简介:伴随着国内企业上云步伐的加快,越来越多的企业需要对云上关键业务进行等级保护自查或完成相关认证。本文以《GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求》中所要求的三级标准为参考,重点关注其中所涉及的网络安全高危风险部分,为企业提供阿里云上有针对性的安全建设最佳实践,助力企业构建层次化的云上网络安全防御体系,保障核心业务的安全运行。
阿里云上的网络区域通常是以层次化的方式由外部向内部进行划分的,概括来说,通常会有三个层级的网络区域结构:
地域是指物理的数据中心。用户可以根据目标用户所在的地理位置选择地域。而可用区是指在同一地域内,电力和网络互相独立的物理区域。在同一地域内可用区与可用区之间内网互通,可用区之间能做到故障隔离。
地域与可用区的配置和运维由阿里云负责,对于最终用户而言,仅需要选择合适的地域或可用区部署资源,运行云上业务即可。
虚拟专有网络VPC以虚拟化网络的方式提供给客户,是每个客户独有的云上私有网络区域。云租户可以完全掌控自己的专有网络,例如选择IP地址范围、配置路由表和网关等,也可以在自己定义的专有网络中使用阿里云资源,如云服务器、云数据库RDS版和负载均衡等。
对于客户而言,虚拟专有网络VPC是云上网络配置的第一步,也是真正意义上的云上组网的开始。
子网类似传统网络中的VLAN,是通过虚拟交换机(VSwitch)提供的,用来连接不同的云资源实例。而云资源则是通过虚拟网卡的方式进行网络互联,也是目前云上最小颗粒度的资源边界。
——三层网络架构参考图
基于阿里云上三个层级的网络区域,自然也就形成了云上三道网络边界,也就是网络安全中常见的“层次化防御”的推荐架构:
云上业务如果对互联网开放,或是需要主动访问互联网,那流量必定会穿过阿里云与互联网的边界,也就是云上网络的第一道边界——互联网边界。对于该类流量,我们通常称之为南北向流量,针对这类流量的防护,在等保中有明确的要求。由于存在流量主动发起方的区别,防护的重点一般也会区分由外向内和由内向外的不同流量类型。
VPC是云上最重要的网络隔离单元,客户可以通过划分不同的VPC,将需要隔离的资源从网络层面分开。但同时,由于业务的需要,部分流量又可能需要在VPC间传输,或是通过诸如专线,VPN,云连接网等方式连接VPC,实现VPC间应用的互访。因此,如何实现跨VPC边界流量的防护,也是云上网络安全很重要的一环。
由于VPC已经提供了很强的隔离属性,加上类似安全组的细颗粒度资源级管控能力,通常在VPC内部不建议再进行过于复杂的基于子网的隔离管控,通常会使用安全组在资源边界进行访问控制。如果客户需要更精细化的VPC内子网隔离,也可以使用网络ACL功能进行管控。
——云上三层网络边界示意图
以下内容基于《等保2.0》中有关网络安全的相关要求展开,为客户提供阿里云上相关最佳实践。
通常,对可用性要求较高的系统,网络设备的业务处理能力不足会导致服务中断,尤其对于传统IDC的网络架构和设备而言,由于无法快速水平扩展(物理架构限制),或是成本等相关原因,需要企业预留大量的网络资源,以满足业务高峰期的需要,但在日常使用过程中则会产生大量的浪费。对于这一点,上云就很好的解决了这个问题,无论是业务带宽的弹性伸缩,或是阿里云上诸如云防火墙等网络安全类设备的动态水平扩容能力,都能很好地解决传统网络和安全所存在的限制,并大大降低企业的日常网络运行成本。
通常,对于云上的网络区域划分,建议客户以VPC为颗粒度规划,这是因为VPC能够根据实际需要配置IP地址段,同时又是云上的基础默认网络隔离域。对于VPC的划分,一般建议参考企业自身的组织架构,或是业务重要属性进行网络拆分。常见的划分方式有:
等保中有明确指出需要企业根据重要程度进行网络区域划分,同时,在同一VPC内的子网间默认路由互通,因此一般建议客户以VPC为颗粒度实现网络分区。同时,由于部分业务的通信互联需要,VPC间能够通过云企业网(CEN)进行连通,在此基础上也建议客户使用阿里云防火墙的VPC隔离能力来实现VPC间的有效隔离。
云上网络的常见访问控制设备有云防火墙、安全组、以及子网ACL。
云防火墙覆盖互联网边界和VPC边界,主要管控互联网出和入向的南北向流量,以及跨VPC访问(包括专线)的流量控制;
安全组作用于主机边界,主要负责云资源边界的访问控制;
子网ACL主要实现对一个或多个VPC内部子网流量的访问控制,在有精细化访问管控要求时可以使用。
上述服务均提供给云上客户管理权限,能够根据实际业务需要灵活进行ACL配置。
在传统IDC的网络规划中,通常会配置DMZ区用以隔离互联网和内网区域。在云端,同样可以通过设置DMZ VPC,来实现更高安全等级的网络分区,并结合云企业网的联通性搭配云防火墙的隔离能力,将重要的生产或内网区与互联网区分隔开,避免高风险区域内的潜在网络入侵影响企业的重要网络区域。
同时,对于互联网边界,企业需要重点关注南北向的流量防护,对于暴露在互联网上的网络资产,包括IP、端口、协议等信息,需要定期进行盘点,并配置针对性的访问控制规则,来实现互联网出入口的安全管控。
客户在上云初期,一般都会基于VPC进行网络区域的规划,对于不同区域的隔离与访问控制,阿里云提供了非常灵活的方式。通常,VPC之间默认无法通信,不同的VPC如果需要互相访问,可以通过高速通道实现点对点的通信,或是将多个VPC加入同一个云企业网(CEN)实现互通,后者对于客户的配置和使用更为友好,也是更推荐的方式。在此基础上,客户能够通过云防火墙提供的VPC边界访问控制,来对跨VPC的流量进行访问管控,过程中不需要客户手动更改路由,既简化了路由的配置,又能通过统一的方式实现安全隔离管控。
同时,对于通过专线(虚拟边界路由VBR)或VPN方式组建的混合云场景,或是管控来自办公网的云上访问,也能通过云防火墙在VPC边界,通过分布式的方式实现统一访问控制,保障核心区域内的资源访问可管可控。
阿里云提供的各类网络和安全服务,在设计初期,首要考虑的就是如何实现高可用架构。无论是虚拟网络服务,诸如虚拟网络VPC、负载均衡SLB或NAT网关,还是安全类服务,如云防火墙、云WAF或DDoS防护,都在硬件层面实现了冗余,并通过集群的方式提供服务,满足客户云上关键业务对于网络安全可用性的要求。
与此同时,当客户在进行网络规划和配置的过程中,还是需要对高可用架构进行必要的设计,例如多可用区架构、专线的主备冗余等,实现更高等级的通信链路保障。
对于数据传输完整性要求较高的系统,阿里云建议在数据传输完成后,进行必要的校验,实现方式可采用消息鉴别码(MAC)或数字签名,确保数据在传输过程中未被恶意篡改。
数据传输过程中的保密性保护,根据业务类型通常会分为通道类连接和网站类访问。
对于通道类连接,阿里云提供了VPN网关服务,帮助客户快速搭建加密通信链路,实现跨区域的互联。对于网站类的访问,阿里云联合了中国及中国以外地域的多家数字证书颁发机构,在阿里云平台上直接提供数字证书申请和部署服务,帮助客户以最小的成本将服务从HTTP转换成HTTPS,保护终端用户在网站访问过程中的通信安全。
对于由互联网侧主动发起的访问,如果是网站类的业务,一般建议企业配置云WAF来进行有针对性的网站应用防护,并搭配云防火墙,实现全链路的访问控制;对于非网站类的入云业务流量,包括远程连接、文件共享、开放式数据库等,客户能够通过云防火墙在公网EIP维度进行有针对性的开放接口统计与防护。
对于由云内部主动发起的向互联网的外联,建议企业基于云防火墙提供的出云方向ACL,同样在EIP维度进行基于白名单的访问控制,将外联风险降到最低。
参考【安全通信网络——网络架构】章节中的最佳实践,同时,部分云上PaaS服务也提供了类似的访问控制能力,如负载均衡SLB、对象存储OSS、数据库服务RDS,客户能够根据实际使用情况进行配置。
客户在云上的内部网络,通常会部署内部应用服务器或数据库等重要数据资产。对于向内部网络发起连接的行为,一般会经由互联网(南北向)通道或专线及VPC(东西向)通道。
对于来自互联网的网络连接,一般建议客户在边界EIP上进行网络流量的检查。客户能够通过云防火墙提供的深度包检测(DPI)能力,分析来源IP和访问端口等信息,识别出潜在的异常连接行为,并通过配置有针对性的访问控制策略,实现违规流量的阻断。
对于东西向的流量,通常是由企业IDC或办公网发起的,尤其是办公网,除了能够在云下边界部署上网行为管理等服务外,也能够利用云防火墙提供的VPC边界管控能力,识别异常访问流量,并针对性的进行特定IP或端口的封禁。
对于由内部网络主动向外部发起访问的行为,能够通过云防火墙提供的主动外连识别能力进行检测。对于所有跨边界的出云方向网络流量,云防火墙会分析流量的访问目标,结合阿里云威胁情报能力,一旦发现连接目的是恶意IP或域名,会立刻触发告警,提醒客户检查网络访问行为是否存在异常,并建议客户对确认为恶意的流量通过配置ACL的方式进行阻断。
同时阿里云安全中心通过在主机层面进行入侵检测,也能够发现违规的外联进程,并进行有针对性的阻断和告警提示,帮助客户进行恶意风险的溯源。
“除允许通信外受控接口拒绝所有通信”,即网络安全中的“白名单”概念,需要客户配置类似如下的访问控制策略,实现网络暴露面的最小化:
优先级 |
访问源 |
访问目的 |
端口 |
协议 |
行为 |
高 |
特定IP(段) |
特定IP(段) |
指定端口 |
指定协议 |
拒绝 |
中 |
特定IP(段) |
特定IP(段) |
指定端口 |
指定协议 |
允许 |
默认 |
所有(ANY) |
所有(ANY) |
所有(ANY) |
所有(ANY) |
拒绝 |
无论是互联网边界,或是VPC区域边界,都可以通过阿里云防火墙实现上述访问控制的配置和管理。阿里云防火墙作为云原生SaaS化防火墙,与传统防火墙不同,在客户开启过程中,不需要客户进行任何网络架构的调整,并且访问策略会优先保障客户在线业务的正常运行。在日常使用过程中,建议客户根据实际业务流量,通过配置“观察”行为类型的规则,在不中断业务的前提下进行流量分析,逐步完善并添加相应的“允许”类访问控制规则,最终完成默认“拒绝”规则的上线,在业务平滑过渡的过程中实现边界访问的收口;而对于新上云的客户,则建议在初期就配置访问控制“白名单”规则,加强网络安全管控。
云上常见的网络攻击,根据攻击类型和所需防护的资产,一般分为网络入侵行为、针对网站的攻击和海量分布式攻击(DDoS攻击)。
对于云上暴露资产的入侵检测和防御,阿里云防火墙通过提供网络入侵检测和防御(IDPS)能力,帮助客户在互联网边界和VPC边界防范恶意外部入侵行为,并通过提供虚拟补丁的方式,为云上客户在网络边界实现针对远程可利用漏洞的虚拟化防御,帮助客户提升整体网络安全防御水平和应急响应能力。
而对于在云上开展网站类业务的客户,阿里云提供了Web应用防火墙的防护能力,对网站或者APP的业务流量进行恶意特征识别及防护,避免网站服务器被恶意入侵,保障业务的核心数据安全,解决因恶意攻击导致的服务器性能异常问题。
针对DDoS攻击,阿里云为云上客户提供了DDoS防护的能力,在企业遭受DDoS攻击导致服务不可用的情况下,使用阿里云全球DDoS清洗网络,通过秒级检测与AI系统,帮助云上客户缓解攻击,保障业务稳定运行。
对于内部发起的网络攻击行为,如果发生在云端,一般是由于云资源已经被成功入侵导致。此时,除了使用阿里云安全中心进行资源(例如主机或容器)维度的应急响应和防御外,同时能够使用云防火墙,加固不同VPC区域之间的安全隔离,并在允许的通信链路上对网络流量进行持续的网络入侵检测防御(IPS),将网络攻击的影响范围降到最小,限制网络攻击行为,同时便于后期进行调查取证和攻击分析。
对于阿里云上的恶意代码防护,通常建议客户在资源层面通过云安全中心实现防护,同时利用云防火墙在网络层面进行协同防御,并在网站资源上利用云WAF进行防护。
云安全中心目前支持蠕虫病毒、勒索病毒、木马、网站后门等恶意代码的检测和隔离清除,并定期升级相关恶意代码规则库;
针对挖矿蠕虫(例如对SSH/RDP等进行暴力破解)攻击,云防火墙通过提供入侵检测和防御能力,对恶意代码和相关行为进行检测并告警;针对高危可远程利用漏洞,云防火墙利用阿里云安全在云上攻防对抗中积累的大量恶意攻击样本,针对性地生成精准的防御规则,并在后台实现自动化的规则升级和更新,帮助客户以无感的方式不断提升整体安全防护能力。
云上网站在接入Web应用防火墙后,防护引擎会自动为网站防御SQL注入、XSS跨站、Webshell上传、命令注入、后门隔离、非法文件请求、路径穿越、常见应用漏洞攻击等Web攻击,实现对云上网站的恶意行为检测和防护。
通常建议客户在互联网边界和VPC区域边界通过启用阿里云防火墙,实现对全网络边界的流量安全审计,并在发生安全事件时,能够通过网络日志快速定位异常流量和进行网络溯源。目前云防火墙提供了三类审计日志:
同时阿里云针对网络日志提供了强大的分析能力,帮助客户不仅在安全维度发现异常流量,还能够在运维层面提供强大的数据支撑,统计网络流量行为,分析并优化网络使用和成本,提升整体网络运行效率。
对于网站类业务,阿里云WAF也提供了日志服务,能够近实时地收集并存储网站访问日志和攻击防护日志,协助客户进行深入分析、以可视化的方式进行展示、并根据所设定的阈值实现监控报警。
云防火墙和云WAF的日志留存均基于日志服务SLS,能够提供6个月的留存时长,并通过SLS提供的能力进行分析、统计报表、对接下游计算与提供日志投递等能力,实现灵活的日志分析和管理。
对于云上常见的内外部网络攻击,可以参考【安全区域边界——入侵防范】章节中的相关内容。目前针对不同类型的网络攻击,阿里云都提供了对应的防护能力,从DDoS类的攻击,网络入侵行为的检测和告警,到针对网站的恶意行为识别和分析,都可以通过阿里云相关安全产品,实现有针对性的防护。
对于办公环境的外联行为,建议客户根据实际情况选择针对性的防护手段。当客户使用阿里云上资源开展日常运维工作时(例如使用堡垒机进行云上环境运维),对于云上资源的外访,建议客户通过云防火墙进行主动外连行为的检测,及时发现恶意的外连行为,进行针对性的封禁。具体最佳实践可以参考【安全区域边界——边界防护】中的违规外联检查措施部分,实现针对性的管控。
网络安全等级保护在2019年已经从1.0升级为2.0,是我国网络安全领域的基本国策。针对云上网络安全,等保2.0在完善网络架构和访问控制的基础上,也对网络入侵防御和安全审计提出了更高的要求。通过本最佳实践,希望能够在企业建设云上网络安全防御体系的过程中,供企业参考,以更全面的视角看待网络安全,实现更有效的防护。
《等保2.0》网络安全高危风险与应对建议汇总
防护层面 |
控制点 |
标准要求 |
推荐防护能力 |
安全通信网络 |
网络架构 |
网络设备业务处理能力 |
VPC、EIP、SLB、NAT |
网络区域划分 |
VPC、云防火墙、CEN |
||
网络访问控制设备不可控 |
云防火墙、安全组、网络ACL |
||
互联网边界访问控制 |
VPC、云防火墙、CEN |
||
不同区域边界访问控制 |
VPC、云防火墙、安全组 |
||
关键线路、设备冗余 |
各阿里云网络与安全产品 |
||
通信传输 |
传输完整性保护 |
客户业务实现 |
|
传输保密性保护 |
VPN、SSL证书 |
||
安全区域边界 |
边界防护 |
互联网边界访问控制 |
云防火墙、云WAF |
网络访问控制设备不可控 |
各阿里云网络与安全产品 |
||
违规内联检查措施 |
云防火墙 |
||
违规外联检查措施 |
云防火墙、云安全中心 |
||
访问控制 |
互联网边界访问控制 |
云防火墙 |
|
入侵防范 |
外部网络攻击防御 |
云防火墙、云WAF、DDoS防护 |
|
内部网络攻击防御 |
云防火墙、云安全中心 |
||
恶意代码和 垃圾邮件防范 |
恶意代码防范措施 |
云防火墙、云安全中心、云WAF |
|
安全审计 |
网络安全审计措施 |
云防火墙、云WAF |
|
集中管控 |
安全事件发现处置措施 |
云防火墙、云WAF、DDoS防护 |
|
安全运维管理 |
网络和系统 运维管理 |
运维外联的管控 |
云防火墙 |
原文链接:https://developer.aliyun.com/article/783439?
版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。