针对《等保2.0》要求的云上最佳实践——网络安全篇
名詞解釋
區(qū)域(Region)
阿里云上的網(wǎng)絡(luò)區(qū)域通常是以層次化的方式由外部向內(nèi)部進行劃分的,概括來說,通常會有三個層級的網(wǎng)絡(luò)區(qū)域結(jié)構(gòu):
第一層級(物理區(qū)域):地域與可用區(qū)
地域是指物理的數(shù)據(jù)中心。用戶可以根據(jù)目標用戶所在的地理位置選擇地域。而可用區(qū)是指在同一地域內(nèi),電力和網(wǎng)絡(luò)互相獨立的物理區(qū)域。在同一地域內(nèi)可用區(qū)與可用區(qū)之間內(nèi)網(wǎng)互通,可用區(qū)之間能做到故障隔離。
地域與可用區(qū)的配置和運維由阿里云負責(zé),對于最終用戶而言,僅需要選擇合適的地域或可用區(qū)部署資源,運行云上業(yè)務(wù)即可。
第二層級(邏輯網(wǎng)絡(luò)區(qū)域):虛擬專有網(wǎng)絡(luò)VPC
虛擬專有網(wǎng)絡(luò)VPC以虛擬化網(wǎng)絡(luò)的方式提供給客戶,是每個客戶獨有的云上私有網(wǎng)絡(luò)區(qū)域。云租戶可以完全掌控自己的專有網(wǎng)絡(luò),例如選擇IP地址范圍、配置路由表和網(wǎng)關(guān)等,也可以在自己定義的專有網(wǎng)絡(luò)中使用阿里云資源,如云服務(wù)器、云數(shù)據(jù)庫RDS版和負載均衡等。
對于客戶而言,虛擬專有網(wǎng)絡(luò)VPC是云上網(wǎng)絡(luò)配置的第一步,也是真正意義上的云上組網(wǎng)的開始。
第三層級(VPC內(nèi)部區(qū)域):子網(wǎng)與資源邊界
子網(wǎng)類似傳統(tǒng)網(wǎng)絡(luò)中的VLAN,是通過虛擬交換機(VSwitch)提供的,用來連接不同的云資源實例。而云資源則是通過虛擬網(wǎng)卡的方式進行網(wǎng)絡(luò)互聯(lián),也是目前云上最小顆粒度的資源邊界。
——三層網(wǎng)絡(luò)架構(gòu)參考圖
邊界
基于阿里云上三個層級的網(wǎng)絡(luò)區(qū)域,自然也就形成了云上三道網(wǎng)絡(luò)邊界,也就是網(wǎng)絡(luò)安全中常見的“層次化防御”的推薦架構(gòu):
第一邊界:互聯(lián)網(wǎng)邊界(南北向流量)
云上業(yè)務(wù)如果對互聯(lián)網(wǎng)開放,或是需要主動訪問互聯(lián)網(wǎng),那流量必定會穿過阿里云與互聯(lián)網(wǎng)的邊界,也就是云上網(wǎng)絡(luò)的第一道邊界——互聯(lián)網(wǎng)邊界。對于該類流量,我們通常稱之為南北向流量,針對這類流量的防護,在等保中有明確的要求。由于存在流量主動發(fā)起方的區(qū)別,防護的重點一般也會區(qū)分由外向內(nèi)和由內(nèi)向外的不同流量類型。
第二邊界:VPC邊界(東西向流量)
VPC是云上最重要的網(wǎng)絡(luò)隔離單元,客戶可以通過劃分不同的VPC,將需要隔離的資源從網(wǎng)絡(luò)層面分開。但同時,由于業(yè)務(wù)的需要,部分流量又可能需要在VPC間傳輸,或是通過諸如專線,VPN,云連接網(wǎng)等方式連接VPC,實現(xiàn)VPC間應(yīng)用的互訪。因此,如何實現(xiàn)跨VPC邊界流量的防護,也是云上網(wǎng)絡(luò)安全很重要的一環(huán)。
第三邊界:云資源邊界(微隔離流量)
由于VPC已經(jīng)提供了很強的隔離屬性,加上類似安全組的細顆粒度資源級管控能力,通常在VPC內(nèi)部不建議再進行過于復(fù)雜的基于子網(wǎng)的隔離管控,通常會使用安全組在資源邊界進行訪問控制。如果客戶需要更精細化的VPC內(nèi)子網(wǎng)隔離,也可以使用網(wǎng)絡(luò)ACL功能進行管控。
——云上三層網(wǎng)絡(luò)邊界示意圖
從等級保護要求看云上網(wǎng)絡(luò)防護重點
以下內(nèi)容基于《等保2.0》中有關(guān)網(wǎng)絡(luò)安全的相關(guān)要求展開,為客戶提供阿里云上相關(guān)最佳實踐。
等保類目:安全通信網(wǎng)絡(luò)——網(wǎng)絡(luò)架構(gòu)
網(wǎng)絡(luò)設(shè)備業(yè)務(wù)處理能力
- 防護要求:應(yīng)保證網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力滿足業(yè)務(wù)高峰期需要
- 最佳實踐:
通常,對可用性要求較高的系統(tǒng),網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力不足會導(dǎo)致服務(wù)中斷,尤其對于傳統(tǒng)IDC的網(wǎng)絡(luò)架構(gòu)和設(shè)備而言,由于無法快速水平擴展(物理架構(gòu)限制),或是成本等相關(guān)原因,需要企業(yè)預(yù)留大量的網(wǎng)絡(luò)資源,以滿足業(yè)務(wù)高峰期的需要,但在日常使用過程中則會產(chǎn)生大量的浪費。對于這一點,上云就很好的解決了這個問題,無論是業(yè)務(wù)帶寬的彈性伸縮,或是阿里云上諸如云防火墻等網(wǎng)絡(luò)安全類設(shè)備的動態(tài)水平擴容能力,都能很好地解決傳統(tǒng)網(wǎng)絡(luò)和安全所存在的限制,并大大降低企業(yè)的日常網(wǎng)絡(luò)運行成本。
- 基礎(chǔ)網(wǎng)絡(luò)能力:虛擬專有網(wǎng)絡(luò)VPC、彈性公網(wǎng)地址EIP、負載均衡SLB、網(wǎng)絡(luò)地址轉(zhuǎn)換NAT
- 擴展防護能力:云防火墻、云WAF、DDoS防護
網(wǎng)絡(luò)區(qū)域劃分
- 防護要求:應(yīng)劃分不同的網(wǎng)絡(luò)區(qū)域,并按照方便管理和控制的原則為各網(wǎng)絡(luò)區(qū)域分配地址
- 最佳實踐:
通常,對于云上的網(wǎng)絡(luò)區(qū)域劃分,建議客戶以VPC為顆粒度規(guī)劃,這是因為VPC能夠根據(jù)實際需要配置IP地址段,同時又是云上的基礎(chǔ)默認網(wǎng)絡(luò)隔離域。對于VPC的劃分,一般建議參考企業(yè)自身的組織架構(gòu),或是業(yè)務(wù)重要屬性進行網(wǎng)絡(luò)拆分。常見的劃分方式有:
- 按業(yè)務(wù)部門劃分(例如To?B業(yè)務(wù)、To?C業(yè)務(wù)等)
- 按傳統(tǒng)網(wǎng)絡(luò)分區(qū)劃分(DMZ區(qū)域、內(nèi)網(wǎng)區(qū)域等)
- 按使用屬性劃分(例如生產(chǎn)環(huán)境、開發(fā)測試環(huán)境等)
等保中有明確指出需要企業(yè)根據(jù)重要程度進行網(wǎng)絡(luò)區(qū)域劃分,同時,在同一VPC內(nèi)的子網(wǎng)間默認路由互通,因此一般建議客戶以VPC為顆粒度實現(xiàn)網(wǎng)絡(luò)分區(qū)。同時,由于部分業(yè)務(wù)的通信互聯(lián)需要,VPC間能夠通過云企業(yè)網(wǎng)(CEN)進行連通,在此基礎(chǔ)上也建議客戶使用阿里云防火墻的VPC隔離能力來實現(xiàn)VPC間的有效隔離。
- 基礎(chǔ)防護能力:虛擬專有網(wǎng)絡(luò)VPC、云企業(yè)網(wǎng)CEN、云防火墻
- 擴展網(wǎng)絡(luò)能力:高速通道、虛擬邊界路由器VBR
網(wǎng)絡(luò)訪問控制設(shè)備不可控
- 防護要求:應(yīng)避免將重要網(wǎng)絡(luò)區(qū)域部署在邊界處,重要網(wǎng)絡(luò)區(qū)域與其他網(wǎng)絡(luò)區(qū)域之間應(yīng)采取可靠的技術(shù)隔離手段
- 最佳實踐:
云上網(wǎng)絡(luò)的常見訪問控制設(shè)備有云防火墻、安全組、以及子網(wǎng)ACL。
云防火墻覆蓋互聯(lián)網(wǎng)邊界和VPC邊界,主要管控互聯(lián)網(wǎng)出和入向的南北向流量,以及跨VPC訪問(包括專線)的流量控制;
安全組作用于主機邊界,主要負責(zé)云資源邊界的訪問控制;
子網(wǎng)ACL主要實現(xiàn)對一個或多個VPC內(nèi)部子網(wǎng)流量的訪問控制,在有精細化訪問管控要求時可以使用。
上述服務(wù)均提供給云上客戶管理權(quán)限,能夠根據(jù)實際業(yè)務(wù)需要靈活進行ACL配置。
- 推薦防護能力:云防火墻、安全組、網(wǎng)絡(luò)ACL
互聯(lián)網(wǎng)邊界訪問控制
- 防護要求:應(yīng)避免將重要網(wǎng)絡(luò)區(qū)域部署在邊界處,重要網(wǎng)絡(luò)區(qū)域與其他網(wǎng)絡(luò)區(qū)域之間應(yīng)采取可靠的技術(shù)隔離手段。
- 最佳實踐:
在傳統(tǒng)IDC的網(wǎng)絡(luò)規(guī)劃中,通常會配置DMZ區(qū)用以隔離互聯(lián)網(wǎng)和內(nèi)網(wǎng)區(qū)域。在云端,同樣可以通過設(shè)置DMZ?VPC,來實現(xiàn)更高安全等級的網(wǎng)絡(luò)分區(qū),并結(jié)合云企業(yè)網(wǎng)的聯(lián)通性搭配云防火墻的隔離能力,將重要的生產(chǎn)或內(nèi)網(wǎng)區(qū)與互聯(lián)網(wǎng)區(qū)分隔開,避免高風(fēng)險區(qū)域內(nèi)的潛在網(wǎng)絡(luò)入侵影響企業(yè)的重要網(wǎng)絡(luò)區(qū)域。
同時,對于互聯(lián)網(wǎng)邊界,企業(yè)需要重點關(guān)注南北向的流量防護,對于暴露在互聯(lián)網(wǎng)上的網(wǎng)絡(luò)資產(chǎn),包括IP、端口、協(xié)議等信息,需要定期進行盤點,并配置針對性的訪問控制規(guī)則,來實現(xiàn)互聯(lián)網(wǎng)出入口的安全管控。
- 推薦防護能力:虛擬專有網(wǎng)絡(luò)VPC、云企業(yè)網(wǎng)CEN、云防火墻
不同區(qū)域邊界訪問控制
- 防護要求:應(yīng)避免將重要網(wǎng)絡(luò)區(qū)域部署在邊界處,重要網(wǎng)絡(luò)區(qū)域與其他網(wǎng)絡(luò)區(qū)域之間應(yīng)采取可靠的技術(shù)隔離手段。
- 最佳實踐:
客戶在上云初期,一般都會基于VPC進行網(wǎng)絡(luò)區(qū)域的規(guī)劃,對于不同區(qū)域的隔離與訪問控制,阿里云提供了非常靈活的方式。通常,VPC之間默認無法通信,不同的VPC如果需要互相訪問,可以通過高速通道實現(xiàn)點對點的通信,或是將多個VPC加入同一個云企業(yè)網(wǎng)(CEN)實現(xiàn)互通,后者對于客戶的配置和使用更為友好,也是更推薦的方式。在此基礎(chǔ)上,客戶能夠通過云防火墻提供的VPC邊界訪問控制,來對跨VPC的流量進行訪問管控,過程中不需要客戶手動更改路由,既簡化了路由的配置,又能通過統(tǒng)一的方式實現(xiàn)安全隔離管控。
同時,對于通過專線(虛擬邊界路由VBR)或VPN方式組建的混合云場景,或是管控來自辦公網(wǎng)的云上訪問,也能通過云防火墻在VPC邊界,通過分布式的方式實現(xiàn)統(tǒng)一訪問控制,保障核心區(qū)域內(nèi)的資源訪問可管可控。
- 推薦防護能力:虛擬專有網(wǎng)絡(luò)VPC、云防火墻、安全組
關(guān)鍵線路、設(shè)備冗余
- 防護要求:應(yīng)提供通信線路、關(guān)鍵網(wǎng)絡(luò)設(shè)備和關(guān)鍵計算設(shè)備的硬件冗余,保證系統(tǒng)的可用性。
- 最佳實踐:
阿里云提供的各類網(wǎng)絡(luò)和安全服務(wù),在設(shè)計初期,首要考慮的就是如何實現(xiàn)高可用架構(gòu)。無論是虛擬網(wǎng)絡(luò)服務(wù),諸如虛擬網(wǎng)絡(luò)VPC、負載均衡SLB或NAT網(wǎng)關(guān),還是安全類服務(wù),如云防火墻、云WAF或DDoS防護,都在硬件層面實現(xiàn)了冗余,并通過集群的方式提供服務(wù),滿足客戶云上關(guān)鍵業(yè)務(wù)對于網(wǎng)絡(luò)安全可用性的要求。
與此同時,當(dāng)客戶在進行網(wǎng)絡(luò)規(guī)劃和配置的過程中,還是需要對高可用架構(gòu)進行必要的設(shè)計,例如多可用區(qū)架構(gòu)、專線的主備冗余等,實現(xiàn)更高等級的通信鏈路保障。
- 基礎(chǔ)網(wǎng)絡(luò)能力:參考各阿里云網(wǎng)絡(luò)與安全產(chǎn)品高可用特性
等保類目:安全通信網(wǎng)絡(luò)——通信傳輸
傳輸完整性保護
- 防護要求:應(yīng)采用密碼技術(shù)保證通信過程中數(shù)據(jù)的完整性。
- 最佳實踐:
對于數(shù)據(jù)傳輸完整性要求較高的系統(tǒng),阿里云建議在數(shù)據(jù)傳輸完成后,進行必要的校驗,實現(xiàn)方式可采用消息鑒別碼(MAC)或數(shù)字簽名,確保數(shù)據(jù)在傳輸過程中未被惡意篡改。
- 推薦防護能力:客戶業(yè)務(wù)實現(xiàn)
傳輸保密性保護
- 防護要求:應(yīng)采用密碼技術(shù)保證通信過程中數(shù)據(jù)的保密性。
- 最佳實踐:
數(shù)據(jù)傳輸過程中的保密性保護,根據(jù)業(yè)務(wù)類型通常會分為通道類連接和網(wǎng)站類訪問。
對于通道類連接,阿里云提供了VPN網(wǎng)關(guān)服務(wù),幫助客戶快速搭建加密通信鏈路,實現(xiàn)跨區(qū)域的互聯(lián)。對于網(wǎng)站類的訪問,阿里云聯(lián)合了中國及中國以外地域的多家數(shù)字證書頒發(fā)機構(gòu),在阿里云平臺上直接提供數(shù)字證書申請和部署服務(wù),幫助客戶以最小的成本將服務(wù)從HTTP轉(zhuǎn)換成HTTPS,保護終端用戶在網(wǎng)站訪問過程中的通信安全。
- 推薦防護能力:VPN網(wǎng)關(guān)、SSL/TLS證書
等保類目:安全區(qū)域邊界——邊界防護
互聯(lián)網(wǎng)邊界訪問控制
- 防護要求:應(yīng)保證跨越邊界的訪問和數(shù)據(jù)流通過邊界設(shè)備提供的受控接口進行通信
- 最佳實踐:
對于由互聯(lián)網(wǎng)側(cè)主動發(fā)起的訪問,如果是網(wǎng)站類的業(yè)務(wù),一般建議企業(yè)配置云WAF來進行有針對性的網(wǎng)站應(yīng)用防護,并搭配云防火墻,實現(xiàn)全鏈路的訪問控制;對于非網(wǎng)站類的入云業(yè)務(wù)流量,包括遠程連接、文件共享、開放式數(shù)據(jù)庫等,客戶能夠通過云防火墻在公網(wǎng)EIP維度進行有針對性的開放接口統(tǒng)計與防護。
對于由云內(nèi)部主動發(fā)起的向互聯(lián)網(wǎng)的外聯(lián),建議企業(yè)基于云防火墻提供的出云方向ACL,同樣在EIP維度進行基于白名單的訪問控制,將外聯(lián)風(fēng)險降到最低。
- 推薦防護能力:云防火墻、云WAF
網(wǎng)絡(luò)訪問控制設(shè)備不可控
- 防護要求:應(yīng)保證跨越邊界的訪問和數(shù)據(jù)流通過邊界設(shè)備提供的受控接口進行通信;
- 最佳實踐:
參考【安全通信網(wǎng)絡(luò)——網(wǎng)絡(luò)架構(gòu)】章節(jié)中的最佳實踐,同時,部分云上PaaS服務(wù)也提供了類似的訪問控制能力,如負載均衡SLB、對象存儲OSS、數(shù)據(jù)庫服務(wù)RDS,客戶能夠根據(jù)實際使用情況進行配置。
- 基礎(chǔ)網(wǎng)絡(luò)能力:參考各阿里云網(wǎng)絡(luò)產(chǎn)品
- 推薦防護能力:云防火墻、安全組、云WAF、網(wǎng)絡(luò)ACL
違規(guī)內(nèi)聯(lián)檢查措施
- 防護要求:應(yīng)能夠?qū)Ψ鞘跈?quán)設(shè)備私自連接到內(nèi)部網(wǎng)絡(luò)的行為進行檢查或限制;
- 最佳實踐:
客戶在云上的內(nèi)部網(wǎng)絡(luò),通常會部署內(nèi)部應(yīng)用服務(wù)器或數(shù)據(jù)庫等重要數(shù)據(jù)資產(chǎn)。對于向內(nèi)部網(wǎng)絡(luò)發(fā)起連接的行為,一般會經(jīng)由互聯(lián)網(wǎng)(南北向)通道或?qū)>€及VPC(東西向)通道。
對于來自互聯(lián)網(wǎng)的網(wǎng)絡(luò)連接,一般建議客戶在邊界EIP上進行網(wǎng)絡(luò)流量的檢查。客戶能夠通過云防火墻提供的深度包檢測(DPI)能力,分析來源IP和訪問端口等信息,識別出潛在的異常連接行為,并通過配置有針對性的訪問控制策略,實現(xiàn)違規(guī)流量的阻斷。
對于東西向的流量,通常是由企業(yè)IDC或辦公網(wǎng)發(fā)起的,尤其是辦公網(wǎng),除了能夠在云下邊界部署上網(wǎng)行為管理等服務(wù)外,也能夠利用云防火墻提供的VPC邊界管控能力,識別異常訪問流量,并針對性的進行特定IP或端口的封禁。
- 推薦防護能力:云防火墻
違規(guī)外聯(lián)檢查措施
- 防護要求:應(yīng)能夠?qū)?nèi)部用戶非授權(quán)連接到外部網(wǎng)絡(luò)的行為進行檢查或限制;
- 最佳實踐:
對于由內(nèi)部網(wǎng)絡(luò)主動向外部發(fā)起訪問的行為,能夠通過云防火墻提供的主動外連識別能力進行檢測。對于所有跨邊界的出云方向網(wǎng)絡(luò)流量,云防火墻會分析流量的訪問目標,結(jié)合阿里云威脅情報能力,一旦發(fā)現(xiàn)連接目的是惡意IP或域名,會立刻觸發(fā)告警,提醒客戶檢查網(wǎng)絡(luò)訪問行為是否存在異常,并建議客戶對確認為惡意的流量通過配置ACL的方式進行阻斷。
同時阿里云安全中心通過在主機層面進行入侵檢測,也能夠發(fā)現(xiàn)違規(guī)的外聯(lián)進程,并進行有針對性的阻斷和告警提示,幫助客戶進行惡意風(fēng)險的溯源。
- 推薦防護能力:云防火墻、云安全中心
等保類目:安全區(qū)域邊界——訪問控制
互聯(lián)網(wǎng)邊界訪問控制
- 防護要求:應(yīng)在網(wǎng)絡(luò)邊界或區(qū)域之間根據(jù)訪問控制策略設(shè)置訪問控制規(guī)則,默認情況下除允許通信外受控接口拒絕所有通信;
- 最佳實踐:
“除允許通信外受控接口拒絕所有通信”,即網(wǎng)絡(luò)安全中的“白名單”概念,需要客戶配置類似如下的訪問控制策略,實現(xiàn)網(wǎng)絡(luò)暴露面的最小化:
優(yōu)先級 | 訪問源 | 訪問目的 | 端口 | 協(xié)議 | 行為 |
高 | 特定IP(段) | 特定IP(段) | 指定端口 | 指定協(xié)議 | 拒絕 |
中 | 特定IP(段) | 特定IP(段) | 指定端口 | 指定協(xié)議 | 允許 |
默認 | 所有(ANY) | 所有(ANY) | 所有(ANY) | 所有(ANY) | 拒絕 |
無論是互聯(lián)網(wǎng)邊界,或是VPC區(qū)域邊界,都可以通過阿里云防火墻實現(xiàn)上述訪問控制的配置和管理。阿里云防火墻作為云原生SaaS化防火墻,與傳統(tǒng)防火墻不同,在客戶開啟過程中,不需要客戶進行任何網(wǎng)絡(luò)架構(gòu)的調(diào)整,并且訪問策略會優(yōu)先保障客戶在線業(yè)務(wù)的正常運行。在日常使用過程中,建議客戶根據(jù)實際業(yè)務(wù)流量,通過配置“觀察”行為類型的規(guī)則,在不中斷業(yè)務(wù)的前提下進行流量分析,逐步完善并添加相應(yīng)的“允許”類訪問控制規(guī)則,最終完成默認“拒絕”規(guī)則的上線,在業(yè)務(wù)平滑過渡的過程中實現(xiàn)邊界訪問的收口;而對于新上云的客戶,則建議在初期就配置訪問控制“白名單”規(guī)則,加強網(wǎng)絡(luò)安全管控。
- 推薦防護能力:云防火墻
等保類目:安全區(qū)域邊界——入侵防范
外部網(wǎng)絡(luò)攻擊防御
- 防護要求:應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點處檢測、防止或限制從外部發(fā)起的網(wǎng)絡(luò)攻擊行為;
- 最佳實踐:
云上常見的網(wǎng)絡(luò)攻擊,根據(jù)攻擊類型和所需防護的資產(chǎn),一般分為網(wǎng)絡(luò)入侵行為、針對網(wǎng)站的攻擊和海量分布式攻擊(DDoS攻擊)。
對于云上暴露資產(chǎn)的入侵檢測和防御,阿里云防火墻通過提供網(wǎng)絡(luò)入侵檢測和防御(IDPS)能力,幫助客戶在互聯(lián)網(wǎng)邊界和VPC邊界防范惡意外部入侵行為,并通過提供虛擬補丁的方式,為云上客戶在網(wǎng)絡(luò)邊界實現(xiàn)針對遠程可利用漏洞的虛擬化防御,幫助客戶提升整體網(wǎng)絡(luò)安全防御水平和應(yīng)急響應(yīng)能力。
而對于在云上開展網(wǎng)站類業(yè)務(wù)的客戶,阿里云提供了Web應(yīng)用防火墻的防護能力,對網(wǎng)站或者APP的業(yè)務(wù)流量進行惡意特征識別及防護,避免網(wǎng)站服務(wù)器被惡意入侵,保障業(yè)務(wù)的核心數(shù)據(jù)安全,解決因惡意攻擊導(dǎo)致的服務(wù)器性能異常問題。
針對DDoS攻擊,阿里云為云上客戶提供了DDoS防護的能力,在企業(yè)遭受DDoS攻擊導(dǎo)致服務(wù)不可用的情況下,使用阿里云全球DDoS清洗網(wǎng)絡(luò),通過秒級檢測與AI系統(tǒng),幫助云上客戶緩解攻擊,保障業(yè)務(wù)穩(wěn)定運行。
- 推薦防護能力:云防火墻、云WAF、DDoS防護
內(nèi)部網(wǎng)絡(luò)攻擊防御
- 防護要求:應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點處檢測、防止或限制從內(nèi)部發(fā)起的網(wǎng)絡(luò)攻擊行為;
- 最佳實踐:
對于內(nèi)部發(fā)起的網(wǎng)絡(luò)攻擊行為,如果發(fā)生在云端,一般是由于云資源已經(jīng)被成功入侵導(dǎo)致。此時,除了使用阿里云安全中心進行資源(例如主機或容器)維度的應(yīng)急響應(yīng)和防御外,同時能夠使用云防火墻,加固不同VPC區(qū)域之間的安全隔離,并在允許的通信鏈路上對網(wǎng)絡(luò)流量進行持續(xù)的網(wǎng)絡(luò)入侵檢測防御(IPS),將網(wǎng)絡(luò)攻擊的影響范圍降到最小,限制網(wǎng)絡(luò)攻擊行為,同時便于后期進行調(diào)查取證和攻擊分析。
- 推薦防護能力:云防火墻、云安全中心
等保類目:安全區(qū)域邊界——惡意代碼和垃圾郵件防范
惡意代碼防范措施
- 防護要求:應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點處對惡意代碼進行檢測和清除,并維護惡意代碼防護機制的升級和更新
- 最佳實踐:
對于阿里云上的惡意代碼防護,通常建議客戶在資源層面通過云安全中心實現(xiàn)防護,同時利用云防火墻在網(wǎng)絡(luò)層面進行協(xié)同防御,并在網(wǎng)站資源上利用云WAF進行防護。
云安全中心目前支持蠕蟲病毒、勒索病毒、木馬、網(wǎng)站后門等惡意代碼的檢測和隔離清除,并定期升級相關(guān)惡意代碼規(guī)則庫;
針對挖礦蠕蟲(例如對SSH/RDP等進行暴力破解)攻擊,云防火墻通過提供入侵檢測和防御能力,對惡意代碼和相關(guān)行為進行檢測并告警;針對高危可遠程利用漏洞,云防火墻利用阿里云安全在云上攻防對抗中積累的大量惡意攻擊樣本,針對性地生成精準的防御規(guī)則,并在后臺實現(xiàn)自動化的規(guī)則升級和更新,幫助客戶以無感的方式不斷提升整體安全防護能力。
云上網(wǎng)站在接入Web應(yīng)用防火墻后,防護引擎會自動為網(wǎng)站防御SQL注入、XSS跨站、Webshell上傳、命令注入、后門隔離、非法文件請求、路徑穿越、常見應(yīng)用漏洞攻擊等Web攻擊,實現(xiàn)對云上網(wǎng)站的惡意行為檢測和防護。
- 推薦防護能力:云安全中心、云防火墻、云WAF
等保類目:安全區(qū)域邊界——安全審計
網(wǎng)絡(luò)安全審計措施
- 防護要求:應(yīng)在網(wǎng)絡(luò)邊界、重要網(wǎng)絡(luò)節(jié)點進行安全審計,審計覆蓋到每個用戶,對重要的用戶行為和重要安全事件進行審計;
- 最佳實踐:
通常建議客戶在互聯(lián)網(wǎng)邊界和VPC區(qū)域邊界通過啟用阿里云防火墻,實現(xiàn)對全網(wǎng)絡(luò)邊界的流量安全審計,并在發(fā)生安全事件時,能夠通過網(wǎng)絡(luò)日志快速定位異常流量和進行網(wǎng)絡(luò)溯源。目前云防火墻提供了三類審計日志:
- 流量日志:經(jīng)過互聯(lián)網(wǎng)邊界和VPC邊界的流量日志記錄,包括訪問流量開始和結(jié)束的時間、源IP和目的IP、應(yīng)用類型、源端口、應(yīng)用、支持的協(xié)議、動作狀態(tài)、字節(jié)數(shù)以及報文數(shù)等信息;
- 事件日志:經(jīng)過互聯(lián)網(wǎng)邊界和VPC邊界且命中了安全檢測規(guī)則的流量記錄,是流量日志的子集,包括事件的時間、威脅類型、源IP和目的IP、應(yīng)用類型、嚴重性等級以及動作狀態(tài)等信息;
- 操作日志:記錄云防火墻中的所有用戶操作行為,包括操作的用戶賬號、執(zhí)行的時間、操作類型、嚴重性以及具體操作信息。
同時阿里云針對網(wǎng)絡(luò)日志提供了強大的分析能力,幫助客戶不僅在安全維度發(fā)現(xiàn)異常流量,還能夠在運維層面提供強大的數(shù)據(jù)支撐,統(tǒng)計網(wǎng)絡(luò)流量行為,分析并優(yōu)化網(wǎng)絡(luò)使用和成本,提升整體網(wǎng)絡(luò)運行效率。
對于網(wǎng)站類業(yè)務(wù),阿里云WAF也提供了日志服務(wù),能夠近實時地收集并存儲網(wǎng)站訪問日志和攻擊防護日志,協(xié)助客戶進行深入分析、以可視化的方式進行展示、并根據(jù)所設(shè)定的閾值實現(xiàn)監(jiān)控報警。
云防火墻和云WAF的日志留存均基于日志服務(wù)SLS,能夠提供6個月的留存時長,并通過SLS提供的能力進行分析、統(tǒng)計報表、對接下游計算與提供日志投遞等能力,實現(xiàn)靈活的日志分析和管理。
- 推薦防護能力:云防火墻、云WAF
等保類別:安全區(qū)域邊界——集中管控
安全事件發(fā)現(xiàn)處置措施
- 防護要求:應(yīng)能對網(wǎng)絡(luò)中發(fā)生的各類安全事件進行識別、報警和分析;
- 最佳實踐:
對于云上常見的內(nèi)外部網(wǎng)絡(luò)攻擊,可以參考【安全區(qū)域邊界——入侵防范】章節(jié)中的相關(guān)內(nèi)容。目前針對不同類型的網(wǎng)絡(luò)攻擊,阿里云都提供了對應(yīng)的防護能力,從DDoS類的攻擊,網(wǎng)絡(luò)入侵行為的檢測和告警,到針對網(wǎng)站的惡意行為識別和分析,都可以通過阿里云相關(guān)安全產(chǎn)品,實現(xiàn)有針對性的防護。
- 推薦防護能力:云防火墻、云WAF、DDoS防護
等保類目:安全運維管理——網(wǎng)絡(luò)和系統(tǒng)運維管理
運維外聯(lián)的管控
- 防護要求:應(yīng)保證所有與外部的連接均得到授權(quán)和批準,應(yīng)定期檢查違反規(guī)定無線上網(wǎng)及其他違反網(wǎng)絡(luò)安全策略的行為
- 最佳實踐:
對于辦公環(huán)境的外聯(lián)行為,建議客戶根據(jù)實際情況選擇針對性的防護手段。當(dāng)客戶使用阿里云上資源開展日常運維工作時(例如使用堡壘機進行云上環(huán)境運維),對于云上資源的外訪,建議客戶通過云防火墻進行主動外連行為的檢測,及時發(fā)現(xiàn)惡意的外連行為,進行針對性的封禁。具體最佳實踐可以參考【安全區(qū)域邊界——邊界防護】中的違規(guī)外聯(lián)檢查措施部分,實現(xiàn)針對性的管控。
- 推薦防護能力:云防火墻
總結(jié)
網(wǎng)絡(luò)安全等級保護在2019年已經(jīng)從1.0升級為2.0,是我國網(wǎng)絡(luò)安全領(lǐng)域的基本國策。針對云上網(wǎng)絡(luò)安全,等保2.0在完善網(wǎng)絡(luò)架構(gòu)和訪問控制的基礎(chǔ)上,也對網(wǎng)絡(luò)入侵防御和安全審計提出了更高的要求。通過本最佳實踐,希望能夠在企業(yè)建設(shè)云上網(wǎng)絡(luò)安全防御體系的過程中,供企業(yè)參考,以更全面的視角看待網(wǎng)絡(luò)安全,實現(xiàn)更有效的防護。
附錄
《等保2.0》網(wǎng)絡(luò)安全高危風(fēng)險與應(yīng)對建議匯總
防護層面 | 控制點 | 標準要求 | 推薦防護能力 |
安全通信網(wǎng)絡(luò) | 網(wǎng)絡(luò)架構(gòu) | 網(wǎng)絡(luò)設(shè)備業(yè)務(wù)處理能力 | VPC、EIP、SLB、NAT |
網(wǎng)絡(luò)區(qū)域劃分 | VPC、云防火墻、CEN | ||
網(wǎng)絡(luò)訪問控制設(shè)備不可控 | 云防火墻、安全組、網(wǎng)絡(luò)ACL | ||
互聯(lián)網(wǎng)邊界訪問控制 | VPC、云防火墻、CEN | ||
不同區(qū)域邊界訪問控制 | VPC、云防火墻、安全組 | ||
關(guān)鍵線路、設(shè)備冗余 | 各阿里云網(wǎng)絡(luò)與安全產(chǎn)品 | ||
通信傳輸 | 傳輸完整性保護 | 客戶業(yè)務(wù)實現(xiàn) | |
傳輸保密性保護 | VPN、SSL證書 | ||
安全區(qū)域邊界 | 邊界防護 | 互聯(lián)網(wǎng)邊界訪問控制 | 云防火墻、云WAF |
網(wǎng)絡(luò)訪問控制設(shè)備不可控 | 各阿里云網(wǎng)絡(luò)與安全產(chǎn)品 | ||
違規(guī)內(nèi)聯(lián)檢查措施 | 云防火墻 | ||
違規(guī)外聯(lián)檢查措施 | 云防火墻、云安全中心 | ||
訪問控制 | 互聯(lián)網(wǎng)邊界訪問控制 | 云防火墻 | |
入侵防范 | 外部網(wǎng)絡(luò)攻擊防御 | 云防火墻、云WAF、DDoS防護 | |
內(nèi)部網(wǎng)絡(luò)攻擊防御 | 云防火墻、云安全中心 | ||
惡意代碼和 垃圾郵件防范 | 惡意代碼防范措施 | 云防火墻、云安全中心、云WAF | |
安全審計 | 網(wǎng)絡(luò)安全審計措施 | 云防火墻、云WAF | |
集中管控 | 安全事件發(fā)現(xiàn)處置措施 | 云防火墻、云WAF、DDoS防護 | |
安全運維管理 | 網(wǎng)絡(luò)和系統(tǒng) 運維管理 | 運維外聯(lián)的管控 | 云防火墻 |
原文鏈接:https://developer.aliyun.com/article/783439?
版權(quán)聲明:本文內(nèi)容由阿里云實名注冊用戶自發(fā)貢獻,版權(quán)歸原作者所有,阿里云開發(fā)者社區(qū)不擁有其著作權(quán),亦不承擔(dān)相應(yīng)法律責(zé)任。具體規(guī)則請查看《阿里云開發(fā)者社區(qū)用戶服務(wù)協(xié)議》和《阿里云開發(fā)者社區(qū)知識產(chǎn)權(quán)保護指引》。如果您發(fā)現(xiàn)本社區(qū)中有涉嫌抄襲的內(nèi)容,填寫侵權(quán)投訴表單進行舉報,一經(jīng)查實,本社區(qū)將立刻刪除涉嫌侵權(quán)內(nèi)容。總結(jié)
以上是生活随笔為你收集整理的针对《等保2.0》要求的云上最佳实践——网络安全篇的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 业务团队如何统一架构设计风格?
- 下一篇: 逸仙电商Seata企业级落地实践