进行集中化的漏洞管理
漏洞是当前网络攻击利用最频繁的脆弱性之一,漏洞的管理包括了识别漏洞、评估漏洞、明确优先级、修复漏洞、和持续的扫描。在云上实施漏洞管理能够有效的减少服务器的脆弱性,降低服务器暴露的风险,从而提高整体的安全性。
优先级
高
不推荐做法
未制定一套完备的漏洞管理计划,这其中需要包括漏洞检测的周期、漏洞评估的标准、漏洞修复流程和职责、漏洞应急预案等。
在多账号架构下,单独管理各个账号的漏洞,增加管理成本,无法保证企业统一的漏洞管理基线。
在不考虑漏洞风险等级、影响范围等因素的情况下,直接进行漏洞修复,影响线上业务的稳定性。
实施指南
充分理解云安全责任共担模型。在这个模型下阿里云负责保护云平台的安全,以及维护云平台的漏洞,企业需要对自建的工作负载的漏洞负责。
使用云安全中心对工作负载进行漏洞管理。通过阿里云云安全中心漏洞管理功能,自动识别云上的服务器和资产,通过配置自动漏洞扫描任务,使其能够自动化的识别和检测漏洞。同时云安全中心根据漏洞风险等级、可被利用程度、漏洞暴露时间等维度提供了综合的漏洞评分和优先级。
针对操作系统漏洞,可使用云安全中心进行快速一键修复,修复前可查看修复注意事项,并可对操作系统创建快照,以便回滚。
针对应用系统漏洞,可通过云安全中心查看修复建议,漏洞详情,影响范围等信息。建议您使用应用防护功能,基于RASP(Runtime Application Self-Protection)技术,根据当前上下文环境识别并阻断攻击,有效地为您主机上的Web业务进程提供应用漏洞、0day漏洞和内存马攻击等防护能力。
针对容器镜像漏洞,可通过云安全中心检查容器镜像自身存在的漏洞、脆弱性等信息。
针对应急漏洞,可通过云安全中心快速自查,应急漏洞是由阿里云安全团队更新的高危漏洞和0day漏洞情报,云安全中心可检测企业内服务器是否存在这类高风险漏洞,同时可以联动防火墙的虚拟补丁功能进行快速防御,起到事前预防、事中应急的能力。
在多账号架构下,使用云安全中心多账号安全管理功能,对企业中的多个阿里云账号和资源账号进行统一安全管理及安全防护配置,并实时检测各个成员账号的安全风险状况。
统一管理基础镜像,保证镜像安全。在规模化部署的场景下,企业存在以下痛点:企业各业务在各自云账号下任意构建镜像,无法统一安全基线造成业务风险,并且多地域、多账号环境下镜像统一分发困难。阿里云建议企业使用黄金镜像(Golden Image)方案,在单独的共享账号内进行镜像构建,统一管控,限制应用账号能够使用的镜像 ID,避免应用账号使用不合规的镜像,同时基于资源共享和自动化能力,批量、快速将镜像分发给所有云账号,提升效率。详细方案,请参见《多账号GoldenImage方案》。
通过自动化的方式进行补丁管理和漏洞修复。
使用云安全中心的任务中心,制定漏洞修复计划任务,针对特定类型、等级、服务器群组进行自动化的漏洞修复。
针对系统补丁进行自动化运维,实现主机补丁集中扫描、监控和安装的运维需求。详细方案,请参见《通过OOS实现主机操作系统补丁自动化运维》。