Akaun Alibaba Cloud Enterprise: Pembinaan Sistem Pertahanan Keselamatan Awan Alibaba
Hari ini, ketika transformasi digital memasuki zon perairan dalam, pengkomputeran awan bukan lagi alat "pengurangan kos dan peningkatan kecekapan" yang murni, tetapi jantung digital operasi perusahaan. Walau bagaimanapun, sempadan rangkaian fizikal tradisional benar-benar dipecahkan kerana perniagaan perusahaan berada di awan. Kaedah serangan penggodam telah berkembang dari suntikan DDoS dan SQL sederhana awal hingga penembusan tiga dimensi dan pintar yang menggabungkan AI dan skrip automatik.
Sebagai penyedia perkhidmatan awan dengan pangsa pasar domestik dan global teratas, Alibaba Cloud mempunyai keluarga produk keselamatan yang besar dan kompleks. Tetapi untuk arkitek korporat dan ketua keselamatan,
Membeli sekumpulan produk keselamatan tidak bermaksud mempunyai sistem pertahanan keselamatan
。
Bagaimana untuk menghilangkan keadaan pasif "merawat kepala dan kaki"? Artikel ini tidak akan membincangkan slogan kosong, melucutkan kemahiran pemasaran pengeluar, dari
Senibina pertahanan mendalam, konfigurasi asas teras, perlindungan kitaran hidup penuh data, persepsi ancaman aktif, dan pengurusan operasi harian
Lima dimensi pertempuran sebenar akan membantu anda membongkar bagaimana membina satu set sistem pertahanan keselamatan Alibaba Cloud yang "maju dan menyerang, mundur dan bertahan" dari awal.
1. Pembongkaran "pertahanan mendalam": susun atur tiga dimensi jaring perlindungan keselamatan lima lapisan
Terdapat undang-undang besi dalam industri keselamatan: tidak ada garis pertahanan satu titik yang sama sekali tidak dapat dipecahkan. Struktur yang benar-benar matang mesti diharapkan untuk "memanjangkan jalan serangan melalui lapisan kubu dan meningkatkan kos serangan penggodam." Berdasarkan ekologi Alibaba Cloud, sistem pertahanan mendalam peringkat perusahaan standard harus dibahagikan kepada lima lapisan dari luar ke dalam:
Akaun Perusahaan Awan Alibaba
1. Lapisan pertahanan rangkaian sempadan (tahap pertama untuk pemutihan lalu lintas)
Ini adalah barisan hadapan untuk memerangi serangan berniat jahat dengan lalu lintas besar di luar.
Anti-DDoS (generasi baru pertahanan tinggi): Digunakan di lapisan terluar, ia terutama bertindak balas terhadap pengeboman lalu lintas lapisan rangkaian dan lapisan transmisi seperti SYN Flood dan UDP Flood. Dengan menggunakan kemampuan pembersihan sumber dekat Alibaba Cloud, serangan lalu lintas besar dapat diselesaikan di pinggir operator untuk memastikan ketersediaan perniagaan.
WAF (Firewall Aplikasi Web): Serangan terhadap lapisan aplikasi (HTTP/HTTPS). Bukan sahaja peraturan pertahanan OWASP Top 10 lalai harus dihidupkan, tetapi juga pengurusan Bot dan mesin peraturan hadapan AI harus digunakan secara mendalam. Lebih daripada separuh serangan Web semasa dimulakan oleh skrip automatik (Bot), yang menggunakan WAF untuk melakukan analisis tingkah laku perayap, pesanan, dan pengimbasan berbahaya (seperti berdasarkan frekuensi permintaan, cap jari JA3, cap jari peranti), yang dapat menyekat lebih dari 80% ancaman front-end.
2. Lapisan seni bina rangkaian teras ("parit" intranet perusahaan)
Setelah memasuki intranet awan, prinsip utamanya adalah
Pengasingan dan meminimumkan penampilan yang ganas
。
Cloud Firewall (Cloud Firewall): Ini adalah polis trafik yang lalu lintas utara-selatan (Internet ke awan) dan timur-barat (antara VPC dan VPC, VPC ke IDC tempatan) di awan. Melalui firewall awan, lawatan bersama aset perniagaan dapat diselesaikan dengan jelas, dan akses lintas VPC yang tidak perlu dilarang sama sekali.
VPC dan Kumpulan Keselamatan (Kumpulan Keselamatan): Ikuti perniagaan mengikut "pengembangan, pengujian, pengeluaran" atau "front-end, aplikasi, data
Menurut perpustakaan "untuk pengasingan fizikal tahap VPC. Kumpulan keselamatan, sebagai firewall maya di sempadan host, mesti mengikuti prinsip "penolakan lalai dan kebenaran eksplisit". Konfigurasi berisiko tinggi "0.0.0.0/0 dan TCP 22(SSH) atau 3389(RDP) dilarang sama sekali.
3. Lapisan persekitaran host dan pengkomputeran ("pengawal peribadi" pelayan)
Apabila lalu lintas melewati rangkaian untuk mencapai contoh ECS, kontena (ACK) atau pengiraan fungsi, pertahanan batu terakhir diserahkan kepada keselamatan tuan rumah.
Pusat Keselamatan Awan (dahulunya Pusat Keselamatan/Cloud Security): Ini adalah titik permulaan utama keseluruhan sistem pertahanan. Syarikat mesti mencapai liputan 100% Ejen untuk hos penuh. Melaluinya untuk pengimbasan kerentanan dan pembaikan automatik, pemeriksaan dasar, pemantauan shell rebound, dan pengesanan dan pembunuhan pintu belakang Trojan.
4. Lapisan aplikasi dan logik aset (injap kawalan untuk kod dan identiti)
RAM (kawalan akses) dan identiti aplikasi: menerapkan prinsip kebenaran minimalis dengan tegas. Dilarang menggunakan akaun Alibaba Cloud Root (akaun awan) untuk operasi harian. Semua pekerja dan panggilan program mesti menggunakan pengguna RAM dan membuka MFA (pengesahan pelbagai faktor).
5. Lapisan aset data teras (barisan pertahanan fizikal terakhir)
Tujuan utama semua pertahanan adalah untuk melindungi data. Lapisan ini memfokuskan pada penyulitan penyimpanan, penyulitan penghantaran dan desensitisasi data sensitif.
2. Panduan untuk mengelakkan lubang dalam pertempuran sebenar: konfigurasi inti keras dan pengoptimuman strategi produk teras
Banyak syarikat telah membeli firewall awan, WAF dan pusat keselamatan awan, tetapi mereka masih dilanggar oleh ransomware kerana
Konfigurasi lalai sering tidak dapat menahan serangan yang disesuaikan
。 Berikut adalah panduan praktikal untuk konfigurasi tegar tiga produk keselamatan teras Alibaba Cloud:
1. Pusat Keselamatan Awan: Dari "hanya melihat tetapi tidak mencegah" hingga "pemintas aktif"
Akaun perusahaan Alibaba Cloud
Ramai orang menganggap pusat keselamatan awan sebagai "penggera" dan membaikinya secara manual setelah melihat arahan, yang terlalu lambat dalam menghadapi serangan automatik.
Strategi "anti-ransomware" mesti diaktifkan: perlindungan anti-ransomware harus dikonfigurasi untuk pelayan teras (seperti pangkalan data, pelayan fail). Pusat keselamatan awan secara automatik akan membuat sandaran direktori yang ditentukan, dan secara langsung menyekat proses yang tidak diketahui apabila pengubahsuaian besar-besaran atau penyulitan fail dikesan. Proses blok.
Perlindungan diri runtime aplikasi (RASP): Untuk aplikasi Java dan Go utama, hidupkan RASP. Ia menyuntikkan probe keselamatan ke dalam aplikasi. Walaupun penggodam menggunakan kerentanan 0 hari yang tidak diketahui (seperti Log4j2 tahun ini), selagi ia cuba melaksanakan perintah sistem yang tidak sah atau mengakses fail tanpa izin, RASP dapat secara langsung memintas pada tahap memori.
2. WAF 3.0: "Operasi halus dinamik" di bawah normalisasi penggera
Keselamatan API dan penemuan aset automatik: Dengan populariti perkhidmatan mikro, "API bayangan" yang tidak berdaftar telah menjadi kelemahan keselamatan terbesar. Fungsi keselamatan API WAF mesti diaktifkan untuk mengenal pasti semua antara muka API yang terdedah di awan secara automatik, dan menganalisis sama ada terdapat akses yang tidak dibenarkan dan kebocoran data sensitif (seperti kad pengenalan dan output nombor telefon bimbit yang tidak sensitif).
Memfaktorkan semula kognisi senarai dialog: dilarang sama sekali
Untuk kemudahan ujian, bahagian besar IP ditambahkan ke senarai putih WAF. Persekitaran ujian harus lulus ujian bebas WAF atau perlindungan nama domain tertentu. Senarai putih persekitaran pengeluaran mestilah tepat untuk satu IP, satu URL, dan masa tamat ditetapkan.
3. Firewall awan: tarik jaring untuk menyekat penembusan timur-barat
Setelah penggodam menerobos pelayan ujian tepi, mereka biasanya menggunakannya sebagai batu loncatan untuk mengimbas dan menembusi intranet secara mendatar.
Hidupkan perlindungan lalu lintas timur-barat: Pada konsol firewall awan, satu kunci untuk membuka perlindungan sempadan lalu lintas antara VPC.
Penyekat kecerdasan ancaman pintar: Penyekat "sambungan luaran aktif" untuk membuka firewall awan. Apabila pelayan intranet tertentu malangnya jatuh dan cuba menyambung ke pelayan C2 (arahan dan kawalan) luaran dan IP kolam perlombongan, firewall awan akan memotong lalu lintas luaran dengan serta-merta berdasarkan kecerdasan ancaman seluruh rangkaian Alibaba Cloud dan menyekat langkah seterusnya penggodam. arahan.
3. Perlindungan kitaran hidup penuh keselamatan data: membina "peti besi" untuk aset digital
Data adalah garis hidup perusahaan. Pembinaan sistem pertahanan keselamatan data memerlukan pengurusan kitaran hidup, dengan fokus pada pelaksanaan dua garis utama "penyulitan dan penyahsulitan" dan "audit".
Peringkat
Ancaman Teras
Konfigurasi amalan terbaik Alibaba Cloud
Pemindahan data
Pemantauan lalu lintas, serangan orang tengah
HTTPS / TLS 1.3 wajib di seluruh laman web; SLB (load balancing) wajib mengkonfigurasi sijil keselamatan; lalu lintas sensitif intranet menggunakan sambungan peer-to-peer VPC yang dienkripsi.
Penyimpanan data
Seret perpustakaan, kehilangan media fizikal
Aktifkan KMS (perkhidmatan pengurusan kunci); buka enkripsi cakera (TDE) dengan satu klik untuk cakera awan (EBS), penyimpanan objek (OSS), dan pangkalan data hubungan (RDS), dan kunci diuruskan secara bebas oleh pengguna.
Penggunaan data
Pekerja dalaman memeriksa dan membocorkan di luar kuasa mereka
Gunakan Perlindungan Data Sensitif (SDP); secara dinamis peka terhadap bidang sensitif (seperti nama dan nombor kad) dalam sistem pengurusan latar belakang dan laporan BI di lapisan paparan.
Aliran keluar data
Perpustakaan perlanggaran, muat turun haram luaran
Hadkan dengan ketat kebenaran baldi OSS, dan dilarang sama sekali menetapkannya sebagai "Bacaan Awam"; sekatan muat turun dilakukan melalui strategi RAM yang digabungkan dengan senarai putih IP.
Penekanan khas: Senjata utama untuk mencegah ransomware adalah sandaran tiga peringkat.
Gunakan Alibaba Cloud
HBR (Sandaran Awan Hibrid)
, Ambil gambar dan sandaran cakera sistem ECS teras dan pangkalan data secara berkala. Lebih penting lagi, fungsi "Backup Library Lock (WORM)" mesti dihidupkan. Setelah dibuka, tidak ada orang (termasuk root akaun awan) yang dapat menghapus atau mengganggu data sandaran selama tempoh penyimpanan yang ditentukan. Walaupun barisan depan hilang secara menyeluruh, syarikat masih mempunyai kad untuk membuka semula sistem.
4. "Zero Trust" identiti dan kebenaran (Zero Trust)
Dalam sistem keselamatan moden, sempadan rangkaian semakin pudar, dan
Identiti menjadi sempadan baru
。 Untuk membina sistem pertahanan keselamatan Alibaba Cloud, konsep kepercayaan sifar "pengesahan berterusan dan tidak pernah percaya" mesti dilaksanakan.
Akaun perusahaan Alibaba Cloud
Pemotongan pengguna RAM yang disempurnakan: Pemisahan Tanggungjawab (SoD): Kakitangan operasi dan penyelenggaraan hanya mempunyai kuasa pengurusan ECS dan VPC.
DBA hanya mempunyai kuasa pengurusan RDS, dan juruaudit kewangan hanya mempunyai kuasa melihat kos. Kawalan keadaan sekatan: Pengenalan kepada Sekatan Acs:SourceIp dalam Dasar RAM. Sebagai contoh, ditetapkan bahawa operasi berisiko tinggi teras tertentu (seperti menghapus pangkalan data dan mengubah seni bina rangkaian) hanya dapat dilakukan di bawah IP intranet korporat syarikat (atau IP benteng yang ditentukan).
Konvergensi sepenuhnya pintu masuk pengurusan jarak jauh (penolakan pendedahan rangkaian awam): Tegas menutup port 22/3389 ECS di sisi rangkaian awam. Operasi dan penyelenggaraan jarak jauh mesti melalui kesan awan/benteng (Bastion Host). Pengesahan identiti bersatu dan pengesahan dua faktor dilakukan melalui mesin benteng, dan semua baris perintah perkusi (seperti rm -rf) kakitangan operasi dan penyelenggaraan diaudit video penuh. Untuk operasi dan penyelenggaraan kecemasan sementara, anda boleh menggunakan Pengurusan Operasi dan Penyelenggaraan Sistem Alibaba Cloud (OOS)-Pengurusan Sesi (Pengurus Sesi), yang membolehkan kakitangan operasi dan penyelenggaraan untuk menyambung secara langsung ke ECS di penyemak imbas tanpa membuka port rangkaian awam. ECS IP rangkaian juga boleh digunakan.
5. Dari "pertahanan statik" hingga "operasi dinamik": tadbir urus harian SecOps
Keselamatan bukanlah projek statik, tetapi proses dinamik yang terus berkembang. Setelah sistem dibina, bagaimana memastikan mesin ini dapat beroperasi dengan cekap?
1. Penumpuan log bersatu dan tindak balas ancaman: SIEM asli awan (audit log)
Sambungkan WAF, firewall awan, pusat keselamatan awan, audit operasi (ActionTrail), dan log aliran VPC ke Alibaba Cloud
Pusat Keselamatan Perkhidmatan Log (SLS)
Atau
Perkhidmatan butler keselamatan
。
Gunakan keupayaan SIEM asli awan untuk melakukan analisis korelasi produk silang. Contohnya: apabila WAF mendapati bahawa IP sedang melakukan percubaan suntikan SQL (amaran A), firewall awan mendapati bahawa IP telah melancarkan ledakan SSH (amaran B) ke ECS tertentu di intranet, dan akhirnya pusat keselamatan awan meminta ECS muncul Tingkah laku log masuk yang tidak normal (amaran C). Sistem akan secara automatik mengaitkan A, B, dan C, menilai itu sebagai peristiwa pencerobohan yang berjaya, dan mencetuskan gangguan hubungan seluruh rangkaian.
2. Automasi keselamatan dan tindak balas (SOAR)
Mengandalkan larangan manual IP dan pengasingan host, nampaknya terbentang dalam menghadapi serangan penggodam yang bertindak balas dalam beberapa saat. Perusahaan harus secara beransur-ansur mewujudkan rancangan automasi (Playbooks):
Apabila Pusat Keselamatan Awan mengesan bahawa ECS tertentu mempunyai shell rebound (berisiko tinggi), ia secara automatik mencetuskan fungsi pengiraan (FC) atau skrip pembantu awan.
Skrip segera melakukan dua operasi: a. Ubah suai kumpulan keselamatan ECS, tarik ke VPC terpencil, dan putuskan hubungannya dengan mesin intranet lain; b. Secara automatik membuat snapshot cakera sistem dari ECS, dan menyimpan laman web ini untuk bukti pengesanan berikutnya.
3. Latihan asas yang dinormalisasi dan konfrontasi dengan Tentera Biru
Tidak kira seberapa sempurna garis pertahanan, terdapat celah manusia. Perusahaan harus mengekalkan dua mekanisme jangka panjang:
Pemeriksaan pematuhan konfigurasi automatik: gunakan fungsi teras Audit Konfigurasi Alibaba Cloud (Config) untuk memantau awan dalam masa nyata
Pematuhan aset., Atau membuka pelabuhan berisiko tinggi, Configs akan segera menghantar amaran kepada pembetulan automatik.
Latihan menyerang dan bertahan secara berkala: Memperkenalkan pasukan keselamatan profesional luaran (Tentera Biru), menguji kecekapan dan ketepatan masa keseluruhan pasukan keselamatan dengan konsol dan alat keselamatan Alibaba Cloud.
Kesimpulan: Keselamatan adalah logik asas perniagaan, bukan kos tambahan
Pembentukan sistem pertahanan keselamatan Alibaba Cloud pastinya bukan "pautan produk" yang sederhana. Ia memerlukan syarikat dari bawah
Tadbir urus identiti tanpa kepercayaan
Mulakan, melalui
Kedalaman tiga dimensi rangkaian dan hos
Sekat ancaman luaran, bergantung pada
Sandaran padat dan anti-pemerasan
Keselamatan data, dan akhirnya
Operasi keselamatan automatik SecOps bersatu
。
Akaun perusahaan Alibaba Cloud
Perang perniagaan di era digital bukan hanya kepantasan perniagaan, tetapi juga kepantasan. ,.
