您可以使用云蜜罐功能,通过在您的阿里云VPC、服务器上部署云蜜罐,检测您服务器在云内、云外受到的真实攻击,甚至溯源反制攻击者,提升安全感知和威慑能力。本文介绍如何配置云蜜罐。
前提条件
已开通云蜜罐功能。具体操作,请参见开通云蜜罐服务。
如果您要在线下IDC中的无公网服务器上部署云蜜罐,需要在线下IDC上搭建云蜜罐代理服务器,然后在云安全中心创建探针时配置代理IP,实现云蜜罐代理接入。
配置流程概述
在配置云蜜罐的过程中,请确保新增主机探针所在的主机服务器能够成功访问其绑定的相应管理节点。
步骤一:新增管理节点
管理节点是提供蜜罐服务的系统,探针转发的流量最终会进入管理节点中配置的各种蜜罐服务。管理节点是整个系统的核心与基础。
登录云安全中心控制台。在控制台左上角,选择需防护资产所在的区域:中国或全球(不含中国)。
在左侧导航栏选择
。在配置管理页面的管理节点页签,单击新建节点,完成新建管理节点的配置,然后单击确定。
配置项
说明
管理节点名称
设置管理节点的名称。
分配探针数
设置该管理节点的探针数。分配探针数不能小于20,不能超过100。设置的探针数超过100时,系统会自动设置为100。建议每个C段安装2~3个主机探针,每个VPC安装1个VPC黑洞探针。
说明探针的作用是流量导流,云蜜罐支持主机探针和VPC黑洞探针。
主机探针:原理为在主机上安装Client,将配置的本机端口流量转发至后端蜜罐集群。
VPC黑洞探针:当VPC内IP_A 访问一个不存在的内网IP_B 时,网络设备将流量引流至VPC黑洞探针,VPC黑洞探针根据所配置的蜜罐映射规则,建立IP_A 与蜜罐IP_C 的正常连接,此操作对IP_A 透明。
主机探针通过安装在主机上,进行端口流量导流至蜜罐服务。VPC黑洞探针安装在VPC上,将目标IP不存在的且为内网IP的流量,导入至蜜罐服务。
放行网段
设置该管理节点与主机探针的放行网段,即允许探针的哪些出口IP访问该管理节点。默认配置为0.0.0.0/0。最多支持设置100个放行网段。服务过程中探针需要和管理节点进行通信,请确保探针的出口IP在放行网段内。
允许蜜罐访问外网
设置该管理节点是否允许蜜罐访问外网。
重要开启此功能,可能存在安全风险,攻击者可以成功入侵蜜罐后进行强攻击;不开启的情况下,仅支持攻击检测,适用于内网场景。
您可以在管理节点列表中查看您新建的管理节点。新建的管理节点的管理节点状态为准备中,这个状态会持续5分钟左右,请您耐心等待,直到管理节点状态为正常。
(可选)步骤二:蜜罐模板
蜜罐模板功能可针对不同蜜罐类型配置不同的自定义属性,构造出符合业务场景的蜜罐,以模拟出更真实的应用。其中可以自定义的蜜罐类型包括但不限于网站title、OA背景图、Web页面数据等。您可根据您的业务需要定制蜜罐模板。
在配置管理页面的蜜罐模板页签的左侧选择蜜罐类型,然后单击新建模板。
在创建模板面板上,配置蜜罐模板相关信息,然后单击确定。
配置项
说明
模板名称
设置蜜罐模板的名称。
管理节点
选择部署云蜜罐的管理节点。即您步骤一中新建的管理节点。
说明蜜罐模板的其他配置项的设置,因选择的蜜罐类型不同配置也稍有差别。如果您需要设置这部分配置项,具体设置方法,您可以通过智能在线联系技术支持人员。
步骤三:新增蜜罐
蜜罐是蜜罐服务的基础单位,系统默认有许多内置蜜罐镜像,通过蜜罐镜像创建对应的蜜罐实例,从而提供蜜罐服务。
在配置管理页面的蜜罐管理页签,单击新建蜜罐。
在新建蜜罐面板完成蜜罐配置,然后单击确定。
配置项
说明
名称
设置蜜罐的名称。
管理节点
选择部署云蜜罐的管理节点。即您在步骤一中新建的管理节点。
蜜罐类型
选择蜜罐的类型。支持选择的蜜罐的大类有以下几种:
Web
高级
特殊缺陷
系统服务
数据库
自定义蜜罐配置
选中复选框后,可配置蜜罐的自定义属性。支持针对不同蜜罐类型配置不同的自定义属性,构造出符合业务场景的蜜罐,以模拟出更真实的应用。其中可以自定义的蜜罐类型包括但不限于网站标题、OA背景图、Web页面数据等。
您也可以通过提前配置蜜罐模板,然后通过导入模板配置的方式,添加自定义蜜罐配置。
关于自定义蜜罐、蜜罐模板的配置操作,您可以通过智能在线联系技术支持人员。
步骤四:新增探针
探针是导流的工具,功能是将主机、网络中的异常流量导流至蜜罐服务,有VPC探针和主机探针两种类型。
在配置管理页面的探针管理页签下,选择 或者VPC黑洞探针。
在探针配置面板,完成探针配置,然后单击确定。
新增主机探针的配置项说明:
配置项
说明
探针名称
设置探针的名称。
管理节点
选择部署探针的服务器对应的管理节点。即您步骤一中新建的管理节点。
代理IP
如果您是通过代理服务器在线下IDC服务器中部署云蜜罐,请填写代理服务器的IP;如果不是则不用填写。
部署主机
选择部署探针的服务器。
配置服务
设置访问流量转发的蜜罐的名称和监听端口。
说明监听端口是主机(例如ECS)上端口,探针会把访问该端口的流量引流到蜜罐中,所以需要确保主机上没有其他服务占用该端口,该端口仅提供给探针使用。
新增VPC黑洞探针的配置项说明:
重要仅支持在阿里云VPC下创建蜜罐实例,不支持在其他网络下创建。每个VPC下仅支持创建一个蜜罐实例。目前仅支持在部分地域部署VPC黑洞探针。详细信息,请参见使用限制。
配置项
说明
探针名称
设置探针的名称。
管理节点
选择探针部署的服务器对应的管理节点。即您在步骤一中新建的管理节点。
部署VPC
选择部署探针的VPC。
配置服务
设置访问流量转发的蜜罐的名称和监听端口。
后续步骤
云蜜罐配置后,云蜜罐通过探针监测转移攻击者目标,让攻击者在蜜罐中攻击真实伪装应用,并会记录这些攻击的信息形成告警事件。您可以通过查看和处理告警事件,提升您的服务器和VPC的安全防御。具体操作,请参见查看和处理告警事件。