信息來源:4hou
一、前言
伴隨著越來越多的企業(yè)上公有云,特別是大型企業(yè),核心業(yè)務(wù)上云之后,云上企業(yè)安全建設(shè)思路沒有因為公有云的開放性而妥協(xié),大部分企業(yè)的建設(shè)思路都是把公有云改造成專有云,使用VPC隔離公有云網(wǎng)絡(luò),內(nèi)部系統(tǒng)上網(wǎng)都通過NATGateway,運(yùn)維使用windows堡壘機(jī),對外的業(yè)務(wù)系統(tǒng)直接限制在DMZ區(qū)。這樣公有云原生安全解決方案就有些不適應(yīng),有的需要做架構(gòu)方面調(diào)整,有的需要開發(fā)新的安全功能。本次就和大家討論如何提高這種場景的安全解決方案。
二、解決方案
1、要做解決方案我們先要了解網(wǎng)絡(luò)架構(gòu)
首先我們先借鑒政務(wù)云的建設(shè)思路:
@1、把業(yè)務(wù)劃分到不同的區(qū)域,通過VPC來隔離。VPC之間是有通過ACL來控制,實現(xiàn)網(wǎng)閘隔離的效果。進(jìn)出通訊VPC log 發(fā)送到集中日志管理平臺中。
@2、安全建設(shè)
鏈路負(fù)載均衡、anti-DDoS設(shè)備、防火墻、IDS/IPS、WAF、堡壘機(jī)、數(shù)據(jù)庫審計、日志審計、漏洞掃描一個不能少。
那么公有云對應(yīng)的產(chǎn)品是:SLB(4層、7層)、DDoS基礎(chǔ)防護(hù)、安全組、態(tài)勢感知(IDS、日志審計)、云WAF或者VPC-WAF、RDS日志審計、云掃描器。
那么有這些傳統(tǒng)的安全產(chǎn)品的解決方案就能高枕無憂了么?最近某APT攻擊分析機(jī)構(gòu)發(fā)布的數(shù)據(jù),在應(yīng)對APT攻擊過程中:十家公司中有九家遭受黑客入侵。
@1、入侵后76%攻擊者會偷取憑證,保證其權(quán)限的持續(xù)性。
@2、43%APT攻擊事件會發(fā)生數(shù)據(jù)泄露事件,其中51%會公布給媒體,26%會在暗網(wǎng)售賣,剩下的部分黑客內(nèi)部交流使用。
@3、平均發(fā)現(xiàn)存在APT攻擊的時間為7個月,是在以上安全設(shè)置存在的情況下。
@4、94%安全事件告警為誤報、誤操作或者業(yè)務(wù)需要。排查這些事件需要花費(fèi)SOC運(yùn)營人員每天8個小時的時間。
2、全新的內(nèi)網(wǎng)威脅解決方案
(1)發(fā)現(xiàn)APT入侵
在分析了APT攻擊流程后,我們發(fā)現(xiàn)在Discovery/Lateral Movement、Command and Control??梢院芎玫陌l(fā)現(xiàn)黑客入侵的痕跡。
@1、橫向移動最好的檢測方法是通過蜜罐的方式。
@2、集成威脅情報、防病毒多查殺引擎、沙箱的態(tài)勢感知是發(fā)現(xiàn)C2最好的方式。
(2)評估影響范圍
站在安全運(yùn)營人員的角度上講,發(fā)現(xiàn)安全事件需要對有失陷主機(jī)有通訊的系統(tǒng)都要排查一遍,除惡務(wù)盡。那就就需要網(wǎng)絡(luò)層數(shù)據(jù)、主機(jī)層數(shù)據(jù)聯(lián)動。
@1、需要采集網(wǎng)絡(luò)層VPC log、ACL log等基礎(chǔ)日志。
@2、需要在云主機(jī)上采集socket連接數(shù)據(jù),進(jìn)程數(shù)據(jù)。
@3、大數(shù)據(jù)分析平臺,融合以上所有數(shù)據(jù),通過圖分析、關(guān)聯(lián)分析等手段評估影響范圍。
如何部署和實施:
公有云是一個特殊的環(huán)境,傳統(tǒng)的蜜罐系統(tǒng)是在公有云上部署困難,這時候云原生的蜜罐系統(tǒng)就發(fā)揮了極大的作用。
部署方案:
@1、感知到的端口掃描、漏洞掃描都可以通過docker探針收集并且實時發(fā)送到態(tài)勢感知平臺統(tǒng)計,通過用戶的VPC環(huán)境上傳到Underlay網(wǎng)絡(luò)中。
@2、安裝方式相對來說比較靈活,低交互蜜罐可以使用docker方式部署,高交互蜜罐或者密網(wǎng)可以通過VM方式部署。通過控制臺開通部署,方便快捷。列舉VPC中的VLAN用戶點擊部署。
@3、主機(jī)安全和VPClog收集東西向數(shù)據(jù)
三、總結(jié)
在公有云原生安全發(fā)展的今天,不見得傳統(tǒng)安全防護(hù)比云安全高明多少。