安全資訊

世界上只有兩種人：知道自己被黑的，不知道自己被黑的。
—— 信息安全圈名言

被黑，其實(shí)和世界上的大多數事情一樣，也是灰度漸變的，黑客從獲取外圍的權限到拿下整個(gè)系統的控制權一般都要經(jīng)過(guò)多個(gè)步驟，包括：

• 偵查與信息收集：

  偵查目標，包括利用社會(huì )工程學(xué)了解目標。

• 制作與選擇攻擊工具：

  針對目標編寫(xiě)或選擇現成的工具。

• 傳送工具：

  將攻擊工具傳輸到目標系統上，包括利用站點(diǎn)的上傳漏洞等。

• 觸發(fā)工具：

  利用目標系統的漏洞觸發(fā)執行攻擊工具。

• 控制目標：

  在目標上建立遠程控制通道。

• 執行活動(dòng)：

  執行需要的攻擊行為，包括獲取信息、進(jìn)一步擴大權限等。

• 保留據點(diǎn)：

  創(chuàng )建據點(diǎn)，為后續攻擊提供便利。

這個(gè)過(guò)程被稱(chēng)為攻擊鏈，從傳送工具開(kāi)始，被“黑”的進(jìn)程就已經(jīng)開(kāi)始了，后續的步驟環(huán)環(huán)相扣，假如在此過(guò)程中能夠及時(shí)的發(fā)現攻擊行為進(jìn)行阻斷就能挫敗此次攻擊。云安全中心和云防火墻就是斬斷攻擊鏈的兩柄利器。今天就讓我們來(lái)聊聊它們的部署要點(diǎn)。

第一個(gè)要點(diǎn)，功能定位
阿里云官網(wǎng)，有關(guān)云安全中心的功能描述如下：

云安全中心是一個(gè)實(shí)時(shí)識別、分析、預警安全威脅的統一安全管理系統，通過(guò)防勒索、防病毒、防篡改、合規檢查等安全能力，
幫助用戶(hù)實(shí)現威脅檢測、響應、溯源的自動(dòng)化安全運營(yíng)閉環(huán)，保護云上資產(chǎn)和本地主機并滿(mǎn)足監管合規要求。

所以千萬(wàn)不要把云安全中心只當成一個(gè)殺毒軟件來(lái)看待，云安全中心的威脅檢測、響應、溯源自動(dòng)化對于及時(shí)的發(fā)現并阻斷入侵鏈具有關(guān)鍵作用。云安全中心其實(shí)更像一個(gè)主機IDS而不是一個(gè)殺毒軟件。

云防火墻在阿里云官網(wǎng)的描述如下：

SAAS化云原生防火墻，全面梳理云上資產(chǎn)的互聯(lián)網(wǎng)暴露和風(fēng)險情況，一鍵防護；IPS虛擬補丁可智能防御高危漏洞；集成威脅情報，支持阻斷主動(dòng)外聯(lián)行為、業(yè)務(wù)間訪(fǎng)問(wèn)關(guān)系可視，網(wǎng)絡(luò )流量審計，等保必備。

假如你只需要一個(gè)防火墻，其實(shí)免費的安全組已經(jīng)足夠了，云防火墻的價(jià)值主要體現在IPS虛擬補丁以及發(fā)現并阻斷主動(dòng)外聯(lián)行為。攻擊者在控制目標階段，通常情況下都會(huì )發(fā)起主動(dòng)外聯(lián)，因此相對于防火墻，我覺(jué)得云防火墻更適合作為一個(gè)網(wǎng)絡(luò )IPS來(lái)使用。

第二個(gè)要點(diǎn)，授權粒度
在購買(mǎi)安全中心時(shí)，有一個(gè)要點(diǎn)是購買(mǎi)的授權數必須大于當前賬號的保有ECS數量，假如ECS的數量要增加，要提前對云安全中心進(jìn)行擴容，增加授權數量。
另外，云安全中心的附加功能包括日志存儲空間、防勒索存儲空間授權的對象都是整個(gè)阿里云賬號而不是單個(gè)ECS服務(wù)器，假如配置了30GB的日志存儲空間，而當前云賬號下的ECS數量為2，則兩臺ECS將共享這30GB的日志空間，鑒于阿里云建議為每臺ECS配置30G日志存儲空間，因此最好擴容日志存儲到60GB。云安全中心的授權范圍是整個(gè)阿里云賬號。

云防火墻的授權可細化到單個(gè)VPC，假如當前賬號下有兩個(gè)VPC，而只有一個(gè)互聯(lián)網(wǎng)防火墻授權可用，就可以在云防火墻控制臺選擇為哪一個(gè)VPC開(kāi)通互聯(lián)網(wǎng)防火墻。在云防火墻的企業(yè)版、旗艦版中還有VPC防火墻的功能，也可以根據需要在不同的VPC之間進(jìn)行開(kāi)通。

第三個(gè)要點(diǎn)，默認安全
云安全中心和云防火墻都屬于“默認安全”服務(wù)，在阿里云上的所有ECS服務(wù)器無(wú)論是否購買(mǎi)云安全中心服務(wù)都會(huì )默認安裝阿里云的云安全中心客戶(hù)端，當然除非在購買(mǎi)ECS時(shí)明確的取消安裝安全加固服務(wù)。
云防火墻無(wú)需復雜的配置即可對服務(wù)器提供安全防護，只需要在防火墻開(kāi)關(guān)界面“一鍵開(kāi)通”即可對全部服務(wù)器提供安全防護服務(wù)。

第四個(gè)要點(diǎn)，運維建議
籬笆壞了就要趕緊補好，云安全中心上的報警信息要時(shí)刻關(guān)注，除了可以設置短信和郵件報警外還可以設置釘釘機器人自動(dòng)發(fā)送信息到釘釘群。當收到云安全中心的預警時(shí)可以在第一時(shí)間登陸阿里云賬號使用云防火墻的主動(dòng)外聯(lián)活動(dòng)監控功能對主動(dòng)外聯(lián)行為進(jìn)行監控，并對可疑的主動(dòng)外聯(lián)行為進(jìn)行封禁，云防火墻支持按域名對外聯(lián)訪(fǎng)問(wèn)進(jìn)行開(kāi)通或者封禁，可以通過(guò)外聯(lián)白名單的方式只對指定的系統更新，業(yè)務(wù)合作方的域名開(kāi)通主動(dòng)外聯(lián)。
假如云安全中心的版本是企業(yè)版還支持攻擊溯源的功能，對攻擊行為進(jìn)行關(guān)聯(lián)分析，可以更快速的定位和修復漏洞。

以上就是我對云安全中心和云防火墻的一些建議，希望對大家有用。