安全管理與運營
本文介紹了要保障您的云上安全,在日常應該投入的安全運營工作,以及如何使用云安全、日志、審計、云監控等工具發現您的系統安全異常和安全問題。
隨著業務的不斷發展和迭代,云環境內外的安全水位也在時刻發生改變。這一過程中,黑客會持續掃描您暴露的漏洞和弱點,并進行無差別攻擊。因此,強烈建議您將安全管理與運營作為日常重點工作之一,其中包含監控異常情況、修復安全隱患、加強安全防御、以及安全事件響應:
一、接收和處理安全通知
安全運營工作的第一步,就是確保您能夠有效接受和處理來自阿里云的安全告警。阿里云監測您的云環境存在安全風險時,會向您發送告警通知。但是如果您未訂閱相關消息,或者雖然收到消息但未重視相關風險,可能導致問題持續發生并進一步產生嚴重的后果,因此配置專人接收并及時處理安全告警非常重要。
配置專門的安全值班人員
在阿里云控制臺【賬號聯系人】中,為安全、運維或開發團隊設置專門的安全聯系人和聯系手機。由于安全攻擊和風險事件常發生于夜間或凌晨,建議在有條件的情況下,安排技術人員24小時值班,防止漏過重要的安全告警通知。
訂閱和接收安全消息
在阿里云消息中心中,客戶可以根據自己的需要訂閱不同類型、不同通知渠道的消息,請確保安全聯系人訂閱了安全相關的所有消息類型,包括賬號安全告警、云盾安全通知、違法違禁通知、專有云安全通知等。
收到安全告警后及時處理
收到安全風險通知后,需要盡快根據通知里的內容和建議的處理方式進行處置,比如修復安全漏洞、修改賬戶密碼等,采取行動越及時,后續造成的影響也就越小。
如果收到通知之后不知道如何處理,也可以通過阿里云官網提交工單,安全工程師 7*24 小時為您提供技術支持。
二、監控云上資源的異常情況
除了以上的安全告警信息以外,阿里云也建議您主動配置監控策略,云安全中心預設了豐富的告警規則可免費使用,您也可以使用其他云產品,比如操作審計ActionTrail、日志服務SLS、云監控CMS等,對云上資源的異常變動情況設置提醒規則,確保能夠及時發現并響應潛在威脅。
使用云安全中心檢測安全威脅
您在授權開通云安全中心后,即可免費使用檢測響應功能,包含250多款威脅檢測模型,為您檢測系統中存在的進程異常行為、網站后門、惡意軟件、異常登錄等安全風險,并提供具體的告警原因和處置建議。
云安全中心也提供對應的數據概覽,展示當前的安全告警概況和防御情況,方便安全運營人員進行統計和跟進。
付費開通企業版和旗艦版后,還可以使用自動化攻擊溯源,對發生的攻擊事件進行分析,形成攻擊者入侵的鏈路圖,在最短時間內定位入侵原因和制定應急策略。
使用操作審計ActionTrail 配置關鍵動作并通過 SLS 接收告警和分析
您可以在操作審計ActionTrail里創建一個跟蹤(Trail),常見的比如
大量的失敗登錄嘗試
在非工作時間的活動
未知IP地址的訪問
高風險操作,如修改安全組規則、刪除關鍵資源等
記錄下這些關鍵操作后,投遞到日志服務SLS中,接收SLS告警,并定期分析發現日志中的特定模式或異常活動。
使用云監控CMS對異常的云資源運行情況設置警報和響應
可以使用云監控發現異常的網絡流量,對于高于正常水平的流量,設置警報以便及時響應;
異常高的CPU或內存使用可能表明存在未授權的進程或資源消耗型攻擊;
安全組規則變化、登錄活動也可以通過CMS監控發現。
三、及時修復安全問題
修復云平臺配置問題
云平臺配置問題是指由于云產品配置錯誤(如錯誤的權限分配,以及不當的網絡訪問控制)而導致的安全隱患。相關數據顯示,40%的云上安全事件都是因為云產品錯誤配置導致的,因此,云平臺配置問題也是您需要關注的安全問題之一。
推薦您使用云安全中心的云平臺配置檢查功能發現此類安全隱患,云安全中心免費版提供了基礎的檢查規則,您也可以開通付費版進行更全面的檢查。同時,您也可以選擇使用配置審計Config產品,按照特定最佳實踐建議、安全合規要求、或自定義規則進行檢測。
建立漏洞管理流程
一個完善的漏洞管理流程能夠幫助企業更好的管理安全風險,建議按照以下方式管理產品和應用漏洞
1)監控與識別:持續關注來自阿里云漏洞庫等官方公告、阿里云站內信的安全通知等,也可以利用漏洞掃描工具(如云安全中心)定期對系統、網絡設備、應用程序進行掃描,及時發現已知安全漏洞(云安全中心支持高危應急漏洞免費檢測,在控制臺授權即可使用);
2)風險評估:對發現的漏洞進行風險評估,考慮其嚴重程度、影響范圍、利用難度等因素,確定優先級,優先處理高風險和易被利用的漏洞;
3)漏洞修復:獲取并驗證官方提供的補丁或修復方案,制定詳細的部署計劃。在生產環境中部署前,先在測試環境中測試補丁的兼容性和影響,確保補丁部署不會引入新的問題。
也推薦您使用云安全中心的漏洞管理功能,支持發現和識別操作系統、Web內容管理系統、應用程序中的安全漏洞,可對漏洞進行優先級和風險評估,并支持一鍵修復部分漏洞,可以極大簡化管理工作。
定期升級,避免使用過舊的版本
老的產品版本在安全性上可能會有所缺陷,或者存在已經對外公開的漏洞,容易被黑客利用
保持更新策略:制定并遵循定期更新軟件和操作系統版本的策略,避免長期使用過時版本。新版本通常包含安全改進、性能優化和新功能;
評估更新內容:在應用任何更新之前,仔細閱讀版本更新日志,了解新版本修復的安全漏洞、新增功能及可能的兼容性問題,評估更新對現有系統的影響;
備份與回滾計劃:在執行任何重大版本更新前,做好全面的數據和系統備份,制定回滾計劃,以便在更新失敗或引起問題時迅速恢復到之前的狀態。
四、為云上資源建立安全防護
在做完以上安全運營工作后,一些關鍵性應用或者數據仍有可能受到攻擊,從防護的角度,建議您使用一些防護工具或者產品,當被惡意攻擊或者入侵時,能夠有效抵御或對抗風險。
1、主機層防護
主機防護是指針對您的服務器ECS等的安全防護,以防止未經授權的訪問、惡意軟件感染、數據泄露、服務中斷和其他安全威脅。推薦使用主機防護功能,保護云服務器ECS、容器等免受病毒、木馬和漏洞的侵害。
對于阿里云ECS實例,通常在創建時可以選擇自動安裝Security Agent;
對于非阿里云環境(例如華為云、騰訊云、AWS)或物理機,可以下載Security Agent并手動安裝。
Agent 安裝完成后,可以設置告警規則,當檢測到威脅時,系統會發送告警信息,建議您收到通知后及時查看主機的安全狀態,并根據云安全中心的建議采取相應的響應措施,如隔離、修復或刪除惡意軟件。
2、應用層防護
云上的應用程序如Web應用程序、網站等,可能因自身的漏洞或者安全缺陷被攻擊,建議使用阿里云Web應用防火墻(WAF),其位于Web應用和互聯網之間,可以過濾和監測HTTP/HTTPS流量,防止SQL注入、跨站腳本(XSS)、文件上傳漏洞等Web攻擊。
使用時在WAF控制臺中添加想要保護的網站和防護規則(比如默認防護、IP黑名單、URL白名單、精準防護、惡意爬蟲、CC攻擊防護等),即可開啟防護并定期檢查WAF的攻擊報告和防護統計。
3、網絡層防護
數據包在網絡層傳輸時,用戶可以通過安全組、網絡ACL、云防火墻等配置一些流量規則(見網絡訪問控制章節),限制異常的通信鏈接,同時阿里云也提供一些面對網絡攻擊的防御工具,幫助您更好地應對攻擊。
1) 使用云防火墻入侵防御可實時主動檢測和攔截黑客惡意攻擊、漏洞利用、暴力破解、蠕蟲病毒、挖礦程序、后門木馬、DoS等惡意流量,防止業務被未授權訪問或數據泄露、業務系統和應用程序損壞或宕機等。
2)使用DDoS服務,可以對短時間的大量攻擊流量進行清洗,并將干凈流量轉發給服務器。需注意的是,由于基礎DDoS服務有一定流量閾值(根據不同類型主機閾值不同),當攻擊流量超過閾值時,會觸發黑洞機制,阿里云將暫時屏蔽該主機的互聯網入方向流量。如果對主機可用性要較高,可以使用DDoS高防產品,不受流量閾值限制,用于應對和處理更復雜和更大規模的攻擊。
五、建設應急響應能力
在完成以上的配置和部署之后,仍有可能出現突發的安全風險事件,因此建議在有條件的情況下,應建立安全風險應急響應能力,提前制定預案和演練,當風險真實發生時能夠有效應對。
制定預案:根據云上業務特點評估可能產生的風險,常見的風險類型如網絡攻擊、數據泄漏、病毒、勒索等,根據自身的安全防護、業務重要性等,制定具體的應急策略;
事件應急:風險發生后,應迅速確認異常情況的性質和范圍,評估影響的資產和應用的重要性。必要時,隔離受影響的系統或資源,以防止問題擴散。如果出現webshell、病毒木馬等安全事件,可以通過云安全中心檢測響應-安全告警中對應的告警詳情和建議,進一步執行一鍵隔離或者手動處置;
恢復和復盤:根據預案執行恢復計劃,可能包括重啟服務、切換到備用資源、恢復數據等。如果遇到數據被刪除,篡改或加密勒索,可以使用ECS鏡像或者云安全中心防勒索中的備份進行恢復。分析事件的根本原因,評估應急響應的效果,根據復盤結果,更新應急預案和相關流程,對安全事件中涉及到的漏洞進行及時修復,避免再次出現安全事件;
培訓和演練: 對應急響應團隊進行定期培訓,確保相關人員熟悉應急預案和操作流程。定期進行應急演練,檢驗預案的有效性,提高團隊的應急響應能力。