監(jiān)控云上資源，系統(tǒng)的安全狀況，找出業(yè)務系統(tǒng)可能存在的漏洞，對可疑活動的告警作出反應，或是針對企業(yè)日常活動中的安全事件進行追溯，是構建業(yè)務安全機密性、完整性、可用性重要的一環(huán)。

監(jiān)測控制

通過運用云上的多種監(jiān)測控制手段，以此來感知不同級別的威脅，進行分析判斷，采取相應的措施，并可針對自身的業(yè)務量身定制監(jiān)控和檢測控制。針對監(jiān)測控制，有以下最佳實踐：

• 網(wǎng)絡管理：創(chuàng)建隔離分層的網(wǎng)絡，有助于對相似的網(wǎng)絡組件進行邏輯分組，還縮小了未經(jīng)授權的網(wǎng)絡訪問的潛在影響范圍。針對專有網(wǎng)絡VPC，通過使用ECS安全組，網(wǎng)絡ACL，流日志等，控制網(wǎng)絡流量，保障云服務的安全性和可靠性，或是通過RAM訪問控制策略，對專有網(wǎng)絡VPC的訪問權限進行控制。

• 權限管理：權限管理對于業(yè)務來說是非常重要的，不同的角色有不同的權限，對每個用戶分配最小夠用權限，能極大的防止各種越權操作，從而有效減少由于操作不當帶來的故障和安全問題。

• 配置審計：當使用大規(guī)模資源時，需要監(jiān)管資源配置的合規(guī)性，通過使用配置審計服務，可監(jiān)控云賬號下的資源變更，追蹤配置變更歷史，并實時地完成合規(guī)性審計。

• 操作審計：日常通過操作審計，可記錄云賬號下用戶登錄及資源訪問操作，以此實現(xiàn)安全分析、入侵檢測、資源變更追蹤以及合規(guī)性審計。也可將賬號下的行為事件下載或保存到日志服務SLS或?qū)ο蟠鎯SS，然后進行行為分析、安全分析、資源變更行為追蹤和行為合規(guī)性審計等操作。

• DDoS防護：分布式拒絕服務 (DDoS) 攻擊通過消耗目標服務器性能或網(wǎng)絡帶寬，從而造成服務器無法正常地提供服務。可通過以下幾個方面著手緩解DDoS攻擊的威脅：

  • 縮小暴露面，隔離資源和不相關的業(yè)務；

  • 優(yōu)化業(yè)務架構；

  • 利用公共云的特性設計彈性伸縮和災備切換的系統(tǒng)；

  • 做好業(yè)務監(jiān)控和應急響應；

  • 使用DDoS防護類產(chǎn)品；

• 入侵檢測：通過檢測入侵主要是為了防止數(shù)據(jù)泄露或者業(yè)務系統(tǒng)被破壞，通過配置相應的檢測和告警機制，可了解云服務器或者云產(chǎn)品中存在的威脅，例如某個惡意IP對資產(chǎn)攻擊、資產(chǎn)已被入侵的異常情況等。

日志報警

日志提供了服務和應用程序的第一手信息，保留安全事件的日志，為審計，調(diào)查安全事件，系統(tǒng)安全的維護等提供了強有力的保障，確保了部署在云上資源的可用性、業(yè)務的正常運行和健康度。因此對日志的合理管理是保證業(yè)務安全的首要條件。

日志的管理包括日志的收集，安全存儲，分析和告警的生成，針對日志管理，有以下準則：

• 日志收集：需從云上的各種資源，服務，應用程序中收集日志，其次收集應盡可能是非侵入的；

• 安全存儲：保留期限應是靈活可配置的，需根據(jù)安全要求、合規(guī)要求、不同云產(chǎn)品特點，設置合理的日志保存時間，其次日志數(shù)據(jù)的存儲應是安全防篡改的，嚴格控制各類身份對于該日志的權限，尤其是寫、刪類型的權限；

• 日志查詢：在滿足運營，業(yè)務和安全要求的基礎上，選擇合理并可供實施的日志查詢機制；

• 日志分析：需對異構源的日志規(guī)范化并形成通用格式，是日志分析所必需的，其次應全面的分析以了解當前系統(tǒng)的安全事件；

• 告警生成：告警應是實時，準確，可觸達的（應該有盡可能多的通知機制），其次每種類型的告警都要有可運行的應急補救措施。