首页 > 传媒 > 关键词 > 云平台最新资讯 > 正文

用好云平台,做好安全监控与审计

2018-07-18 11:01 · 稿源:站长之家用户投稿

概要:运营在阿里云上的中小企业,应如何充分利用平台资源,做好安全监控和审计。

如同今年5月我在 VSRC 会议上所说:云计算和企业上云是大势所趋,今天人们讨论的不再是“什么是云,要不要云?”的话题,而是“用什么样的云,怎么用好云,以及如何做好云上企业信息安全的运营?”。

https://www.evernote.com/shard/s8/sh/cef5438d-8f92-4ebc-b3cb-7b4fc8bd7eab/511a5aeb52f8c2ae839a71d0ba3a21cd/res/2e13c356-7013-4a7d-bac4-de0d97a25773.jpg?resizeSmall&width=832

1.现实需求

如果您目前正从事企业信息安全相关工作,或是对云上企业的信息安全工作感兴趣,那么安全监控和审计是绕不开的话题。无论是为了应对合规检查,满足行业标准还是加速安全事件发现和处置的效率,一个数据完整,功能可靠的安全监控审计系统是必不可少的。

云上安全监控和审计在本质上与传统 IDC 环境是一样的。但又因为云计算特别是公有云自身的特殊性,具体开展工作时方式方法还需要调整。如果您的企业正打算或已经迁移到的云平台,那么安全监控和审计对象必然会发生变化,例如:

新增了控制台(典型云平台 Console),以及围绕控制台的用户身份认证和操作行为云平台庞大丰富的产品功能也带来了监控审计上的挑战云平台上没有传统的 IDS,你很难直接拿到主机间的流量数据

2.有什么值得监控的

可以说,上云后企业的身家性命就都在云上了,在安全监控上投入再多都不为过。当然,具体要对哪些信息或事件做监控,这个需要安全团队结合企业自身云平台的使用深度和现实需求开展。本文重点关注的是,基于阿里云品台和云平台上的产品/服务的监控审计。传统的基于操作系统日志、业务系统日志的安全监控审计不在本文讨论范围内。

以下,是笔者认为需要重点关注的监控项目。

2.1 控制台用户账号

企业用户购买云平台服务后,一般会通过主账号为不同的员工创建 RAM 子账号,同时指定是否开启 Web Console 登录权限。控制台用户账号可在自身权限范围内,访问和使用云平台产品功能。

https://www.evernote.com/shard/s8/sh/cef5438d-8f92-4ebc-b3cb-7b4fc8bd7eab/511a5aeb52f8c2ae839a71d0ba3a21cd/res/9f420ea9-e5a5-4956-a47e-3b427772c111.jpg?resizeSmall&width=832

用户账号监控重点需要覆盖如下内容:

账号登录成功或失败行为账号异地登录行为登录过程是否使用了双因素身份认证离职员工账号登录行为

企业应重点关注账号共享、账号破解、关键账号未启动双因素认证、离职员工账号未及时禁用等安全事件。

2.2 RAM 子账号AccessKey

管理员可以为RAM子账号设置是否启用AccessKey。一旦开启该功能,则该 RAM 账号可以通过AccessKey/AccessSecret调用阿里云 API 接口,以程序的方式访问云上资源,如:服务购买、信息查询、设备实例启动或终止、策略发布、配置变更等。

https://www.evernote.com/shard/s8/sh/cef5438d-8f92-4ebc-b3cb-7b4fc8bd7eab/511a5aeb52f8c2ae839a71d0ba3a21cd/res/08767bc6-f17d-4ca6-a473-809666b182d6.jpg?resizeSmall&width=832

关于RAM 子账号AccessKey的安全监控, 需要重点关注如下内容:

AccessKey访问资源时的读写行为和频次AccessKey访问的来路(内网或外网)AccessKey访问资源时的成功或失败行为作废AccessKey的访问行为

由于 AccessKey 支持程序方式访问,因此一旦对应的AccessSecret 有变更,相关程序没有及时更新,极有可能导致服务不可用。此外AccessKey/AccessSecret 作为程序鉴权认证的标识,容易出现泄露的情况,企业应及时发现并终止那些访问行为异常的AccessKey/AccessSecret组合。

2.3 云上资源的配置变化

创建云主机、修改SLB端口转发、调整安全组策等行为在日常运维工作过程是经常发生的。每一次调整都会带来资源配置或系统状态发生变化,势必影响当前系统整体安全风险。

基于笔者所在安全团队在云上的安全运营经验,建议重点监控下述内容:

SLB 端口转发发生变化(新增、删除、修改等)VPC 路由策略变化安全组策略调整云主机创建、启动、停止和销毁EIP 资源启用、销毁RAM 账号新增、修改密码、密钥修改或充值RDS、OSS 资源开通及变更

2.4 有效期相关的监控

云上产品通常有按量付费和包年包月等付费形式。企业运营遇到一定规模后,必然出现资源有效期管控方面的问题。从安全的角度看,资源或服务一旦到达有效期未能及时续费,很有可能会导致现有服务不可用,严重影响到到业务连续性。

有效期通常包括:资源、服务、配置、状态和规则等属性,所以应重点监控系列内容

云资源的有效期,如 ECS、RDS 的到期时间云安全产品的有效期,如:WAF、态势感知、安骑士、云防火墙、应用安全 SDK、堡垒机等

https://www.evernote.com/shard/s8/sh/cef5438d-8f92-4ebc-b3cb-7b4fc8bd7eab/511a5aeb52f8c2ae839a71d0ba3a21cd/res/1006abce-7385-4407-bdb3-0455e0356abc.jpg?resizeSmall&width=832

域名、证书的有效期

曾经出现过这样的案例:某知名企业因缺乏对自家域名的监控,域名过期后没能及时发现且被他人注册,导致重大业务故障和声誉受损。对于正常到期且释放的资源,原则上也应该从主监控清单(也包括各类白名单)中移除,特别是 EIP等共用资源。

2.5 安全产品的输出

为保障绝大多数云租户的信息网络安全,平台及云市场提供了各种形式的安全产品。但此类产品往往以产品形式孤立运行,企业还需要对各类事件进行关联和分析。

对安全产品的监控内容包括:

产品本身的可用性安全产品的高优先级告警,如:Webshell 检测、异常进程、异常登录等。

如果企业安全团队没有专职人员持续在云厂商产品上进行事件响应和运营,那么集中收集和监控分析安全产品的基础事件是很有必要的。企业还可以部署类似 SIEM 相关的产品对各类监控数据进行关联和分析。

3. 有什么值得审计的

企业安全团队除了要在第一时间对各类安全事件进行监控和响应,还要定期对已发生的各类系统安全问题、安全事件处置进行审计。审计内容至少包括如下:

3.1 账户行为

云上主账号、子账号的所有活动记录应该被审计。除了安全监控要对登录事件进行实时分析,后期的安全日志审计也要跟上。应定期重审:所有账号的权限,账号活动与其所有权限是否一直,权限是否在有效期内等。

3.2 事件处置

云平台安全产品每天触发的安全事件都应被处置。因此审计系统应对安全事件进行收集,对安全事件的处置过程和处置结果进行审计,定期提供审计报表,以督促安全团队开展安全工作。

3.3 变更记录

应重点审计所有对云上资源进行操作的行为,包括:云主机开通和释放,安全区创建、配置和删除,SLB 应用配置和节点摘除,高防 IP 服务配置、WAF 参数调整、OSS 资源配置、财务信息变更等。变更是生产环境故障的万恶之源,做好变更审计能有效协助故障响应和操作审计。

4. 如何实现监控审计

针对阿里云平台上的各类安全监控和审计要求,企业应采取符合自身需求的技术手段完成功能实现。总的来说,就是数据采集、存储和分析。如果对实时性要求比较高,企业还可以定制自己的安全监控系统。要获取到云平台上的相关事件或日志,有多种方法,以下是部分实现思路。

4.2 阿里云自带:ActionTrial to OSS

阿里云平台控制台的【ActionTrial-操作审计】默认支持30天内的事件日志。如果企业需要更长时间的审计日志,可以通过【创建跟踪】将操作审计的日志持续投递到指定的OSS 存储空间。

https://www.evernote.com/shard/s8/sh/cef5438d-8f92-4ebc-b3cb-7b4fc8bd7eab/511a5aeb52f8c2ae839a71d0ba3a21cd/res/a07ae895-22cb-41bd-bb60-af264e642c1c.jpg?resizeSmall&width=832

下图是 OSS 存储空间中看到的按日期存放的操作审计日志文件。

https://www.evernote.com/shard/s8/sh/cef5438d-8f92-4ebc-b3cb-7b4fc8bd7eab/511a5aeb52f8c2ae839a71d0ba3a21cd/res/3dcd428d-9725-4b1d-9730-7d93521239f2.jpg?resizeSmall&width=832

4.2 阿里云自带:部分日志投递到SLS

企业可以通过客户服务渠道与阿里云后端协商,将部分云产品的事件日志投递到云平台日志服务 SLS 中。作为阿里云重要合作伙伴,笔者所在企业有机会优先体验到了态势感知 DNS 日志投递到 SLS 的功能。使用体验非常良好,日志收集和分析更加方便。

事实上,SLS 自带强大的搜索和统计功能,能够完成单一云产品自身数据分析和展现上的不足。如有可能,应尽量多地使用 SLS 完成日志收集,毕竟都是平台维护的,内部打通也非常方便。

4.3 阿里云接口-获取审计日志

针对操作审计,除了通过 OSS 的方式获取审计文件外,企业还可以调用 ActionTrial 的 API 进行审计事件的实时收集,为安全监控提供最新的数据。操作方法是:通过阿里云RAM服务,创建子账户并授权其ActionTrail的操作权限。为了遵循最佳安全实践,强烈建议使用子用户来操作ActionTrail。

RAM中可授权的ActionTrail的操作(Action)如下:

CreateTrailUpdateTrailDeleteTrailDescribeTrailsGetTrailStatusStartLoggingStopLoggingLookupEvents

4.4 自定义网页爬虫

和很多用户一样,我们对阿里云默认提供的事件收集和转发不是非常满意。因此,针对那些实时性较高,又不能通过平台自身功能开展快速监控和响应的事件,我们开发了专用的阿里云控制台安全事件爬虫。

安全事件爬虫,模拟用户登录到阿里云控制台,对各类安全产品的基础告警事件进行抽取,并在第一时间对高危安全事件进行高级。

5. 能不能让我看点效果?

5.1 高防 IP 服务流量长期统计

以高防 DDoS 为例,模式系统只能查询最近一周的流量。企业如果需要统计和分析长周期(季度级别)内高防 IP 服务的流量趋势,为高防续费或采购提供决策,那就需要通过爬虫对报表数据持续收集。

https://www.evernote.com/shard/s8/sh/cef5438d-8f92-4ebc-b3cb-7b4fc8bd7eab/511a5aeb52f8c2ae839a71d0ba3a21cd/res/f7f98d59-3365-4f6f-91bd-7aa3acb8bd93.jpg?resizeSmall&width=832


https://www.evernote.com/shard/s8/sh/cef5438d-8f92-4ebc-b3cb-7b4fc8bd7eab/511a5aeb52f8c2ae839a71d0ba3a21cd/res/bffaec10-44f8-4090-a20e-2f7649bfd816.jpg?resizeSmall&width=832

笔者所在安全团队,对上述数据进行了自动化采集和重绘制,结果如下。通过该数据,企业可以动态评估业务带宽对高防服务的阈值挑战,以及为高防 IP服务 的年度采购提供重要参考依据。

5.2 安骑士告警信息发钉钉

针对安骑士产品的重要告警信息,企业可以在事件收集完成后,通过自定义的告警信息发送给安全人员。产品默认只有邮件和短信,且有发送抑制功能(一天不超多 XX 条)。通过独立的告警系统筛选,可以对安全事件进行高定制话的判断和推送。下图是典型的云平台安全事件推送到办公 IM 的应用场景。

https://www.evernote.com/shard/s8/sh/cef5438d-8f92-4ebc-b3cb-7b4fc8bd7eab/511a5aeb52f8c2ae839a71d0ba3a21cd/res/ec529fe7-e126-4681-b19d-5eab6dd476ce.jpg?resizeSmall&width=832

集成告警到钉钉,这个功能太赞了。如果我没猜错,很快阿里云会就会默认支持了,期待吧。

6. 总结

以上是笔者所在安全团队针对阿里云平台上开展安全监控审计的一些技术总结,希望能为有需要的朋友提供帮助。总的来说,阿里云平台在完成基础云计算服务的同时,还为客户提供了一系列的增值产品和服务,如:基础产品、高级安全服务、日志审计、SLS服务、API 接口、大数据计算等。作为越来越依赖云计算的的中小企业,既然挡不住云计算的大势所趋,那就要及时适应和用好云计算平台,尽早制定您的安全监控和审计方案。未来,也期待你的分享!

阿里云MVP 傅奎

免责声明:“站长之家”的传媒资讯页面文章、图片、音频、视频等稿件均为自媒体人、第三方机构发布或转载。如稿件涉及版权等问题,请与我们联系删除或处理。稿件内容仅为传递更多信息之目的,不代表本网观点,亦不代表本网站赞同其观点或证实其内容的真实性,更不对您的投资构成建议。我们不鼓励任何形式的投资行为、购买使用行为。

  • 相关推荐
  • 大家在看
  • 阿里云又有大动作:成立“金融核心先锋联盟”

    在今日举行的2020阿里云峰会上,阿里云宣布成立“金融核心先锋联盟”,帮助金融机构核心系统摆脱传统集中式架构,转向以云平台技术为核心的分布式架构,快速构建应对高并发业务场景的能力,全面拥抱开放金融时代。“金融核心先锋联盟”首批成员有20家,包括埃森哲、德勤、安永、毕马威等国际著名咨询公司,以及润和软件、恒生电子、文思海辉、中科软科技等国内主流的金融科技公司。

  • 文思海辉金融成为阿里云“金融核心先锋联盟”成员单位

    在近日召开的 2020 阿里云线上峰会上,阿里云宣布成立“金融核心先锋联盟”,文思海辉金融与埃森哲、德勤、安永、毕马威、润和软件、恒生电子等 20 家公司成为首批联盟成员企业。此次联盟成立旨在帮助金融机构核心系统摆脱传统集中式架构,转向以云平台技术为核心的分布式架构,快速构建应对高并发业务场景的能力,全面拥抱开放金融时代。阿里云表示,将会在资金、市场、技术等方面,为联盟成员提供支持。文思海辉金融作为联盟首?

  • 来领上云消费券!2020阿里云618全攻略

    阿里云 618 活动(6.1-6.30)火热进行中,发亿元 “上云消费券”——来活动会场立领 618 大礼包。活动入口:https://www.aliyun.com/activity/618/index

  • 阿里云618年中大促活动,阿里云服务器低至91元一年

    从2009年双十一网络促销活动开始,阿里系便在“数字节日”的营销道路上愈走愈远。行至今时今日,不仅天猫商城紧锣密鼓地开展一系列营销活动,作为阿里系重要成员之一的阿里云,更是将这种营销举措演绎的入木三分。譬如,当下阿里云618年中大促活动,便是官方推出的一项营销重头戏!值2020年阿里云线上峰会圆满召开之际,本次阿里云618年中大促活动索性将诸多首发新品隆重上架,以一种极具战略性的发布姿态,诠释着云领域中的王者之

  • 饿了么100%迁至阿里云:高峰时可支持1亿人同时点单

    6月17日,饿了么宣布已完成100%上云,旗下所有业务系统、数据库设施等均已迁移至阿里云。高峰期饿了么可在阿里云上快速扩容,可以支持1亿人同时在线点单,低峰期则可以释放算力,每年节省上千万

  • 饿了么100%迁至阿里云 可支持1亿人同时在线点单

    饿了么已完成100%上云,所有业务系统、数据库设施等均已迁移至阿里云。阿里方面称,高峰期,饿了么可在阿里云上快速扩容,可以支持1亿人同时在线点单。据悉,饿了么于今年年初开始启动全面“上云”,耗时2个月完成相关迁移工程。云上可一键扩容,无需置办物理数据中心。通过数据同步、异地多活的能力,饿了么的迁移过程不用切数据库,没有损耗,切流顺滑,用户全程无停服感。

  • 阿里云今年再招5000人 涉及AI、芯片等领域人才

    在今日的 2020 阿里云峰会上,阿里云智能总裁张建锋表示,阿里云今年再招 5000 人,大规模引进顶级科技人才,重点吸引服务器、网络、芯片、数据库、人工智能等核心技术领域的攻坚人才。

  • 阿里云宣布未来一年投入20亿资金 助力50家伙伴云上营收过亿

    凤凰网科技讯 6月16日消息,在2020阿里云合作伙伴峰会上,阿里云宣布深耕“被集成”战略,做强生态,未来一年投入20亿专项资金,助力50家伙伴云上营收过亿。2019年,阿里云提出“被集成”战略。阿里云表示,截至目前,阿里云与合作伙伴已发布500多款联合解决方案,覆盖30多个重点细分行业,一批伙伴在阿里云上已营收过亿。一周前,阿里云公布“再生长”三大方向:做深基础、做厚中台、做强生态。“被集成与做强生态是一脉相承的。?

  • 阿里云:扩招5000人,顶级科技人才为主

    在今日举办的阿里云峰会上,阿里云智能总裁张建锋表示,阿里云今年再招5000人,大规模引进顶级科技人才,重点吸引服务器、网络、芯片、数据库、人工智能等核心技术领域的攻坚人才。张建锋表示,阿里云在软件层面已经达到世界顶尖水平,飞天是中国唯一自研云操作系统。阿里云的下一步是“做深基础”,沿着飞天云操作系统向下延伸定义硬件,加大在芯片、服务器、交换机、网络等领域的自研力度,张建锋?

  • 阿里云宣布今年再招5000人科技人员 加大芯片等自研能力

    DoNews6月9日消息(记者 翟继茹)9日,阿里云智能总裁张建峰表示,阿里云今年将再招5000人,大规模引进顶级科技人才,重点吸引服务器、网络、芯片、数据库、人工智能等核心技术领域人员。张建锋表示,阿里云的下一步是“做深基础”,“我们要沿着飞天云操作系统向下延伸定义硬件,加大在芯片、服务器、交换机、网络等领域的自研力度。”张建锋解释,“做深基础”并不是简单替换,是基于云的特点来构建整套基础体系,“就像阿里巴巴

  • 新一代企业级DevOps平台阿里云云效正式发布

    6 月 9 日, 2020 阿里云线上峰会于云端举行,阿里巴巴云研发部门负责人陈鑫出席峰会并发表题为《新云效,新DevOps平台》的主题演讲,宣布新一代企业级DevOps平台——阿里云·云效正式发布。新技术时代的新挑战“软件研发及相关工程实践的发展离不开技术的迭代,看清技术的发展脉络,然后对照企业自身的痛点,往往可以更容易去推动研发效能的提升。” 阿里巴巴云研发部门负责人陈鑫在论坛中讲道,“我在这里将过去几年的技术和实践

  • 阿里云:今年再招5000人! 大规模引进顶级科技人才

    6月9日,在2020阿里云峰会上,阿里云智能总裁张建锋表示,阿里云今年再招5000人,大规模引进顶级科技人才,重点吸引服务器、网络、芯片、数据库、人工智能等核心技术领域的攻坚人才。张建锋表示,阿里云在软件层面已经达到世界顶尖水平,飞天是中国唯一自研云操作系统。我们的下一步是“做深基础”,我们要沿着飞天云操作系统向下延伸定义硬件,加大在芯片、服务器、交换机、网络等领域的自研力度,张建锋进一步表示,

  • HashiCorp推出用于托管服务的云平台

    [TechWeb]HashiCorp昨日在其在线HashiConf Digital活动上推出了HashiCorp云平台(HCP),通过该平台,它打算将其所有软件作为完全托管的服务提供。同时,HashiCorp宣布了对HashiCorp Terraform的更新的公开Beta版,HashiCorp Terraform是一个用于配置IT基础结构的开源工具的精选实例,该工具可添加其他工作流程功能。最后,对Nomad(容器化应用程序环境的集群管理器和调度程序)的更新,增加了对多个集群的支持以及由Cloud Native

  • 阿里云今年将帮1000家企业“去O”,完成10000套传统数据仓库上云

    DoNews 6月9日消息(记者 程梦玲)阿里云数据库负责人李飞飞在2020阿里云线上峰会上表示,经过多年技术演进,“去O”已进入大规模攻坚阶段,阿里云今年将帮1000家企业“去O”,完成10000套传统数据仓库上云。研究机构Gartner预测,2023年,全球75%的数据库将会“跑”在云上。目前,阿里云稳居亚太云数据库市场份额第一,客户包含政务、零售、金融、电信、制造、物流等多个领域的龙头企业。

  • 助力新基建,ZStack携手英特尔、阿里云、天翼云等伙伴发布健壮F.T.+新裸金属功能!

    6 月 2 日,以“健壮F.T.+新裸金属 新基建下的新IaaS”为主题的 2020 年ZStack新品线上超级发布会引爆了企业级云市场。面向新基建发展契机,致力于普惠云计算的ZStack与英特尔、阿里云等伙伴强势携手发布 2 大重磅新品:首个采用了F.T.技术的ZStack Mini超融合一体机(简称:ZStack Mini),以及首个采用了新裸金属技术的私有云!本次发布的健壮F.T.和新裸金属,都是ZStack围绕IaaS领域的升级和强化,其中:健壮F.T.——传统应用 0

  • 阿里云数据中台全新推出企业智能用户增长平台Quick Audience

    在刚刚过去的 2020 阿里云线上峰会上,阿里巴巴集团副总裁、数据技术及产品部负责人朋新宇重磅发布了阿里云数据中台“2+2”核心产品矩阵,其中全新亮相的企业智能用户增长平台Quick Audience受到广泛关注。朋新宇介绍,Quick Audience定位于智能用户增长,能够帮助企业实现基于消费者资产管理、运营层面的“全方位洞察、多渠道触达”增长闭环。 7 天新设500+粉丝群 红蜻蜓实现日均销售破百万随着数字经济的进一步发展,越来越多的?

  • 2020年阿里云618年中大促优惠活动,云服务器低至0.9折

    六月流火,燃情夏季!值此年中节点之际,各大商家纷纷开启618年中大促活动的盛大序幕,作为国内知名云服务商之一,阿里云一马当先,从六月一号直至六月三十号,一场轰轰烈烈的阿里云618特惠活动,迅速燃遍全网,席卷全国!“此次活动由三部分所组成,分别是为你推荐-上云必备、上云必看-重磅发布以及口碑爆款,力度大,优惠多,不容易错过!”阿里云服务器教程网负责人表示。据了解,此次阿里云的618年中大促活动具有覆盖面广、活?

  • 数据中台变革在即 阿里云数据中台升级瞄准行业化

    6 月 9 日,在 2020 阿里云线上峰会上,阿里云发布了新一代数据中台,重点发布核心产品矩阵“2+2”升级,并同步推出了四大行业数据中台。据了解,这是阿里云数据中台首次对外宣布升级。记者尝试通过产品矩阵升级和行业数据中台发布来解读背后的信号。从大数据基础能力延伸到精细化业务赋能过去,阿里云数据中台主要围绕两款产品来为企业提供数据中台服务——Dataphin和Quick BI。Dataphin的能力重点主要是智能数据体系的构建及管理

  • 阿里云数据中台深入垂直领域 升级发布4大行业解决方案

    图为:阿里巴巴集团副总裁、数据技术及产品部负责人朋新宇6 月 9 日,在 2020 阿里云线上峰会上,阿里巴巴集团副总裁、数据技术及产品部负责人朋新宇推出Quick Audience、Quick A+两款全新产品,并升级Dataphin和Quick BI两款现有产品。同时,阿里云零售、金融、政务及互联网企业等四大行业数据中台解决方案也首度亮相,未来将要扶持 100 万家企业。1、数据中台扎实有效2015 年,阿里巴巴在国内首次提出数据中台概念,它是集方法论

  • 中华保险与阿里云签约7亿大单 打造新一代核心业务系统

    中华保险集团与阿里巴巴集团在北京签署全面合作协议,双方将在全新保险核心系统建设等领域展开深度合作,加速“数字中华”建设。

  • 参与评论
文明上网理性发言,请遵守新闻评论服务协议