云服务滥用安全防范
一、背景
云计算服务因易获取、低成本、可靠性等优势,使得越来越多的个人、企业选择使用云服务,由于注册验证过程不严格、促销或免费试用、错误的配置和漏洞等原因,导致云资源被恶意攻击者滥用,网络安全法的出台以及各行业标准的要求,云运营商需要对服务滥用的行为进行识别和阻断。
二、云服务滥用原因
云服务不安全部署:身份密码的泄漏、系统或应用漏洞、身份劫持。
利用云服务身份验证漏洞,从事非法活动:伪造、冒用他人身份注册并获取服务。
支付漏洞,促销、免费试用活动具有漏洞,黑产从业者抢购大量廉价云计算资源。
三、云服务滥用行为
常见的滥用行为包括:
分布式拒绝服务攻击(DDoS)
违法内容传播(黄反赌毒暴恐政)
远程暴力破解(RDP、SSH、Mysql、FTP、Web)
恶意软件,木马传播
数字货币挖矿采矿
电子邮件垃圾邮件
网络钓鱼攻击活动
CNCERT 的抽样监测结果显示:
针对境内目标 IP 的 DDoS 攻击中 80.1%的攻击来源为国内云服务提供商;
C2 远程控制端 IP 中约 59%为国内云服务提供商 IP;
对外植入网站后门的 IP 中约 39.4%的境内 IP 来源于国内云服务提供商;
四、做好安全防范,抵御恶意攻击
1. 杜绝弱口令,弱口令是最容易出现的也是最容易被利用的漏洞。
2. 为所有服务配置强密码,要求至少 8 个字符以上,包含大小写字母、数字、特殊符号,并且要不定时更新口令。
3. Web 应用系统,必须使用强密码安全策略和验证码,防止暴力破解和撞库。
4. 数据库系统(Redis、MongoDB、MySQL、MSsql Server)禁止使用弱密码或无密码。
5. 增强安全策略,使用多因素验证机制(MFA)、强制密码安全策略(如:锁定策略),和审计功能(异常告警)。
6. 使用虚拟专有网络(VPC),隔离企业内部不同安全级别的云主机,避免同网络环境下一台服务器被入侵后影响到其它云主机。
7. 在 VPC 中使用 NAT 提供上网服务,禁止云主机直接绑定公网 IP,直接绑定公网 IP 会导致云主机完全暴露在互联网遭受攻击入侵。
8. 对互联网提供服务,通过负载均衡(LB)将需要开放对外的端口(如:80,443)代理到后端的应用服务,并将对外服务放置在独立的子网中。
9. 防火墙隔离(安全组)是云上的主要网络安全隔离手段,通过安全组设置在网络层过滤服务器的访问行为,限定服务器对外/对内的的端口访问,授权访问地址,从而减少攻击面,保护服务器的安全。
10. 高危网络端口,开启的服务端口越多越不安全。只对外开放提供服务的必要端口,禁止将 RDP、SSH、Redis、MongoDB、MySQL、MSsql 等高危服务直接暴露在互联网上。
版权声明: 本文为 InfoQ 作者【明亮】的原创文章。
原文链接:【http://xie.infoq.cn/article/8912e4685d71c754706292bb2】。
本文遵守【CC-BY 4.0】协议,转载请保留原文出处及本版权声明。
评论