安全防护

更新时间:

概述

Landing Zone的安全架构主要包括:

  • 网络安全

  • 计算安全

  • 数据安全

通过在云上构建基础的安全环境,帮助业务系统在云上快速的安全落地,如下图所示。

image.png

方案

1.网络安全

阿里云上的网络区域通常是以层次化的方式由外部向内部进行划分的,概括来说,通常会有三个层级的网络区域结构:

  • 第一层级(地域与可用区)

  • 第二层级(虚拟专有网络VPC)

  • 第三层级(子网与资源边界)三个边界

基于阿里云上三个层级的网络区域,自然也就形成了云上三道网络边界,也就是网络安全中常见的“层次化防御”的推荐架构:

  • 第一边界:互联网边界(南北向流量)

云上业务如果对互联网开放,或是需要主动访问互联网,那流量必定会穿过阿里云与互联网的边界,也就是云上网络的第一道边界——互联网边界。对于该类流量,我们通常称之为南北向流量。针对这类流量的防护,在等保中有明确的要求。由于存在流量主动发起方的区别,防护的重点一般也会区分由外向内和由内向外的不同流量类型。

防护重点1:网络访问控制ACL与入侵防御IPS——云防火墙

在传统IDC的网络规划中,通常会配置DMZ区用以隔离互联网和内网区域。在云端,同样可以利用云防火墙的边界防护能力,对于暴露在互联网上的网络资产,包括IP、端口、协议等信息,进行定期盘点,并配置针对性的访问控制规则,来实现互联网出入口的安全管控。

对于云上暴露资产的入侵检测和防御,阿里云防火墙通过提供网络入侵检测和防御(IDPS)能力,帮助客户在互联网边界和VPC边界防范恶意外部入侵行为,并通过提供虚拟补丁的方式,为云上客户在网络边界实现针对远程可利用漏洞的虚拟化防御,帮助客户提升整体网络安全防御水平和应急响应能力。

防护重点2:Web应用防护——WAF

对于在云上开展网站类业务的客户,阿里云提供了Web应用防火墙的防护能力,对网站或者APP的业务流量进行恶意特征识别及防护,避免网站服务器被恶意入侵,保障业务的核心数据安全,解决因恶意攻击导致的服务器性能异常问题。

  • 第二边界:VPC边界(东西向流量)

VPC是云上最重要的网络隔离单元,客户可以通过划分不同的VPC,将需要隔离的资源从网络层面分开。但同时,由于业务的需要,部分流量又可能需要在VPC间传输,或是通过诸如专线、VPN、云连接网等方式连接VPC,实现VPC间应用的互访。因此,如何实现跨VPC边界流量的防护,也是云上网络安全很重要的一环。

防护重点:分区隔离——云防火墙

客户在上云初期,一般都会基于VPC进行网络区域的规划。对于不同区域的隔离与访问控制,阿里云提供了非常灵活的方式。通常,VPC之间默认无法通信,不同的VPC如果需要互相访问,可以通过高速通道实现点对点的通信,或是将多个VPC加入同一个云企业网(CEN)实现互通,后者对于客户的配置和使用更为友好,也是更推荐的方式。在此基础上,客户能够通过云防火墙提供的VPC边界访问控制,来对跨VPC的流量进行访问管控,过程中不需要客户手动更改路由,既简化了路由的配置,又能通过统一的方式实现安全隔离管控。

同时,对于通过专线(虚拟边界路由VBR)或VPN方式组建的混合云场景,或是管控来自办公网的云上访问,也能通过云防火墙在VPC边界,通过分布式的方式实现统一访问控制,保障核心区域内的资源访问可管可控。

  • 第三边界:云资源边界(微隔离流量)

由于VPC已经提供了很强的隔离属性,加上类似安全组的细颗粒度资源级管控能力,通常在VPC内部不建议再进行过于复杂的基于子网的隔离管控,通常会使用安全组在资源边界进行访问控制。如果客户需要更精细化的VPC内子网隔离,也可以使用网络ACL功能进行管控。

2. 计算安全

云上计算安全维度一般包含云主机安全和云容器安全:

  • 云主机安全

防护重点1:入侵检测

阿里云用户可以通过云安全中心为用户提供的实时入侵检测能力,对异常登录、网站后门查杀(Webshell)、主机异常行为、主机系统及应用的关键文件篡改和异常账号等行为进行检测。同时,云安全中心还提供智能学习应用白名单的能力,识别可信和可疑/恶意程序形成应用白名单,防止未经白名单授权的程序悄然运行,可避免主机受到不可信或恶意程序的侵害。

防护重点2:病毒检测

对主流勒索、挖矿、DDoS木马等病毒的实时拦截能力,由云安全中心提供:

  • 在系统内核层面实现云上文件和进程行为的全局监控和实时分析,有效绕过顽固木马和恶意程序的反查杀能力

  • 基于程序行为分析,挖掘出黑名单未能辨识的恶意威胁,实现主动拦截

  • 云端病毒库实时更新,集成了国内外主流杀毒引擎、阿里云自研沙箱和机器学习引擎等前沿技术,可以避免因病毒库更新不及时而造成的损失。

防护重点3:漏洞管理

阿里云用户可以通过在主机上安装轻量级安全代理,实现和云端安全中心联动,提供最新的漏洞扫描的安全能力,帮助用户实现同时对多个系统和应用进行扫描和修复的安全运维工作。目前已支持检测主流 Windows 系统漏洞、Linux 软件漏洞、Web-CMS 漏洞、应用漏洞,同时还能为官方未能提供补丁的应用提供应急漏洞修复,以及临时提供针对网络上突然出现的紧急漏洞的检测和修复服务。

防护重点4:OS和镜像加固

阿里云自研的 Alibaba Cloud Linux 2 OS 已经发布了经过国际第三方 Cyber Internet Security(CIS)组织认证的OS Benchmark。用户可以遵循CIS Benchmark 中的安全最佳实践(Remediation)操作规范来对 OS 进行安全加固,也可以通过遵循 CIS Benchmark 中最佳实践的加固脚本(Remediation Kit)来对 Alibaba Cloud Linux 2 OS 进行自动加固。CIS Benchmark 文档和加固脚本可以通过 CIS 官方网站免费获取。

  • 云容器安全

防护重点1:入侵检测

与主机安全类似,阿里云容器服务当前已经支持基于云安全中心的入侵检测,当前云安全中心在容器服务产品支持容器内Web-CMS漏洞检测和修复、Webshell检测和修复、云查杀、进程异常行为、异常网络连接、进程启动日志、网络连接日志的功能。

防护重点2:镜像扫描和签名

针对基于Linux的部分基础镜像,阿里云容器镜像服务已经提供了镜像安全扫描的功能,发现与扫描镜像相关的最新CVE安全漏洞信息,同时在适用的情况下会向用户提出漏洞修复建议。

同时容器镜像的签名和校验可确保仅在 ACK上部署经过容器使用方签名确认的容器镜像。通过强制执行验证,可以确保仅将经过验证的镜像集成到构建和发布流程中,从而对容器环境实施更严格的安全控制。同时也可以依赖二进制授权校验进行进一步的安全策略配置。

防护重点3:容器运行基线检查

通过针对容器环境的基线检查,发现潜在的基线合规问题,参考业界常用的CIS Benchmark for Docker、CIS Benchmark for Kubernetes,以及阿里云容器最佳实践,进行安全配置的维护。

3. 数据安全

云上数据安全参考《数据安全成熟度模型》,提炼出在云上构建数据安全的基础能力,主要包括:

  • 数据分类分级

  • 静态数据防护

  • 动态数据防护

  • 数据安全审计

阿里云数据安全大图

防护重点1:数据分类分级

每个企业都会有适用于其自身所在行业以及业务特点的标准和体系。分类分级标准的制定,并不应当只是纸面上的工作,而应该结合企业所在的行业和业务特点,有针对性的进行设计,并通过自动化的手段,辅以手工的方式,对海量的企业全域数据资产进行识别与分类,有效定位企业关键以及敏感类信息在企业数据资产中的分布和流转情况,并通过定级有针对性的进行保护。

数据安全中心提供对数据源中保存的敏感数据的自动识别能力,对文件提供基于内容的敏感数据识别,且支持OCR(印刷文字识别)技术,对图片中保存的敏感信息进行提取和识别;同时内置深度神经网络和机器学习等先进技术,通过样本扫描、特征萃取、特征对比和文件聚类等算法,实现多达44种敏感数据的精准识别。同时数据安全中心提供了敏感数据发现后的自动分类分级以及统计展示能力,通过对结构化和非结构化数据源的敏感数据识别,自动对敏感信息进行识别结果归类。

防护重点2:静态数据防护

随着企业的数字化转型,数据会存储在各类云中提供的存储服务中。从最传统的块和文件类存储,到数据库、数据仓库类型的结构化存储,再到缓存、对象存储等新型存储方式,企业的数据会分布在各类应用系统和所使用的数据存储中。如何在数据存储的过程中保护数据的保密性、一致性和可用性,是数据安全在存储阶段的重点。其中对于数据的加密和脱敏,是企业最常见的保护手段。

  • 数据加密

加密服务通过在阿里云上使用经国家密码管理局检测认证的硬件密码机,帮助客户满足数据安全方面的监管合规要求,保护云上业务数据的机密性。借助加密服务,用户可以进行安全的密钥管理,并使用多种加密算法来进行加密运算。

  • 密钥管理

密钥管理服务提供安全合规的密钥托管和密码服务,助您轻松使用密钥来加密保护敏感的数据资产,控制云上的分布式计算和存储环境。您可以追踪密钥的使用情况,配置密钥的自动轮转策略,以及利用托管密码机所具备的中国国家密码管理局或者FIPS认证资质,来满足您的监管合规需求。

  • 数据脱敏

数据安全中心通过多年的内部沉淀,为广大云上开发者提供了近30种数据匿名化和去标识化算法,无论是应用开发人员,还是数据安全管理者,都可以根据实际业务场景灵活选择,自定义参数,做到个性化数据脱敏。数据安全中心提供了自定义脱敏模板能力,真正做到安全自适应。

企业数据安全管理者可以通过自适应的脱敏解决方案,完成各类不同场景的数据脱敏分发,例如定期从生产环境向开发测试环境脱敏,不同数据类型(如OSS中的csv向RDS的数据表)之间的异构脱敏,数据库层面的原库/原表脱敏等等。

防护重点3:动态数据防护

数据传输过程中使用的网络通道不同,保护方式也会不同。对于客户端通过互联网发起的访问,一般建议企业使用SSL/TLS证书来加密传输通道,防止发生中间人攻击窃取传输过程中的重要数据;对于企业站点间的数据传输,通常会使用VPN或专线对通信链路进行加固。

阿里云通过提供VPN服务,帮助企业构建端到端的数据加密通道,保障数据传输过程中的通信安全。同时阿里云还为用户访问网站提供了 SSL/TLS 协议来保护数据。阿里云证书服务可以在云上签发第三方知名 CA 证书颁发机构的 SSL 证书,实现网站 HTTPS 化,使网站可信,防劫持、防篡改、防监听,并对云上证书进行统一生命周期管理,简化证书部署,一键分发到其他阿里云的产品(包括 CDN、DCDN 和 SLB 等)。

防护重点4:数据安全审计

《等保》2.0针对数据安全提出了“安全审计”和“个人信息保护”的相关要求。随着数字化转型的深入发展,企业重要数据已经从传统单一的数据库存储扩大到各类数据存储、大数据和数据中台等,统一的数据安全审计成为管理难题。

数据安全中心可以实现对云上各类数据源的安全审计,并在此基础上深耕防泄露场景,帮助客户实现全域数据的风险感知。利用机器学习技术,为数据的访问行为建立安全基线,在发生潜在数据风险,例如异常时间或地点访问时,及时预警并提供针对性的溯源能力和防护建议,化静态检测为动态感知,帮助客户快速应对突发的数据安全事件,提升整体响应能力。