云上等保部署要點-云防火墻和云安全中心
世界上只有兩種人:知道自己被黑的,不知道自己被黑的。
—— 信息安全圈名言
被黑,其實和世界上的大多數(shù)事情一樣,也是灰度漸變的,黑客從獲取外圍的權限到拿下整個系統(tǒng)的控制權一般都要經(jīng)過多個步驟,包括:
-
偵查與信息收集:
偵查目標,包括利用社會工程學了解目標。
-
制作與選擇攻擊工具:
針對目標編寫或選擇現(xiàn)成的工具。
-
傳送工具:
將攻擊工具傳輸?shù)侥繕讼到y(tǒng)上,包括利用站點的上傳漏洞等。
-
觸發(fā)工具:
利用目標系統(tǒng)的漏洞觸發(fā)執(zhí)行攻擊工具。
-
控制目標:
在目標上建立遠程控制通道。
-
執(zhí)行活動:
執(zhí)行需要的攻擊行為,包括獲取信息、進一步擴大權限等。
-
保留據(jù)點:
創(chuàng)建據(jù)點,為后續(xù)攻擊提供便利。
這個過程被稱為攻擊鏈,從傳送工具開始,被“黑”的進程就已經(jīng)開始了,后續(xù)的步驟環(huán)環(huán)相扣,假如在此過程中能夠及時的發(fā)現(xiàn)攻擊行為進行阻斷就能挫敗此次攻擊。云安全中心和云防火墻就是斬斷攻擊鏈的兩柄利器。今天就讓我們來聊聊它們的部署要點。
第一個要點,功能定位
阿里云官網(wǎng),有關云安全中心的功能描述如下:
云安全中心是一個實時識別、分析、預警安全威脅的統(tǒng)一安全管理系統(tǒng),通過防勒索、防病毒、防篡改、合規(guī)檢查等安全能力,
幫助用戶實現(xiàn)威脅檢測、響應、溯源的自動化安全運營閉環(huán),保護云上資產(chǎn)和本地主機并滿足監(jiān)管合規(guī)要求。
所以千萬不要把云安全中心只當成一個殺毒軟件來看待,云安全中心的威脅檢測、響應、溯源自動化對于及時的發(fā)現(xiàn)并阻斷入侵鏈具有關鍵作用。云安全中心其實更像一個主機IDS而不是一個殺毒軟件。
云防火墻在阿里云官網(wǎng)的描述如下:
SAAS化云原生防火墻,全面梳理云上資產(chǎn)的互聯(lián)網(wǎng)暴露和風險情況,一鍵防護;IPS虛擬補丁可智能防御高危漏洞;集成威脅情報,支持阻斷主動外聯(lián)行為、業(yè)務間訪問關系可視,網(wǎng)絡流量審計,等保必備。
假如你只需要一個防火墻,其實免費的安全組已經(jīng)足夠了,云防火墻的價值主要體現(xiàn)在IPS虛擬補丁以及發(fā)現(xiàn)并阻斷主動外聯(lián)行為。攻擊者在控制目標階段,通常情況下都會發(fā)起主動外聯(lián),因此相對于防火墻,我覺得云防火墻更適合作為一個網(wǎng)絡IPS來使用。
第二個要點,授權粒度
在購買安全中心時,有一個要點是購買的授權數(shù)必須大于當前賬號的保有ECS數(shù)量,假如ECS的數(shù)量要增加,要提前對云安全中心進行擴容,增加授權數(shù)量。
另外,云安全中心的附加功能包括日志存儲空間、防勒索存儲空間授權的對象都是整個阿里云賬號而不是單個ECS服務器,假如配置了30GB的日志存儲空間,而當前云賬號下的ECS數(shù)量為2,則兩臺ECS將共享這30GB的日志空間,鑒于阿里云建議為每臺ECS配置30G日志存儲空間,因此最好擴容日志存儲到60GB。云安全中心的授權范圍是整個阿里云賬號。
云防火墻的授權可細化到單個VPC,假如當前賬號下有兩個VPC,而只有一個互聯(lián)網(wǎng)防火墻授權可用,就可以在云防火墻控制臺選擇為哪一個VPC開通互聯(lián)網(wǎng)防火墻。在云防火墻的企業(yè)版、旗艦版中還有VPC防火墻的功能,也可以根據(jù)需要在不同的VPC之間進行開通。
第三個要點,默認安全
云安全中心和云防火墻都屬于“默認安全”服務,在阿里云上的所有ECS服務器無論是否購買云安全中心服務都會默認安裝阿里云的云安全中心客戶端,當然除非在購買ECS時明確的取消安裝安全加固服務。
云防火墻無需復雜的配置即可對服務器提供安全防護,只需要在防火墻開關界面“一鍵開通”即可對全部服務器提供安全防護服務。
第四個要點,運維建議
籬笆壞了就要趕緊補好,云安全中心上的報警信息要時刻關注,除了可以設置短信和郵件報警外還可以設置釘釘機器人自動發(fā)送信息到釘釘群。當收到云安全中心的預警時可以在第一時間登陸阿里云賬號使用云防火墻的主動外聯(lián)活動監(jiān)控功能對主動外聯(lián)行為進行監(jiān)控,并對可疑的主動外聯(lián)行為進行封禁,云防火墻支持按域名對外聯(lián)訪問進行開通或者封禁,可以通過外聯(lián)白名單的方式只對指定的系統(tǒng)更新,業(yè)務合作方的域名開通主動外聯(lián)。
假如云安全中心的版本是企業(yè)版還支持攻擊溯源的功能,對攻擊行為進行關聯(lián)分析,可以更快速的定位和修復漏洞。
以上就是我對云安全中心和云防火墻的一些建議,希望對大家有用。