如何通过阿里云基础安全组件确认云上资产安全状态？
发布时间：2019-07-08 11:48

　　相信大家对于云监控已经是十分熟悉了，能够通过云监控快速确认云上资产的负载和使用情况。但是如何通过控制台快速确认云上资产的安全状态，可能对于大家而言相对会陌生一些。接下来给大家介绍下如何利用基础的云安全产品来确认云上资产的安全状态。

　　云安全基础安全组件架构

　　即使一个用户没有购买任何云安全产品，阿里云依然会利用云平台的安全能力为客户提供基础告警和防护能力以保障用户的基础安全能力。当然开通基础的防护是需要在创建ECS的规格的时候需要选择安全加固。


　　云上的资产才会具备基础的安全组件能力，我们来看一下云上主要的基础安全组件以及我们如何利用基础的安全监测分析的能力判断云上资产的安全状态

　　简单的来说我们可以使用这三种免费的安全组件快速的判断云上资产的安全情况。

• 　　云安全中心基础版——ECS风险分析

• 　　DDoS基础防护——DDoS风险分析

• 　　Web应用防火墙——Web应用风险分析

　　云安全中心

　　云安全中心基础版能够获取到三方面的安全基础能力。我们分别可以通过三方面的安全能力进行安全状态确认。以下为示例说明：

　　云安全中心入口

　　首先我们可以在控制台左上角的导航按钮中直接搜索“云安全中心”导航到云安全中心。


　　云安全中心总览

　　到达云安全中心的首页后，我们可以通过侧面标签栏和首页统计信息对云上安全资产进行快速了解，如下图所示。

• 　　左侧的侧边栏可以看到目前安全告警、漏洞检测、云平台安全配置三类时间的数量。

• 　　中间位置有对云平台整体安全情况的评分，已经安全告警、漏洞检测的趋势图。

• 　　下方区域是云平台配置风险的问题总览，可以看到云平台上的哪些配置存在安全问题。

　　异常登录检测

　　通过左侧“安全告警处理”或待处理告警图表中的数字，直接到达告警明细页。


　　基础版本具备以下两类安全能力，我们着重对着两类事件进行分析：

• 　　记录非常用登陆地日志，并进行告警

　　如果在告警事件中发现非常用地登录事件，同时自己和团队成员均没有在异常地点和时间中登录了ECS，基本上可以判断服务器已经沦陷，攻击者登录服务器造成该类型的事件产生。

• 　　检测ECS在多次尝试登录失败后最终登录成功的情况

　　如果在告警事件中发现了暴力破解事件，说明有可能有攻击者通过密码暴力猜解、彩虹表等方式尝试登录ECS。需要注意对服务器进行账号密码配置策略的加固以及服务器漏洞的修复，已经有人盯上你的服务器了。

　　漏洞管理

　　通过左侧“漏洞修复”或待处理告警图表中的数字，直接到达告警明细页，如下图所示：

• 　　操作系统漏洞检测（linux、Windows）

　　在本标标签页中列出了安全组件发现操作系统的安全漏洞，如下图所示。


　　漏洞中有存在EXP、本地提权、代码执行标签的漏洞需要格外注意尽快进行修复。

　　存在EXP： 存在EXP标签的漏洞说明漏洞的利用代码或工具已经在互联网披露，攻击者能够轻松利用或构造出利用该漏洞的工具。

　　本地提权： 存在本地提权标签的漏洞说明该漏洞一旦利用成功，可以实现将本地低权限的账号提升权限的效果。攻击者往往通过入侵手段获取一个低权限的账号，在通过此类漏洞进行权限提升获取系统的控制权。

　　代码执行： 存在代码执行标签的漏洞说明攻击者可以直接利用该漏洞执行任意的代码和命令，此类型的漏洞危害极大。相当于变相获取了系统权限。

• 　　Web-CMS漏洞检测

　　在本标标签页中列出了安全组件发现Web-CMS的安全漏洞，在这里的主要列出了Web-CMS的漏洞情况，注意关注高、中风险的漏洞情况。

• 　　应急漏洞检测

　　在本标标签页中列出了安全组件发现近期出现的高风险安全漏洞，在本标签出现的漏洞一定需要及时关注。

　　云平台配置检查

• 　　阿里云利用多年的安全实践总结了检测ECS、RDS等云产品的安全配置是否存在安全隐患。

　　DDoS基础防护

　　DDoS基础防护控制台

　　DDoS攻击由于是一种技术门槛低、影响大，在互联网中非常常见的攻击类型。针对这种常见的网络暴力型攻击阿里云基于普惠安全的理念为用户提供了一定额度的防护能力。每个账号的防护能力可以在导航栏中搜索“DDoS基础防护”找到DDoS基础防护控制台，如下图所示。


　　在DDoS基础防护控制台中，选择ECS所在的对应区域，就能够在列表中看到具体的实例IP地址，如下图所示展示了华东1区域的资产信息。


　　可以看到每个实例后面的状态是怎样的，DDoS基础防护中有三种状态。

• 　　正常——说明网络正常没有DDoS攻击

• 　　清洗中——说明目前正在遭受DDoS攻击，但是目前的基础防护能力可以应对，正在保护该资产。

• 　　黑洞中——说明遭受的DDoS攻击量已经远远超出了基础防护能力，为了保护阿里云整体节点，实例进入黑洞状态（即所有该实例流量直接丢弃）

　　具体攻击流量&证据下载

　　点击相应的实例IP地址，就能够查看到近7天（基础防护值提供7天的日志）的攻击情况，如下图所示。


　　详细情况中我可以看到DDoS攻击的流量图，可以根据历史的攻击记录判断受到的攻击频率和攻击峰值。如果具备一定的技术分析能力，可以点击证据下载的按钮，下载原始的攻击报文记录。使用抓包软件（wireshark、科来、sniffer等）对攻击报文进行分析。

　　Web应用防火墙（WAF）

　　由于应用的安全属于完全客户负责的部分，所以并没有提供Web应用防护的能力。

　　同样在导航栏中搜索“Web应用防火墙”既可以找到Web应用防火墙的控制台，如下图所示。


　　在没有开通WAF的情况下，阿里云只能够监控最近7天应用受到的攻击次数，可以根据Web攻击的情况开通Web应用防火墙来对Web应用进行防护。

　　总结

　　综上，我们主要从云安全中心、DDoS基础防护、Web应用防火墙对云上资产的安全状态进行分析判断。

　　通过一个表格进行总结：