如何在阿里云从零搭建一个防入侵体系

本文涉及的产品
Web应用防火墙 3.0,每月20元额度 3个月
公共DNS(含HTTPDNS解析),每月1000万次HTTP解析
日志服务 SLS,月写入数据量 50GB 1个月
简介: 在阿里云从零搭建一个防入侵体系 安全已经成为云计算技术体系中重要组成部分,如果上云后不考虑安全防护措施被入侵的可能性几乎是100%。阿里云提倡安全责任共担模型,阿里云负责云平台基础安全防护,用户负责虚拟化层以上的组件安全。

在阿里云从零搭建一个防入侵体系


安全已经成为云计算技术体系中重要组成部分,如果上云后不考虑安全防护措施被入侵的可能性几乎是100%。阿里云提倡安全责任共担模型,阿里云负责云平台基础安全防护,用户负责虚拟化层以上的组件安全。本课程就是教会大家如何利用阿里云提供的各种安全产品在虚拟化层之上搭建一套基础的防入侵体系,包括网络安全、主机安全、应用安全和安全监控四个基础安全产品。


准备工作



安全组


安全组:安全组是阿里云提供的分布式虚拟化防火墙,具备状态检测包过滤功能。安全组是一个逻辑上的分组,这个分组是由同一个地域(Region)内具有相同安全保护需求并相互信任的实例组成。使用安全组可设置单台或多台云服务器的网络访问控制,它是重要的网络安全隔离手段,用于在云端划分网络安全域。


场景设计:新建安全组,通过不同策略验证SSH登录情况


实验步骤
1、新建安全组X,组内规则初始为空


2、创建VM A,指定所属安全组X,使用事先准备好的VM镜像

3、缺省状态下,验证从公网ssh连接VM失败


4、添加公网安全组规则允许公网ssh访问


5、验证公网ssh到VM成功


产品细节说明
1、业务限制


2、规则介绍



安骑士(专业版,半年)


安骑士:运行在服务器上的轻量级插件,通过与云端的大数据威胁情报库联动,提供服务器整体的高危风险检查、实时入侵告警、一键漏洞修复等功能;


基本架构

           

                  

实验步骤


1、进入安骑士控制台并完成专业版的购买


点击进入 安骑士控制台,点击左侧导航栏中的“服务器列表”,为了方便演示,我们已经帮用户购买了1台ECS,并且在ECS上都部署了安骑士的agent,此时可以看到当前的安骑士处于“在线状态”。点击右上角“购买付费版”,选择专业版1个授权数,下单并完成付款(当前已经给账号发放了相应的代金券,不需要真实付款)

          

购买前:


购买后:



2、使用基线检查进行 “账户安全”检测


通过列表中的服务器IP前面的复选框,选住需要检测的服务器,并点击批量操作栏的“手动检测”,选择“系统账户安全检测”,并点击确定开始检测

 

       

开始后,看到显示“检测中,预计X分钟结束”,此时我们操作栏的“查看详情”,进入详情页面

        

稍等一会,检测结束,检测结果出来了,发现了4个异常,分别如下


密码强度位数不够、密码过期提醒时间未设置、密码强制过期时间太长、存在一个可疑的黑客账号


3、重复步骤2,分别完成“可疑进程检测”、“高危漏洞检测”、“可疑自启动项”检测


4、设置“周期检测”策略,自动化完成安全监控

进入安骑士控制台 - 设置 - 页面,选择,基线检查周期配置,点击“添加”

可自定义策略名称、时间、项目、对应的服务器,开启周期检测

保存设置,系统将会在指定的时间调度指定的检测项,有异常结果将会进行通知和告警


        

5、实验完毕。

您可以结合自身业务特征,尝试更多的检测项目,同时可以尝试我们其他的功能,木马查杀、登录安全、补丁管理等,欢迎随时与我们交流。


态势感知(企业版,一年)


态势感知:大数据安全分析平台,通过收集企业20种原始日志和网络空间威胁情报,利用机器学习还原已发生的攻击,并预测未发生的攻击;


基本架构

                            

实验步骤


1、进入态势感知控制台并完成企业版的购买


点击进入 态势感知控制台,点击“升级”按钮进行升级,为了方便演示,我们已经帮用户态势感知企业版进行演示。


进入态势感知控制台,进行接下来的安全试验


2、使用“设置”功能,对云上的全部资产(ECS+RDS)进行告警配置,如邮件收件人配置,手机短信告警配置


进入导航,前往“设置”导航菜单,进行具体的告警配置,并可配置《每日安全日报》的邮件收件人



提供了紧急事件,攻击事件,漏洞事件,情报事件共4个大类型的告警,每个大类型又包含各种小类安全事件的告警配置


点击选择不同的告警事件,进行邮件和短信告警




4、进入“攻击”导航内,对攻击事件进行告警处理,以及查看攻击类型

进入态势感知控制台 - 威胁 - 攻击页面



态势感知提供了应用攻击,主机暴力破解攻击等功能,这里我们可以着重看下应用攻击


可查看攻击的类型,攻击方式,攻击应用等功能


5、实验完毕。


WAF(企业版,一个月)


WAF:WAF采用反向代理的接入架构,通过修改防护域名的DNS解析到WAF而将流量牵引到WAF,通过各种防护模块过滤掉恶意流量后,再把正常请求转发回源站。防护架构如下:



配置接入WAF

登录阿里云控制台,找到云盾->Web应用防火墙->域名配置,输入相关的域名及源站信息,并点击“添加域名”按钮:



支持配置泛域名,如*.aliyundemo.cn,可以匹配相关的二级域名。当同时配置泛域名和精确域名时,转发和防护策略匹配顺序以精确域名优先如果有HTTPS站点,务必勾选HTTPS,同时建议勾选HTTP,以应对HTTP跳转等问题,同时需要在稍后上传源站证书和密钥(实验中我们只勾选HTTP)源站IP可以支持最多20个,WAF会做负载均衡和健康检查,详情见“源站IP负载均衡”


如WAF前面还有CDN、高防等七层代理,务必勾选“是否已使用代理”,这样才能取到客户端真实IP,不然看到的都是上一级代理的IP添加好域名后,会弹出选择解析方式的弹窗,为了更好的演示接入原理,这里选择手动修改:


配置好域名后,WAF会自动分配给当前域名一个CNAME,可点击域名信息来查看:



接下来我们登录万网控制台,找到对应域名的“域名解析”->“解析设置”,正常情况下会有已经存在的一些解析,如下图:


接下来需要将记录类型改成CNAME,记录值改成WAF控制台提供的CNAME,如下图:


开启日志检索


在刚配置好的域名->业务状态中,找到日志检索并打开:


配置并体验精准防护规则

精准访问控制规则允许用户基于HTTP头部的各个字段自由组合各种访问控制规则:



找到防护域名,点击“防护配置”,进入“精准访问控制规则”即可配置。您可以自由尝试各种条件,匹配的内容大小写不敏感,匹配按照从上到下的优先级。详细的配置方式请参考这里:https://help.aliyun.com/document_detail/42780.html


配置好后一般3分钟内即可生效,您可以手动构造一些请求来验证防护效果,如果匹配中拦截,预期访问会被WAF拦截并弹出405拦截页面:


同时,您也可以在日志检索中看一下拦截的具体请求,以及匹配中访问控制规则的情况:

目录
相关文章
|
8月前
|
机器学习/深度学习 监控 安全
网络安全产品之认识入侵防御系统
由于网络安全威胁的不断演变和增长。随着网络技术的不断发展和普及,网络攻击的种类和数量也在不断增加,给企业和个人带来了巨大的安全风险。传统的防火墙、入侵检测防护体系等安全产品在面对这些威胁时,存在一定的局限性和不足,无法满足当前网络安全的需求。入侵防御系统(IPS)作为一种主动防御的解决方案应运而生。它可以实时检测和防御网络流量中的恶意攻击和威胁,通过串接的方式部署在网络中,对入侵行为进行实时阻断,从而极大地降低了入侵的危害。
470 1
|
8月前
|
安全 网络安全 数据库
Web安全防护的必要性与漏洞扫描技术
随着互联网的发展,Web应用程序的使用越来越广泛,但也带来了越来越多的安全威胁。因此,Web安全防护变得越来越重要。本文将介绍Web安全防护的必要性,并详细介绍各种漏洞扫描技术,以帮助您保护Web应用程序的安全。
225 2
|
云安全 XML 监控
JSBot无文件攻击,云安全网络全链路防御
近日,阿里云安全监测到一种利用Javascript无文件技术实现C&C通信的新型僵尸网络,其核心交互无文件落盘并由JS加载下载Powershell脚本内存执行各类恶意操作,阿里云安全专家分析发现,该僵尸网络利用永恒之蓝漏洞进行扫描入侵,对主机、用户资产危害极大。
1806 0
JSBot无文件攻击,云安全网络全链路防御
|
4月前
|
SQL 存储 安全
网络安全与信息安全:从漏洞到防护的全方位解析
【9月更文挑战第20天】在数字化时代,网络安全和信息安全的重要性日益凸显。本文将深入探讨网络安全的多个方面,包括常见的安全漏洞、加密技术的应用以及提升个人安全意识的方法。我们将通过实例分析,揭示网络攻击者如何利用安全漏洞进行入侵,同时展示如何使用加密技术保护数据安全。此外,我们还将讨论如何通过教育和实践提高大众的安全意识,以减少安全威胁的发生。文章旨在为读者提供一套全面的网络安全知识体系,帮助他们在日益复杂的网络环境中保护自己的信息资产。
|
5月前
|
机器学习/深度学习 存储 安全
网络防线的构筑者:洞悉网络安全漏洞与加固信息防护
【7月更文挑战第40天】 在数字化时代,每一次键盘的敲击、每一条数据的传输,都携带着潜在的风险。网络安全与信息安全已成为个人至企业乃至国家安全的屏障。本文将深入探讨网络安全漏洞的本质、加密技术的关键作用以及提升安全意识的必要性,旨在为读者提供一套系统性的网络防护策略和实践建议。
|
5月前
|
云安全 安全 网络安全
云安全防护指南:防御DDoS攻击的几大有效方法
云安全防护指南:防御DDoS攻击的几大有效方法
278 0
|
8月前
|
存储 安全 算法
网络防御先锋:揭秘网络安全漏洞与加固信息防线
【5月更文挑战第15天】在数字时代的风口浪尖,网络安全已成为维护信息完整性、确保数据流通安全的关键。本文将深入探讨网络安全中存在的漏洞、加密技术的进展以及提升安全意识的重要性,旨在为读者构建一道坚固的信息防线提供知识支持和实践指导。
58 2
|
8月前
|
存储 安全 物联网
网络防御前线:洞悉网络安全漏洞与加固信息防线
【5月更文挑战第4天】 在数字化时代,网络安全已成为维护信息完整性、确保数据传输安全的关键阵地。本文将深入探讨网络安全领域的重要议题—包括识别和应对安全漏洞、应用加密技术以及提升个体和企业的安全意识。通过对这些关键要素的剖析,我们旨在为读者提供一个关于如何构建坚固网络防御体系的全面视角。
83 6
|
8月前
|
存储 安全 物联网
网络防御先锋:洞悉网络安全漏洞与加固信息防线
【5月更文挑战第30天】 在数字化的浪潮中,网络安全已成为维护信息完整性、确保数据传输安全的重要领域。随着技术的进步,网络攻击手段不断升级,了解和防御这些安全威胁变得日益重要。本文将探讨网络安全中的漏洞挖掘、加密技术和提升个体及组织的安全意识等方面,以期为读者提供全面而深入的网络安全知识,帮助构建更为坚固的信息防线。
|
8月前
|
存储 SQL 安全
网络防线之钥:洞悉网络安全漏洞与加固信息防护
在数字化时代,数据成为了新石油,而网络安全则是保护这些宝贵资源不被非法开采的关键。本文将探讨网络安全中的漏洞问题、加密技术的应用以及提升个人和企业的安全意识。通过深入分析常见的安全威胁,我们揭示了网络攻击者的入侵手段,并提供了相应的防御策略。同时,文章还将讨论如何通过强化加密措施和提高整体的安全认知,来构建更为坚固的信息安全防线。