云安全中心的云蜜罐功能可以为您提供云内外的攻击发现、攻击溯源等能力。您可以在阿里云VPC、已接入云安全中心的服务器实例上创建云蜜罐实例,来防御您服务器在云内外受到的真实攻击,加固您服务器的安全防护。

背景信息

传统防御方式的主旨是将攻击者拒之门外,然而随着攻击手段的多样化、隐蔽化、复杂化,传统的防御方式往往疲于应付,比如利用0day漏洞的APT攻击,传统的基于规则和特征库的安全产品很难察觉。出现问题时安全运维人员只能做事后修补,而实际上攻击者早已渗透到内网并潜伏。企业需要一种技术手段,主动对抗攻击行为,采取有利于防守方的技术措施,对攻击者形成震慑,保护数据安全。

蜜罐是一个攻击诱骗系统,通过使用蜜罐模拟一个或多个易受攻击的主机和服务,给攻击者提供一个容易被攻击的目标,伪装成用户的业务应用,使攻击者误认为是欲攻击的目标对象。由于蜜罐并没有向外界提供真正有价值的服务,因此所有试图与其进行连接的行为均可认为是可疑的,同时,让攻击者在蜜罐上耗费时间,可以延缓对真正自标的攻击,捕获更多攻击者的信息进行反制,使目标系统得到保护。

云蜜罐的原理

虽然蜜罐转守为攻,但是传统蜜罐的缺点也很明显:几乎不可实现高真实、低成本、高覆盖的蜜罐服务。为弥补传统防御方式、传统蜜罐方案的不足,云安全中心的云蜜罐技术应运而生。

云安全中心的云蜜罐功能提供了以下功能和服务。

  • 云原生的VPC黑洞功能

    将VPC内部流量中,目的IP不可达的,导流至VPC黑洞探针,再由VPC黑洞探针上面的配置转发规则,转发至相应的蜜罐服务。

  • 通用的主机探针方案

    在业务主机上部署Agent进行流量转发,负载低、无应用侵入、安全稳定,支持大多数主流硬件和系统。

  • 丰富的蜜罐服务

    高低交互蜜罐,其中低交互可以覆盖所有端口,高交互内置几十种常见的、易被攻击者攻击的蜜罐服务,覆盖Web、数据库、系统服务、特殊缺陷、自定义服务五大类型。

  • 可定制化蜜罐

    可基于docker实现自定义蜜罐,实现高级别的业务模拟。

VPC黑洞方案与主机探针方案结合,实现低IP成本、低计算资源成本下高IP覆盖。丰富的蜜罐服务与可定制化蜜罐组成的统一的蜜罐集群,实现高真实度的同时,实现蜜罐类型的高覆盖。

蜜罐

云蜜罐的安全性

因为安全产品带入的稳定性问题、安全性的问题常有曝光,因此云蜜罐在设计之初就考虑了自身产品的性能、稳定性与安全性,确保在实现功能的同时,保证低负载、高稳定、高安全。

性能影响

  • VPC黑洞功能

    不占用主机、网络资源。

  • 主机探针

    纯异常端口流量转发,占用系统资源较小。

稳定性影响

  • VPC黑洞功能

    VPC黑洞功能会针对扫描流量进行模拟交互,如果有通过扫描的资产探测软件,可能会造成误报。

  • 主机探针

    主机探针需要占用主机端口,因此需要合理规划主机探针所安装的主机端口分配。

安全性影响

  • 主机探针的安全性

    主机探针与管理中心只存在导流与功能控制交互,即使管理节点被攻陷,也没有渠道通过探针控制主机。

  • 蜜罐逃逸的安全性

    每个用户独享一套蜜罐集群,且内置docker逃逸检测。

  • 网络安全性

    通过网络隔离,即使蜜罐集群被攻陷,也不能通过蜜罐和探针的通道攻击客户原网络。

支持的环境

云蜜罐支持阿里云、非阿里云(其他云、传统线下环境)等各种网络环境。
  • 在阿里云环境,云安全中心和网络团队合作开发的VPC黑洞蜜罐功能,可以将VPC内部流量中,目的IP不可达的流量黑洞,再接入蜜罐服务,实现低成本、高覆盖的蜜罐服务。
  • 在非阿里云环境,云蜜罐支持低负载、安全可靠的主机探针导流模式,将可疑流量导流至后端蜜罐集群。

使用限制

主机探针的使用限制

主机探针仅支持在云安全中心的资产中心中维护的服务器实例。

VPC黑洞探针的使用限制

VPC黑洞探针目前仅支持阿里云的以下地域。

  • 华北1(青岛)
  • 华北2(北京)
  • 华北3(张家口)
  • 华北5(呼和浩特)
  • 华北6(乌兰察布)
  • 华东1(杭州)
  • 华东2(上海)
  • 华南1(深圳)
  • 华南2(河源)
  • 华南3(广州)
  • 西南1(成都)
  • 中国(香港)
  • 日本(东京)
  • 新加坡
  • 澳大利亚(悉尼)
  • 印度尼西亚(雅加达)
  • 印度(孟买)
  • 美国(弗吉尼亚)
  • 美国(硅谷)
  • 英国(伦敦)
  • 阿联酋(迪拜)
  • 德国(法兰克福)

公测版与正式版的云蜜罐功能说明

如果您是在2022年04月20日之前开通过云蜜罐功能,则您使用的是公测版云蜜罐功能。云蜜罐已于2022年04月20日发布正式版,您可在控制台开通使用。

公测版即将下线,如果您想继续使用云蜜罐功能,建议您开通正式版云蜜罐。

说明 公测版在产品说明中可看到公测字样,目前公测阶段已完成,未开通公测版的用户可使用正式版云蜜罐。
公测版与正式版云蜜罐的功能对比如下:
版本 应用场景 蜜罐类型 引流方式 收费标准
公测版 阿里云VPC内网横向入侵检测 低交互 VPC黑洞 公测期间免费试用
正式版 阿里云、非阿里云(其他云、传统IDC等)环境
  • 内网横向入侵检测
  • 公网威胁情报收集
  • 攻防场景溯源反制
  • 低交互
  • 高交互
  • 自定义
  • VPC黑洞
  • 主机探针
  • 诱饵
收费。具体收费标准,请参见收费标准

公测版升级到正式版的注意事项

正式版不支持从公测版直接升级。公测版和正式版的数据、功能不可并存使用,已配置公测版的用户升级为正式版数据将不会保留,需要重新进行配置。正式版需要付费开通后才能使用。
  • 如果您想使用正式版的云蜜罐产品,您需要将公测版云蜜罐功能下已创建的云蜜罐实例全部删除。删除公测版云蜜罐中的存量实例后,单击页面右上角的立即开启高交互蜜罐,即可开通正式版云蜜罐功能。开通正式版云蜜罐的具体操作,请参见开通云蜜罐服务
  • 如果您想继续使用公测版云蜜罐功能,请参考云蜜罐(公测中)文档。