工作負(fù)載安全保護(hù)
云上的工作負(fù)載是一套支撐IT業(yè)務(wù)系統(tǒng)運(yùn)行的相關(guān)功能或一些原子能力,諸如服務(wù)器、VM、容器、網(wǎng)絡(luò)、數(shù)據(jù)庫(kù)等。通常情況下企業(yè)在云上使用最多的工作負(fù)載環(huán)境就是VM和容器。
針對(duì)VM和容器的防護(hù)要做到以下幾點(diǎn):
有效的識(shí)別工作負(fù)載,梳理清楚在云上的資產(chǎn)指紋;
有效識(shí)別工作負(fù)載的漏洞以及脆弱性,并對(duì)其進(jìn)行管理;
建立運(yùn)行時(shí)防護(hù)的機(jī)制,有效保護(hù)您的工作負(fù)載安全;
制定定期的安全巡檢計(jì)劃,以便確保您的工作負(fù)載的安全有效性及合規(guī)性。
識(shí)別和梳理資產(chǎn)基本安全信息
在執(zhí)行安全防護(hù)措施前,首先要了解企業(yè)在云上有哪些資產(chǎn),以及資產(chǎn)的基本信息和安全信息。識(shí)別和梳理資產(chǎn)指紋有助于快速幫助企業(yè)在云上獲取最新的資產(chǎn)和工作負(fù)載詳情。
通常情況下,建議企業(yè)關(guān)注的資產(chǎn)指紋包括如下內(nèi)容:
序號(hào) | 資產(chǎn)指紋 | 用途 | 和安全相關(guān)的操作 |
1 | 服務(wù)器基本信息 | 用于統(tǒng)計(jì)服務(wù)器的基本屬性,如地域、訪問(wèn)方式、安全防護(hù)狀態(tài)等 |
|
2 | 賬戶 | 用于統(tǒng)計(jì)服務(wù)器內(nèi)創(chuàng)建和管理的特權(quán)賬戶和普通用戶 | 可通過(guò)賬戶信息來(lái)分析和比對(duì)在安全事件發(fā)生前后是否有新增的普通用戶和特權(quán)用戶,能夠在安全事件溯源過(guò)程中判斷和定位攻擊。 |
3 | 端口 | 用于統(tǒng)計(jì)服務(wù)器開(kāi)放的端口和網(wǎng)絡(luò)協(xié)議,同時(shí)端口關(guān)聯(lián)了對(duì)應(yīng)的進(jìn)程 | 可用于做端口的暴露分析和收斂,以及分析端口對(duì)應(yīng)的網(wǎng)絡(luò)協(xié)議,可以在事前統(tǒng)一管理對(duì)外暴露的策略,并用于監(jiān)控 |
4 | 進(jìn)程 | 用于統(tǒng)計(jì)服務(wù)器創(chuàng)建的進(jìn)行 | 可以通過(guò)該屬性查看進(jìn)程的路徑、啟動(dòng)時(shí)間、啟動(dòng)參數(shù),用于分析和判斷由于一些入侵后門植入的惡意進(jìn)程 |
5 | 中間件 | 用于統(tǒng)計(jì)服務(wù)器部署的應(yīng)用中間件 | 在一些高危中間件漏洞發(fā)布或漏洞告警通知后,可以統(tǒng)計(jì)企業(yè)當(dāng)前部署中間件的數(shù)量、分布,從而快速判斷一些漏洞的影響面,以及漏洞修復(fù)的優(yōu)先級(jí)。 |
6 | 計(jì)劃任務(wù) | 用于統(tǒng)計(jì)計(jì)劃任務(wù)的執(zhí)行命令、執(zhí)行賬戶等 | 在一些攻擊事件中,發(fā)現(xiàn)攻擊者通過(guò)創(chuàng)建計(jì)劃任務(wù)來(lái)保持黑客工具的可持續(xù)性 |
7 | 啟動(dòng)項(xiàng) | 用于統(tǒng)計(jì)啟動(dòng)項(xiàng)路徑和對(duì)應(yīng)的服務(wù)器 | 可以通過(guò)啟動(dòng)項(xiàng)的分析來(lái)溯源和定位攻擊事件 |
企業(yè)需要具備一定的手段和方法自動(dòng)化的采集、存儲(chǔ)、統(tǒng)計(jì)和分析資產(chǎn)基礎(chǔ)信息,這樣有助于在安全事件響應(yīng)過(guò)程中判斷事件的重要等級(jí)、攻擊過(guò)程以及響應(yīng)方式。
最佳實(shí)踐
識(shí)別和梳理資產(chǎn)的基本信息和安全信息主要分為以下幾個(gè)步驟:
選擇資產(chǎn)指紋的采集方式和采集頻率,通常建議采用自動(dòng)化的采集方式對(duì)服務(wù)器的基本信息和指紋進(jìn)行采集,推薦采用Agent采集而非網(wǎng)絡(luò)掃描。
對(duì)采集到的資產(chǎn)指紋進(jìn)行分類,按照上述表格中的7大模塊進(jìn)行分類記錄和存儲(chǔ)。
當(dāng)出現(xiàn)安全事件或應(yīng)急響應(yīng)時(shí),檢查資產(chǎn)指紋更新的情況,分析是否有可疑賬戶、進(jìn)程、計(jì)劃任務(wù)、或開(kāi)放的高危端口等。
阿里云為用戶提供了安全工具,幫助企業(yè)快速的識(shí)別和梳理企業(yè)資產(chǎn)的基本信息和安全信息。可以通過(guò)阿里云云安全中心來(lái)自動(dòng)化采集資產(chǎn)指紋,并以可視化的形式展現(xiàn)出來(lái)。并將日志存儲(chǔ)在SLS中,可以配置相關(guān)的監(jiān)控分析的告警,或用于事件的上下文。
資產(chǎn)漏洞管理
漏洞是當(dāng)前網(wǎng)絡(luò)攻擊利用最頻繁的脆弱性之一,漏洞的管理包括了識(shí)別漏洞、評(píng)估漏洞、明確優(yōu)先級(jí)、修復(fù)漏洞、和持續(xù)的掃描。在云上實(shí)施漏洞管理能夠有效的減少服務(wù)器的脆弱性,降低服務(wù)器暴露的風(fēng)險(xiǎn),從而提高整體的安全性。
企業(yè)需要制定一套完備的漏洞管理計(jì)劃,這其中包括了漏洞檢測(cè)的周期、漏洞評(píng)估的標(biāo)準(zhǔn)、漏洞修復(fù)流程和職責(zé)、漏洞應(yīng)急預(yù)案等。
我們給出以下漏洞管理的參考建議:
漏洞管理項(xiàng) | 參考建議 |
漏洞檢測(cè)計(jì)劃 |
|
漏洞評(píng)估標(biāo)準(zhǔn) |
|
漏洞修復(fù)流程 | 漏洞的修復(fù)要結(jié)合漏洞修復(fù)的影響和業(yè)務(wù)升級(jí)的窗口期決定。 |
漏洞修復(fù)相關(guān)職責(zé) | 通常情況下安全團(tuán)隊(duì)負(fù)責(zé)監(jiān)控和判斷漏洞的風(fēng)險(xiǎn)、影響和嚴(yán)重等級(jí),并通知業(yè)務(wù)團(tuán)隊(duì)進(jìn)行漏洞的修復(fù)。 |
漏洞應(yīng)急預(yù)案 | 在遇到一些高風(fēng)險(xiǎn)漏洞,或0day漏洞時(shí),應(yīng)該具備一些漏洞應(yīng)急預(yù)案,在沒(méi)有給出漏洞修復(fù)建議和指導(dǎo)前需要快速響應(yīng) |
同時(shí)企業(yè)要充分理解云安全責(zé)任共擔(dān)模型,在這個(gè)模型下阿里云負(fù)責(zé)保護(hù)云平臺(tái)的安全,以及維護(hù)云平臺(tái)的漏洞,企業(yè)需要對(duì)自建的工作負(fù)載的漏洞負(fù)責(zé)。
最佳實(shí)踐
無(wú)論對(duì)于ECS,還是容器化的部署方式,都需要關(guān)注鏡像的安全,尤其是規(guī)模化的部署場(chǎng)景。規(guī)模化部署在企業(yè)內(nèi)部海量成員賬號(hào)的現(xiàn)實(shí)情況下存在以下痛點(diǎn):企業(yè)各業(yè)務(wù)在各自成員賬號(hào)下任意構(gòu)建鏡像,無(wú)法統(tǒng)一安全基線造成業(yè)務(wù)風(fēng)險(xiǎn),并且多地域、多賬號(hào)環(huán)境下鏡像統(tǒng)一分發(fā)困難。阿里云建議企業(yè)使用黃金鏡像(Golden Image)方案,在單獨(dú)的共享賬號(hào)內(nèi)進(jìn)行鏡像構(gòu)建,統(tǒng)一管控,限制應(yīng)用賬號(hào)能夠使用的鏡像 ID,避免應(yīng)用賬號(hào)使用不合規(guī)的鏡像,同時(shí)基于資源目錄和自動(dòng)化能力,批量、快速將鏡像分發(fā)給所有應(yīng)用賬號(hào),提升效率。鏡像安全方面,阿里云建議企業(yè)使用云安全中心定期對(duì)構(gòu)建的鏡像進(jìn)行安全掃描,一站式管理應(yīng)用運(yùn)行環(huán)境安全。
針對(duì)運(yùn)行中的工作負(fù)載,云安全中心提供針對(duì)工作負(fù)載的安全漏洞管理能力。
通過(guò)阿里云云安全中心漏洞管理功能,自動(dòng)識(shí)別云上的服務(wù)器和資產(chǎn),需要通過(guò)配置漏洞掃描的任務(wù)設(shè)置,使其能夠自動(dòng)化的識(shí)別和檢測(cè)漏洞。
可查看云安全中心對(duì)于漏洞的風(fēng)險(xiǎn)等級(jí)提示,云安全中心根據(jù)漏洞風(fēng)險(xiǎn)等級(jí)、可被利用程度、漏洞暴露時(shí)間等維度提供了綜合的漏洞評(píng)分和優(yōu)先級(jí)。
針對(duì)操作系統(tǒng)漏洞,可使用云安全中心進(jìn)行快速一鍵修復(fù),修復(fù)前可查看修復(fù)注意事項(xiàng),并可對(duì)操作系統(tǒng)創(chuàng)建快照,以便回滾。
針對(duì)應(yīng)用系統(tǒng)漏洞,可通過(guò)云安全中心查看修復(fù)建議,漏洞詳情,影響范圍等信息。云安全中心無(wú)法提供一鍵修復(fù)功能。
針對(duì)容器鏡像漏洞,可通過(guò)云安全中心檢查容器鏡像自身存在的漏洞、脆弱性等信息。
針對(duì)應(yīng)急漏洞,可通過(guò)云安全中心快速自查,應(yīng)急漏洞是由阿里云安全團(tuán)隊(duì)更新的高危漏洞和0day漏洞情報(bào),云安全中心可檢測(cè)企業(yè)內(nèi)服務(wù)器是否存在這類高風(fēng)險(xiǎn)漏洞,同時(shí)可以聯(lián)動(dòng)防火墻的虛擬補(bǔ)丁功能進(jìn)行快速防御,起到事前預(yù)防、事中應(yīng)急的能力。
可通過(guò)制定漏洞修復(fù)計(jì)劃任務(wù),針對(duì)特定類型、等級(jí)、服務(wù)器群組進(jìn)行自動(dòng)化漏洞修復(fù)功能。可參考云安全中心的任務(wù)中心。
運(yùn)行時(shí)防護(hù)
工作負(fù)載運(yùn)行時(shí)防護(hù)是對(duì)服務(wù)器、容器等環(huán)境在可能暴露的前提下,提供運(yùn)行時(shí)保護(hù),起到事中防御的效果。運(yùn)行時(shí)防護(hù)通常是通過(guò)部署在服務(wù)器、容器環(huán)境內(nèi)的安全agent,對(duì)服務(wù)器和容器進(jìn)行保護(hù)。提供了威脅檢測(cè)、威脅分析和威脅響應(yīng)的能力。
企業(yè)應(yīng)關(guān)注以下運(yùn)行時(shí)面臨的威脅,通過(guò)了解這些攻擊方法和威脅,并通過(guò)相關(guān)安全防護(hù)措施保護(hù)您的工作負(fù)載。
序號(hào) | 運(yùn)行時(shí)威脅 | 危害 |
1 | 病毒木馬 | 木馬程序是專門用于侵入用戶服務(wù)器的程序,一般通過(guò)偽裝植入系統(tǒng)后會(huì)下載、釋放另外的惡意程序。 |
2 | 勒索病毒 | 勒索病毒是一類惡性程序,會(huì)對(duì)服務(wù)器上所有關(guān)鍵數(shù)據(jù)文件進(jìn)行加密鎖定以勒索贖金。 |
3 | 惡意篡改 | 上游進(jìn)程嘗試挪移系統(tǒng)文件,可能是攻擊者在入侵過(guò)程中,通過(guò)挪移被安全軟件監(jiān)控的系統(tǒng)文件來(lái)達(dá)到繞過(guò)部分檢測(cè)邏輯的目的。 |
4 | 后門 | 可疑的WebShell文件,可能是攻擊者成功入侵網(wǎng)站后為維持權(quán)限植入的后門文件。 |
5 | 異常登錄 | 服務(wù)器在較短時(shí)間內(nèi)發(fā)生了兩次用戶登錄,而且源自地理位置相距較遠(yuǎn)的位置。其中一個(gè)位置為您的常用登錄地。發(fā)生此次行為,說(shuō)明您的登錄請(qǐng)求從一個(gè)常用位置移動(dòng)到異常位置。 |
6 | 暴力破解 | 服務(wù)器被一個(gè)IP使用多個(gè)無(wú)效的用戶名嘗試登錄,并最后登錄成功 |
7 | 礦池通信 | 服務(wù)器存在與礦池IP通信的流量,您的服務(wù)器可能已被攻擊者入侵并用于挖礦。 |
8 | 內(nèi)網(wǎng)橫向移動(dòng) | 存在異常的內(nèi)網(wǎng)連接,可能是攻擊者入侵服務(wù)器后,進(jìn)行內(nèi)網(wǎng)橫向移動(dòng)的行為。 |
9 | 惡意代碼腳本執(zhí)行 | 服務(wù)器上正在執(zhí)行惡意的Bash、PowerShell、Python等腳本代碼 |
10 | 蠕蟲(chóng)病毒 | 蠕蟲(chóng)病毒是一類用于從已攻陷服務(wù)器,向其它服務(wù)器做攻擊橫向移動(dòng)的程序,往往包括漏洞利用、密碼爆破等行為。 |
11 | 可疑特權(quán)容器 | 有可疑的特權(quán)容器啟動(dòng),特權(quán)容器會(huì)降低容器運(yùn)行時(shí)的安全性,一旦被入侵者攻破將危害到宿主服務(wù)器上的其他容器和資產(chǎn)。 |
最佳實(shí)踐
云安全中心是阿里云在云上原生的工作負(fù)載防護(hù)組件,可參考什么是云安全中心。企業(yè)在云端創(chuàng)建的ECS默認(rèn)安裝云安全中心Agent,云安全中心通過(guò)Agent對(duì)工作負(fù)載進(jìn)行運(yùn)行時(shí)防護(hù)。
通過(guò)云安全中心可實(shí)時(shí)為工作負(fù)載提供運(yùn)行時(shí)防護(hù),包括服務(wù)器、容器以及云產(chǎn)品等。
開(kāi)啟運(yùn)行時(shí)防護(hù):開(kāi)啟云安全中心的運(yùn)行時(shí)防護(hù),通常情況下您需要確保創(chuàng)建ECS時(shí),勾選安全加固選項(xiàng),以保證云安全中心的Agent自動(dòng)部署,同時(shí)根據(jù)防護(hù)需求開(kāi)通云安全中心的功能授權(quán)即可。
開(kāi)啟防病毒:配置防病毒檢查策略,可以選擇業(yè)務(wù)系統(tǒng)相關(guān)的服務(wù)器或全部服務(wù)器,并設(shè)定掃描周期,詳見(jiàn)防病毒。
開(kāi)啟防勒索:配置防勒索功能,可以對(duì)您服務(wù)器進(jìn)行勒索病毒攻擊防護(hù),云安全中心通過(guò)勒索病毒檢測(cè)、投放誘捕目錄和設(shè)立重要數(shù)據(jù)備份功能起到防護(hù)效果。詳見(jiàn)防勒索。
開(kāi)啟主機(jī)防御:配置主機(jī)防御規(guī)則,通過(guò)設(shè)定一系列的規(guī)則,如暴力破解的規(guī)則,自定義進(jìn)程告警的規(guī)則等對(duì)主機(jī)上存在的異常行為進(jìn)行識(shí)別和阻斷,詳見(jiàn)主機(jī)規(guī)則管理。
開(kāi)啟容器防御:配置容器主動(dòng)防御規(guī)則,如設(shè)定未通過(guò)安全檢測(cè)的容器鏡像禁止啟動(dòng)等,設(shè)定容器文件防御等。詳見(jiàn)容器主動(dòng)防御。
查看運(yùn)行時(shí)防護(hù)告警:通過(guò)云安全中心查看運(yùn)行時(shí)告警,阿里云云安全中心將告警根據(jù)ATT&CK攻擊階段進(jìn)行了劃分,可以更直觀的展示攻擊的路徑和過(guò)程,以及攻擊的詳情,詳見(jiàn)安全告警處理。
定期安全巡檢
安全是一個(gè)動(dòng)態(tài)的、持續(xù)對(duì)抗的過(guò)程,企業(yè)應(yīng)定期對(duì)工作負(fù)載的安全狀態(tài)進(jìn)行巡檢,制定巡檢策略和監(jiān)控策略。
巡檢計(jì)劃:制定巡檢計(jì)劃,根據(jù)業(yè)務(wù)系統(tǒng)重要性和風(fēng)險(xiǎn)暴露的情況,定制巡檢周期和相關(guān)責(zé)任方。
巡檢內(nèi)容:應(yīng)制定巡檢內(nèi)容,如定期檢查運(yùn)行時(shí)防護(hù)的agent的在線狀態(tài),以確保運(yùn)行時(shí)防護(hù)的覆蓋。巡檢內(nèi)容建議包含如工作負(fù)載的安全狀態(tài)、脆弱性狀態(tài)、脆弱性修復(fù)狀態(tài)、安全事件的處理狀態(tài)等。
自動(dòng)化:通過(guò)自動(dòng)化手段實(shí)現(xiàn)工作負(fù)載的定期安全巡檢,并設(shè)定相關(guān)的安全監(jiān)控指標(biāo),以便您的安全專家能夠在海量的安全告警中獲取有價(jià)值的信息。