321
如何在阿裏雲從零搭建一個防入侵體係
在阿裏雲從零搭建一個防入侵體係
安全已經成為雲計算技術體係中重要組成部分,如果上雲後不考慮安全防護措施被入侵的可能性幾乎是100%。阿裏雲提倡安全責任共擔模型,阿裏雲負責雲平台基礎安全防護,用戶負責虛擬化層以上的組件安全。本課程就是教會大家如何利用阿裏雲提供的各種安全產品在虛擬化層之上搭建一套基礎的防入侵體係,包括網絡安全、主機安全、應用安全和安全監控四個基礎安全產品。
準備工作
安全組
安全組:安全組是阿裏雲提供的分布式虛擬化防火牆,具備狀態檢測包過濾功能。安全組是一個邏輯上的分組,這個分組是由同一個地域(Region)內具有相同安全保護需求並相互信任的實例組成。使用安全組可設置單台或多台雲服務器的網絡訪問控製,它是重要的網絡安全隔離手段,用於在雲端劃分網絡安全域。
場景設計:新建安全組,通過不同策略驗證SSH登錄情況
實驗步驟
1、新建安全組X,組內規則初始為空
2、創建VM A,指定所屬安全組X,使用事先準備好的VM鏡像
3、缺省狀態下,驗證從公網ssh連接VM失敗
4、添加公網安全組規則允許公網ssh訪問
5、驗證公網ssh到VM成功
產品細節說明
1、業務限製
2、規則介紹
安騎士(專業版,半年)
安騎士:運行在服務器上的輕量級插件,通過與雲端的大數據威脅情報庫聯動,提供服務器整體的高危風險檢查、實時入侵告警、一鍵漏洞修複等功能;
基本架構
實驗步驟
1、進入安騎士控製台並完成專業版的購買
點擊進入 安騎士控製台,點擊左側導航欄中的“服務器列表”,為了方便演示,我們已經幫用戶購買了1台ECS,並且在ECS上都部署了安騎士的agent,此時可以看到當前的安騎士處於“在線狀態”。點擊右上角“購買付費版”,選擇專業版1個授權數,下單並完成付款(當前已經給賬號發放了相應的代金券,不需要真實付款)
購買前:
購買後:
2、使用基線檢查進行 “賬戶安全”檢測
通過列表中的服務器IP前麵的複選框,選住需要檢測的服務器,並點擊批量操作欄的“手動檢測”,選擇“係統賬戶安全檢測”,並點擊確定開始檢測
開始後,看到顯示“檢測中,預計X分鍾結束”,此時我們操作欄的“查看詳情”,進入詳情頁麵
稍等一會,檢測結束,檢測結果出來了,發現了4個異常,分別如下
密碼強度位數不夠、密碼過期提醒時間未設置、密碼強製過期時間太長、存在一個可疑的黑客賬號
3、重複步驟2,分別完成“可疑進程檢測”、“高危漏洞檢測”、“可疑自啟動項”檢測
4、設置“周期檢測”策略,自動化完成安全監控
進入安騎士控製台 - 設置 - 頁麵,選擇,基線檢查周期配置,點擊“添加”
可自定義策略名稱、時間、項目、對應的服務器,開啟周期檢測
保存設置,係統將會在指定的時間調度指定的檢測項,有異常結果將會進行通知和告警
5、實驗完畢。
您可以結合自身業務特征,嚐試更多的檢測項目,同時可以嚐試我們其他的功能,木馬查殺、登錄安全、補丁管理等,歡迎隨時與我們交流。
態勢感知(企業版,一年)
態勢感知:大數據安全分析平台,通過收集企業20種原始日誌和網絡空間威脅情報,利用機器學習還原已發生的攻擊,並預測未發生的攻擊;
基本架構
實驗步驟
1、進入態勢感知控製台並完成企業版的購買
點擊進入 態勢感知控製台,點擊“升級”按鈕進行升級,為了方便演示,我們已經幫用戶態勢感知企業版進行演示。
進入態勢感知控製台,進行接下來的安全試驗
2、使用“設置”功能,對雲上的全部資產(ECS+RDS)進行告警配置,如郵件收件人配置,手機短信告警配置
進入導航,前往“設置”導航菜單,進行具體的告警配置,並可配置《每日安全日報》的郵件收件人
提供了緊急事件,攻擊事件,漏洞事件,情報事件共4個大類型的告警,每個大類型又包含各種小類安全事件的告警配置
點擊選擇不同的告警事件,進行郵件和短信告警
4、進入“攻擊”導航內,對攻擊事件進行告警處理,以及查看攻擊類型
進入態勢感知控製台 - 威脅 - 攻擊頁麵
態勢感知提供了應用攻擊,主機暴力破解攻擊等功能,這裏我們可以著重看下應用攻擊
可查看攻擊的類型,攻擊方式,攻擊應用等功能
5、實驗完畢。
WAF(企業版,一個月)
WAF:WAF采用反向代理的接入架構,通過修改防護域名的DNS解析到WAF而將流量牽引到WAF,通過各種防護模塊過濾掉惡意流量後,再把正常請求轉發回源站。防護架構如下:
配置接入WAF
登錄阿裏雲控製台,找到雲盾->Web應用防火牆->域名配置,輸入相關的域名及源站信息,並點擊“添加域名”按鈕:
支持配置泛域名,如*.aliyundemo.cn,可以匹配相關的二級域名。當同時配置泛域名和精確域名時,轉發和防護策略匹配順序以精確域名優先如果有HTTPS站點,務必勾選HTTPS,同時建議勾選HTTP,以應對HTTP跳轉等問題,同時需要在稍後上傳源站證書和密鑰(實驗中我們隻勾選HTTP)源站IP可以支持最多20個,WAF會做負載均衡和健康檢查,詳情見“源站IP負載均衡”
如WAF前麵還有CDN、高防等七層代理,務必勾選“是否已使用代理”,這樣才能取到客戶端真實IP,不然看到的都是上一級代理的IP添加好域名後,會彈出選擇解析方式的彈窗,為了更好的演示接入原理,這裏選擇手動修改:
配置好域名後,WAF會自動分配給當前域名一個CNAME,可點擊域名信息來查看:
接下來我們登錄萬網控製台,找到對應域名的“域名解析”->“解析設置”,正常情況下會有已經存在的一些解析,如下圖:
接下來需要將記錄類型改成CNAME,記錄值改成WAF控製台提供的CNAME,如下圖:
開啟日誌檢索
在剛配置好的域名->業務狀態中,找到日誌檢索並打開:
配置並體驗精準防護規則
精準訪問控製規則允許用戶基於HTTP頭部的各個字段自由組合各種訪問控製規則:
找到防護域名,點擊“防護配置”,進入“精準訪問控製規則”即可配置。您可以自由嚐試各種條件,匹配的內容大小寫不敏感,匹配按照從上到下的優先級。詳細的配置方式請參考這裏:https://help.aliyun.com/document_detail/42780.html
配置好後一般3分鍾內即可生效,您可以手動構造一些請求來驗證防護效果,如果匹配中攔截,預期訪問會被WAF攔截並彈出405攔截頁麵:
同時,您也可以在日誌檢索中看一下攔截的具體請求,以及匹配中訪問控製規則的情況:
最後更新:2017-04-01 16:41:01