560
技術社區[雲棲]
雲上安全三字經
阿裏雲在安全上倡導的是責任共擔模型, 簡單說就是雲平台的安全由阿裏雲負責,
但雲上租戶自己的網絡、主機、業務、數據的安全,需要租戶自己負責,那作為一個租戶,具體該怎麼做呢?
記得小時候的“三字經”郎朗上口,至今不忘。 因此我就想,雲上的安全能否也用3字經的方式表達?即簡單又清晰,因此整理了下麵9個安全“三字經”。
這第1句是:築堡壘。
就是通過虛擬網絡的技術,Virtual Private Cloud,簡稱VPC,把每個租戶的業務係統放到一個私有網絡中, 在不同VPC的租戶之間,網絡是天然隔離的,VPC對於客戶業務來說,就像是一個天然的堡壘。
第2句是:關好門。
業務放到VPC這個堡壘之後,需要對外提供服務。大家都知道,每個IP對外提供了6萬多個端口,每個端口相當於是業務係統對外開放的大門, 因此這第二步工作,就是要把門關好。
最好是缺省禁止訪問,隻放開必要的業務端口,比如TCP 80,443。同時,如果沒有主動外聯的業務,那就設置從內到到都禁止的規則,以免服務萬一中木馬後,對外通報信息,暴露了公網IP。
另外如果是有遠程管理的需求,最好采用VPN方式訪問,不應該把管理端口直接暴露在公網上。
第3句是: 補上洞。
雲盾的安騎士產品提供自研漏洞補丁,在漏洞爆發和官方未發布補丁的窗口期,幫助客戶一鍵修複漏洞,攔截黑客攻擊。
第4句是: 防住賊。
業務放到VPC堡壘後,也隻對外開放了http端口,但任然防不住有些互聯上的竊賊通過SQL注入等方式獲取竊取業務係統的數據。因此針對web業務的Web應用防火牆(簡稱WAF),就成為防火牆web應用的必須品。
另外一些互聯網“竊賊”,為了獲取網站上活動的獎品、紅包,注冊了大量賬號來進行“擼羊毛”的行為。我們在雲盾WAF的高級及以上版本,集成了業務風控功能。通過在業務中無縫插入滑屏校驗碼,以判斷是人的注冊行為,還是機器的注冊行為。判斷是機器的行為,則自動被禁止。
再次,大家都支持http業務是明文的,很容易被監控,被劫持。 因此,很有必要通過SLB + 證書的功能,把http的業務應用轉變為https。來防止這一部分的竊賊。
這就是“防住賊”這3方麵的意思。
第5句是: 勤檢查。
構建好上麵的防護體係之後,還需要日常的“勤檢測”,來判斷我現在的係統是否有漏洞?現在是否安全?到達誰在攻擊攻擊? 攻擊者對我哪些業務資產感興趣?
這就需要“態勢感知”係統,和傳統基於結果的態勢感知,雲上態勢感知最大的差距在於,其是基於全量的雲、管、端的數據的分析。雲就是雲上的威脅情報、管就是租戶管道的全流量分析,端就是服務器端的實時監測。同時在其企業版本中,還可以通過大屏的方式將態勢感知直觀的展示出來,方便日常運維。
值得一提的是,在線下態勢感知項目都是百萬級, 而在雲上受到雲計算的紅利,客戶的擁有成本隨著ECS的數量,從幾千到幾萬不等。
第6句是: 重備份。
備份是業務快速恢複最後的兜底措施,因此大家一定要重視。並且在阿裏雲ECS上提供了自動的快照功能。
以上這6步,基本就構建了雲上安全的基礎防護體係。對於一些特殊的業務,如遊戲類或電商類業務,比較容易受到DDoS攻擊,還需要選購DDoS高防IP服務,用於保障在被攻擊時業務的連續性。
另外,對應電商類的業務來說,先知平台的安全眾測服務也是必須的,特別是類似“0元支付”的業務邏輯漏洞,通過安全產品是無法解決的。如果有這種業務,最好就需要采用先知平台的安全眾測,來提前規避業務的損失。
除此之外,很多雲上的企業處於業務高速發展階段,更多的人員投入到業務相關,基礎安全建設,特別是安全攻防方麵的人員配置不足,雲盾也推出了安全管家服務,做好客戶的幫手,幫助客戶一起保護好雲上資產的安全。
最後,我想說:安全是一個整體,入侵往往發生在最薄弱環節,不能頭疼醫頭,腳痛醫腳,需要在業務上雲時就有一套完整的安全防護體係,而不是等出了安全事故才想去應該搞安全。
有人會說,我在雲上的ECS也不過幾台,怎麼在安全上的投入比ECS還貴啊。 其實客戶在雲上的安全投入和ECS數量並不強相關,而是和業務係統的價值強相關,一般和交易相關(錢)、和用戶注冊相關(人)、和企業業務數據相關的應用,均是應重點防護的應用。
就像同樣的一個倉庫,如果存放的是黃金,和存放普通貨物。安全的防護基本肯定是不一定的。
點擊進入阿裏雲大學觀看視頻:
https://yq.aliyun.com/edu/lesson/play/763
最後更新:2017-05-05 11:31:39