云安全中心的云蜜罐功能可以為您提供云內外的攻擊發現、攻擊溯源等能力。您可以在阿里云VPC、已接入云安全中心的服務器實例上創建云蜜罐實例,來防御您服務器在云內外受到的真實攻擊,加固您服務器的安全防護。
背景信息
傳統防御方式的主旨是將攻擊者拒之門外,然而隨著攻擊手段的多樣化、隱蔽化、復雜化,傳統的防御方式往往疲于應付,比如利用0day漏洞的APT攻擊,傳統的基于規則和特征庫的安全產品很難察覺。出現問題時安全運維人員只能做事后修補,而實際上攻擊者早已滲透到內網并潛伏。企業需要一種技術手段,主動對抗攻擊行為,采取有利于防守方的技術措施,對攻擊者形成震懾,保護數據安全。
蜜罐是一個攻擊誘騙系統,通過使用蜜罐模擬一個或多個易受攻擊的主機和服務,給攻擊者提供一個容易被攻擊的目標,偽裝成用戶的業務應用,使攻擊者誤認為是欲攻擊的目標對象。由于蜜罐并沒有向外界提供真正有價值的服務,因此所有試圖與其進行連接的行為均可認為是可疑的,同時,讓攻擊者在蜜罐上耗費時間,可以延緩對真正目標的攻擊,捕獲更多攻擊者的信息進行反制,使目標系統得到保護。
云蜜罐原理
雖然蜜罐轉守為攻,但是傳統蜜罐的缺點也很明顯:幾乎不可實現高真實、低成本、高覆蓋的蜜罐服務。為彌補傳統防御方式、傳統蜜罐方案的不足,云安全中心的云蜜罐技術應運而生。
云安全中心的云蜜罐功能提供了以下功能和服務。
云原生的VPC黑洞功能
將VPC內部流量中,目的IP不可達的,導流至VPC黑洞探針,再根據VPC黑洞探針上面配置的轉發規則,轉發至相應的蜜罐服務。
通用的主機探針方案
在業務主機上部署Agent進行流量轉發,負載低、無應用侵入、安全穩定,支持大多數主流硬件和系統。
豐富的蜜罐服務
高低交互蜜罐,其中低交互可以覆蓋所有端口,高交互內置幾十種常見的、易被攻擊者攻擊的蜜罐服務,覆蓋Web應用、數據庫、系統服務、特殊缺陷、自定義服務五大類型。
可定制化蜜罐
可基于容器實現自定義蜜罐,實現高級別的業務模擬。
VPC黑洞方案與主機探針方案結合,實現低IP成本、低計算資源成本下高IP覆蓋。豐富的蜜罐服務與可定制化蜜罐組成的統一的蜜罐集群,實現高真實度的同時,實現蜜罐類型的高覆蓋。
云蜜罐的安全性
因為安全產品帶入的穩定性問題、安全性的問題常有曝光,因此云蜜罐在設計之初就考慮了自身產品的性能、穩定性與安全性,確保在實現功能的同時,保證低負載、高穩定、高安全。
性能影響
VPC黑洞功能
不占用主機、網絡資源。
主機探針
純異常端口流量轉發,占用系統資源較小。
穩定性影響
VPC黑洞功能
VPC黑洞功能會針對掃描流量進行模擬交互,如果有通過掃描的資產探測軟件,可能會造成誤報。
主機探針
主機探針需要占用主機端口,因此需要合理規劃主機探針所安裝的主機端口分配。
安全性影響
主機探針的安全性
主機探針與管理中心只存在導流與功能控制交互,即使管理節點被攻陷,也沒有渠道通過探針控制主機。
蜜罐逃逸的安全性
每個用戶獨享一套蜜罐集群,且內置docker逃逸檢測。
網絡安全性
通過網絡隔離,即使蜜罐集群被攻陷,也不能通過蜜罐和探針的通道攻擊客戶原網絡。
支持的環境
云蜜罐支持阿里云、非阿里云(其他云、傳統線下環境)等各種網絡環境。
在阿里云環境,云安全中心和網絡團隊合作開發的VPC黑洞蜜罐功能,可以將VPC內部流量中,目的IP不可達的流量黑洞,再接入蜜罐服務,實現低成本、高覆蓋的蜜罐服務。
在非阿里云環境,云蜜罐支持低負載、安全可靠的主機探針導流模式,將可疑流量導流至后端蜜罐集群。
使用限制
主機探針的使用限制
主機探針僅支持在云安全中心的資產中心中維護的服務器實例。
VPC黑洞探針的使用限制
VPC黑洞探針目前僅支持阿里云的以下地域。
華北1(青島)
華北2(北京)
華北3(張家口)
華北5(呼和浩特)
華北6(烏蘭察布)
華東1(杭州)
華東2(上海)
華南1(深圳)
華南2(河源)
華南3(廣州)
西南1(成都)
中國(香港)
日本(東京)
新加坡
印度尼西亞(雅加達)
美國(弗吉尼亞)
美國(硅谷)
英國(倫敦)
阿聯酋(迪拜)
德國(法蘭克福)