世界上隻有兩種人:知道自己被黑的,不知道自己被黑的。
—— 資訊安全圈名言
被黑,其實和世界上的大多數事情一樣,也是灰階漸變的,黑客從擷取外圍的權限到拿下整個系統的控制權一般都要經過多個步驟,包括:
- 偵查與資訊收集:偵查目标,包括利用社會工程學了解目标。
- 制作與選擇攻擊工具:針對目标編寫或選擇現成的工具。
- 傳送工具:将攻擊工具傳輸到目标系統上,包括利用站點的上傳漏洞等。
- 觸發工具:利用目标系統的漏洞觸發執行攻擊工具。
- 控制目标:在目标上建立遠端控制通道。
- 執行活動:執行需要的攻擊行為,包括擷取資訊、進一步擴大權限等。
- 保留據點:建立據點,為後續攻擊提供便利。
這個過程被稱為攻擊鍊,從傳送工具開始,被“黑”的程序就已經開始了,後續的步驟環環相扣,假如在此過程中能夠及時的發現攻擊行為進行阻斷就能挫敗此次攻擊。雲安全中心和雲防火牆就是斬斷攻擊鍊的兩柄利器。今天就讓我們來聊聊它們的部署要點。
第一個要點,功能定位
阿裡雲官網,有關雲安全中心的功能描述如下:
雲安全中心是一個實時識别、分析、預警安全威脅的統一安全管理系統,通過防勒索、防病毒、防篡改、合規檢查等安全能力,
幫助使用者實作威脅檢測、響應、溯源的自動化安全營運閉環,保護雲上資産和本地主機并滿足監管合規要求。
是以千萬不要把雲安全中心隻當成一個防毒軟體來看待,雲安全中心的威脅檢測、響應、溯源自動化對于及時的發現并阻斷入侵鍊具有關鍵作用。雲安全中心其實更像一個主機IDS而不是一個防毒軟體。
雲防火牆在阿裡雲官網的描述如下:
SAAS化雲原生防火牆,全面梳理雲上資産的網際網路暴露和風險情況,一鍵防護;IPS虛拟更新檔可智能防禦高危漏洞;內建威脅情報,支援阻斷主動外聯行為、業務間通路關系可視,網絡流量審計,等保必備。
假如你隻需要一個防火牆,其實免費的安全組已經足夠了,雲防火牆的價值主要展現在IPS虛拟更新檔以及發現并阻斷主動外聯行為。攻擊者在控制目标階段,通常情況下都會發起主動外聯,是以相對于防火牆,我覺得雲防火牆更适合作為一個網絡IPS來使用。
第二個要點,授權粒度
在購買安全中心時,有一個要點是購買的授權數必須大于目前賬号的保有ECS數量,假如ECS的數量要增加,要提前對雲安全中心進行擴容,增加授權數量。
另外,雲安全中心的附加功能包括日志存儲空間、防勒索存儲空間授權的對象都是整個阿裡雲賬号而不是單個ECS伺服器,假如配置了30GB的日志存儲空間,而目前雲賬号下的ECS數量為2,則兩台ECS将共享這30GB的日志空間,鑒于阿裡雲建議為每台ECS配置30G日志存儲空間,是以最好擴容日志存儲到60GB。雲安全中心的授權範圍是整個阿裡雲賬号。
雲防火牆的授權可細化到單個VPC,假如目前賬号下有兩個VPC,而隻有一個網際網路防火牆授權可用,就可以在雲防火牆控制台選擇為哪一個VPC開通網際網路防火牆。在雲防火牆的企業版、旗艦版中還有VPC防火牆的功能,也可以根據需要在不同的VPC之間進行開通。
第三個要點,預設安全
雲安全中心和雲防火牆都屬于“預設安全”服務,在阿裡雲上的所有ECS伺服器無論是否購買雲安全中心服務都會預設安裝阿裡雲的雲安全中心用戶端,當然除非在購買ECS時明确的取消安裝安全加強服務。
雲防火牆無需複雜的配置即可對伺服器提供安全防護,隻需要在防火牆開關界面“一鍵開通”即可對全部伺服器提供安全防護服務。
第四個要點,運維建議
籬笆壞了就要趕緊補好,雲安全中心上的報警資訊要時刻關注,除了可以設定短信和郵件報警外還可以設定釘釘機器人自動發送資訊到釘釘群。當收到雲安全中心的預警時可以在第一時間登陸阿裡雲賬号使用雲防火牆的主動外聯活動監控功能對主動外聯行為進行監控,并對可疑的主動外聯行為進行封禁,雲防火牆支援按域名對外聯通路進行開通或者封禁,可以通過外聯白名單的方式隻對指定的系統更新,業務合作方的域名開通主動外聯。
假如雲安全中心的版本是企業版還支援攻擊溯源的功能,對攻擊行為進行關聯分析,可以更快速的定位和修複漏洞。
以上就是我對雲安全中心和雲防火牆的一些建議,希望對大家有用。
![Python 搭建一個簡易QQ機器人[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)