云服务滥用安全防范

一、背景

云计算服务因易获取、低成本、可靠性等优势，使得越来越多的个人、企业选择使用云服务，由于注册验证过程不严格、促销或免费试用、错误的配置和漏洞等原因，导致云资源被恶意攻击者滥用，网络安全法的出台以及各行业标准的要求，云运营商需要对服务滥用的行为进行识别和阻断。

二、云服务滥用原因

• 云服务不安全部署：身份密码的泄漏、系统或应用漏洞、身份劫持。

• 利用云服务身份验证漏洞，从事非法活动：伪造、冒用他人身份注册并获取服务。

• 支付漏洞，促销、免费试用活动具有漏洞，黑产从业者抢购大量廉价云计算资源。

三、云服务滥用行为

常见的滥用行为包括：

• 分布式拒绝服务攻击（DDoS）

• 违法内容传播（黄反赌毒暴恐政）

• 远程暴力破解（RDP、SSH、Mysql、FTP、Web）

• 恶意软件，木马传播

• 数字货币挖矿采矿

• 电子邮件垃圾邮件

• 网络钓鱼攻击活动

CNCERT 的抽样监测结果显示：

• 针对境内目标 IP 的 DDoS 攻击中 80.1%的攻击来源为国内云服务提供商；

• C2 远程控制端 IP 中约 59%为国内云服务提供商 IP；

• 对外植入网站后门的 IP 中约 39.4%的境内 IP 来源于国内云服务提供商；

四、做好安全防范，抵御恶意攻击

1. 杜绝弱口令，弱口令是最容易出现的也是最容易被利用的漏洞。

2. 为所有服务配置强密码，要求至少 8 个字符以上，包含大小写字母、数字、特殊符号，并且要不定时更新口令。

3. Web 应用系统，必须使用强密码安全策略和验证码，防止暴力破解和撞库。

4. 数据库系统（Redis、MongoDB、MySQL、MSsql Server）禁止使用弱密码或无密码。

5. 增强安全策略，使用多因素验证机制（MFA）、强制密码安全策略（如：锁定策略），和审计功能（异常告警）。

6. 使用虚拟专有网络（VPC），隔离企业内部不同安全级别的云主机，避免同网络环境下一台服务器被入侵后影响到其它云主机。

7. 在 VPC 中使用 NAT 提供上网服务，禁止云主机直接绑定公网 IP，直接绑定公网 IP 会导致云主机完全暴露在互联网遭受攻击入侵。

8. 对互联网提供服务，通过负载均衡（LB）将需要开放对外的端口（如：80，443）代理到后端的应用服务，并将对外服务放置在独立的子网中。

9. 防火墙隔离（安全组）是云上的主要网络安全隔离手段，通过安全组设置在网络层过滤服务器的访问行为，限定服务器对外/对内的的端口访问，授权访问地址，从而减少攻击面，保护服务器的安全。

10. 高危网络端口，开启的服务端口越多越不安全。只对外开放提供服务的必要端口，禁止将 RDP、SSH、Redis、MongoDB、MySQL、MSsql 等高危服务直接暴露在互联网上。