世界上只有两种人:知道自己被黑的,不知道自己被黑的。
—— 信息安全圈名言
被黑,其实和世界上的大多数事情一样,也是灰度渐变的,黑客从获取外围的权限到拿下整个系统的控制权一般都要经过多个步骤,包括:
- 侦查与信息收集:侦查目标,包括利用社会工程学了解目标。
- 制作与选择攻击工具:针对目标编写或选择现成的工具。
- 传送工具:将攻击工具传输到目标系统上,包括利用站点的上传漏洞等。
- 触发工具:利用目标系统的漏洞触发执行攻击工具。
- 控制目标:在目标上建立远程控制通道。
- 执行活动:执行需要的攻击行为,包括获取信息、进一步扩大权限等。
- 保留据点:创建据点,为后续攻击提供便利。
这个过程被称为攻击链,从传送工具开始,被“黑”的进程就已经开始了,后续的步骤环环相扣,假如在此过程中能够及时的发现攻击行为进行阻断就能挫败此次攻击。云安全中心和云防火墙就是斩断攻击链的两柄利器。今天就让我们来聊聊它们的部署要点。
第一个要点,功能定位
阿里云官网,有关云安全中心的功能描述如下:
云安全中心是一个实时识别、分析、预警安全威胁的统一安全管理系统,通过防勒索、防病毒、防篡改、合规检查等安全能力,
帮助用户实现威胁检测、响应、溯源的自动化安全运营闭环,保护云上资产和本地主机并满足监管合规要求。
所以千万不要把云安全中心只当成一个杀毒软件来看待,云安全中心的威胁检测、响应、溯源自动化对于及时的发现并阻断入侵链具有关键作用。云安全中心其实更像一个主机IDS而不是一个杀毒软件。
云防火墙在阿里云官网的描述如下:
SAAS化云原生防火墙,全面梳理云上资产的互联网暴露和风险情况,一键防护;IPS虚拟补丁可智能防御高危漏洞;集成威胁情报,支持阻断主动外联行为、业务间访问关系可视,网络流量审计,等保必备。
假如你只需要一个防火墙,其实免费的安全组已经足够了,云防火墙的价值主要体现在IPS虚拟补丁以及发现并阻断主动外联行为。攻击者在控制目标阶段,通常情况下都会发起主动外联,因此相对于防火墙,我觉得云防火墙更适合作为一个网络IPS来使用。
第二个要点,授权粒度
在购买安全中心时,有一个要点是购买的授权数必须大于当前账号的保有ECS数量,假如ECS的数量要增加,要提前对云安全中心进行扩容,增加授权数量。
另外,云安全中心的附加功能包括日志存储空间、防勒索存储空间授权的对象都是整个阿里云账号而不是单个ECS服务器,假如配置了30GB的日志存储空间,而当前云账号下的ECS数量为2,则两台ECS将共享这30GB的日志空间,鉴于阿里云建议为每台ECS配置30G日志存储空间,因此最好扩容日志存储到60GB。云安全中心的授权范围是整个阿里云账号。
云防火墙的授权可细化到单个VPC,假如当前账号下有两个VPC,而只有一个互联网防火墙授权可用,就可以在云防火墙控制台选择为哪一个VPC开通互联网防火墙。在云防火墙的企业版、旗舰版中还有VPC防火墙的功能,也可以根据需要在不同的VPC之间进行开通。
第三个要点,默认安全
云安全中心和云防火墙都属于“默认安全”服务,在阿里云上的所有ECS服务器无论是否购买云安全中心服务都会默认安装阿里云的云安全中心客户端,当然除非在购买ECS时明确的取消安装安全加固服务。
云防火墙无需复杂的配置即可对服务器提供安全防护,只需要在防火墙开关界面“一键开通”即可对全部服务器提供安全防护服务。
第四个要点,运维建议
篱笆坏了就要赶紧补好,云安全中心上的报警信息要时刻关注,除了可以设置短信和邮件报警外还可以设置钉钉机器人自动发送信息到钉钉群。当收到云安全中心的预警时可以在第一时间登陆阿里云账号使用云防火墙的主动外联活动监控功能对主动外联行为进行监控,并对可疑的主动外联行为进行封禁,云防火墙支持按域名对外联访问进行开通或者封禁,可以通过外联白名单的方式只对指定的系统更新,业务合作方的域名开通主动外联。
假如云安全中心的版本是企业版还支持攻击溯源的功能,对攻击行为进行关联分析,可以更快速的定位和修复漏洞。
以上就是我对云安全中心和云防火墙的一些建议,希望对大家有用。
