حساب شركة Aliyun: بناء نظام الدفاع الأمني Alibaba Cloud
اليوم ، عندما دخل التحول الرقمي إلى منطقة المياه العميقة ، لم تعد الحوسبة السحابية أداة "تخفيض التكاليف وزيادة الكفاءة" ، ولكنها قلب رقمي لتشغيل المؤسسات. ومع ذلك ، تم كسر حدود الشبكة المادية التقليدية تمامًا حيث أصبحت الأعمال التجارية في جميع أنحاء السحابة. تطورت أساليب هجوم المتسللين من حقن DDoS و SQL البسيط المبكر إلى اختراق ثلاثي الأبعاد وذكي يجمع بين الذكاء الاصطناعي والبرامج النصية الآلية.
بصفتها مزود خدمة سحابية من بين الأفضل في السوق المحلية وحتى العالمية ، تمتلك Alibaba Cloud عائلة كبيرة ومعقدة من منتجات الأمان. ولكن بالنسبة لمهندسي الأعمال ورؤساء الأمن ،
شراء مجموعة من المنتجات الأمنية لا يعني وجود نظام دفاع أمني
.
كيف تتخلص من الموقف السلبي المتمثل في "الصداع والقدمين" ؟ لن تتحدث هذه المقالة عن الشعارات الفارغة وتجريد مهارات التسويق للمصنعين.
بنية الدفاع المتعمق ، تكوين القاعدة الأساسية ، حماية دورة الحياة الكاملة للبيانات ، إدراك التهديد النشط وإدارة العمليات اليومية
الأبعاد القتالية الفعلية الخمسة هي كيفية تفكيك وبناء نظام دفاع أمني Alibaba Cloud من الصفر.
1. تفكيك "الدفاع العميق": تخطيط ثلاثي الأبعاد لشبكة حماية السلامة المكونة من خمسة طوابق
هناك قانون حديدي في عالم الأمن: لا يوجد خط دفاع أحادي النقطة لا يمكن كسره على الإطلاق. يجب أن يأمل الهيكل الناضج حقًا في "إطالة مسار الهجوم من خلال طبقات التحصين وزيادة تكلفة هجوم المتسللين". بناءً على بيئة Alibun ، يجب تقسيم مجموعة من أنظمة الدفاع المتعمق القياسية على مستوى المؤسسة إلى خمس طبقات من الخارج إلى الداخل:
علي يون حساب الشركة
1. طبقة الدفاع عن شبكة الحدود (المستوى الأول لتبييض حركة المرور)
هذا هو الخط الأمامي ضد الهجمات الخبيثة لحركة المرور الخارجية الكبيرة.
Anti-DDoS (الجيل الجديد من الدفاع العالي): منتشر في الطبقة الخارجية ، بشكل أساسي للتعامل مع قصف التدفق لطبقات الشبكة وطبقات الإرسال مثل SYN Flood و UDP Flood. باستخدام قدرة التنظيف القريبة المصدر لشركة Alibaba Cloud ، سيتم حل هجمات حركة المرور الكبيرة على حافة المشغل لضمان توفر الأعمال.
WAF (جدار حماية تطبيق الويب): هجوم ضد طبقة التطبيق (HTTP/HTTPS). لا يقتصر الأمر على فتح قواعد الدفاع الافتراضية OWASP Top 10 فحسب ، بل يجب أيضًا استخدام إدارة Bot ومحرك القواعد الأمامية لمنظمة العفو الدولية بعمق. يتم إطلاق أكثر من نصف هجمات الويب الحالية بواسطة البرامج النصية الآلية (Bot). من خلال WAF ، يتم تحليل سلوك الزواحف ، والأوامر ، والمسح الخبيث (مثل وفقًا لتكرار الطلب ، وبصمات أصابع JA3 ، وبصمات الأجهزة) ، والتي يمكن أن تمنع أكثر من 80 ٪ من التهديدات الأمامية.
2. طبقة بنية الشبكة الأساسية ("الخندق" للشبكة الداخلية للمؤسسة)
بعد الدخول إلى الشبكة الداخلية السحابية ، فإن المبدأ الأساسي هو
عزل وتقليل الظهور
.
Cloud Firewall (Cloud Firewall): هذا هو شرطة المرور على السحابة من الشمال إلى الجنوب (الإنترنت إلى السحابة) والشرق والغرب (بين VPC و VPC ، VPC إلى IDC المحلي). من خلال جدار الحماية السحابي ، يمكن فرز علاقات التبادل بين الأصول التجارية بوضوح ، ويحظر بشكل صارم الوصول غير الضروري عبر VPC.
VPC و Security Groups (مجموعات الأمان): تتبع الأعمال "التطوير والاختبار والإنتاج" أو "الواجهة الأمامية والتطبيقات والأرقام
وفقًا لـ "المكتبة" للعزل المادي على مستوى VPC. كجدار حماية افتراضي لحدود المضيف ، يجب أن تتبع مجموعة الأمان مبدأ "الرفض الافتراضي ، السماح الصريح". يُمنع منعًا باتًا تكوين "الجري العاري" عالي الخطورة مع 0.0.0.0/0 وفتح TCP 22(SSH) أو 3389(RDP).
3. طبقة المضيف وبيئة الحوسبة ("الحارس الشخصي" للخادم)
عندما تمر حركة المرور عبر الشبكة إلى مثيلات ECS أو الحاويات (ACK) أو حسابات الوظائف ، يتم تسليم دفاع الكيلومتر الأخير إلى أمان المضيف.
مركز الأمن السحابي (المعروف سابقًا باسم مركز الأمن السحابي/Cloud Security Center): هذه هي اليد الأساسية لنظام الدفاع بأكمله. يجب على الشركات تحقيق تغطية Agent بنسبة 100 ٪ للمضيف الكامل. من خلاله ، يتم إجراء مسح الثغرات وإصلاحها تلقائيًا ، وفحص خط الأساس ، ومراقبة الارتداد ، وقتل الباب الخلفي لأحصنة طروادة.
4. طبقة منطق التطبيق والأصول (صمام التحكم في الكود والهوية)
ذاكرة الوصول العشوائي (التحكم في الوصول) وهوية التطبيق: تطبيق صارم لمبدأ الحد الأدنى من الأذونات. يُحظر استخدام حساب Alibaba Cloud Root (الحساب السحابي) للعمليات اليومية ، ويجب على جميع الموظفين واستدعاءات البرنامج استخدام مستخدمي ذاكرة الوصول العشوائي وفتح MFA (المصادقة متعددة العوامل).
5. طبقة أصول البيانات الأساسية (خط الدفاع المادي الأخير)
الهدف النهائي لجميع الدفاعات هو حماية البيانات. تركز هذه الطبقة على تشفير التخزين ونقل تشفير وإزالة الحساسية للبيانات الحساسة.
2. دليل تجنب الحفر في القتال الفعلي: التكوين الأساسي الأساسي والتحسين الاستراتيجي للمنتجات الأساسية
اشترت العديد من الشركات جدار الحماية السحابي و WAF ومركز الأمان السحابي ، ولكن لا يزال يتم كسره بواسطة برنامج الفدية.
لا يمكن للتكوين الافتراضي في كثير من الأحيان مقاومة الهجمات المخصصة
. فيما يلي المبادئ التوجيهية العملية للتكوين الأساسي لمنتجات السلامة الأساسية الثلاثة في Aliyun:
1. مركز الأمن السحابي: من "انظر فقط ولكن لا تحذر" إلى "اعتراض نشط"
حساب شركة علي بابا السحابي
يعتبر الكثير من الناس مركز الأمان السحابي بمثابة "إنذار" ويرون المطالبة ثم يستخدمون الإصلاح اليدوي ، وهو أمر بطيء للغاية في مواجهة الهجمات الآلية.
يجب تشغيل استراتيجية "مكافحة الابتزاز": قم بتكوين حماية ضد الابتزاز للخادم الأساسي (مثل قاعدة البيانات وخادم الملفات). سيقوم مركز الأمان السحابي تلقائيًا بعمل نسخة احتياطية من الدليل المحدد ، وحجب العملية مباشرة عند اكتشاف عملية غير معروفة لتعديل وتشفير الملفات على نطاق واسع.
حماية وقت تشغيل التطبيق (RASP): قم بتشغيل RASP لتطبيقات Java و Go الرئيسية. إنه يحقن مسبار الأمان في التطبيق. حتى إذا استغل أحد المتسللين ثغرة 0day غير المعروفة (مثل Log4j2 في ذلك العام) ، طالما أنه يحاول تنفيذ أوامر نظام غير قانونية أو الوصول إلى الملفات غير المصرح بها ، يمكن لـ RASP الاعتراض مباشرة على مستوى الذاكرة.
2. WAF 3.0: "التشغيل الديناميكي المكرر" في ظل تطبيع التحذير
أمان API والاكتشاف التلقائي للأصول: مع انتشار الخدمات المصغرة ، أصبحت "واجهات برمجة تطبيقات الظل" غير المسجلة أكبر ثغرة أمنية. يجب تمكين وظيفة أمان API الخاصة بـ WAF ، وتحديد جميع واجهات API المكشوفة على السحابة تلقائيًا ، وتحليل ما إذا كان هناك وصول غير مصرح به وخرق بيانات حساسة (مثل الإخراج غير لإزالة الحساسية لبطاقة الهوية ورقم الهاتف المحمول).
إعادة بناء الوعي بالقائمة البيضاء: ممنوع منعا باتا
لتسهيل الاختبار ، أضف شريحة كبيرة من IP إلى قائمة WAF البيضاء. يجب أن تجتاز بيئة الاختبار اختبار مستقل WAF أو حماية اسم مجال معين. يجب أن تكون القائمة البيضاء لبيئة الإنتاج دقيقة لعنوان IP واحد وعنوان URL واحد ، ويجب تعيين وقت انتهاء الصلاحية.
3. جدار الحماية السحابي: سحب الشبكة لمنع الاختراق بين الشرق والغرب
بعد أن يكسر المتسللون خادم اختبار على الحافة ، عادة ما يستخدم هذا كنقطة انطلاق لمسح اختراق أفقي على الشبكة الداخلية.
افتح حماية حركة المرور بين الشرق والغرب: في وحدة التحكم في جدار الحماية السحابي ، افتح حماية حدود حركة المرور بين VPC بنقرة واحدة.
منع ذكاء التهديد: حظر "الاتصال النشط" لفتح جدار الحماية السحابي. عندما يسقط خادم إنترانت للأسف ويحاول الاتصال بخادم C2 (الأوامر والتحكم) الخارجي و IP لتجمع التعدين ، فإن جدار الحماية السحابي سوف يقطع حركة الاتصال الخارجية على الفور ويمنع الخطوة التالية للقراصنة بناءً على معلومات تهديد شبكة Alibabic Cloud.
3. حماية دورة الحياة الكاملة لأمن البيانات: بناء "خزنة" للأصول الرقمية
البيانات هي شريان الحياة للمؤسسة ، ويتطلب بناء نظام دفاع أمن البيانات إدارة دورة الحياة ، مع التركيز على تنفيذ الخطين الرئيسيين "بالإضافة إلى فك التشفير" و "التدقيق".
المرحلة
التهديدات الأساسية
تكوين أفضل ممارسات Alibaba Cloud
نقل البيانات
مراقبة حركة المرور ، هجوم الوسيط
HTTPS / TLS 1.3 إلزامي على جميع المواقع ؛ SLB (موازنة التحميل) إلزامي لتكوين شهادات الأمان ؛ حركة المرور الحساسة للإنترانت تشفر اتصالات VPC إلى نظير.
تخزين البيانات
سحب المكتبة ، فقدان الوسائط المادية
قم بتمكين KMS (خدمة إدارة المفاتيح) ؛ افتح تشفير القرص السحابي (EBS) ، وتخزين الكائنات (OSS) ، وقاعدة البيانات العلائقية (RDS) بنقرة واحدة ، ويدير المستخدم المفتاح بشكل مستقل.
استخدام البيانات
الموظفون الداخليون يفحصون ويسرون
نشر حماية البيانات الحساسة (SDP) ؛ إزالة الحساسية الديناميكية للحقول الحساسة (مثل الاسم ورقم البطاقة) في نظام إدارة الخلفية وتقرير BI في طبقة العرض.
تدفق البيانات
الاصطدام ، التنزيلات الخارجية غير القانونية
قيود صارمة على أذونات دلو تخزين OSS ، يُمنع منعًا باتًا تعيينه على "القراءة العامة" ؛ قيود التنزيل من خلال استراتيجية ذاكرة الوصول العشوائي جنبًا إلى جنب مع قائمة IP البيضاء.
تم التأكيد بشكل خاص على أن السلاح النهائي لمنع الفدية هو نسخة احتياطية من ثلاث مراحل.
استخدام علي يون
HBR (النسخ الاحتياطي السحابي الهجين)
، قم بإجراء لقطات منتظمة ونسخ احتياطية لأقراص نظام ECS الأساسية وقواعد البيانات. والأهم من ذلك ، يجب تشغيل ميزة "قفل مكتبة النسخ الاحتياطي (WORM)". بمجرد تشغيله ، لا يمكن لأي شخص (بما في ذلك جذر الحساب السحابي) حذف البيانات الاحتياطية أو العبث بها خلال فترة الاحتفاظ المحددة. حتى إذا فقدت الخطوط الأمامية الخط بأكمله ، فلا يزال لدى الشركة البطاقة الأساسية لإعادة فتح النظام.
4. "الثقة الصفرية الكاملة" للهوية والسلطة (Zero Trust)
في النظام الأمني الحديث ، يتم تخفيف حدود الشبكة ، بينما
الهوية أصبحت الحدود الجديدة
. لبناء نظام دفاع أمني على السحابة ، يجب علينا تنفيذ مفهوم عدم الثقة "التحقق المستمر وعدم الثقة أبدًا".
حساب شركة علي بابا السحابي
القطع الدقيق لمستخدمي ذاكرة الوصول العشوائي: فصل المسؤوليات (SoD): موظفو التشغيل والصيانة لديهم فقط سلطة إدارة ECS و VPC.
DBA لديه فقط سلطة إدارة RDS ، والمراجعين الماليين لديهم فقط سلطة عرض الرسوم. قيود التحكم: إدخال قيود Acs:SourceIp في RAM Policy. على سبيل المثال ، يشترط أنه لا يمكن تنفيذ بعض العمليات الأساسية عالية الخطورة (مثل حذف قواعد البيانات وتعديل بنية الشبكة) إلا تحت عنوان IP الخاص بالشبكة الداخلية للشركة (أو IP الخاص بآلة الحصن المحددة).
مدخل الإدارة عن بعد للتقارب الكامل (رفض تعرض الشبكة العامة): أغلق بحزم منفذ ECS 22/3389 على جانب الشبكة العامة. يجب أن تمر عمليات التشغيل والصيانة عن بُعد عبر جهاز Bastion Host. من خلال آلة الحصن ، يتم إجراء التحقق الموحد من الهوية ، ومصادقة العوامل المزدوجة ، ويتم إجراء تدقيق بالفيديو الكامل لجميع خطوط أوامر التنصت (مثل rm -rf) لموظفي التشغيل والصيانة. بالنسبة لعمليات الطوارئ المؤقتة ، يمكنك استخدام إدارة تشغيل النظام (OOS)-إدارة الجلسة (Session Manager) من Alibaba Cloud ، والتي تسمح لموظفي التشغيل بالاتصال بـ ECS مباشرة في المتصفح ، دون فتح أي منافذ شبكة عامة ، بدون شبكة عامة يمكن أيضًا استخدام ECS IP.
5. من "الدفاع الثابت" إلى "التشغيل الديناميكي": الحوكمة اليومية لـ SecOps
الأمن ليس مشروعًا ثابتًا ، ولكنه عملية ديناميكية للتطور المستمر. بعد بناء النظام ، كيف نضمن أن هذه الآلة يمكن أن تعمل بكفاءة ؟
1. تجميع السجل الموحد والاستجابة للتهديدات: SIEM الأصلي السحابي (تدقيق السجل)
قم بتوصيل WAF ، وجدار الحماية السحابية ، ومركز الأمان السحابي ، وتدقيق التشغيل (ActionTrail) ، وسجلات تدفق VPC إلى Ali Cloud
مركز أمن خدمة السجل (SLS)
أو
خدمات خادم السلامة
.
استخدم قدرات SIEM الأصلية للسحابة لإجراء تحليل الارتباط عبر المنتجات. على سبيل المثال: عندما يكتشف WAF أن IP معين يقوم بمحاولة حقن SQL بشكل محموم (تحذير A) ، ثم يكتشف جدار الحماية السحابي أن IP قد أطلق تفجير SSH (تحذير B) على ECS على الشبكة الداخلية ، وأخيراً يطالبه مركز الأمان السحابي بأن ECS كان هناك سلوك تسجيل دخول غير طبيعي (تحذير C). سيقوم النظام تلقائيًا بربط A و B و C ، ويحكم على أنه حدث اختراق ناجح ، ويؤدي إلى حظر شبكة كاملة.
2-تصميم الأمن الآلي والاستجابة (SOAR)
الاعتماد على حظر IP يدويًا وعزل المضيفين ، يبدو أنه مرهق في مواجهة هجمات القرصنة التي تستجيب على مستوى الثواني. يجب على الشركات تدريجياً إنشاء خطط أتمتة (Playbooks):
عندما يكتشف مركز الأمان السحابي أن ECS قد انتعش (شديد الخطورة) ، فإنه يقوم تلقائيًا بتشغيل حساب الوظيفة (FC) أو البرنامج النصي المساعد السحابي.
يقوم البرنامج النصي بخطوتين على الفور: أ. قم بتعديل مجموعة أمان ECS ، وسحبها إلى VPC المعزول ، وقطع الاتصال بأجهزة الإنترانت الأخرى ؛ ب. قم تلقائيًا بإنشاء لقطة لقرص النظام الخاص بـ ECS ، واحتفظ بالموقع للحصول على أدلة التتبع اللاحقة.
3. تمرين خط الأساس الطبيعي ومواجهة الجيش الأزرق
بغض النظر عن مدى الكمال خط الدفاع ، هناك ثغرات في الطبيعة. يجب أن تحافظ الشركات على آليتين طويلة الأجل:
فحص الامتثال للتكوين الآلي: استخدم وظيفة تدقيق التكوين الأساسية لـ Alibaba Cloud (Config) لمراقبة السحابة في الوقت الفعلي
الامتثال للأصول. بمجرد أن يكون الموظف الجديد جشعًا لتسهيل إنشاء دلو كائن "مفتوح عبر الشبكة" ، أو فتح منفذ عالي الخطورة ، ستصدر Config على الفور تحذيرا أو حتى تصحيحه تلقائيًا.
إجراء تدريبات هجومية ودفاعية منتظمة: تقديم فريق أمان احترافي خارجي (الجيش الأزرق) لإجراء اختراق قتالي فعلي دون إخطار تشغيل الخط الأمامي وصيانته مسبقًا ، واختبار كفاءة فريق الأمن بأكمله في وحدات التحكم وأدوات الأمان على Aliyun ووقت الاستجابة.
ختامية: الأمن هو المنطق الأساسي للعمل ، وليس التكلفة الإضافية
إن بناء نظام دفاع أمني على سحابة علي ليس بالتأكيد "منتج Lianlianjun" بسيط. فإنه يحتاج الأعمال من القاع
حوكمة هوية انعدام الثقة
ابدأ ، من خلال
عمق ثلاثي الأبعاد للشبكة والمضيف
منع التهديدات الخارجية والاعتماد عليها
تشفير كامل مع النسخ الاحتياطي ضد الابتزاز
البيانات الموجودة أسفل الجيب آمنة ، وفي النهاية يتم تجميعها معًا
SecOps موحدة أتمتة العمليات الأمنية
.
حساب شركة علي بابا السحابي
لا تقتصر حرب الأعمال في العصر الرقمي على سرعة تشغيل الأعمال فحسب ، بل تعتمد أيضًا على من يمكنه أن يكون الهيكل أكثر استقرارًا عند مواجهة العاصفة. إن غرس نظام الدفاع الأمني بعمق في كل خلية من خلايا البنية السحابية هو الخندق التكنولوجي الأكثر صلابة للمؤسسات للذهاب إلى البحر والرقمنة إلى الأبد.
