基礎架構風險分析
網絡架構風險
和在IDC面臨的風險一樣,在云上需要設計網絡架構,以便減小網絡暴露面和因為網絡架構設計不合理導致的網絡攻擊。網絡架構的風險是指由于網絡分段、資產暴露、DMZ區設計不合理導致的網絡被任意用戶訪問、內部接口或地址可以被互聯網訪問,攻擊者可以輕松從互聯網獲取企業資產和應用的信息帶來的風險。
在云端常見的網絡架構風險如下:
類別 | 影響因素 | 風險 級別 | 可能導致的風險 |
高危端口開放 | 常見的高危端口如22、3389、445等開放在互聯網邊界的應用上,或通過映射等方式能夠被公網訪問 | 高 | 常見的高危端口會被黑客利用發起惡意登錄、暴力破解,以及漏洞利用,高危端口在未經端口轉換或防護的前提下直接暴露在公網,會導致企業內部資產面臨攻擊的風險。 |
安全組策略授權過大及更新維護 | 存在授權過大的安全組策略,以及當網絡架構趨于復雜時,安全組策略過度導致維護工作量的增加,會存在更新不及時以及策略混亂等問題。 | 高 | 安全組是作用在ECS上的網絡訪問控制策略,若存在訪問源和端口授權過大的策略時,會導致內網資源的暴露,容易被黑客在內網通過網絡掃描的方式發現內網資產從而發起內部攻擊。 同時當網絡架構趨于復雜時,如在云端使用多VPC構建網絡架構,多賬號構建資源,使用CEN構建統一的內網時,安全組策略將無法滿足對于靈活配置和運維的需求,可能導致安全組策略更新失效和不維護的問題。從而引發網絡攻擊風險。 |
東西向網絡互通 | 在云端企業會采用VPC、CEN-TR等網絡組件打通企業內網,實現全網互通 | 高 | 東西向及VPC-VPC間的網絡流量,若通過CEN打通網絡后,VPC打破了隔離屬性,此時需要通過安全控制措施進行網絡隔離和流量審計,若未采取相關安全措施,則隔離策略失效,導致內網橫向攻擊。 |
網絡分區和隔離 | 在前期企業上云過程中,未按照分區分域原則劃分基礎網絡架構,導致業務堆積在一個VPC內或一個賬號內 | 中 | 當業務未按照網絡分區分域原則進行劃分時,就意味著應用系統的前端、中間件、數據庫等服務都集中在一個VPC內,往往前端是能夠被互聯網訪問到的,若存在端口開放和應用漏洞,可以被攻擊者利用后打入內網,如沒有進行隔離,則攻擊者就可以直接訪問VPC內所有資源,竊取數據,破壞系統,加密勒索,造成嚴重損失。 且當系統過于龐雜時,若未按照分區分域原則進行資源隔離和劃分,系統的可擴展性以及靈活性都會受到一定程度的影響,從而影響系統穩定性。 |
未經防護的公網資源 | 在使用云資源時,將公網EIP直接綁定在ECS、ACK等資源上,繞過安全防護和安全監控對外直接提供公網訪問 | 高 | ECS等資源直接綁定公網IP后會繞過一些安全設置,產生的安全防護和監控的盲點。若ECS上存在高危漏洞或端口暴露,則無法及時發現網絡攻擊和網絡嗅探。 |
賬號體系風險
和在IDC面臨的風險不同,在云上基于云平臺的賬號體系訪問云資源,包含了用戶界面和機器界面(使用API或SDK訪問云資源),賬號體系風險的定義是由于身份濫用、授權過度、AccessKey泄露導致的被不合法用戶合法使用云資源、數據泄露、系統穩定性等的風險。
阿里云以往為客戶處理的安全事件中,租戶側因為賬號安全問題引發的網絡攻擊、數據泄露、加密勒索等問題屢見不鮮。
常見的云賬號安全風險分析如下:
類別 | 影響因素 | 風險 級別 | 可能導致的風險 |
RAM用戶配置風險 | RAM用戶未按照安全要求配置多因素認證 | 高 | RAM用戶未開啟多因素認證可能導致賬號盜用,異地登錄、暴力破解等問題,從而導致資源被利用和數據泄露等風險。 |
RAM用戶過度授權 | 中 | RAM用戶授權過度可能導致越權的風險,從而導致資源濫用和數據泄露。 | |
不活躍的RAM用戶 | 中 | 不活躍的RAM用戶可能導致暴力破解和管理風險。 | |
不活躍的AccessKey | 中 | 不活躍的AccessKey可能導致異常調用和管理風險。 | |
憑證泄露 | 云賬號憑證信息泄露 | 高 | 企業使用云資源開發時,AccessKey是最重要的訪問憑證,可通過AccessKey獲取企業資源的使用權,獲取數據以及管控權限等。AccessKey通常被寫入代碼中或工具中,若AccessKey泄露會導致數據泄露、資產破壞等風險。 |
云賬號配置風險 | 云賬號安全配置風險 | 高 | 云賬號的權限過大,未分配RAM用戶或RAM用戶AccessKey時,可能導致越權,數據泄露等風險。 |
云賬號AccessKey | 高 | 因為云賬號權限過大,創建云賬號AccessKey會帶來越權,數據泄露等風險。 |
工作負載架構風險
工作負載是指在云端提供業務支撐的服務,如ECS、Kubernetes 、容器等,工作負載架構風險是指工作負載為了提供業務支持所選擇的部署方式、網絡連接方式、訪問控制等操作面臨的風險,具體如ECS直接綁定公網IP提供互聯網服務,但該操作有可能被攻擊者利用。
常見的工作負載架構風險如下:
類別 | 影響因素 | 風險 級別 | 可能導致的風險 |
未經保護的工作負載 | 工作負載未經NAT、SLB、防火墻等保護,直接掛在EIP向公網提供服務 | 高 | ECS等資源直接綁定公網IP后會繞過一些安全設置,產生的安全防護和監控的盲點。若ECS上存在高危漏洞或端口暴露,則無法及時發現網絡攻擊和網絡嗅探。 |
加入的安全組授權過大 | 安全組授權過大,未能有效保護工作負載。 或加入安全組的工作負載過多,策略設置寬松。 | 中 | 安全組因為加入的ECS過多,因需求不同以及安全組維護工作量,導致授權過大,存在管控寬松的風險。 |
統一的登錄認證和審計 | 未經堡壘機直連工作負載 | 高 | 未能有效提供工作負載的集中認證和訪問控制,憑據泄露或暴力破解發生時,無法有效控制對工作負載的安全訪問。 |
未集中進行工作負載的操作審計 | 高 | 當出現安全事件時,無法有效進行攻擊事件的回溯和定位。 |