数栈运维安全案例:某传媒企业两会期间安全护航

数栈是云原生—站式数据中台PaaS,我们在github和gitee上有一个有趣的开源项目:FlinkX,记得给我们点个star!star!star!

gitee开源项目:https://gitee.com/dtstack_dev...

github开源项目:https://github.com/DTStack/fl...

FlinkX是一个基于Flink的批流统一的数据同步工具,既可以采集静态的数据,比如MySQL,HDFS等,也可以采集实时变化的数据,比如MySQL binlog,Kafka等,是全域、异构、批流一体的数据同步引擎,大家如果有兴趣,欢迎来github社区找我们玩~

客户是负责国家级新媒体产品的设计、研发、维护等工作,重点打造APP、移动报道指挥系统、全媒体聚合平台、新媒体专线等融媒体产品。因公安部要求,需在“2020年两会期间”做好系统的安全保障工作,我方重点保障客户APP系统的安全性,并做好相关应急预案,确保整个系统在两会召开期间能正常安全稳定运行。

袋鼠云运维服务团队应客户需求,制定了安全护航专项方案,具体方案如下:
一、安全护航准备

护航准备期间主要目的是通过内部自查的方式来了解自身安全现状、主动发现安全风险、提高安全防护能力、完善安全监控、减少被攻击面。袋鼠云采取了以下措施:

(一)网络安全架构梳理

发现未受安全保护的区域,然后对其进行加固,加固后的网络安全架构示意图如下:

DNS解析:使用DNSPod提供解析服务,该解析平台拥有200G的DNS攻击防护能力,并开通账号双因子认证登录功能,严防域名被恶意篡改。
互联网区域:在公网入口增加DDOS高防和WAF产品提高防护能力。本次护航中我们使用可抵御300 Gbps 攻击防护的DDoS高防IP,来抵御互联网服务器遭受大流量的DDoS攻击;使用Web应用防火墙来防御SQL注入、XSS跨站脚本、常见Web服务器插件漏洞、木马上传、非授权核心资源访问等OWASP常见攻击,并过滤恶意CC攻击,避免网站资产数据泄露,保障网站的安全与可用性。同时在公网SLB上只授权允许WAF回源流量进行访问。

(二)资产梳理

对直接暴露在互联网下的资产进行严格防护。梳理过程中发现有部分ECS服务器使用EIP方式直接访问公网,属于高风险区域。我们提供的解决方案是取消这些服务器的EIP,使用NAT网关出公网,屏蔽服务器直接暴露于公网。

(三)全面基线自查

对服务器/数据库账号、口令、权限、策略、日志、漏洞、操作安全等项进行核查加固。此次护航中我们通过堡垒机来进行账号的最小化授权管控与审计,通过云安全中心来实时监测基线、漏洞,对异常告警及时修复。

(四) 安全策略优化

对安全组、RDS白名单、RAM访问策略、OSS访问策略等进行梳理。对无策略限制或者策略开放范围过大的ip进行优化,做到最小化授权。

(五) 数据保护

对数据库数据配置自动备份策略,每日定时备份数据。对ECS服务器设置好自动快照策略,定时快照以防止勒索病毒带来的巨大损失。

(六) 组建应急小组

为了在面临网络攻击时能快速响应,启动应急预案调度技术人员,在护航期间临时成立应急小组。

(七)全面的安全监控

对互联网出/入口网络流量、业务访问、服务器漏洞基线、数据库SQL等内容进行全面实时的监控预警,及时发现异常。
二、护航保障

护航期间,袋鼠云组织安全团队为客户提供全过程的安全护航工作,期间提供每日安全巡检、应急响应以及攻击阻断与策略优化相关工作。

每日安全巡检主要查看互联网出/入流量、DDOS高防、WAF、SLB、云安全中心等各个重要监控指标状态有无异常,并对有异常的事件进行上报处理。

对安全预警实时响应通报并对攻击事件进行分析研判,期间我们对大量的CC攻击进行多次的策略优化工作对异常访问进行精准访问控制,及时封堵攻击减轻攻击带来的业务影响。
三、护航总结

护航结束后,我们对期间产生的CC攻击、web入侵、异常扫描等攻击进行汇总统计:两会期间客户系统总共遭受到700000000+次网络攻击。通过实时的安全预警,及时地进行防护策略优化,所有攻击均被成功拦截阻断,未对业务造成损失,两会安全护航圆满结束。

随着云计算行业的快速发展,云上企业遭受的网络攻击形式层出不穷,如果企业未建立全域的安全防护能力,没有提升安全意识,遭受攻击是在所难免的。袋鼠云可为企业提供安全加固、渗透测试、漏洞扫描、应急响应、等保、安全管家等一站式安全服务,为企业云上安全保驾护航!

你可能感兴趣的:(数栈运维安全案例:某传媒企业两会期间安全护航)