监控和分析

更新时间:

监控云上资源,系统的安全状况,找出业务系统可能存在的漏洞,对可疑活动的告警作出反应,或是针对企业日常活动中的安全事件进行追溯,是构建业务安全机密性、完整性、可用性重要的一环。

监测控制

通过运用云上的多种监测控制手段,以此来感知不同级别的威胁,进行分析判断,采取相应的措施,并可针对自身的业务量身定制监控和检测控制。针对监测控制,有以下最佳实践:

  • 网络管理:创建隔离分层的网络,有助于对相似的网络组件进行逻辑分组,还缩小了未经授权的网络访问的潜在影响范围。针对专有网络VPC,通过使用ECS安全组,网络ACL,流日志等,控制网络流量,保障云服务的安全性和可靠性,或是通过RAM访问控制策略,对专有网络VPC的访问权限进行控制。

  • 权限管理:权限管理对于业务来说是非常重要的,不同的角色有不同的权限,对每个用户分配最小够用权限,能极大的防止各种越权操作,从而有效减少由于操作不当带来的故障和安全问题。

  • 配置审计:当使用大规模资源时,需要监管资源配置的合规性,通过使用配置审计服务,可监控云账号下的资源变更,追踪配置变更历史,并实时地完成合规性审计。

  • 操作审计:日常通过操作审计,可记录云账号下用户登录及资源访问操作,以此实现安全分析、入侵检测、资源变更追踪以及合规性审计。也可将账号下的行为事件下载或保存到日志服务SLS或对象存储OSS,然后进行行为分析、安全分析、资源变更行为追踪和行为合规性审计等操作。

  • DDoS防护:分布式拒绝服务 (DDoS) 攻击通过消耗目标服务器性能或网络带宽,从而造成服务器无法正常地提供服务。可通过以下几个方面着手缓解DDoS攻击的威胁:

    • 缩小暴露面,隔离资源和不相关的业务;

    • 优化业务架构;

    • 利用公共云的特性设计弹性伸缩和灾备切换的系统;

    • 做好业务监控和应急响应;

    • 使用DDoS防护类产品;

  • 入侵检测:通过检测入侵主要是为了防止数据泄露或者业务系统被破坏,通过配置相应的检测和告警机制,可了解云服务器或者云产品中存在的威胁,例如某个恶意IP对资产攻击、资产已被入侵的异常情况等。

日志报警

日志提供了服务和应用程序的第一手信息,保留安全事件的日志,为审计,调查安全事件,系统安全的维护等提供了强有力的保障,确保了部署在云上资源的可用性、业务的正常运行和健康度。因此对日志的合理管理是保证业务安全的首要条件。

日志的管理包括日志的收集,安全存储,分析和告警的生成,针对日志管理,有以下准则:

  • 日志收集:需从云上的各种资源,服务,应用程序中收集日志,其次收集应尽可能是非侵入的;

  • 安全存储:保留期限应是灵活可配置的,需根据安全要求、合规要求、不同云产品特点,设置合理的日志保存时间,其次日志数据的存储应是安全防篡改的,严格控制各类身份对于该日志的权限,尤其是写、删类型的权限;

  • 日志查询:在满足运营,业务和安全要求的基础上,选择合理并可供实施的日志查询机制;

  • 日志分析:需对异构源的日志规范化并形成通用格式,是日志分析所必需的,其次应全面的分析以了解当前系统的安全事件;

  • 告警生成:告警应是实时,准确,可触达的(应该有尽可能多的通知机制),其次每种类型的告警都要有可运行的应急补救措施。