零搭建一个防入侵体系


安全已经成为云计算技术体系中重要组成部分,如果上云后不考虑安全防护措施被入侵的可能性几乎是100%。阿里云提倡安全责任共担模型,阿里云负责云平台基础安全防护,用户负责虚拟化层以上的组件安全。本课程就是教会大家如何利用阿里云提供的各种安全产品在虚拟化层之上搭建一套基础的防入侵体系,包括网络安全、主机安全、应用安全和安全监控四个基础安全产品。


准备工作



安全组


安全组:安全组是阿里云提供的分布式虚拟化防火墙,具备状态检测包过滤功能。安全组是一个逻辑上的分组,这个分组是由同一个地域(Region)内具有相同安全保护需求并相互信任的实例组成。使用安全组可设置单台或多台云服务器的网络访问控制,它是重要的网络安全隔离手段,用于在云端划分网络安全域。


场景设计:新建安全组,通过不同策略验证SSH登录情况


实验步骤
1、新建安全组X,组内规则初始为空

640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=


2、创建VM A,指定所属安全组X,使用事先准备好的VM镜像

640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=

3、缺省状态下,验证从公网ssh连接VM失败

640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=

640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=


4、添加公网安全组规则允许公网ssh访问

640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=


5、验证公网ssh到VM成功

640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=


产品细节说明
1、业务限制

640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=


2、规则介绍

640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=



安骑士(专业版,半年)


安骑士:运行在服务器上的轻量级插件,通过与云端的大数据威胁情报库联动,提供服务器整体的高危风险检查、实时入侵告警、一键漏洞修复等功能;


基本架构

640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=

           

                  

实验步骤


1、进入安骑士控制台并完成专业版的购买


点击进入 安骑士控制台,点击左侧导航栏中的“服务器列表”,为了方便演示,我们已经帮用户购买了1台ECS,并且在ECS上都部署了安骑士的agent,此时可以看到当前的安骑士处于“在线状态”。点击右上角“购买付费版”,选择专业版1个授权数,下单并完成付款(当前已经给账号发放了相应的代金券,不需要真实付款)

          

购买前:

640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=


购买后:

640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=



2、使用基线检查进行 “账户安全”检测


通过列表中的服务器IP前面的复选框,选住需要检测的服务器,并点击批量操作栏的“手动检测”,选择“系统账户安全检测”,并点击确定开始检测

 

640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=

       

开始后,看到显示“检测中,预计X分钟结束”,此时我们操作栏的“查看详情”,进入详情页面

640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=

        

稍等一会,检测结束,检测结果出来了,发现了4个异常,分别如下

640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=


密码强度位数不够、密码过期提醒时间未设置、密码强制过期时间太长、存在一个可疑的黑客账号


3、重复步骤2,分别完成“可疑进程检测”、“高危漏洞检测”、“可疑自启动项”检测


4、设置“周期检测”策略,自动化完成安全监控

进入安骑士控制台 - 设置 - 页面,选择,基线检查周期配置,点击“添加”

可自定义策略名称、时间、项目、对应的服务器,开启周期检测

保存设置,系统将会在指定的时间调度指定的检测项,有异常结果将会进行通知和告警

640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=


        

5、实验完毕。

您可以结合自身业务特征,尝试更多的检测项目,同时可以尝试我们其他的功能,木马查杀、登录安全、补丁管理等,欢迎随时与我们交流。


态势感知(企业版,一年)


态势感知:大数据安全分析平台,通过收集企业20种原始日志和网络空间威胁情报,利用机器学习还原已发生的攻击,并预测未发生的攻击;


基本架构

640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=

                            

实验步骤


1、进入态势感知控制台并完成企业版的购买


点击进入 态势感知控制台,点击“升级”按钮进行升级,为了方便演示,我们已经帮用户态势感知企业版进行演示。


进入态势感知控制台,进行接下来的安全试验


2、使用“设置”功能,对云上的全部资产(ECS+RDS)进行告警配置,如邮件收件人配置,手机短信告警配置


进入导航,前往“设置”导航菜单,进行具体的告警配置,并可配置《每日安全日报》的邮件收件人

640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=



提供了紧急事件,攻击事件,漏洞事件,情报事件共4个大类型的告警,每个大类型又包含各种小类安全事件的告警配置

640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=


点击选择不同的告警事件,进行邮件和短信告警

640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=




4、进入“攻击”导航内,对攻击事件进行告警处理,以及查看攻击类型

进入态势感知控制台 - 威胁 - 攻击页面

640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=



态势感知提供了应用攻击,主机暴力破解攻击等功能,这里我们可以着重看下应用攻击

640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=


可查看攻击的类型,攻击方式,攻击应用等功能

640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=


5、实验完毕。


WAF(企业版,一个月)


WAF:WAF采用反向代理的接入架构,通过修改防护域名的DNS解析到WAF而将流量牵引到WAF,通过各种防护模块过滤掉恶意流量后,再把正常请求转发回源站。防护架构如下:

640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=


配置接入WAF

登录阿里云控制台,找到云盾->Web应用防火墙->域名配置,输入相关的域名及源站信息,并点击“添加域名”按钮:

640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=


支持配置泛域名,如*.aliyundemo.cn,可以匹配相关的二级域名。当同时配置泛域名和精确域名时,转发和防护策略匹配顺序以精确域名优先如果有HTTPS站点,务必勾选HTTPS,同时建议勾选HTTP,以应对HTTP跳转等问题,同时需要在稍后上传源站证书和密钥(实验中我们只勾选HTTP)源站IP可以支持最多20个,WAF会做负载均衡和健康检查,详情见“源站IP负载均衡”


如WAF前面还有CDN、高防等七层代理,务必勾选“是否已使用代理”,这样才能取到客户端真实IP,不然看到的都是上一级代理的IP添加好域名后,会弹出选择解析方式的弹窗,为了更好的演示接入原理,这里选择手动修改:

640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=


配置好域名后,WAF会自动分配给当前域名一个CNAME,可点击域名信息来查看:

640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=



接下来我们登录万网控制台,找到对应域名的“域名解析”->“解析设置”,正常情况下会有已经存在的一些解析,如下图:

640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=


接下来需要将记录类型改成CNAME,记录值改成WAF控制台提供的CNAME,如下图:

640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=


开启日志检索


在刚配置好的域名->业务状态中,找到日志检索并打开:

640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=


配置并体验精准防护规则

精准访问控制规则允许用户基于HTTP头部的各个字段自由组合各种访问控制规则:

640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=



找到防护域名,点击“防护配置”,进入“精准访问控制规则”即可配置。您可以自由尝试各种条件,匹配的内容大小写不敏感,匹配按照从上到下的优先级。详细的配置方式请参考这里:https://help.aliyun.com/document_detail/42780.html


配置好后一般3分钟内即可生效,您可以手动构造一些请求来验证防护效果,如果匹配中拦截,预期访问会被WAF拦截并弹出405拦截页面:

640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=


同时,您也可以在日志检索中看一下拦截的具体请求,以及匹配中访问控制规则的情况:

640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=

目录
相关文章
|
7月前
阿里云服务器被入侵
阿里云服务器被入侵
69 0
|
8月前
|
安全
阿里云服务器被xmrigMiner及pnscan及伪装httpd的病毒入侵排查记录
阿里云服务器被xmrigMiner及pnscan及伪装httpd的病毒入侵排查记录
428 0
|
机器学习/深度学习 存储 弹性计算
基于阿里云搭建全量push系统
push又称消息推送、消息触达。叫法有很多但目的只有一个,就是通过各种渠道或方式将指定内容告知到指定用户。所以我们也可以称之为通知。
200 0
基于阿里云搭建全量push系统
|
域名解析 XML 弹性计算
基于阿里云ecs的个人博客搭建实战
本文所涉及的代码出自以下博客文章,十分感谢下面各位大佬的分享 基于开源的wordpress Argon 主题制作人博客:solstice23 – Blog
283 0
基于阿里云ecs的个人博客搭建实战
|
存储 安全 对象存储
用阿里云对象存储OSS搭建个人网盘或企业网盘的方法
阿里云对象存储OSS是低成本高可靠的存储服务,使用阿里云OSS对象存储搭建个人网盘或企业网盘的方法
|
弹性计算 Linux
使用阿里云ECS搭建属于自己的wordpress个人博客体验
本文介绍了作者这段时间使用阿里云ECS的体验和搭建wordpress过程中遇到的一些问题和自己当时的想法,以及经过一个多星期的使用有哪些收获。
使用阿里云ECS搭建属于自己的wordpress个人博客体验
|
域名解析 关系型数据库 MySQL
阿里云轻量应用服务器怎么搭建网站?搭建WordPress博客全教程
阿里云轻量应用服务器WordPress应用镜像一键搭建WordPress博客,阿里云轻量应用服务器自带WordPress应用镜像,一键搭建WordPress博客网站,WordPress镜像环境基于Alibaba Cloud Linux3操作系统,PHP 8.1、MySQL 5.7和Nginx 1.22版本,阿里云百科来详细说下阿里云轻量应用服务器安装WordPress应用镜像全过程:
341 0
阿里云轻量应用服务器怎么搭建网站?搭建WordPress博客全教程
|
弹性计算 Shell
阿里云使用 emqx 搭建 MQTT 服务器
阿里云使用 emqx 搭建 MQTT 服务器
阿里云使用 emqx 搭建 MQTT 服务器
|
监控 Serverless 云计算
5 步!用阿里云 Serverless 搭建高质量的图片压缩工具
Serverless 是一种基于云计算的开发方法,它让开发人员可以专注于编写代码来解决业务问题,而不是处理服务器问题。它是独一无二的,因为它支持 Auto Scaling,执行应用程序所需的计算能力是按需分配的。并且使用一种称为事件驱动函数的模型来确定这些需求的范围。这就是 Serverless 架构,也称为功能即服务 (FaaS)。
5 步!用阿里云 Serverless 搭建高质量的图片压缩工具
阿里云的个人使用体验与关于阿里云个人博客搭建的补充
简单快速,通俗易懂易上手,体验满分10分给9.9分吧!!!
173 0

热门文章

最新文章