行業(yè)動態(tài)

公有云內(nèi)網(wǎng)安全感知解決方案

來源:聚銘網(wǎng)絡(luò)    發(fā)布時間:2019-10-28    瀏覽次數(shù):
 

信息來源:4hou

一、前言

伴隨著越來越多的企業(yè)上公有云,特別是大型企業(yè),核心業(yè)務(wù)上云之后,云上企業(yè)安全建設(shè)思路沒有因為公有云的開放性而妥協(xié),大部分企業(yè)的建設(shè)思路都是把公有云改造成專有云,使用VPC隔離公有云網(wǎng)絡(luò),內(nèi)部系統(tǒng)上網(wǎng)都通過NATGateway,運(yùn)維使用windows堡壘機(jī),對外的業(yè)務(wù)系統(tǒng)直接限制在DMZ區(qū)。這樣公有云原生安全解決方案就有些不適應(yīng),有的需要做架構(gòu)方面調(diào)整,有的需要開發(fā)新的安全功能。本次就和大家討論如何提高這種場景的安全解決方案。

二、解決方案

1、要做解決方案我們先要了解網(wǎng)絡(luò)架構(gòu)

首先我們先借鑒政務(wù)云的建設(shè)思路:

@1、把業(yè)務(wù)劃分到不同的區(qū)域,通過VPC來隔離。VPC之間是有通過ACL來控制,實現(xiàn)網(wǎng)閘隔離的效果。進(jìn)出通訊VPC log 發(fā)送到集中日志管理平臺中。

@2、安全建設(shè)

鏈路負(fù)載均衡、anti-DDoS設(shè)備、防火墻、IDS/IPS、WAF、堡壘機(jī)、數(shù)據(jù)庫審計、日志審計、漏洞掃描一個不能少。

那么公有云對應(yīng)的產(chǎn)品是:SLB(4層、7層)、DDoS基礎(chǔ)防護(hù)、安全組、態(tài)勢感知(IDS、日志審計)、云WAF或者VPC-WAF、RDS日志審計、云掃描器。

那么有這些傳統(tǒng)的安全產(chǎn)品的解決方案就能高枕無憂了么?最近某APT攻擊分析機(jī)構(gòu)發(fā)布的數(shù)據(jù),在應(yīng)對APT攻擊過程中:十家公司中有九家遭受黑客入侵。

@1、入侵后76%攻擊者會偷取憑證,保證其權(quán)限的持續(xù)性。

@2、43%APT攻擊事件會發(fā)生數(shù)據(jù)泄露事件,其中51%會公布給媒體,26%會在暗網(wǎng)售賣,剩下的部分黑客內(nèi)部交流使用。

@3、平均發(fā)現(xiàn)存在APT攻擊的時間為7個月,是在以上安全設(shè)置存在的情況下。

@4、94%安全事件告警為誤報、誤操作或者業(yè)務(wù)需要。排查這些事件需要花費(fèi)SOC運(yùn)營人員每天8個小時的時間。

2、全新的內(nèi)網(wǎng)威脅解決方案

(1)發(fā)現(xiàn)APT入侵

在分析了APT攻擊流程后,我們發(fā)現(xiàn)在Discovery/Lateral Movement、Command and Control??梢院芎玫陌l(fā)現(xiàn)黑客入侵的痕跡。

@1、橫向移動最好的檢測方法是通過蜜罐的方式。

@2、集成威脅情報、防病毒多查殺引擎、沙箱的態(tài)勢感知是發(fā)現(xiàn)C2最好的方式。

(2)評估影響范圍

站在安全運(yùn)營人員的角度上講,發(fā)現(xiàn)安全事件需要對有失陷主機(jī)有通訊的系統(tǒng)都要排查一遍,除惡務(wù)盡。那就就需要網(wǎng)絡(luò)層數(shù)據(jù)、主機(jī)層數(shù)據(jù)聯(lián)動。

@1、需要采集網(wǎng)絡(luò)層VPC log、ACL log等基礎(chǔ)日志。

@2、需要在云主機(jī)上采集socket連接數(shù)據(jù),進(jìn)程數(shù)據(jù)。

@3、大數(shù)據(jù)分析平臺,融合以上所有數(shù)據(jù),通過圖分析、關(guān)聯(lián)分析等手段評估影響范圍。

如何部署和實施:

公有云是一個特殊的環(huán)境,傳統(tǒng)的蜜罐系統(tǒng)是在公有云上部署困難,這時候云原生的蜜罐系統(tǒng)就發(fā)揮了極大的作用。

部署方案:

@1、感知到的端口掃描、漏洞掃描都可以通過docker探針收集并且實時發(fā)送到態(tài)勢感知平臺統(tǒng)計,通過用戶的VPC環(huán)境上傳到Underlay網(wǎng)絡(luò)中。

@2、安裝方式相對來說比較靈活,低交互蜜罐可以使用docker方式部署,高交互蜜罐或者密網(wǎng)可以通過VM方式部署。通過控制臺開通部署,方便快捷。列舉VPC中的VLAN用戶點擊部署。

@3、主機(jī)安全和VPClog收集東西向數(shù)據(jù)

三、總結(jié)

在公有云原生安全發(fā)展的今天,不見得傳統(tǒng)安全防護(hù)比云安全高明多少。

 
 

上一篇:南非約翰內(nèi)斯堡再次遭到勒索軟件攻擊

下一篇:游戲外掛捆綁驅(qū)動木馬,已劫持上萬臺電腦瀏覽器