云蜜罐概述
云安全中心的云蜜罐功能可以為您提供云內(nèi)外的攻擊發(fā)現(xiàn)、攻擊溯源等能力。您可以在阿里云VPC、已接入云安全中心的服務(wù)器實例上創(chuàng)建云蜜罐實例,來防御您服務(wù)器在云內(nèi)外受到的真實攻擊,加固您服務(wù)器的安全防護。
背景信息
傳統(tǒng)防御方式的主旨是將攻擊者拒之門外,然而隨著攻擊手段的多樣化、隱蔽化、復(fù)雜化,傳統(tǒng)的防御方式往往疲于應(yīng)付,比如利用0day漏洞的APT攻擊,傳統(tǒng)的基于規(guī)則和特征庫的安全產(chǎn)品很難察覺。出現(xiàn)問題時安全運維人員只能做事后修補,而實際上攻擊者早已滲透到內(nèi)網(wǎng)并潛伏。企業(yè)需要一種技術(shù)手段,主動對抗攻擊行為,采取有利于防守方的技術(shù)措施,對攻擊者形成震懾,保護數(shù)據(jù)安全。
蜜罐是一個攻擊誘騙系統(tǒng),通過使用蜜罐模擬一個或多個易受攻擊的主機和服務(wù),給攻擊者提供一個容易被攻擊的目標(biāo),偽裝成用戶的業(yè)務(wù)應(yīng)用,使攻擊者誤認(rèn)為是欲攻擊的目標(biāo)對象。由于蜜罐并沒有向外界提供真正有價值的服務(wù),因此所有試圖與其進行連接的行為均可認(rèn)為是可疑的,同時,讓攻擊者在蜜罐上耗費時間,可以延緩對真正目標(biāo)的攻擊,捕獲更多攻擊者的信息進行反制,使目標(biāo)系統(tǒng)得到保護。
云蜜罐原理
雖然蜜罐轉(zhuǎn)守為攻,但是傳統(tǒng)蜜罐的缺點也很明顯:幾乎不可實現(xiàn)高真實、低成本、高覆蓋的蜜罐服務(wù)。為彌補傳統(tǒng)防御方式、傳統(tǒng)蜜罐方案的不足,云安全中心的云蜜罐技術(shù)應(yīng)運而生。
云安全中心的云蜜罐功能提供了以下功能和服務(wù)。
云原生的VPC黑洞功能
將VPC內(nèi)部流量中,目的IP不可達的,導(dǎo)流至VPC黑洞探針,再根據(jù)VPC黑洞探針上面配置的轉(zhuǎn)發(fā)規(guī)則,轉(zhuǎn)發(fā)至相應(yīng)的蜜罐服務(wù)。
通用的主機探針方案
在業(yè)務(wù)主機上部署Agent進行流量轉(zhuǎn)發(fā),負(fù)載低、無應(yīng)用侵入、安全穩(wěn)定,支持大多數(shù)主流硬件和系統(tǒng)。
豐富的蜜罐服務(wù)
高低交互蜜罐,其中低交互可以覆蓋所有端口,高交互內(nèi)置幾十種常見的、易被攻擊者攻擊的蜜罐服務(wù),覆蓋Web應(yīng)用、數(shù)據(jù)庫、系統(tǒng)服務(wù)、特殊缺陷、自定義服務(wù)五大類型。
可定制化蜜罐
可基于容器實現(xiàn)自定義蜜罐,實現(xiàn)高級別的業(yè)務(wù)模擬。
VPC黑洞方案與主機探針方案結(jié)合,實現(xiàn)低IP成本、低計算資源成本下高IP覆蓋。豐富的蜜罐服務(wù)與可定制化蜜罐組成的統(tǒng)一的蜜罐集群,實現(xiàn)高真實度的同時,實現(xiàn)蜜罐類型的高覆蓋。
云蜜罐的安全性
因為安全產(chǎn)品帶入的穩(wěn)定性問題、安全性的問題常有曝光,因此云蜜罐在設(shè)計之初就考慮了自身產(chǎn)品的性能、穩(wěn)定性與安全性,確保在實現(xiàn)功能的同時,保證低負(fù)載、高穩(wěn)定、高安全。
性能影響
VPC黑洞功能
不占用主機、網(wǎng)絡(luò)資源。
主機探針
純異常端口流量轉(zhuǎn)發(fā),占用系統(tǒng)資源較小。
穩(wěn)定性影響
VPC黑洞功能
VPC黑洞功能會針對掃描流量進行模擬交互,如果有通過掃描的資產(chǎn)探測軟件,可能會造成誤報。
主機探針
主機探針需要占用主機端口,因此需要合理規(guī)劃主機探針?biāo)惭b的主機端口分配。
安全性影響
主機探針的安全性
主機探針與管理中心只存在導(dǎo)流與功能控制交互,即使管理節(jié)點被攻陷,也沒有渠道通過探針控制主機。
蜜罐逃逸的安全性
每個用戶獨享一套蜜罐集群,且內(nèi)置docker逃逸檢測。
網(wǎng)絡(luò)安全性
通過網(wǎng)絡(luò)隔離,即使蜜罐集群被攻陷,也不能通過蜜罐和探針的通道攻擊客戶原網(wǎng)絡(luò)。
支持的環(huán)境
云蜜罐支持阿里云、非阿里云(其他云、傳統(tǒng)線下環(huán)境)等各種網(wǎng)絡(luò)環(huán)境。
在阿里云環(huán)境,云安全中心和網(wǎng)絡(luò)團隊合作開發(fā)的VPC黑洞蜜罐功能,可以將VPC內(nèi)部流量中,目的IP不可達的流量黑洞,再接入蜜罐服務(wù),實現(xiàn)低成本、高覆蓋的蜜罐服務(wù)。
在非阿里云環(huán)境,云蜜罐支持低負(fù)載、安全可靠的主機探針導(dǎo)流模式,將可疑流量導(dǎo)流至后端蜜罐集群。
使用限制
主機探針的使用限制
主機探針僅支持在云安全中心的資產(chǎn)中心中維護的服務(wù)器實例。
VPC黑洞探針的使用限制
VPC黑洞探針目前僅支持阿里云的以下地域。
華北1(青島)
華北2(北京)
華北3(張家口)
華北5(呼和浩特)
華北6(烏蘭察布)
華東1(杭州)
華東2(上海)
華南1(深圳)
華南2(河源)
華南3(廣州)
西南1(成都)
中國(香港)
日本(東京)
新加坡
澳大利亞(悉尼)關(guān)停中
印度尼西亞(雅加達)
美國(弗吉尼亞)
美國(硅谷)
英國(倫敦)
阿聯(lián)酋(迪拜)
德國(法蘭克福)