如何在阿里雲從零搭建一個防入侵體系

安全didi發表於2017-03-29

在阿里雲從零搭建一個防入侵體系


安全已經成為雲端計算技術體系中重要組成部分,如果上雲後不考慮安全防護措施被入侵的可能性幾乎是100%。阿里雲提倡安全責任共擔模型,阿里雲負責雲平臺基礎安全防護,使用者負責虛擬化層以上的元件安全。本課程就是教會大家如何利用阿里雲提供的各種安全產品在虛擬化層之上搭建一套基礎的防入侵體系,包括網路安全、主機安全、應用安全和安全監控四個基礎安全產品。


準備工作



安全組


安全組:安全組是阿里雲提供的分散式虛擬化防火牆,具備狀態檢測包過濾功能。安全組是一個邏輯上的分組,這個分組是由同一個地域(Region)內具有相同安全保護需求並相互信任的例項組成。使用安全組可設定單臺或多臺雲伺服器的網路訪問控制,它是重要的網路安全隔離手段,用於在雲端劃分網路安全域。


場景設計:新建安全組,通過不同策略驗證SSH登入情況


實驗步驟

1、新建安全組X,組內規則初始為空

640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=


2、建立VM A,指定所屬安全組X,使用事先準備好的VM映象

640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=

3、預設狀態下,驗證從公網ssh連線VM失敗

640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=

640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=


4、新增公網安全組規則允許公網ssh訪問

640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=


5、驗證公網ssh到VM成功

640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=


產品細節說明

1、業務限制

640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=


2、規則介紹

640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=



安騎士(專業版,半年)


安騎士:執行在伺服器上的輕量級外掛,通過與雲端的大資料威脅情報庫聯動,提供伺服器整體的高危風險檢查、實時入侵告警、一鍵漏洞修復等功能;


基本架構

640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=

           

                  

實驗步驟


1、進入安騎士控制檯並完成專業版的購買


點選進入 安騎士控制檯,點選左側導航欄中的“伺服器列表”,為了方便演示,我們已經幫使用者購買了1臺ECS,並且在ECS上都部署了安騎士的agent,此時可以看到當前的安騎士處於“線上狀態”。點選右上角“購買付費版”,選擇專業版1個授權數,下單並完成付款(當前已經給賬號發放了相應的代金券,不需要真實付款)

          

購買前:

640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=


購買後:

640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=



2、使用基線檢查進行 “賬戶安全”檢測


通過列表中的伺服器IP前面的核取方塊,選住需要檢測的伺服器,並點選批量操作欄的“手動檢測”,選擇“系統賬戶安全檢測”,並點選確定開始檢測

 

640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=

       

開始後,看到顯示“檢測中,預計X分鐘結束”,此時我們操作欄的“檢視詳情”,進入詳情頁面

640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=

        

稍等一會,檢測結束,檢測結果出來了,發現了4個異常,分別如下

640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=


密碼強度位數不夠、密碼過期提醒時間未設定、密碼強制過期時間太長、存在一個可疑的黑客賬號


3、重複步驟2,分別完成“可疑程式檢測”、“高危漏洞檢測”、“可疑自啟動項”檢測


4、設定“週期檢測”策略,自動化完成安全監控

進入安騎士控制檯 – 設定 – 頁面,選擇,基線檢查週期配置,點選“新增”

可自定義策略名稱、時間、專案、對應的伺服器,開啟週期檢測

儲存設定,系統將會在指定的時間排程指定的檢測項,有異常結果將會進行通知和告警

640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=


        

5、實驗完畢。

您可以結合自身業務特徵,嘗試更多的檢測專案,同時可以嘗試我們其他的功能,木馬查殺、登入安全、補丁管理等,歡迎隨時與我們交流。


態勢感知(企業版,一年)


態勢感知:大資料安全分析平臺,通過收集企業20種原始日誌和網路空間威脅情報,利用機器學習還原已發生的攻擊,並預測未發生的攻擊;


基本架構

640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=

                            

實驗步驟


1、進入態勢感知控制檯並完成企業版的購買


點選進入 態勢感知控制檯,點選“升級”按鈕進行升級,為了方便演示,我們已經幫使用者態勢感知企業版進行演示。


進入態勢感知控制檯,進行接下來的安全試驗


2、使用“設定”功能,對雲上的全部資產(ECS+RDS)進行告警配置,如郵件收件人配置,手機簡訊告警配置


進入導航,前往“設定”導航選單,進行具體的告警配置,並可配置《每日安全日報》的郵件收件人

640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=



提供了緊急事件,攻擊事件,漏洞事件,情報事件共4個大型別的告警,每個大型別又包含各種小類安全事件的告警配置

640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=


點選選擇不同的告警事件,進行郵件和簡訊告警

640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=




4、進入“攻擊”導航內,對攻擊事件進行告警處理,以及檢視攻擊型別

進入態勢感知控制檯 – 威脅 – 攻擊頁面

640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=



態勢感知提供了應用攻擊,主機暴力破解攻擊等功能,這裡我們可以著重看下應用攻擊

640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=


可檢視攻擊的型別,攻擊方式,攻擊應用等功能

640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=


5、實驗完畢。


WAF(企業版,一個月)


WAF:WAF採用反向代理的接入架構,通過修改防護域名的DNS解析到WAF而將流量牽引到WAF,通過各種防護模組過濾掉惡意流量後,再把正常請求轉發回源站。防護架構如下:

640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=


配置接入WAF

登入阿里雲控制檯,找到雲盾->Web應用防火牆->域名配置,輸入相關的域名及源站資訊,並點選“新增域名”按鈕:

640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=


支援配置泛域名,如*.aliyundemo.cn,可以匹配相關的二級域名。當同時配置泛域名和精確域名時,轉發和防護策略匹配順序以精確域名優先如果有HTTPS站點,務必勾選HTTPS,同時建議勾選HTTP,以應對HTTP跳轉等問題,同時需要在稍後上傳源站證書和金鑰(實驗中我們只勾選HTTP)源站IP可以支援最多20個,WAF會做負載均衡和健康檢查,詳情見“源站IP負載均衡”


如WAF前面還有CDN、高防等七層代理,務必勾選“是否已使用代理”,這樣才能取到客戶端真實IP,不然看到的都是上一級代理的IP新增好域名後,會彈出選擇解析方式的彈窗,為了更好的演示接入原理,這裡選擇手動修改:

640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=


配置好域名後,WAF會自動分配給當前域名一個CNAME,可點選域名資訊來檢視:

640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=



接下來我們登入萬網控制檯,找到對應域名的“域名解析”->“解析設定”,正常情況下會有已經存在的一些解析,如下圖:

640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=


接下來需要將記錄型別改成CNAME,記錄值改成WAF控制檯提供的CNAME,如下圖:

640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=


開啟日誌檢索


在剛配置好的域名->業務狀態中,找到日誌檢索並開啟:

640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=


配置並體驗精準防護規則

精準訪問控制規則允許使用者基於HTTP頭部的各個欄位自由組合各種訪問控制規則:

640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=



找到防護域名,點選“防護配置”,進入“精準訪問控制規則”即可配置。您可以自由嘗試各種條件,匹配的內容大小寫不敏感,匹配按照從上到下的優先順序。詳細的配置方式請參考這裡:https://help.aliyun.com/document_detail/42780.html


配置好後一般3分鐘內即可生效,您可以手動構造一些請求來驗證防護效果,如果匹配中攔截,預期訪問會被WAF攔截並彈出405攔截頁面:

640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=


同時,您也可以在日誌檢索中看一下攔截的具體請求,以及匹配中訪問控制規則的情況:

640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=


相關文章