安全基础知识及云盾概览

Posted 2021-10-11 dream_heheda

互联网的构成

TCP/IP协议介绍

TCP/IP协议是当前最流行的互联网协议，没有TCP/IP协议，就没有互联网

网络通信五元组

网络通信五元组：源IP，源端口，协议，目标端口，目标IP

端口的打开需要遵循信息安全最小化的原则

 广域网的构成

 

互联网的风险

安全相关的概念

和互联网相关的一些安全概念包括：

1. 基础运营商：电信，联通，移动
2. 骨干网
3. IDC 数据中心
4. BGP协议：边际网关协议
5. ABTN：阿里巴巴骨干网
6. 路由器
7. 交换机
8. 防火墙
9. 安全策略

各种网络攻击

• DDoS：拒绝服务式攻击，业务被冲断
• CC慢速攻击
• SQL注入攻击
• 网络钓鱼攻击
• XSS攻击
• 暴力密码破解攻击

TCP三次握手及DDoS攻击示意图

DDoS攻击原理：TCP的三次握手始终不能成功

OWASP Top N 攻击详解

OWASP 发布的 Top 攻击

 什么是应用程序安全风险

基于OWASP风险等级排序方法的简单评级方案

A1: 注入

注入：将不受信任的数据作为命令的或查询的一部分发送到解析器时，会产生注入SQL注入，NoSQL注入，OS注入和LDAP注入的注入缺陷。攻击者的恶意数据可以诱使解析器再没有适当授权的情况下执行非预期命令或访问数据

A2：失效的身份认证

通常，通过错误使用应用程序的身份认证和会话管理功能，攻击者能够破译密码，密钥或会话令牌，或者利用其它开发缺陷来暂时性或永久性冒充其它用户的身份

A3：敏感数据泄露

许多web应用程序和API都无法正确保护敏感数据，例如：财务数据，医疗数据和PII数据。攻击者可以通过窃取或修改未加密的数据来实施信用卡诈骗，身份盗窃或其它犯罪行为。未加密的敏感数据容易受到破坏，因此，我们需要对敏感数据加密，这些数据包括：传输过程中的数据，存储的数据以及浏览器的交互数据

A4：XML外部实体（XXE)

许多较早的或配置错误的XML处理器评估了XML文件中的外部实体引用。攻击者可以利用外部实体窃取使用URI文件处理器的内部文件和共享文件，监听内部扫描端口，执行远程代码和实施拒绝服务攻击

A5：失效的访问控制

应用程序未对通过身份验证的用户实施恰当的访问控制。攻击者可以利用这些缺陷访问未经授权的功能或数据，例如：访问其它用户的账户，查看敏感文件，修改其它用户的数据，更改访问权限等

A6：安全配置错误

安全配置错误是最常见的安全问题，通常是由于不安全的默认配置，不完整的临时配置，开源云存储，错误的HTTP标头配置以及包含敏感信息的详细错误信息所造成的。因为，我们不仅需要对所有操作系统，框架，库和应用程序进行安全配置，而且必须及时修补和升级它们。

A7：跨站脚本XSS

当应用程序的新网页种包含不受信任的，未经恰当验证或转义的数据时，或者使用可以创建html或者javascript的浏览器API更新现有的网页时，就会出现XSS缺陷。XSS让攻击者能够在受害者的浏览器种执行脚本，并劫持用户会话，破坏网站或者将用户重定向到恶意站点。

A8：不安全的反序列化

不安全的反序列化会导致远程代码执行。即使反序列化缺陷不会导致远程代码执行，攻击者也可以利用它们来执行攻击，包括：重播攻击，注入攻击和特权升级攻击。

A9：使用含有已知漏洞给的组件

组件（例如：库，框架和其它软件模块）拥有和应用程序相同的权限。如果应用程序中含有已知漏洞的组件被攻击者利用，可能会造成严重的数据丢失或服务器接管。同时，使用含有已知漏洞的组件的应用程序和API可能会破坏应用程序防御，造成各种攻击并产生严重营销。

 A10：不足的日志记录和监控

不足的日记记录和监控，以及事件响应缺失或无效的集成，使攻击者能够进一步攻击系统，保持持续性或转向更多系统，以及篡改、提取或销毁数据。大多数缺陷研究显示，缺陷被检测出的时间超过200天，且通常通过外部检测方检测，而不是通过内部流程或监控检测。

云上基础安全防护内容简介 

阿里云用户基础安全主要包括：主机安全，容器安全，网络安全3个方面，主要是用户使用的计算资源以及连通计算资源的网络方面的安全防护和隔离

主机安全

• 入侵检测：异常登录检测，网站后门查杀，主机异常行为检测（进程的异常行为，异常网络连接的检测），主机系统、关键文件是否被篡改，账号是否异常检测等
• 病毒检测：主流勒索，挖矿，DDoS，木马等病毒的实时拦截能力
• 漏洞管理：主流的windows系统漏洞，linux管理漏洞，web cms漏洞，应用漏洞，以及网络上突然出现的紧急漏洞的应急检测和修复
• OS/镜像加固：
• 宕机迁移：宿主机故障，系统进行保护性迁移，把云服务器迁移到正常的宿主机

入侵检测，病毒检测和漏洞管理 可以通过使用云安全中心高级版安骑士来实现。

容器安全

• 安全沙箱容器：阿里云容器服务ACK基于阿里云沙箱技术实现，不同与传统的Docker共用内核的架构，每个安全容器都有独享的内核。对网络，内存，IO实现更强的隔离。
• 入侵检测：支持基于云安全中心的入侵检测，对于容器内web cms漏洞检测和修复，web shell的检测和修复，云查杀等
• 镜像扫描：提供镜像安全扫描，发现漏洞信息，提出漏洞修复建议
• 镜像签名

网络安全

• VPC：借用隧道技术，实现了数据链路层的网络隔离。每个VPC是一张独立隔离的网络环境
• 安全组：阿里云提供的实例级别的虚拟化防火墙，具备状态检测和数据包过滤的功能。使用安全组可以实现单台或多台ECS云服务器的网络访问控制
• 云防火墙：公共云环境下的SaaS化的防火墙，可以管理互联网到业务的南北向的访问策略，以及业务和业务之间东西向的访问隔离的策略
• DDoS防御：支持防护全类型的DDoS的攻击

主机：传统的虚拟机技术

容器：比传统的虚拟机更轻便

云上主要基础安全威胁分析

云上基础安全的防护1--主机威胁：

挖矿病毒，感染性病毒，木马程序是企业面临的主要主机安全威胁。勒索病毒引起的损失也是很巨大的。

勒索病毒

2017年5月12日晚，新型“蠕虫式”勒索病毒 WannaCry在全球爆发，攻击各国政府，学校，医院等网路， 利用windows开放的445端口发起的攻击，需要及时关闭该端口进行防护

挖矿病毒

挖矿是通过投入大量的运算资源来赚取比特币、门罗币等虚拟货币，由于挖矿运算过程中，需要消耗大量的电力和计算资源， 黑客为了节省成本，就希望用别人的主机来进行挖矿计算，就产生了挖矿病毒。

利用“新冠病毒”邮件传播的LemonDuck挖矿病毒和臭名昭著的“黑球”攻击尤为值得关注，它们会伪装成“新冠病毒”相关邮件，给受感染主机的联系人发送电子邮件，利用好奇心诱导收件人点击携带了挖矿病毒的邮件附件。在感染后会首先试图结束杀毒软件进程，继而进行挖矿程序。

云上基础安全的防护2--主机漏洞

主机漏洞是导致企业被入侵的源头。高危漏洞是对企业造成损失最大的移类漏洞。

 高危漏洞举例：

热修复：不会影响到上层云平台的业务使用

云上基础安全的防护3--网络威胁

DDoS攻击和Web应用攻击都是互联网安全的主要威胁

云上基础安全的防护4--安全基线

定期对主机安全基线的检查。主机安全基线检查，主要对操作系统，数据库，中间件的身份鉴别，访问控制，服务配置，安全审计，入侵防范等基础安全配置以及登录弱口令进行风险检测

阿里云安全体系

阿里云云平台安全概况

1. 云产品通过安全评估才能上线
2. 漏洞热修复，平台热升级
3. 内置云盾基础安全服务，纵深防御
4. 全球首个CSA-STAR金牌认证云平台
5. 全国首个等级保护三级认证云平添

阿里云云安全体系

云安全体系包括两个重要的方面：

1. 云安全产品：云盾
2. 云产品的安全：阿里云云产品的开发遵从了安全开发规范

责任分担，共建安全（公有云）

云盾的安全防护

云盾起源