公有云内网安全感知解决方案
2019-10-28 11:06:36 Author: www.4hou.com(查看原文) 阅读量:170 收藏

0x00、前言

伴随着越来越多的企业上公有云,特别是大型企业,核心业务上云之后,云上企业安全建设思路没有因为公有云的开放性而妥协,大部分企业的建设思路都是把公有云改造成专有云,使用VPC隔离公有云网络,内部系统上网都通过NATGateway,运维使用windows堡垒机,对外的业务系统直接限制在DMZ区。这样公有云原生安全解决方案就有些不适应,有的需要做架构方面调整,有的需要开发新的安全功能。本次就和大家讨论如何提高这种场景的安全解决方案。

0x01、解决方案

1、要做解决方案我们先要了解网络架构内网感知1

内网感知1.png

首先我们先借鉴政务云的建设思路:

@1、把业务划分到不同的区域,通过VPC来隔离。VPC之间是有通过ACL来控制,实现网闸隔离的效果。进出通讯VPC log 发送到集中日志管理平台中。电子政务1

电子政务1.png

@2、安全建设

链路负载均衡、anti-DDoS设备、防火墙、IDS/IPS、WAF、堡垒机、数据库审计、日志审计、漏洞扫描一个不能少。

那么公有云对应的产品是:SLB(4层、7层)、DDoS基础防护、安全组、态势感知(IDS、日志审计)、云WAF或者VPC-WAF、RDS日志审计、云扫描器。

电子政务2.png电子政务2

那么有这些传统的安全产品的解决方案就能高枕无忧了么?最近某APT攻击分析机构发布的数据,在应对APT攻击过程中:十家公司中有九家遭受黑客入侵。

@1、入侵后76%攻击者会偷取凭证,保证其权限的持续性。

@2、43%APT攻击事件会发生数据泄露事件,其中51%会公布给媒体,26%会在暗网售卖,剩下的部分黑客内部交流使用。

@3、平均发现存在APT攻击的时间为7个月,是在以上安全设置存在的情况下。

@4、94%安全事件告警为误报、误操作或者业务需要。排查这些事件需要花费SOC运营人员每天8个小时的时间。

2、全新的内网威胁解决方案

一、发现APT入侵

在分析了APT攻击流程后,我们发现在Discovery/Lateral Movement、Command and Control。可以很好的发现黑客入侵的痕迹。

@1、横向移动最好的检测方法是通过蜜罐的方式。

@2、集成威胁情报、防病毒多查杀引擎、沙箱的态势感知是发现C2最好的方式。

二、评估影响范围

站在安全运营人员的角度上讲,发现安全事件需要对有失陷主机有通讯的系统都要排查一遍,除恶务尽。那就就需要网络层数据、主机层数据联动。

@1、需要采集网络层VPC log、ACL log等基础日志。

@2、需要在云主机上采集socket连接数据,进程数据。

@3、大数据分析平台,融合以上所有数据,通过图分析、关联分析等手段评估影响范围。

如何部署和实施:

公有云是一个特殊的环境,传统的蜜罐系统是在公有云上部署困难,这时候云原生的蜜罐系统就发挥了极大的作用。

部署方案:

@1、感知到的端口扫描、漏洞扫描都可以通过docker探针收集并且实时发送到态势感知平台统计,通过用户的VPC环境上传到Underlay网络中。内网感知3

内网感知3.png

@2、安装方式相对来说比较灵活,低交互蜜罐可以使用docker方式部署,高交互蜜罐或者密网可以通过VM方式部署。通过控制台开通部署,方便快捷。列举VPC中的VLAN用户点击部署。内网感知2

内网感知2.png

@3、主机安全和VPClog收集东西向数据东西向流量

东西向流量.png

0x02、总结

在公有云原生安全发展的今天,不见得传统安全防护比云安全高明多少。


文章来源: https://www.4hou.com/system/21185.html
如有侵权请联系:admin#unsafe.sh