云蜜罐概述

云安全中心的云蜜罐功能可以为您提供云内外的攻击发现、攻击溯源等能力。您可以在阿里云VPC、已接入云安全中心的服务器实例上创建云蜜罐实例,来防御您服务器在云内外受到的真实攻击,加固您服务器的安全防护。

背景信息

传统防御方式的主旨是将攻击者拒之门外,然而随着攻击手段的多样化、隐蔽化、复杂化,传统的防御方式往往疲于应付,比如利用0day漏洞的APT攻击,传统的基于规则和特征库的安全产品很难察觉。出现问题时安全运维人员只能做事后修补,而实际上攻击者早已渗透到内网并潜伏。企业需要一种技术手段,主动对抗攻击行为,采取有利于防守方的技术措施,对攻击者形成震慑,保护数据安全。

蜜罐是一个攻击诱骗系统,通过使用蜜罐模拟一个或多个易受攻击的主机和服务,给攻击者提供一个容易被攻击的目标,伪装成用户的业务应用,使攻击者误认为是欲攻击的目标对象。由于蜜罐并没有向外界提供真正有价值的服务,因此所有试图与其进行连接的行为均可认为是可疑的,同时,让攻击者在蜜罐上耗费时间,可以延缓对真正目标的攻击,捕获更多攻击者的信息进行反制,使目标系统得到保护。

云蜜罐原理

虽然蜜罐转守为攻,但是传统蜜罐的缺点也很明显:几乎不可实现高真实、低成本、高覆盖的蜜罐服务。为弥补传统防御方式、传统蜜罐方案的不足,云安全中心的云蜜罐技术应运而生。

云安全中心的云蜜罐功能提供了以下功能和服务。

  • 云原生的VPC黑洞功能

    将VPC内部流量中,目的IP不可达的,导流至VPC黑洞探针,再根据VPC黑洞探针上面配置的转发规则,转发至相应的蜜罐服务。

  • 通用的主机探针方案

    在业务主机上部署Agent进行流量转发,负载低、无应用侵入、安全稳定,支持大多数主流硬件和系统。

  • 丰富的蜜罐服务

    高低交互蜜罐,其中低交互可以覆盖所有端口,高交互内置几十种常见的、易被攻击者攻击的蜜罐服务,覆盖Web应用、数据库、系统服务、特殊缺陷、自定义服务五大类型。

  • 可定制化蜜罐

    可基于容器实现自定义蜜罐,实现高级别的业务模拟。

VPC黑洞方案与主机探针方案结合,实现低IP成本、低计算资源成本下高IP覆盖。丰富的蜜罐服务与可定制化蜜罐组成的统一的蜜罐集群,实现高真实度的同时,实现蜜罐类型的高覆盖。

image

云蜜罐的安全性

因为安全产品带入的稳定性问题、安全性的问题常有曝光,因此云蜜罐在设计之初就考虑了自身产品的性能、稳定性与安全性,确保在实现功能的同时,保证低负载、高稳定、高安全。

性能影响

  • VPC黑洞功能

    不占用主机、网络资源。

  • 主机探针

    纯异常端口流量转发,占用系统资源较小。

稳定性影响

  • VPC黑洞功能

    VPC黑洞功能会针对扫描流量进行模拟交互,如果有通过扫描的资产探测软件,可能会造成误报。

  • 主机探针

    主机探针需要占用主机端口,因此需要合理规划主机探针所安装的主机端口分配。

安全性影响

  • 主机探针的安全性

    主机探针与管理中心只存在导流与功能控制交互,即使管理节点被攻陷,也没有渠道通过探针控制主机。

  • 蜜罐逃逸的安全性

    每个用户独享一套蜜罐集群,且内置docker逃逸检测。

  • 网络安全性

    通过网络隔离,即使蜜罐集群被攻陷,也不能通过蜜罐和探针的通道攻击客户原网络。

支持的环境

云蜜罐支持阿里云、非阿里云(其他云、传统线下环境)等各种网络环境。

  • 在阿里云环境,云安全中心和网络团队合作开发的VPC黑洞蜜罐功能,可以将VPC内部流量中,目的IP不可达的流量黑洞,再接入蜜罐服务,实现低成本、高覆盖的蜜罐服务。

  • 在非阿里云环境,云蜜罐支持低负载、安全可靠的主机探针导流模式,将可疑流量导流至后端蜜罐集群。

使用限制

主机探针的使用限制

主机探针仅支持在云安全中心的资产中心中维护的服务器实例。

VPC黑洞探针的使用限制

VPC黑洞探针目前仅支持阿里云的以下地域。

  • 华北1(青岛)

  • 华北2(北京)

  • 华北3(张家口)

  • 华北5(呼和浩特)

  • 华北6(乌兰察布)

  • 华东1(杭州)

  • 华东2(上海)

  • 华南1(深圳)

  • 华南2(河源)

  • 华南3(广州)

  • 西南1(成都)

  • 中国(香港)

  • 日本(东京)

  • 新加坡

  • 澳大利亚(悉尼)关停中

  • 印度尼西亚(雅加达)

  • 美国(弗吉尼亚)

  • 美国(硅谷)

  • 英国(伦敦)

  • 阿联酋(迪拜)

  • 德国(法兰克福)