基础架构风险分析

更新时间:

网络架构风险

和在IDC面临的风险一样,在云上需要设计网络架构,以便减小网络暴露面和因为网络架构设计不合理导致的网络攻击。网络架构的风险是指由于网络分段、资产暴露、DMZ区设计不合理导致的网络被任意用户访问、内部接口或地址可以被互联网访问,攻击者可以轻松从互联网获取企业资产和应用的信息带来的风险。

在云端常见的网络架构风险如下:

类别

影响因素

风险

级别

可能导致的风险

高危端口开放

常见的高危端口如22、3389、445等开放在互联网边界的应用上,或通过映射等方式能够被公网访问

常见的高危端口会被黑客利用发起恶意登录、暴力破解,以及漏洞利用,高危端口在未经端口转换或防护的前提下直接暴露在公网,会导致企业内部资产面临攻击的风险。

安全组策略授权过大及更新维护

存在授权过大的安全组策略,以及当网络架构趋于复杂时,安全组策略过度导致维护工作量的增加,会存在更新不及时以及策略混乱等问题。

安全组是作用在ECS上的网络访问控制策略,若存在访问源和端口授权过大的策略时,会导致内网资源的暴露,容易被黑客在内网通过网络扫描的方式发现内网资产从而发起内部攻击。

同时当网络架构趋于复杂时,如在云端使用多VPC构建网络架构,多账号构建资源,使用CEN构建统一的内网时,安全组策略将无法满足对于灵活配置和运维的需求,可能导致安全组策略更新失效和不维护的问题。从而引发网络攻击风险。

东西向网络互通

在云端企业会采用VPC、CEN-TR等网络组件打通企业内网,实现全网互通

东西向及VPC-VPC间的网络流量,若通过CEN打通网络后,VPC打破了隔离属性,此时需要通过安全控制措施进行网络隔离和流量审计,若未采取相关安全措施,则隔离策略失效,导致内网横向攻击。

网络分区和隔离

在前期企业上云过程中,未按照分区分域原则划分基础网络架构,导致业务堆积在一个VPC内或一个账号内

当业务未按照网络分区分域原则进行划分时,就意味着应用系统的前端、中间件、数据库等服务都集中在一个VPC内,往往前端是能够被互联网访问到的,若存在端口开放和应用漏洞,可以被攻击者利用后打入内网,如没有进行隔离,则攻击者就可以直接访问VPC内所有资源,窃取数据,破坏系统,加密勒索,造成严重损失。

且当系统过于庞杂时,若未按照分区分域原则进行资源隔离和划分,系统的可扩展性以及灵活性都会受到一定程度的影响,从而影响系统稳定性。

未经防护的公网资源

在使用云资源时,将公网EIP直接绑定在ECS、ACK等资源上,绕过安全防护和安全监控对外直接提供公网访问

ECS等资源直接绑定公网IP后会绕过一些安全设置,产生的安全防护和监控的盲点。若ECS上存在高危漏洞或端口暴露,则无法及时发现网络攻击和网络嗅探。

账号体系风险

和在IDC面临的风险不同,在云上基于云平台的账号体系访问云资源,包含了用户界面和机器界面(使用API或SDK访问云资源),账号体系风险的定义是由于身份滥用、授权过度、AccessKey泄露导致的被不合法用户合法使用云资源、数据泄露、系统稳定性等的风险。

阿里云以往为客户处理的安全事件中,租户侧因为账号安全问题引发的网络攻击、数据泄露、加密勒索等问题屡见不鲜。

常见的云账号安全风险分析如下:

类别

影响因素

风险

级别

可能导致的风险

RAM用户配置风险

RAM用户未按照安全要求配置多因素认证

RAM用户未开启多因素认证可能导致账号盗用,异地登录、暴力破解等问题,从而导致资源被利用和数据泄露等风险。

RAM用户过度授权

RAM用户授权过度可能导致越权的风险,从而导致资源滥用和数据泄露。

不活跃的RAM用户

不活跃的RAM用户可能导致暴力破解和管理风险。

不活跃的AccessKey

不活跃的AccessKey可能导致异常调用和管理风险。

凭证泄露

云账号凭证信息泄露

企业使用云资源开发时,AccessKey是最重要的访问凭证,可通过AccessKey获取企业资源的使用权,获取数据以及管控权限等。AccessKey通常被写入代码中或工具中,若AccessKey泄露会导致数据泄露、资产破坏等风险。

云账号配置风险

云账号安全配置风险

云账号的权限过大,未分配RAM用户或RAM用户AccessKey时,可能导致越权,数据泄露等风险。

云账号AccessKey

因为云账号权限过大,创建云账号AccessKey会带来越权,数据泄露等风险。

工作负载架构风险

工作负载是指在云端提供业务支撑的服务,如ECS、Kubernetes 、容器等,工作负载架构风险是指工作负载为了提供业务支持所选择的部署方式、网络连接方式、访问控制等操作面临的风险,具体如ECS直接绑定公网IP提供互联网服务,但该操作有可能被攻击者利用。

常见的工作负载架构风险如下:

类别

影响因素

风险

级别

可能导致的风险

未经保护的工作负载

工作负载未经NAT、SLB、防火墙等保护,直接挂在EIP向公网提供服务

ECS等资源直接绑定公网IP后会绕过一些安全设置,产生的安全防护和监控的盲点。若ECS上存在高危漏洞或端口暴露,则无法及时发现网络攻击和网络嗅探。

加入的安全组授权过大

安全组授权过大,未能有效保护工作负载。

或加入安全组的工作负载过多,策略设置宽松。

安全组因为加入的ECS过多,因需求不同以及安全组维护工作量,导致授权过大,存在管控宽松的风险。

统一的登录认证和审计

未经堡垒机直连工作负载

未能有效提供工作负载的集中认证和访问控制,凭据泄露或暴力破解发生时,无法有效控制对工作负载的安全访问。

未集中进行工作负载的操作审计

当出现安全事件时,无法有效进行攻击事件的回溯和定位。