云计算之安全

河曲智叟 · 2024-11-5 05:07:16

目录

一、云安全中央
1.1 挖矿攻击（Cryptojacking）
1.1.1 定义
1.1.2 特点
1.1.3 手段
1.2 打单病毒（Ransomware）
1.2.1 定义
1.2.2 特点
1.3 安全运维思路
1.3.1 安全运维最佳实践
1.3.2 关注点
1.4 安全加固-毛病管理
1.5 安全加固-基线查抄
1.6 拦截监控-主动拦截
1.7 常见告警排查思路
1.8 云安全中央挖矿最佳实践
1.8.1 怎么判定自己的资产遭受到挖矿？
1.8.2 普通用户处置方法
1.8.3 碰到挖矿怎么办？
二、DDoS防护
2.1 什么是DDoS攻击？
2.2 防护系列产物介绍
2.2.1 DDoS基础防护
2.2.2 DDoS原生防护
2.2.3 DDoS高防
2.2.4 游戏盾 “弹性安全网络”
2.3 DDoS防护架构
2.4 实时监测防御能力
2.5 七层攻击防御能力
2.6 全球防御能力
2.7 基于海量数据分析的可信攻防谍报
三、云防火墙
3.1 云防火墙定义
3.2 云防火墙架构
3.3 云防火墙功能
3.3.1 举动分析和追踪
3.3.2 访问控制
3.3.3 流量监控
3.3.4 实施入侵防御
3.4 全网统一ACL访问控制，云上网络防护“三重门”
3.5 云防火墙常见问题
四、Web应用防火墙
4.1 Web应用防火墙（WAF）概览
4.2 实时防护能力-多防护引擎
4.3 全球智能调理-GSLB
4.4 BOT防护能力
4.5 0day防护能力
4.6 最佳实践--WAF+SLB
4.7 常见问题
总结

一、云安全中央

1.1 挖矿攻击（Cryptojacking）

1.1.1 定义

黑客在受害者的计算机上安装病毒程序，在受害者不知情的环境下，机密挖掘加密货币，实现“用你的钱赚我的钱”。
1.1.2 特点

潜伏性极强，清算难度大
收益可观（由加密货币决定，与机器数量正相关）
除毛病不实时修复外，AccessKey泄露导致的挖矿问题逐步增多

1.1.3 手段

拿到泄露AK
通过AK枚举ECS
通过云助手给ECS下发命令
下载挖矿软件
执行挖矿

1.2 打单病毒（Ransomware）

1.2.1 定义

国内俗称打单病毒，一般是通过体系毛病，弱暗码等脆弱性实施入侵，加密用户服务器上的文件以破坏其可用性，进而就恢复进行打单。
由于打单一般仅能通过特定密钥才能进行恢复，一旦中招，几乎无解。
1.2.2 特点

打单的红利属性比挖矿更高
【外部】广撒网 + 【内部】蔓延快
交钱恢复 -> 交钱也不恢复 -> 无法恢复

1.3 安全运维思路

1.3.1 安全运维最佳实践

90%精力做事前安全加固，10%做监控拦截及事后调查相应。
1.3.2 关注点

事前（安全加固）：毛病修复，体系基线，云产物配置，网页防篡改，防打单。
事中（拦截监控）：AK走漏，防病毒，云产物调用基线，入侵检测，攻击态势，应用白名单。
事后（调查相应）：自动化溯源，资产指纹采集，日记分析。

1.4 安全加固-毛病管理

支持一键快照、回滚，结合任务中央自动化批量安心修毛病，确保业务的安全可恢复。

功能：

真实风险评估：结合环境风险和资产重要性评估风险毛病标签及全网修复次数
减少业务影响：毛病修复时默认打快照透出是否必要重启
提升运维效率：支持批量修复、验证任务中央支持自动化批量修复

1.5 安全加固-基线查抄

全球第一家提供基线修复能力的云厂商，实现基线问题一键修复，为用户低落极大的工作量，助力快速满足合规查抄。

功能：

丰富的基线查抄项：主机操作体系、数据库基线、弱口令、中间件基线
等保合规基线：支持等保2.0 二级、三级合规查抄，提供等保自查能力
基线修复闭环：批量修复，并结合快照，保障风险可控

1.6 拦截监控-主动拦截

支持主流病毒木马、网站后门、恶意网络举动的主动拦截，支持暴力破解自动阻断。

功能：

病毒自动隔离：支持云上主流病毒、木马、打单软件的隔离，支持网站后门、恶意网络举动防御
暴力破解自动阻断：结合安全组云原生安全能力，实现暴力破解闭环处置

1.7 常见告警排查思路

告警种别	告警原因	建议下一步操作	联动产物
Webshell	攻击者通过web存在的毛病，在服务器上写入后门文件乐成，从而获取网站服务器的某种程度上的操作权限，为进一步渗出提供更多信息和选择。	1.删除该文件； 2.查抄网站代码，严格控制用户输入； 3.上传目录权限遵照最小权限原则。	云安全中央、web应用防火墙
ECS被暴力破解乐成(SSH)	攻击者对特定端口（ssh、rdp）,实验对账号暗码进行枚举，从而乐成登陆服务器，获取服务器权限。	1.对账号登陆失败设置策略； 2.制止公网段袒露； 3.采取证书登陆的方式； 4.暗码复杂度符合要求。	云安全中央、堡垒机
非常网络毗连-主动毗连恶意下载源	攻击者已获取肯定操作权限植入恶意木马或者存在远程代码执行毛病，导致服务器主动访问恶意网站，或对外发送服务器信息。	1.删除木马程序； 2.查抄相关毛病，做好毛病修复； 3.配置安全组/云防火墙。	云安全中央、云防火墙
挖矿程序	攻击者已经获取服务器权限，执行挖矿程序，挖矿会导致服务器CPU升高，从而影响正常的业务运行。	1.删除服务器上相关木马和历程； 2.查抄定时任务、公钥、用户列表，防止二次入侵。	云安全中央、云防火墙
云助手非常命令	攻击者获取到了云助手权限，通过云助部下发命令，可以导致服务器执行恶意命令，一般为AK泄露造成。	1.查抄云助手任务列表，对恶意任务进行删除； 2.查看AK调用环境，对已泄露AK进行禁用； 3.开启云安全中央-云平台配置查抄进行扫描。	云安全中央
Redis配置不当致使Root被提权毛病	Redis数据库配置不当，如公网匿名访问，可写入公钥，进而获取root权限	1.以较低的权限启动redis服务； 2.绑定只是允许当地访问redis； 3.扫除/root/.ssh/目录下对应的密钥；4.开启云安全中央-云平台配置查抄进行扫描。	云安全中央、云数据库
网页防篡改	实时发送	可选以下时段： 24小时 8:00-20:00	检测到网页防篡改告警时发送通知。天天最多发送5条通知。

1.8 云安全中央挖矿最佳实践

1.8.1 怎么判定自己的资产遭受到挖矿？

当主机的CPU有明显升高，例如到达百分之80以上，出现未知历程，并有一连向外发送网络包。云安全中央用户会收到告警短信或邮件，并在“控制台”-“运行时威胁检测”-“安全告警处理”出现挖矿事件告警，且将挖矿事件的其他告警事件关联，如“矿池通讯”、“访问恶意域名”等。
1.8.2 普通用户处置方法

根据高cpu历程，对应的历程信息，杀死该历程。
查看历程的执行文件链接 ls -l /proc/xxx/exe
查抄防火墙看是否有特定的Ip访问策略
查抄定时任务，防止二次入侵。
查抄ssh公钥，防止存在一连后门。
查看是否存在其他装备具有挖矿举动，防止蠕虫重复感染内网主机。
挖矿病毒修改了体系的动态链接库配置文件/etc/ld.so.preload，top、ps等未查找到非常历程，可以利用busybox排查，该工具是静态编译的，不依赖于体系的动态链接库，从而不受ld.so.preload的挟制，用于排查处理。

1.8.3 碰到挖矿怎么办？

云安全中央对挖矿事件支持一键处理。
针对挖矿事件产生的其他衍生告警，如：“矿池通讯举动”，云安全中央通过生成策略防止对矿池访问，有富足的时间对安全事件进行处理。
同时可以联动云防火墙，对该非常通讯地点进行限制
针对持久化驻留的后门，云安全中央会产生历程举动非常的告警，提示用户查抄定时任务，查看是否存在非常的计划任务。
针对部分没有安全能力的用户，无法实时清算主机上残留的挖矿程序，或清算不干净导致复发，云安全中央的病毒拦截功能，依托并利用阿里云海量威胁谍报数据和自主研发的基于机器学习、深度学习非常检测模型，对挖矿程序进行精准拦截，在事前克制事件发生。
对入侵事件有溯源能力，对入侵过程清楚展示。

二、DDoS防护

2.1 什么是DDoS攻击？

DDoS（Distributed Denial of Service，分布式拒绝服务）攻击是一种网络攻击方式，其目的是通过大量的数据流量淹没目的服务器或其周围的基础设施，使得服务器无法处理正常的服务请求，从而导致合法用户无法访问服务。
DDoS攻击通常利用多台被控制的计算机（僵尸网络）同时向目的发送请求，这些计算机可以分布在全球各地，使得攻击更难以追踪和防御。
这种攻击可以针对任何范例的互联网服务，包括网站、服务器、API接口等。DDoS攻击不仅能够造成服务停止，还可能导致数据丢失、业务丧失以及高昂的恢复成本。
为了防范DDoS攻击，企业和构造通常会部署专门的安全步伐，如防火墙、流量洗濯中央、CDN（内容分发网络）等技术手段来缓解攻击的影响。
2.2 防护系列产物介绍

2.2.1 DDoS基础防护

免费：提供云上资产免费的500M-5G基础的免费防御，加入安全信誉联盟可以累积信誉分，获得更高的防御能力。
2.2.2 DDoS原生防护

付费云原生防御：付费增值服务，在不改变任何配置的环境下提升云产物的防御能力。
2.2.3 DDoS高防

付费大流量洗濯中央：建立海量流量洗濯中央，提供最高1.5T以上的攻击峰值防御能力，具备近源洗濯和区域封禁能力，总体能力10T+。为中国出海业务提供不设上限防护和中国大陆访问加快模块。
2.2.4 游戏盾 “弹性安全网络”

无上限防御方案：DDoS攻击分布式调理洗濯，SDK接入，上万防御节点，加密通讯，辨认并隔离恶意APP终端，彻底办理DDoS/CC攻击问题，按照业务规模收费的成长性服务机制。
2.3 DDoS防护架构

2.4 实时监测防御能力

1秒非常流量检测，2秒非常流量处理：极大低就逮络抖动，实现无阻塞实时网络。
3秒处理完成：实时阻断、实时相应，不对相关区域其他用户业务产生影响。

功能：

流量监测：对流量可疑流量进行实时监测，发现攻击后启动非常流量防护管理。
DDoS洗濯：封堵大流量DDoS攻击，保障业务可用
CC攻击防御（支持HTTPS）：拦截应用层DDoS/CC攻击，保障业务可用
高级负载均衡（支持HTTPS）：负载均衡、健康查抄、会话保持
后台管理：对DDoS、CC、毛病进行统一调理运维管理

2.5 七层攻击防御能力

承载了业界主流游戏、金融和互联网+厂家应用，实现对七层攻击的有效辨认与防护。
业界最大规模的七层应用防护集群，防护性能到达1000万QPS以上。
基于云弹性架构，攻击防御能力弹性扩容，实现AI智能防护能力，实现分钟级策略下发。

2.6 全球防御能力

特点：

Anycast全球无上限防护
国内无上限防护
AI智能防护
7*24安全托管

优势：

智能剖析海外流量与国内访问流量
国内新BGP高防具有多规格防护支持
支持国内未存案，四层非标业务接入，实现全球防护。

留意事项：
新BGP高防7层业务接入必须进行国内存案。
2.7 基于海量数据分析的可信攻防谍报

大数据分析转化为可信攻防谍报，天天TB级数据的可信分析。

三、云防火墙

3.1 云防火墙定义

云防火墙是一种基于云计算环境设计的安全办理方案，用于保护云中的网络和资源免受未经授权的访问和潜在威胁。它通常提供了一种集中式的方法来管理收支云环境的网络流量，允许管理员设置规则来过滤特定的IP地点、端口、协议或其他参数，以此来控制哪些流量可以通过，哪些应该被阻止。
3.2 云防火墙架构

3.3 云防火墙功能

3.3.1 举动分析和追踪

审计日记分析-可溯

攻击防护事件日记
流量日记，包括网络抓包
操作日记，操作举动审计

3.3.2 访问控制

ACL访问控制-可管

互联网出口策略统一管理（南北向）
云上跨网络分区策略管理（东西向）
云上负载访问策略（安全组）全局管理

3.3.3 流量监控

全网流量分析-可见

主动外联流量
互联网访问流量
VPC间流量
安全组ECS流量可视化

3.3.4 实施入侵防御

IPS入侵防护-可控

云上网络入侵监视与检测（IDPS）
云上负载失陷感知与虚拟补丁防御
集成威胁谍报，智能防御策略建议

3.4 全网统一ACL访问控制，云上网络防护“三重门”

3.5 云防火墙常见问题

传送门：利用云防火墙的常见问题及办理方案_云防火墙(Cloud Firewall)-阿里云帮助中央
四、Web应用防火墙

4.1 Web应用防火墙（WAF）概览

WAF，即：Web Application FireWall（Web应用防火墙）。可以普通的理解为：用于保护网站，防黑客、防网络攻击的安全防护体系；是最有效、最直接的Web安全防护产物。
也可以这么模糊的以为：防护网站安全的产物，都可统称为WAF。