數棧是雲原生—站式資料中臺PaaS，我們在github和gitee上有一個有趣的開源專案： FlinkX，記得給我們點個 star！star！star！

github開源專案：

FlinkX是一個基於Flink的批流統一的資料同步工具，既可以採集靜態的資料，比如MySQL，HDFS等，也可以採集實時變化的資料，比如MySQL binlog，Kafka等，是全域、異構、批流一體的資料同步引擎，大家如果有興趣，歡迎來github社群找我們玩~

客戶是負責國家級新媒體產品的設計、研發、維護等工作，重點打造APP、移動報導指揮系統、全媒體聚合平臺、新媒體專線等融媒體產品。因公安部要求，需在“2020年兩會期間”做好系統的安全保障工作，我方重點保障客戶APP系統的安全性，並做好相關應急預案，確保整個系統在兩會召開期間能正常安全穩定執行。

袋鼠雲運維服務團隊應客戶需求，制定了安全護航專項方案，具體方案如下：

一、安全護航準備

護航準備期間主要目的是透過內部自查的方式來了解自身安全現狀、主動發現安全風險、提高安全防護能力、完善安全監控、減少被攻擊面。袋鼠雲採取了以下措施：

（一） 網路安全架構梳理

發現未受安全保護的區域，然後對其進行加固，加固後的網路安全架構示意圖如下：

DNS解析：使用DNSPod提供解析服務，該解析平臺擁有200G的DNS攻擊防護能力，並開通賬號雙因子認證登入功能，嚴防域名被惡意篡改。
網際網路區域：在公網入口增加DDOS高防和WAF產品提高防護能力。本次護航中我們使用可抵禦300 Gbps 攻擊防護的DDoS高防IP，來抵禦網際網路伺服器遭受大流量的DDoS攻擊；使用Web應用防火牆來防禦SQL隱碼攻擊、XSS跨站指令碼、常見Web伺服器外掛漏洞、木馬上傳、非授權核心資源訪問等OWASP常見攻擊，並過濾惡意CC攻擊，避免網站資產資料洩露，保障網站的安全與可用性。同時在公網SLB上只授權允許WAF回源流量進行訪問。

（二）資產梳理

對直接暴露在網際網路下的資產進行嚴格防護。梳理過程中發現有部分ECS伺服器使用EIP方式直接訪問公網，屬於高風險區域。我們提供的解決方案是取消這些伺服器的EIP，使用NAT閘道器出公網，遮蔽伺服器直接暴露於公網。

（三）全面基線自查

對伺服器/資料庫賬號、口令、許可權、策略、日誌、漏洞、操作安全等項進行核查加固。此次護航中我們透過堡壘機來進行賬號的最小化授權管控與審計，透過雲安全中心來實時監測基線、漏洞，對異常告警及時修復。

（四）安全策略最佳化

對安全組、RDS白名單、RAM訪問策略、OSS訪問策略等進行梳理。對無策略限制或者策略開放範圍過大的ip進行最佳化，做到最小化授權。

（五）資料保護

對資料庫資料配置自動備份策略，每日定時備份資料。對ECS伺服器設定好自動快照策略，定時快照以防止勒索病毒帶來的巨大損失。

（六）組建應急小組

為了在面臨網路攻擊時能快速響應，啟動應急預案排程技術人員，在護航期間臨時成立應急小組。

（七）全面的安全監控

對網際網路出/入口網路流量、業務訪問、伺服器漏洞基線、資料庫SQL等內容進行全面實時的監控預警，及時發現異常。

二、護航保障

護航期間，袋鼠雲組織安全團隊為客戶提供全過程的安全護航工作，期間提供每日安全巡檢、應急響應以及攻擊阻斷與策略最佳化相關工作。

每日安全巡檢主要檢視網際網路出/入流量、DDOS高防、WAF、SLB、雲安全中心等各個重要監控指標狀態有無異常，並對有異常的事件進行上報處理。

對安全預警實時響應通報並對攻擊事件進行分析研判，期間我們對大量的CC攻擊進行多次的策略最佳化工作對異常訪問進行精準訪問控制，及時封堵攻擊減輕攻擊帶來的業務影響。

護航結束後，我們對期間產生的CC攻擊、web入侵、異常掃描等攻擊進行彙總統計：兩會期間客戶系統總共遭受到700000000+次網路攻擊。透過實時的安全預警，及時地進行防護策略最佳化，所有攻擊均被成功攔截阻斷，未對業務造成損失，兩會安全護航圓滿結束。

隨著雲端計算行業的快速發展，雲上企業遭受的網路攻擊形式層出不窮，如果企業未建立全域的安全防護能力，沒有提升安全意識，遭受攻擊是在所難免的。袋鼠雲可為企業提供安全加固、滲透測試、漏洞掃描、應急響應、等保、安全管家等一站式安全服務，為企業雲上安全保駕護航！