0x00、前言
伴随着越来越多的企业上公有云,特别是大型企业,核心业务上云之后,云上企业安全建设思路没有因为公有云的开放性而妥协,大部分企业的建设思路都是把公有云改造成专有云,使用VPC隔离公有云网络,内部系统上网都通过NATGateway,运维使用windows堡垒机,对外的业务系统直接限制在DMZ区。这样公有云原生安全解决方案就有些不适应,有的需要做架构方面调整,有的需要开发新的安全功能。本次就和大家讨论如何提高这种场景的安全解决方案。
0x01、解决方案
1、要做解决方案我们先要了解网络架构
首先我们先借鉴政务云的建设思路:
@1、把业务划分到不同的区域,通过VPC来隔离。VPC之间是有通过ACL来控制,实现网闸隔离的效果。进出通讯VPC log 发送到集中日志管理平台中。
@2、安全建设
链路负载均衡、anti-DDoS设备、防火墙、IDS/IPS、WAF、堡垒机、数据库审计、日志审计、漏洞扫描一个不能少。
那么公有云对应的产品是:SLB(4层、7层)、DDoS基础防护、安全组、态势感知(IDS、日志审计)、云WAF或者VPC-WAF、RDS日志审计、云扫描器。
那么有这些传统的安全产品的解决方案就能高枕无忧了么?最近某APT攻击分析机构发布的数据,在应对APT攻击过程中:十家公司中有九家遭受黑客入侵。
@1、入侵后76%攻击者会偷取凭证,保证其权限的持续性。
@2、43%APT攻击事件会发生数据泄露事件,其中51%会公布给媒体,26%会在暗网售卖,剩下的部分黑客内部交流使用。
@3、平均发现存在APT攻击的时间为7个月,是在以上安全设置存在的情况下。
@4、94%安全事件告警为误报、误操作或者业务需要。排查这些事件需要花费SOC运营人员每天8个小时的时间。
2、全新的内网威胁解决方案
一、发现APT入侵
在分析了APT攻击流程后,我们发现在Discovery/Lateral Movement、Command and Control。可以很好的发现黑客入侵的痕迹。
@1、横向移动最好的检测方法是通过蜜罐的方式。
@2、集成威胁情报、防病毒多查杀引擎、沙箱的态势感知是发现C2最好的方式。
二、评估影响范围
站在安全运营人员的角度上讲,发现安全事件需要对有失陷主机有通讯的系统都要排查一遍,除恶务尽。那就就需要网络层数据、主机层数据联动。
@1、需要采集网络层VPC log、ACL log等基础日志。
@2、需要在云主机上采集socket连接数据,进程数据。
@3、大数据分析平台,融合以上所有数据,通过图分析、关联分析等手段评估影响范围。
如何部署和实施:
公有云是一个特殊的环境,传统的蜜罐系统是在公有云上部署困难,这时候云原生的蜜罐系统就发挥了极大的作用。
部署方案:
@1、感知到的端口扫描、漏洞扫描都可以通过docker探针收集并且实时发送到态势感知平台统计,通过用户的VPC环境上传到Underlay网络中。
@2、安装方式相对来说比较灵活,低交互蜜罐可以使用docker方式部署,高交互蜜罐或者密网可以通过VM方式部署。通过控制台开通部署,方便快捷。列举VPC中的VLAN用户点击部署。
@3、主机安全和VPClog收集东西向数据
0x02、总结
在公有云原生安全发展的今天,不见得传统安全防护比云安全高明多少。