安全管理与运营
本文介绍了要保障您的云上安全,在日常应该投入的安全运营工作,以及如何使用云安全、日志、审计、云监控等工具发现您的系统安全异常和安全问题。
随着业务的不断发展和迭代,云环境内外的安全水位也在时刻发生改变。这一过程中,黑客会持续扫描您暴露的漏洞和弱点,并进行无差别攻击。因此,强烈建议您将安全管理与运营作为日常重点工作之一,其中包含监控异常情况、修复安全隐患、加强安全防御、以及安全事件响应:
一、接收和处理安全通知
安全运营工作的第一步,就是确保您能够有效接受和处理来自阿里云的安全告警。阿里云监测您的云环境存在安全风险时,会向您发送告警通知。但是如果您未订阅相关消息,或者虽然收到消息但未重视相关风险,可能导致问题持续发生并进一步产生严重的后果,因此配置专人接收并及时处理安全告警非常重要。
配置专门的安全值班人员
在阿里云控制台【账号联系人】中,为安全、运维或开发团队设置专门的安全联系人和联系手机。由于安全攻击和风险事件常发生于夜间或凌晨,建议在有条件的情况下,安排技术人员 24 小时值班,防止漏过重要的安全告警通知。
订阅和接收安全消息
在阿里云消息中心中,客户可以根据自己的需要订阅不同类型、不同通知渠道的消息,请确保安全联系人订阅了安全相关的所有消息类型,包括账号安全告警、云盾安全通知、违法违禁通知、专有云安全通知等。
收到安全告警后及时处理
收到安全风险通知后,需要尽快根据通知里的内容和建议的处理方式进行处置,比如修复安全漏洞、修改账户密码等,采取行动越及时,后续造成的影响也就越小。
如果收到通知之后不知道如何处理,也可以通过阿里云官网提交工单,安全工程师 7*24 小时为您提供技术支持。
二、监控云上资源的异常情况
除了以上的安全告警信息以外,阿里云也建议您主动配置监控策略,云安全中心预设了丰富的告警规则可免费使用,您也可以使用其他云产品,比如操作审计ActionTrail 、日志服务SLS、云监控 CMS 等,对云上资源的异常变动情况设置提醒规则,确保能够及时发现并响应潜在威胁。
使用云安全中心检测安全威胁
您在授权开通云安全中心后,即可免费使用检测响应功能,包含 250 多款威胁检测模型,为您检测系统中存在的进程异常行为、网站后门、恶意软件、异常登录等安全风险,并提供具体的告警原因和处置建议。
云安全中心也提供对应的数据概览,展示当前的安全告警概况和防御情况,方便安全运营人员进行统计和跟进。
付费开通企业版和旗舰版后,还可以使用自动化攻击溯源,对发生的攻击事件进行分析,形成攻击者入侵的链路图,在最短时间内定位入侵原因和制定应急策略。
使用操作审计ActionTrail 配置关键动作并通过 SLS 接收告警和分析
您可以在操作审计 ActionTrail 里创建一个跟踪(Trail),常见的比如
大量的失败登录尝试
在非工作时间的活动
未知IP地址的访问
高风险操作,如修改安全组规则、删除关键资源等
记录下这些关键操作后,投递到日志服务 SLS 中,接收 SLS 告警,并定期分析发现日志中的特定模式或异常活动。
使用云监控 CMS 对异常的云资源运行情况设置警报和响应
可以使用云监控发现异常的网络流量,对于高于正常水平的流量,设置警报以便及时响应
异常高的CPU或内存使用可能表明存在未授权的进程或资源消耗型攻击
安全组规则变化、登录活动也可以通过 CMS 监控发现
三、及时修复安全问题
修复云平台配置问题
云平台配置问题是指由于云产品配置错误(如错误的权限分配,以及不当的网络访问控制)而导致的安全隐患。相关数据显示,40%的云上安全事件都是因为云产品错误配置导致的,因此,云平台配置问题也是您需要关注的安全问题之一。
推荐您使用云安全中心的云平台配置检查功能发现此类安全隐患,云安全中心免费版提供了基础的检查规则,您也可以开通付费版进行更全面的检查。同时,您也可以选择使用配置审计 Config 产品,按照特定最佳实践建议、安全合规要求、或自定义规则进行检测。
建立漏洞管理流程
一个完善的漏洞管理流程能够帮助企业更好的管理安全风险,建议按照以下方式管理产品和应用漏洞
1)监控与识别:持续关注来自阿里云漏洞库等官方公告、阿里云站内信的安全通知等,也可以利用漏洞扫描工具(如云安全中心)定期对系统、网络设备、应用程序进行扫描,及时发现已知安全漏洞(云安全中心支持高危应急漏洞免费检测,在控制台授权即可使用)。
2)风险评估:对发现的漏洞进行风险评估,考虑其严重程度、影响范围、利用难度等因素,确定优先级,优先处理高风险和易被利用的漏洞。
3)漏洞修复:获取并验证官方提供的补丁或修复方案,制定详细的部署计划。在生产环境中部署前,先在测试环境中测试补丁的兼容性和影响,确保补丁部署不会引入新的问题。
也推荐您使用云安全中心的漏洞管理功能,支持发现和识别操作系统、Web内容管理系统、应用程序中的安全漏洞,可对漏洞进行优先级和风险评估,并支持一键修复部分漏洞,可以极大简化管理工作。
定期升级,避免使用过旧的版本
老的产品版本在安全性上可能会有所缺陷,或者存在已经对外公开的漏洞,容易被黑客利用
保持更新策略:制定并遵循定期更新软件和操作系统版本的策略,避免长期使用过时版本。新版本通常包含安全改进、性能优化和新功能。
评估更新内容:在应用任何更新之前,仔细阅读版本更新日志,了解新版本修复的安全漏洞、新增功能及可能的兼容性问题,评估更新对现有系统的影响。
备份与回滚计划:在执行任何重大版本更新前,做好全面的数据和系统备份,制定回滚计划,以便在更新失败或引起问题时迅速恢复到之前的状态。
四、为云上资源建立安全防护
在做完以上安全运营工作后,一些关键性应用或者数据仍有可能受到攻击,从防护的角度,建议您使用一些防护工具或者产品,当被恶意攻击或者入侵时,能够有效抵御或对抗风险。
1、主机层防护
主机防护是指针对您的服务器 ECS 等的安全防护,以防止未经授权的访问、恶意软件感染、数据泄露、服务中断和其他安全威胁。推荐使用主机防护的主机防护功能,保护云服务器ECS、容器等免受病毒、木马和漏洞的侵害。
对于阿里云ECS实例,通常在创建时可以选择自动安装Security Agent
对于非阿里云环境(例如华为云、腾讯云、AWS)或物理机,可以下载Security Agent并手动安装
Agent 安装完成后,可以设置告警规则,当检测到威胁时,系统会发送告警信息,建议您收到通知后及时查看主机的安全状态,并根据云安全中心的建议采取相应的响应措施,如隔离、修复或删除恶意软件。
2、应用层防护
云上的应用程序如Web应用程序、网站等,可能因自身的漏洞或者安全缺陷被攻击,建议使用阿里云Web应用防火墙(WAF),其位于Web应用和互联网之间,可以过滤和监测HTTP/HTTPS流量,防止SQL注入、跨站脚本(XSS)、文件上传漏洞等Web攻击。
使用时在WAF控制台中添加想要保护的网站和防护规则(比如默认防护、IP黑名单、URL白名单、精准防护、恶意爬虫、CC攻击防护等),即可开启防护并定期检查WAF的攻击报告和防护统计。
3、网络层防护
数据包在网络层传输时,用户可以通过安全组、网络 ACL、云防火墙等配置一些流量规则(见网络访问控制章节),限制异常的通信链接,同时阿里云也提供一些面对网络攻击的防御工具,帮助您更好地应对攻击。
1) 使用云防火墙入侵防御可实时主动检测和拦截黑客恶意攻击、漏洞利用、暴力破解、蠕虫病毒、挖矿程序、后门木马、DoS等恶意流量,防止业务被未授权访问或数据泄露、业务系统和应用程序损坏或宕机等。
2)使用DDoS 服务,可以对短时间的大量攻击流量进行清洗,并将干净流量转发给服务器。需注意的是,由于基础 DDoS 服务有一定流量阈值(根据不同类型主机阈值不同),当攻击流量超过阈值时,会触发黑洞机制,阿里云将暂时屏蔽该主机的互联网入方向流量。如果对主机可用性要较高,可以使用DDoS高防产品,不受流量阈值限制,用于应对和处理更复杂和更大规模的攻击。
五、建设应急响应能力
在完成以上的配置和部署之后,仍有可能出现突发的安全风险事件,因此建议在有条件的情况下,应建立安全风险应急响应能力,提前制定预案和演练,当风险真实发生时能够有效应对。
制定预案:根据云上业务特点评估可能产生的风险,常见的风险类型如网络攻击、数据泄漏、病毒、勒索等,根据自身的安全防护、业务重要性等,制定具体的应急策略。
事件应急:风险发生后,应迅速确认异常情况的性质和范围,评估影响的资产和应用的重要性。必要时,隔离受影响的系统或资源,以防止问题扩散。如果出现webshell、病毒木马等安全事件,可以通过云安全中心检测响应-安全告警中对应的告警详情和建议,进一步执行一键隔离或者手动处置。
恢复和复盘:根据预案执行恢复计划,可能包括重启服务、切换到备用资源、恢复数据等。如果遇到数据被删除,篡改或加密勒索,可以使用ECS镜像或者云安全中心防勒索中的备份进行恢复。分析事件的根本原因,评估应急响应的效果,根据复盘结果,更新应急预案和相关流程,对安全事件中涉及到的漏洞进行及时修复,避免再次出现安全事件。
培训和演练: 对应急响应团队进行定期培训,确保相关人员熟悉应急预案和操作流程。定期进行应急演练,检验预案的有效性,提高团队的应急响应能力。