信息來源:4hou
一、前言
伴隨著越來越多的企業(yè)上公有云�����,特別是大型企業(yè)�����,核心業(yè)務(wù)上云之后,云上企業(yè)安全建設(shè)思路沒有因?yàn)楣性频拈_放性而妥協(xié)�����,大部分企業(yè)的建設(shè)思路都是把公有云改造成專有云�����,使用VPC隔離公有云網(wǎng)絡(luò)�����,內(nèi)部系統(tǒng)上網(wǎng)都通過NATGateway�����,運(yùn)維使用windows堡壘機(jī)�����,對(duì)外的業(yè)務(wù)系統(tǒng)直接限制在DMZ區(qū)�����。這樣公有云原生安全解決方案就有些不適應(yīng)�����,有的需要做架構(gòu)方面調(diào)整�����,有的需要開發(fā)新的安全功能�����。本次就和大家討論如何提高這種場(chǎng)景的安全解決方案�����。
二�����、解決方案
1�����、要做解決方案我們先要了解網(wǎng)絡(luò)架構(gòu)
首先我們先借鑒政務(wù)云的建設(shè)思路:
@1�����、把業(yè)務(wù)劃分到不同的區(qū)域,通過VPC來隔離�����。VPC之間是有通過ACL來控制�����,實(shí)現(xiàn)網(wǎng)閘隔離的效果�����。進(jìn)出通訊VPC log 發(fā)送到集中日志管理平臺(tái)中�����。
@2�����、安全建設(shè)
鏈路負(fù)載均衡�����、anti-DDoS設(shè)備�����、防火墻�����、IDS/IPS�����、WAF�����、堡壘機(jī)�����、數(shù)據(jù)庫審計(jì)�����、日志審計(jì)�����、漏洞掃描一個(gè)不能少。
那么公有云對(duì)應(yīng)的產(chǎn)品是:SLB(4層�����、7層)�����、DDoS基礎(chǔ)防護(hù)�����、安全組�����、態(tài)勢(shì)感知(IDS�����、日志審計(jì))�����、云WAF或者VPC-WAF、RDS日志審計(jì)�����、云掃描器�����。
那么有這些傳統(tǒng)的安全產(chǎn)品的解決方案就能高枕無憂了么�����?最近某APT攻擊分析機(jī)構(gòu)發(fā)布的數(shù)據(jù)�����,在應(yīng)對(duì)APT攻擊過程中:十家公司中有九家遭受黑客入侵�����。
@1�����、入侵后76%攻擊者會(huì)偷取憑證�����,保證其權(quán)限的持續(xù)性�����。
@2�����、43%APT攻擊事件會(huì)發(fā)生數(shù)據(jù)泄露事件�����,其中51%會(huì)公布給媒體�����,26%會(huì)在暗網(wǎng)售賣�����,剩下的部分黑客內(nèi)部交流使用�����。
@3、平均發(fā)現(xiàn)存在APT攻擊的時(shí)間為7個(gè)月�����,是在以上安全設(shè)置存在的情況下�����。
@4�����、94%安全事件告警為誤報(bào)�����、誤操作或者業(yè)務(wù)需要�����。排查這些事件需要花費(fèi)SOC運(yùn)營(yíng)人員每天8個(gè)小時(shí)的時(shí)間�����。
2�����、全新的內(nèi)網(wǎng)威脅解決方案
(1)發(fā)現(xiàn)APT入侵
在分析了APT攻擊流程后�����,我們發(fā)現(xiàn)在Discovery/Lateral Movement�����、Command and Control�����?����?梢院芎玫陌l(fā)現(xiàn)黑客入侵的痕跡�����。
@1�����、橫向移動(dòng)最好的檢測(cè)方法是通過蜜罐的方式。
@2�����、集成威脅情報(bào)�����、防病毒多查殺引擎�����、沙箱的態(tài)勢(shì)感知是發(fā)現(xiàn)C2最好的方式�����。
(2)評(píng)估影響范圍
站在安全運(yùn)營(yíng)人員的角度上講�����,發(fā)現(xiàn)安全事件需要對(duì)有失陷主機(jī)有通訊的系統(tǒng)都要排查一遍�����,除惡務(wù)盡�����。那就就需要網(wǎng)絡(luò)層數(shù)據(jù)�����、主機(jī)層數(shù)據(jù)聯(lián)動(dòng)�����。
@1�����、需要采集網(wǎng)絡(luò)層VPC log�����、ACL log等基礎(chǔ)日志�����。
@2�����、需要在云主機(jī)上采集socket連接數(shù)據(jù),進(jìn)程數(shù)據(jù)�����。
@3�����、大數(shù)據(jù)分析平臺(tái)�����,融合以上所有數(shù)據(jù)�����,通過圖分析�����、關(guān)聯(lián)分析等手段評(píng)估影響范圍�����。
如何部署和實(shí)施:
公有云是一個(gè)特殊的環(huán)境�����,傳統(tǒng)的蜜罐系統(tǒng)是在公有云上部署困難�����,這時(shí)候云原生的蜜罐系統(tǒng)就發(fā)揮了極大的作用�����。
部署方案:
@1�����、感知到的端口掃描�����、漏洞掃描都可以通過docker探針收集并且實(shí)時(shí)發(fā)送到態(tài)勢(shì)感知平臺(tái)統(tǒng)計(jì)�����,通過用戶的VPC環(huán)境上傳到Underlay網(wǎng)絡(luò)中�����。
@2、安裝方式相對(duì)來說比較靈活�����,低交互蜜罐可以使用docker方式部署�����,高交互蜜罐或者密網(wǎng)可以通過VM方式部署�����。通過控制臺(tái)開通部署�����,方便快捷�����。列舉VPC中的VLAN用戶點(diǎn)擊部署�����。
@3�����、主機(jī)安全和VPClog收集東西向數(shù)據(jù)
三�����、總結(jié)
在公有云原生安全發(fā)展的今天�����,不見得傳統(tǒng)安全防護(hù)比云安全高明多少�����。
