工作负载安全保护

更新时间:

云上的工作负载是一套支撑IT业务系统运行的相关功能或一些原子能力,诸如服务器、VM、容器、网络、数据库等。通常情况下企业在云上使用最多的工作负载环境就是VM和容器。

针对VM和容器的防护要做到以下几点:

  • 有效的识别工作负载,梳理清楚在云上的资产指纹;

  • 有效识别工作负载的漏洞以及脆弱性,并对其进行管理;

  • 建立运行时防护的机制,有效保护您的工作负载安全;

  • 制定定期的安全巡检计划,以便确保您的工作负载的安全有效性及合规性。

识别和梳理资产基本安全信息

在执行安全防护措施前,首先要了解企业在云上有哪些资产,以及资产的基本信息和安全信息。识别和梳理资产指纹有助于快速帮助企业在云上获取最新的资产和工作负载详情。

通常情况下,建议企业关注的资产指纹包括如下内容:

序号

资产指纹

用途

和安全相关的操作

1

服务器基本信息

用于统计服务器的基本属性,如地域、访问方式、安全防护状态等

  1. 可通过服务器基本属性判断该服务器是否具备公网IP,若存在可以直接访问的公网IP,则对外暴露的风险就比较高。

  2. 可以通过服务器基本信息判断该服务器是否在安全工具的保护中,检测是否安装了云安全中心的agent来判断是否具备防御攻击的能力。

2

账户

用于统计服务器内创建和管理的特权账户和普通用户

可通过账户信息来分析和比对在安全事件发生前后是否有新增的普通用户和特权用户,能够在安全事件溯源过程中判断和定位攻击。

3

端口

用于统计服务器开放的端口和网络协议,同时端口关联了对应的进程

可用于做端口的暴露分析和收敛,以及分析端口对应的网络协议,可以在事前统一管理对外暴露的策略,并用于监控

4

进程

用于统计服务器创建的进行

可以通过该属性查看进程的路径、启动时间、启动参数,用于分析和判断由于一些入侵后门植入的恶意进程

5

中间件

用于统计服务器部署的应用中间件

在一些高危中间件漏洞发布或漏洞告警通知后,可以统计企业当前部署中间件的数量、分布,从而快速判断一些漏洞的影响面,以及漏洞修复的优先级。

6

计划任务

用于统计计划任务的执行命令、执行账户等

在一些攻击事件中,发现攻击者通过创建计划任务来保持黑客工具的可持续性

7

启动项

用于统计启动项路径和对应的服务器

可以通过启动项的分析来溯源和定位攻击事件

企业需要具备一定的手段和方法自动化的采集、存储、统计和分析资产基础信息,这样有助于在安全事件响应过程中判断事件的重要等级、攻击过程以及响应方式。

最佳实践

识别和梳理资产的基本信息和安全信息主要分为以下几个步骤:

  1. 选择资产指纹的采集方式和采集频率,通常建议采用自动化的采集方式对服务器的基本信息和指纹进行采集,推荐采用Agent采集而非网络扫描。

  2. 对采集到的资产指纹进行分类,按照上述表格中的7大模块进行分类记录和存储。

  3. 当出现安全事件或应急响应时,检查资产指纹更新的情况,分析是否有可疑账户、进程、计划任务、或开放的高危端口等。

阿里云为用户提供了安全工具,帮助企业快速的识别和梳理企业资产的基本信息和安全信息。可以通过阿里云云安全中心来自动化采集资产指纹,并以可视化的形式展现出来。并将日志存储在SLS中,可以配置相关的监控分析的告警,或用于事件的上下文。

资产漏洞管理

漏洞是当前网络攻击利用最频繁的脆弱性之一,漏洞的管理包括了识别漏洞、评估漏洞、明确优先级、修复漏洞、和持续的扫描。在云上实施漏洞管理能够有效的减少服务器的脆弱性,降低服务器暴露的风险,从而提高整体的安全性。

企业需要制定一套完备的漏洞管理计划,这其中包括了漏洞检测的周期、漏洞评估的标准、漏洞修复流程和职责、漏洞应急预案等。

我们给出以下漏洞管理的参考建议:

漏洞管理项

参考建议

漏洞检测计划

  1. 建议定义云上漏洞检测的范围,通常建议包括操作系统、应用组件、容器镜像以及代码。

  2. 建议根据业务系统重要等级和企业内部要求对操作系统漏洞、应用漏洞进行定期扫描。

  3. 建议在容器镜像部署前进行漏洞扫描,需要对有风险的高危镜像修复后再进行部署和发布。

  4. 建议使用静态代码扫描检查应用程序源码的常见问题。

  5. 可以定期对重要业务系统聘请外部专家和技术人员对核心系统进行外部渗透测试。

漏洞评估标准

  1. 漏洞自身的评分可以参考CVE的说明;

  2. 除此之外漏洞在当前系统环境下的影响评估可以结合漏洞公开的时间、是否可以被利用成功、以及资产的重要程度综合进行评分。

  3. 阿里云提供了一套具备在真实环境下评估漏洞风险的评估模型,可以作为企业漏洞评估的参考依据。详见阿里云漏洞脆弱性评分系统

漏洞修复流程

漏洞的修复要结合漏洞修复的影响和业务升级的窗口期决定。

漏洞修复相关职责

通常情况下安全团队负责监控和判断漏洞的风险、影响和严重等级,并通知业务团队进行漏洞的修复。

漏洞应急预案

在遇到一些高风险漏洞,或0day漏洞时,应该具备一些漏洞应急预案,在没有给出漏洞修复建议和指导前需要快速响应

同时企业要充分理解云安全责任共担模型,在这个模型下阿里云负责保护云平台的安全,以及维护云平台的漏洞,企业需要对自建的工作负载的漏洞负责。

最佳实践

无论对于ECS,还是容器化的部署方式,都需要关注镜像的安全,尤其是规模化的部署场景。规模化部署在企业内部海量成员账号的现实情况下存在以下痛点:企业各业务在各自成员账号下任意构建镜像,无法统一安全基线造成业务风险,并且多地域、多账号环境下镜像统一分发困难。阿里云建议企业使用黄金镜像(Golden Image)方案,在单独的共享账号内进行镜像构建,统一管控,限制应用账号能够使用的镜像 ID,避免应用账号使用不合规的镜像,同时基于资源目录和自动化能力,批量、快速将镜像分发给所有应用账号,提升效率。镜像安全方面,阿里云建议企业使用云安全中心定期对构建的镜像进行安全扫描,一站式管理应用运行环境安全。

针对运行中的工作负载,云安全中心提供针对工作负载的安全漏洞管理能力。

  1. 通过阿里云云安全中心漏洞管理功能,自动识别云上的服务器和资产,需要通过配置漏洞扫描的任务设置,使其能够自动化的识别和检测漏洞。

  2. 可查看云安全中心对于漏洞的风险等级提示,云安全中心根据漏洞风险等级、可被利用程度、漏洞暴露时间等维度提供了综合的漏洞评分和优先级。

  3. 针对操作系统漏洞,可使用云安全中心进行快速一键修复,修复前可查看修复注意事项,并可对操作系统创建快照,以便回滚。

  4. 针对应用系统漏洞,可通过云安全中心查看修复建议,漏洞详情,影响范围等信息。云安全中心无法提供一键修复功能。

  5. 针对容器镜像漏洞,可通过云安全中心检查容器镜像自身存在的漏洞、脆弱性等信息。

  6. 针对应急漏洞,可通过云安全中心快速自查,应急漏洞是由阿里云安全团队更新的高危漏洞和0day漏洞情报,云安全中心可检测企业内服务器是否存在这类高风险漏洞,同时可以联动防火墙的虚拟补丁功能进行快速防御,起到事前预防、事中应急的能力。

  7. 可通过制定漏洞修复计划任务,针对特定类型、等级、服务器群组进行自动化漏洞修复功能。可参考云安全中心的任务中心

运行时防护

工作负载运行时防护是对服务器、容器等环境在可能暴露的前提下,提供运行时保护,起到事中防御的效果。运行时防护通常是通过部署在服务器、容器环境内的安全agent,对服务器和容器进行保护。提供了威胁检测、威胁分析和威胁响应的能力。

企业应关注以下运行时面临的威胁,通过了解这些攻击方法和威胁,并通过相关安全防护措施保护您的工作负载。

序号

运行时威胁

危害

1

病毒木马

木马程序是专门用于侵入用户服务器的程序,一般通过伪装植入系统后会下载、释放另外的恶意程序。

2

勒索病毒

勒索病毒是一类恶性程序,会对服务器上所有关键数据文件进行加密锁定以勒索赎金。

3

恶意篡改

上游进程尝试挪移系统文件,可能是攻击者在入侵过程中,通过挪移被安全软件监控的系统文件来达到绕过部分检测逻辑的目的。

4

后门

可疑的WebShell文件,可能是攻击者成功入侵网站后为维持权限植入的后门文件。

5

异常登录

服务器在较短时间内发生了两次用户登录,而且源自地理位置相距较远的位置。其中一个位置为您的常用登录地。发生此次行为,说明您的登录请求从一个常用位置移动到异常位置。

6

暴力破解

服务器被一个IP使用多个无效的用户名尝试登录,并最后登录成功

7

矿池通信

服务器存在与矿池IP通信的流量,您的服务器可能已被攻击者入侵并用于挖矿。

8

内网横向移动

存在异常的内网连接,可能是攻击者入侵服务器后,进行内网横向移动的行为。

9

恶意代码脚本执行

服务器上正在执行恶意的Bash、PowerShell、Python等脚本代码

10

蠕虫病毒

蠕虫病毒是一类用于从已攻陷服务器,向其它服务器做攻击横向移动的程序,往往包括漏洞利用、密码爆破等行为。

11

可疑特权容器

有可疑的特权容器启动,特权容器会降低容器运行时的安全性,一旦被入侵者攻破将危害到宿主服务器上的其他容器和资产。

最佳实践

云安全中心是阿里云在云上原生的工作负载防护组件,可参考什么是云安全中心。企业在云端创建的ECS默认安装云安全中心Agent,云安全中心通过Agent对工作负载进行运行时防护。

通过云安全中心可实时为工作负载提供运行时防护,包括服务器、容器以及云产品等。

  1. 开启运行时防护:开启云安全中心的运行时防护,通常情况下您需要确保创建ECS时,勾选安全加固选项,以保证云安全中心的Agent自动部署,同时根据防护需求开通云安全中心的功能授权即可。

  2. 开启防病毒:配置防病毒检查策略,可以选择业务系统相关的服务器或全部服务器,并设定扫描周期,详见防病毒

  3. 开启防勒索:配置防勒索功能,可以对您服务器进行勒索病毒攻击防护,云安全中心通过勒索病毒检测、投放诱捕目录和设立重要数据备份功能起到防护效果。详见防勒索

  4. 开启主机防御:配置主机防御规则,通过设定一系列的规则,如暴力破解的规则,自定义进程告警的规则等对主机上存在的异常行为进行识别和阻断,详见主机规则管理

  5. 开启容器防御:配置容器主动防御规则,如设定未通过安全检测的容器镜像禁止启动等,设定容器文件防御等。详见容器主动防御

  6. 查看运行时防护告警:通过云安全中心查看运行时告警,阿里云云安全中心将告警根据ATT&CK攻击阶段进行了划分,可以更直观的展示攻击的路径和过程,以及攻击的详情,详见安全告警处理

定期安全巡检

安全是一个动态的、持续对抗的过程,企业应定期对工作负载的安全状态进行巡检,制定巡检策略和监控策略。

  1. 巡检计划:制定巡检计划,根据业务系统重要性和风险暴露的情况,定制巡检周期和相关责任方。

  2. 巡检内容:应制定巡检内容,如定期检查运行时防护的agent的在线状态,以确保运行时防护的覆盖。巡检内容建议包含如工作负载的安全状态、脆弱性状态、脆弱性修复状态、安全事件的处理状态等。

  3. 自动化:通过自动化手段实现工作负载的定期安全巡检,并设定相关的安全监控指标,以便您的安全专家能够在海量的安全告警中获取有价值的信息。