一文概述:云端常见的攻防及实践
在云端安全的实践中,我们发现传统的中小型企业,由于业务等因素导致对安全问题的关注度不够,他们更注重对具体安全事件的问题解决。比如,突然有一天网站被挂载木马,或者突然被人攻击等。而中大型企业,随着业务的发展,对安全性越来越重视及敏感,所以他们更多考虑的是体系化安全解决方案,而不是单纯局限在具体的单个安全事件的处理上。这里我们从攻击和防御两方面来做个简单介绍。
黑客入侵流程
黑客入侵流程漏洞是奠基入侵的基础,但黑客真正入侵的流程没这么简单,是一个漫长的研究及分析过程。黑客常见入侵的分为以下五个步骤。
信息收集:信息收集一般是耗费时间最长的阶段,黑客入侵前通常会通过扫描工具或社会工程学来收集信息。
漏洞筛选:一旦黑客对所要入侵的目标掌握了足够的信息,接下来便是对信息做分析了,以寻找潜在的漏洞。常见的安全漏洞可能包括密码漏洞、操作系统相关漏洞、中间件程序相关漏洞、开放端口相关漏洞、数据传送相关漏洞、局域网/广域网相关设备漏洞等。
开始入侵:在收集到对应的漏洞后,在黑客工具的辅助下,便能完成入侵。
放置后门:完成入侵后黑客一般会放置后门,常见做法就是种木马,或者打开对应的管理员权限等,为今后可能的访问留下控制权限。
清理痕迹:在实现入侵攻击的目标后,最后一步便是扫尾。清理入侵的痕迹,常见做法是,清理系统访问日志等,隐藏自己的访问;或者通过 VPN、跳板机的方式,隐藏真实的 IP。
云端常见攻击
常见的黑客攻击主要分为 3 类:系统层攻击、应用层攻击、网络层攻击。漏洞是黑客入侵的途径。
系统层的攻击,即针对操作系统 OS 级别的攻击,通过找到操作系统的漏洞来达到入侵的效果,而木马和病毒便是系统层攻击最核心的两种手段。
应用层攻击,即应用代码层的攻击。出现这类攻击的核心原因就是编写的代码存在安全问题。会带来的常见应用层攻击如下:SQL 注入、跨站脚本攻击、密码暴力破解、恶意注册、刷单等、WebShell:小马、大马。应用层常见攻击排行最前面的,当属 SQL 注入攻击。所谓 SQL 注入,就是通过把 SQL 命令插入 Web 表单提交或输入域名、页面请求的查询字符串,最终达到欺骗服务器执行恶意的 SQL 命令。
网络层攻击,其中分布式拒绝服务(Distributed Denial of Service,DDoS)是当今网络上危害最大的黑客攻击,能让网络、系统业务、服务器全部瘫痪,无法提供正常服务。当前防御 DDoS,都是侧面通过抗流量的高性能的硬件防火墙进行流量清洗,这是唯一有效的措施。
此外,针对 CC 攻击是 OSI 七层模型中七层(HTTP 层)的攻击,是通过向目标刷 URL 的流量攻击导致目标无法正常对外提供服务。而 DDoS 核心攻击原理主要是针对 TCP 三次握手,即属于 OSI 七层模型中四层(TCP 层)的攻击。因为原理不同,它们在云端的防御手段也是完全不同的。CC 攻击需要通过 WAF 应用防火墙进行防御,而 DDoS 攻击需要通过高防 IP 进行防御。
云端常见防御
云端安全产品,是应对黑客常见攻击最直接有效的解决办法,是云端的安全保障第一道防线,更是解决安全问题的默认选择。
系统层攻击的防御
系统层的防御本质就是如何防御木马及病毒。一方面,及时给系统打补丁,避免被木马、病毒入侵的可能性。另外一方面,给系统安装杀毒软件,及时查杀木马及病毒。这些是防御黑客常见系统层攻击的必要手段。
安骑士是一款经受百万级主机稳定性考验的主机安全加固产品,支持自动化实时入侵威胁检测、病毒查杀(包含木马)、漏洞智能修复、基线一键检查、网页防篡改等功能,是构建主机安全防线的统一管理平台。
应用层攻击的防御
对于应用层的攻击,主要是因为代码存在安全问题,成为黑客入侵的漏洞。最为有效的解决办法就是使用云端 Web 应用防火墙(Web ApplicationFirewall,WAF)。
WAF 的原理主要是通过拦截黑客攻击请求,来达到防御的效果,并不能真正解决底层代码存在的安全漏洞。WAF 主要可以帮助解决以下问题:
防数据泄密,避免因黑客的注入入侵攻击,导致网站核心数据被拖库泄露。
防恶意 CC,通过阻断海量的恶意请求,保障网站可用性。
阻止木马上传网页篡改,保障网站的公信力。
提供虚拟补丁,针对网站被曝光的最新漏洞,最大可能地提供快速修复规则。
需要注意:WAF 主要是对这些安全问题进行请求拦截,防止恶意请求转发到后端源站,并没有根治代码层面相应的安全问题
网络层攻击的防御
云端 DDoS 高防 IP 产品是针对互联网服务器在遭受大流量的 DDoS 攻击后服务不可用的情况。DDoS 高防 IP 产品使用专门的高防机房提供 DDoS 防护服务,通过引流、清洗、回注的方式将正常业务流量转发至源站服务器,确保源站服务器的稳定可用。可以防护 SYN Flood、UDP Flood、ACK Flood、ICMP Flood、DNS Query Flood、NTPreply Flood、CC 攻击等三到七层 DDoS 攻击。
发现潜在安全风险及问题
云安全中心是一个实时识别、分析、预警安全威胁的统一安全管理系统,通过防勒索、防病毒、防篡改、合规检查等安全能力,帮助用户实现威胁检测、响应、溯源的自动化安全运营闭环,保护云上资产和本地主机并满足监管合规要求。
云安全中心的典型应用场景包括:
实时监控云上业务整体安全,对多种安全事件进行告警,如异常登录、网站后门、病毒攻击、异常进程等。
定期对云上服务进行漏洞扫描和基线配置核查,针对检测到的漏洞和风险配置项提供监控与修复服务。
对多种网络和主机日志进行检索,调查访问量,统计和分析各维度的原始日志信息。
监控、网络入侵事件、DDoS 攻击事件、ECS 恶意肉鸡行为等,并对 ECS 开放的端口进行实时监控。
对 ECS 中发生的入侵事件,如 Webshell、恶意软件、核心数据被加密勒索等进行回溯,发现入侵的原因和入侵的全过程。
云端安全实践
云端安全防御中的最后一道防线,即在运维层次的安全保障,进一步做运维层安全加固应对黑客常见攻击。
云端堡垒机
堡垒机是远程控制的必要安全手段,即我们需通过堡垒机来对服务器进行远程管理。堡垒机具备安全审计、权限管理等核心安全管理功能,也可以避免黑客恶意远程登录等安全问题。
运维用户管理
运维用户管理,是指运行在操作系统中的进程用户,以及远程用户方面的安全管理。合理的用户权限,能有效避免黑客利用木马及病毒对系统进行提权。
密码安全管理
在云端,最好的密码安全管理方案便是没密码。即服务器远程登录管理,采用证书方式是最为安全的。
防火墙安全管理
通过安全组+Iptables 防火墙的方式,来保障访问连接的安全性。通过安全组+Iptables 防火墙设置端口服务访问地址的白名单/黑名单,还能一定程度上应对黑客针对网络层面的攻击。
端口安全管理
尽量不要在公网上暴露内部业务或数据库等端口,如果必须暴露的话,最好要设置 auth 权限认证校验。
数据安全传输
HTTPS 主要用于加密客户请求端和服务端之间的数据传输,避免数据明文传输而被黑客截取。在实际应用场景中,我们一般把证书存放在流量入口处。特别是 CDN+WAF+SLB+ECS 的架构,并不是要在 CDN、WAF、SLB 上都配置证书。
安全巡检管理
定期进行安全巡检,及时进行安全补丁更新、漏洞修复。必要时采用安全渗透测试对业务及系统进行更加深入的安全评估。在运维侧能及时发现问题,便能及时解决问题并且防患于未然,而不是被动地应对黑客攻击及修补安全问题。
安全培训管理
提升安全意识在云端安全防御非技术方案中比较重要。定期参加安全培训,提高安全意识,是作为运维人员及技术人员职业修养的必修课。
在云端安全防御中,第一道防线是云端安全产品,它是云端最有效且直接的安全解决方案。第二道防线是云端安全架构,能从宏观角度避免一些安全问题,并能直接提升业务系统的安全防御能力。而在云端安全防御中的最后一道防线,是运维层次的安全保障。
版权声明: 本文为 InfoQ 作者【穿过生命散发芬芳】的原创文章。
原文链接:【http://xie.infoq.cn/article/6fc28a32326cae26799239ccd】。
本文遵守【CC-BY 4.0】协议,转载请保留原文出处及本版权声明。
评论