直达最佳实践:【 https://bp.aliyun.com/detail/39】
观看视频:【 https://yqh.aliyun.com/live/detail/22669】
阿里云最佳实践目前已覆盖23类常用场景,有200多篇最佳实践,这其中涉及110款以上阿里云产品的最佳使用场景。目前,最佳实践已成功帮助大量客户实现自助上云。
分享人:
敬海 解决方案架构师
勿焱 解决方案架构师
正文:
本篇内容将通过三个部分来介绍企业上云等保三级最佳实践。
一、最佳实践原理讲解
二、最佳实践核心讲解
三、最佳实践系统搭建
一、最佳实践原理讲解
本方案适用于在阿里云上过等保三级的用户。网络安全法中明确要求国家实行网络安全保护制度,网络运营者有义务履行等级保护制度要求。阿里云除了提供满足等保合规要求的云平台外,还为租户侧的应用系统提供完整的云原生、高性价比的等保三级解决方案。本方案要解决的问题是满足等保2.0合规要求,云上高等级安全体系建设。本方案一共使用了八种阿里云安全的相关产品。包括云安全中心,Web应用防火墙,云防火墙,SSL证书,堡垒机,数据库审计,日志服务LOG,密钥管理服务KMS。
根据公安部发布的网安法明确要求:《网络安全法》第二十一条明确规定国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。
网络安全等级保护是指是网络安全保障工作中国家意志的体现。网络安全法是国家层面对等级保护的法律认可和明确要求,网络安全等级保护制度是我国信息安全工作保障工作的基本制度和基本国策,是开展信息安全工作的基本方法,是促进信息化、维护国家信息安全的基本保障。
《GB/T22239-2019信息安全技术信息系统安全等级保护基本要求等标准》简称为等保2.0,对等保2.0中分为五个等级,大部分企业在第二级和第三级。第二级指一般重要系统在信息系统受到破坏后,会对公民法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
第三级是比较重要的系统,指信息系统受到破坏后,对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。通常在100万用户以上或者日订单1000万以上的企业就要做等保三级。
接下来,我们介绍一下等保三级的系统架构,以及使用的产品。以一个重要的网站业务系统为例,经典的云上架构是用户访问需求先到slb,然后负载均衡到后端的ECS服务器中,后台还有数据库系统在等保三的要求下,通常需要做如下安全配置。第一,首先需要配置WEB应用防火墙,即WAF。来保证应用安全,防止sql注入,首页篡改等。
第二,配置云防火墙。集中管理公网IP的访问策略,内置威胁入侵防御模块,支持失陷主机检测,主动外联行为的阻断等。这里需要配置公网弹性IP+私网SLB。在ECS服务器集群内部,还有安全组这一层来加强网络安全。在数据安全方面,还有https证书来实现网站https化,使网站可信。
在运维方面,需要配置堡垒机,集中管理资产安全,全程记录操作数据,管理云端运维工作。此外,在组件安全方面需要配置云安全中心高级版,帮助用户实现威胁检测,漏洞管理等主机安全事宜。在数据库方面,需要配置数据库审计,升级数据库访问行为等。此外,还要配合和访问控制RAM,建立主子账号。开启actiontrail和日志服务,保存云平台操作记录,便于审计。
最后,我们来看一下企业上云等保三级的实例说明。本实践首先需要构建一个模拟的业务系统。访问链接是https://bp.aliyun.com/detail/10。在这套业务系统之上,分别开通waf,云防火墙,堡垒机,RAM,数据库审计,云安全中心等产品。从而完成等保三级最佳实践的系统搭建。左图,是一个经典的云上架构。前端slb挂接ECS业务主机集群,后端配置RDS数据库服务。我们的目标是在这套业务系统之上,构建等保三级安全系统,操作完成后,如右图所示。
二、最佳实践核心讲解
首先,一次完整的等级保护通过流程。包含定级,备案,整改,测评四个主要步骤。并在完成测评后,进入持续的监督检查阶段,直至下一个测评周期来临。以三级为例,每年都需要进行一次等保测评工作。我们重点关注的是,整改和参照定级对象的当前等级要求和标准,对定级对象进行整改加固。
依据等级保护建设要求,阿里云负责云平台本身的等保合规建设,并提供相应的安全能力,供给云上租户使用。企业需利用这些能力,对云上系统进行相应整改,不同类别的信息系统,责任分配略有不同。这里提供了安全责任共担模型,供参考了解使用。
整改里的”当前等级要求和标准”。参照的就是信息安全技术网络安全等级保护基本要求。分为三个大类,安全管理要求,安全通用要求,安全扩展要求。安全管理要求主要是管理制度方面。这里重点关注一下,安全通用要求。在企业上云后,安全物理环境将由阿里云完成等级保护,相关测评工作保障。其余四个领域,需要阿里云与企业共同来完成建设。
阿里云的云上等级保护建设方案。就是对照安全区域边界,安全计算环境,安全通信网络和安全管理中心四个领域,进行设计。在安全区域边界,有几个重点要求。第一,应对进出网络的数据流,实现基于应用协议和应用内容的访问控制。我们通过配置DDOS防御和WAF实现。阿里云DDOS高防和WAF可实现应用内容级别的访问控制手段。第二,检测和预防从外部或内部发起的网络攻击行为。我们通过配置云防火墙,可以实现。阿里云防火墙,可以实现双向的攻击行为检测与阻断。
安全计算环境的要求相对较多。第一,发现存在的已知漏洞,并及时修补。采用免受恶意代码攻击的技术措施,识别入侵和病毒行为,将其有效阻断。我们通过云安全中心来防范,安全计算环境的入侵。在我们每一台服务器上均安装云安全中心的Agent。云安全中心具备发现漏洞,修补漏洞,自动识别和阻断入侵及病毒的能力。
第二,访问控制应由授权主体,配置访问控制策略。访问控制策略规定主体对客体的访问规则。其中主体是指行为发生体,比如个人,用户和进程。客体是指行为接受体,比如文件,数据库表。通过访问控制策略,规定主体和客体的访问规则,也叫强制访问控制。注:如果目前使用账号密码的方式直接登录账号,由运维管理员或者数据库管理员进行操作,不符合此项要求。
等级保护要求,至少应具备两种或两种以上的鉴别技术组合,对用户身份进行鉴别,并提前对不同用户进行权限控制。这里我们通过阿里云堡垒机,RAM账号和统一身份授权实现等级保护要求。
第三,安全审计,应对每个用户的行为进行审计。等级保护始终要求安全审计。我们通过配置数据库审计以及敏感数据保护,记录每一个用户的行为和操作记录。安全通信网络要求对通信数据进行加密和校验,保障数据的保密性和完整性。我们通过配置SSL证书和加密系统来实现。安全管理中心要求集中管控和管理员的策略审计,阿里云平台已经提供了成熟的操作审计和集中管控能力。阿里云上等级保护建设方案,涵盖了等级保护要求中的各个方面,顺利保障企业通过等保测评。
除了上述的等级保护基础要求,阿里云还可提供最高规格,最全面的等级和安全建设体系,进一步加强企业安全性的同时,高分过等保。与此同时,阿里云等级保护建设方案,大多采用了云原生安全能力,具备改造成本低廉,业务影响小,延迟低即开即用的特点。规避了安全和业务的二选一难题,实现安全与业务双赢。
在等级保护的完整流程中,共涉及五方单位协同合作,分别是企业单位;阿里云负责提供基础平台及安全建设能力;咨询机构负责协助企业单位顺利完成,从定级到测评的全部流程;测评机构负责对企业单位信息系统进行等级保护测评工作;公安负责审核受理材料和持续的监督检查工作。企业单位可以分别与各家单独沟通,协作完成最终的等级保护测评工作。
也可由阿里云提供一站式服务,减少沟通成本,提升效率。阿里云结合云上安全优秀实践经验,提供合理的安全防护建议以及安全防护效果,并甄选能力强,服务好的咨询和测评机构,可在短时间内完成合规工作,缩小沟通面,减少单位的工作投入。
阿里云作为目前亚洲合规认证最全的云服务提供商,具备海量国内外合规认证经验。
三、最佳实践系统搭建
首先,我们找到这篇最佳实践,然后点击右下角的一键部署,对一些参数进行修改。比如RDS数据库,账号设置以及eip设置。保存成功之后,就可以进行部署,点击部署应用。部署过程需要10到20分钟左右。部署成功之后,我们可以在资源名称这一列,看到部署的所有资源。
首先我们登录这个服务器,然后进行配置,创建一个文件夹,安装社区版的mysql,选择自建数据库mysql。设定相关参数之后,登录数据库。然后安装组装网站需要的相关安装包,成功之后,输入用户数据库的用户名和密码。登录数据库。
可以看到,我们在这台服务器上自建的mysql。下一步,我们需要把它停止,做一个镜像,利用镜像,再起一台相同配置的ECS主机。设置自定义镜像名称,ECS系统盘和数据容量的大小,创作镜像的时间会有所不同。
我们再用这个镜像创建一个相同的实例,找到这台服务器,点击创建相同配置,镜像选则自定义镜像。创建实例成功,点击ECS管理控制台,找到它的公网ip,输入这个网址,启动mysql和http,访问成功。
然后打开日志服务的控制台,开启日志服务。回到actiontrail的控制台,点击跟踪列表,点击创建跟踪,填写跟踪名称。点击下一步,把日志放到日志服务里。点击提交,可以在跟踪列表做日志跟踪和审计。
然后,我们进入创建账号的环节。首先,我们打开认证账户,有三种方式完成身份验证。我们选择手机验证,输入验证码,点击确定。在手机端安装阿里云的app,使用我们的账号登录。登录之后,点开MFA,就可以看到当前账号的MFA的验证码。绑定成功之后,如果退出控制台,重新登录。不但要输入密码,还要进行MFA的二次验证。
接下来,我们演示如何创建ram_enterprise的子账号。子账号主要用于运维,所以我们会设置一个管理员权限。通常,不建议使用阿里云的总账号进行任何操作。所有操作都用子账号完成,便于审计追踪和排查。创建账号之后,找到用户,点击添加权限,点击启用控制台登录,设置控制台登陆的一些参数,然后设置密码,需要自定义密码。一般为了安全,需要用户在下次登录时必须重置密码。
开启MFA,打开手机上的阿里云的app,点击虚拟MFA。找子账号的安全码,然后连续输入两次账号的安全码。输入第一个安全码之后,等待过期。过期之后,会出现第二个安全码。这个时候在输入第二个安全码。点击确定启用,申请成功。每一个RAM子账号都有一个单独的一个地址来登录,我们在登录的时候,打开阿里云app,输入六位的安全码,点击提交验证,验证成功之后就可以登录账号。
通常情况下,你可以给根据不同情况,设置不同权限,把子账号交给不同的人员,每个人就有不同的权限。
接下来,我们来配置WEB应用防火墙。首先,我们来到网站接入页面,输入我们的域名。协议类型勾选一致http和https,服务器地址,写网站的公网ip,点击下一步。WAF的原理,就是我们在配了WAF之后,网站的流量到域名之后,经过WAF进行清洗,再回到SLB或者后端的IP上。所以,我们需要把WAF的回归IP添加到负载SLB的白名单里。从而保证网站的正常访问。
首先,我们来到产品的控制台建立一个IP组,然后添加一条策略,然后把WAF的活跃IP地址添加进去。添加之后,找到SLB,添加白名单。白名单选择我们刚才创建的策略。
接下来,我们配置WAF训练解析。我们需要把IP换成WAF,链路关系变成了流量先到域名。域名再到WAF,然后再到后端SLB的公网IP。解析之后,我们来测试网站访问的效果。正常情况下,我们使用域名是可以正常访问的。如果使用IP访问是无法访问的。
然后我们再来验证WAF的防护效果。首先,我们模拟一个色号注入,发现WAF直接屏蔽了。然后,我们再来模拟xss攻击,WAF也屏蔽了。而非法访问文件的测试,WAF也会进行屏蔽。然后,我们会在WAF的安全报表里看到攻击记录。
接下来,我们来验证配置WAF的CC安全攻击防护,首先来到网站防护,点击访问控制/限流。然后看到CC安全防护已经开启。这时,我们需要定义一些策略。点击新建,自定义安全策略。
接下来,我们进入SSL证书的配置环节。由于是demo演示,所以是免费运营。如果是真正的网站,大家需要购买收费版的证书。登录之后,我们需要把证书的两个文件拷贝进来,相当于上传证书。然后,把.com的内容拷贝到证书文件里,把.k的内容拷贝到秘钥里。证书就上传成功了。
然后,我们在WAF端上传证书。点击网站接入,点击上传证书,选择已有证书,选择刚才上传的证书,点击确定。有了证书之后,你的网站就会更加安全。在访问网站的时候,就可以看到它的页面是不太一样的。
下面进入云防火墙的配置环节。首先,打开云防火墙的控制台。点击外对内,设置一个对所有网段八零端口开放的策略。成功之后,我们再加一条拒绝其他所有端口访问的策略。这里要注意拒绝的策略要放到最后。接下来,给APP节点加一个公网ip。确认无法登录之后,我们再加一条规则,把22端口放开。在日志审计里,可以看到登录日志。
下一个功能是网页防篡改,我们需要在右方做一些配置。首先,选择需要添加的服务器。然后,在本地备份目录,点击开启防护。在防火管理里打开防护状态,启动成功之后,到目录下面做一些操作进行验证。
下面,我们进入堡垒机环节,首先打开堡垒机的控制台。第一步,在资产管理里导入主机,根据分配,把它们分到不同的机组。然后我们在APP01上新建手机账号,在APP01上创建一个用户。然后返回堡垒机的控制台。进行配置。返回保证监控制台输入登录名。
然后我们再来设置主机机组,两个组都设置成功之后,导入RAM用户。授权完成后,给他一个授权账号。然后回到堡垒机的的控制台,把公网的出口打开,就可以用公网进行登录了。我们让enteiprise账号进行一键登录。首先拷贝堡垒机的公网地址,然后使用使用账号进行登录。登录之后,可以看到这个账户下能登录的ECS列表,
然后,我们看看堡垒机的审计功能。首先,编辑一个文件叫test,然后输入一些文本。操作完成之后,我们回到堡垒控制台,在审计里,点击字符命令,点击搜索,就可以看到刚才的操作记录了。然后,点击播放就可以看到当时的一切情况。然后,点击详情,可以查看其中的一些信息。
堡垒机的配置完成之后,我们需要注意堡垒机是连接公网的,所以我们需要在云防火墙做一些配置,开放堡垒机的端口,堡垒机的出口ip。首先,我们创建一个端口地址簿。这里的端口,就是堡垒机用到的端口。然后再创建一个地址簿,就是堡垒机的出口ip。
然后,我们再创建策略。根据自己的情况,进行一些配置。地址簿我们选择出口ip,端口开放。然后,把这个策略移动到拒绝所有公网访问的前面。不然它就不会生效了。
下面我们进入配置数据库审计的环节,这里购买了一个c100的实例,确保和ECS在同一个vpc。我们来到资产管理,点击新增,数据库审计既可以审计RDS也可以审计mysql数据库。因为数据库审计是通过抓包进行审计,自建的Mysql数据库,是要把它装在mysql服务器上。
然后访问RDS数据库,记得开放安全锁的13001和13002端口。然后点击长期分析,点击审计日志,点击最近5分钟,点击搜索,就可以看到这些日志,看到刚才的一些操作。然后,我们来到仪表盘,可以查看整个审计的情况,日志分析。也可以点击实时监控,查看实时信息。然后,点击报表预览,查看数据库审计的各种报告。到这里,我们的实验就做完了。
