本方案通過Cloud FirewallIPS攻擊檢測結果與NAT會話日誌關聯集成,協助使用者快速定位存在風險的私網IP,實現網路攻擊的快速溯源分析。
業務風險
企業在雲上VPC環境下,往往會採用公網NAT Gateway,通過轉換和隱藏雲端服務私網地址,防止私網地址直接暴露,構建安全隔離的流量的公網出入口。同時在公網出入口也會部署防火牆等安全裝置,對NAT進出互連網的流量進行過濾。而當遭受公網網路攻擊或非法外聯時,通常只能定位到風險NATElastic IP Address,難以快速定位到具體ECS等私網IP,無法及時進行攻擊溯源以及風險處置。
解決方案
為瞭解決這個問題,阿里雲防火牆(CFW)聯動NAT會話日誌推出了IPS私網溯源能力。通過自動關聯NAT Gateway會話日誌,並直接顯示被攻擊服務執行個體的私人IP地址,協助企業快速準確地定位受攻擊資產,從而採取有效應對措施。
Cloud FirewallIPS能力:Cloud Firewall(CFW)IPS引擎主要對公網出向和入向攻擊流量進行檢測並防護。所有接入Cloud Firewall的網路流量都會經過Cloud FirewallIPS引擎過濾,再轉寄出去。針對網路流量,Cloud Firewall通過深度資料包協議識別網路流量中的協議並進行包解析,並通過IPS引擎和威脅情報進行流過濾和包過濾。如果命中了威脅引擎模式以及IPS規則動作,那麼該攻擊資料包將被丟棄或允許存取,從而實現對攻擊的即時警示和攔截。同時,Cloud Firewall會詳細記錄IPS攻擊日誌。
NAT會話日誌:NAT Gateway(NAT Gateway)提供會話日誌功能,當使用者為NAT Gateway建立SNAT條目,有流量經過NAT Gateway時,SNAT會話將以日誌的形式進行記錄,便於溯源和監控。會話日誌捕獲的SNAT會話以日誌的形式寫入SLS中。每條會話日誌記錄會捕獲特定捕獲視窗中的特定五元組網路流。同時針對入向DNAT,可以通過連接埠映射定位到具體私網。
出站流量攻擊私網溯源:
入站流量攻擊溯源:
情境樣本
以某中型新零售企業的雲上電子商城業務為例。為了保證服務穩定及安全,企業在DMZ VPC部署了NAT Gateway作為所有對公網流量通訊出口和入口,降低暴露風險。同時企業採用Cloud Firewall,開啟互連網邊界防火牆,對NATElastic IP Address流量進行過濾和防護。某天晚上,安全營運團隊接收到警報提示存在異常流量,疑似有機器漏洞被攻擊者入侵,被植入木馬對外發起惡意訪問流量,訪問某境外IP,並主動下載bash指令碼和植入了CoinMiner家族木馬。安全營運團隊需要快速定位到正面臨威脅的異常後端伺服器業務。
此時,Cloud FirewallIPS私網溯源能力就能發揮重要作用。企業開啟該能力後,系統能夠自動關聯分析NAT Gateway的會話日誌與Cloud FirewallIPS攻擊日誌,將每條NAT會話日誌記錄捕獲的特定捕獲視窗中的特定五元組網路流與Cloud Firewall記錄的每條IPS事件記錄自動關聯,分鐘級快速定位風險私網IP。這樣,安全營運人員就可以更快地識別出問題私網伺服器,並快速配置該伺服器禁止對外訪問的ACL存取控制策略和清除木馬,及時止損和防止風險擴散。
使用須知
Cloud Firewall按量版和訂用帳戶均支援該能力。NAT Gateway按CU計費的公網NAT Gateway支援該能力。按規格計費的NAT Gateway執行個體不支援開啟會話Log Service。
開啟IPS私網溯源,Cloud Firewall自身不增加額外費用,但系統會在您的NAT Gateway會話日誌中建立索引,並進行查詢,會產生一定費用,關於Log Service的收費,請參見SLS收費標準。
在IPS私網溯源開啟狀態下,如果發現NAT Gateway會話日誌的索引未開啟,或者索引中缺失溯源所需欄位,系統會自動重新創新索引,或者在索引中添加需要的欄位。
開啟配置
登入Cloud Firewall控制台,在左側導覽列選擇,在進階設定地區中找到IPS私網溯源卡片,點擊查看配置開啟配置頁面。
在IPS私網溯源頁面可以看到支援溯源的公網資產列表,對應NAT Gateway需先開啟互連網防火牆保護和NAT會話日誌,Cloud Firewall才能進行IPS私網溯源。在點擊操作開關時會有對應提示,點選連結按指引開啟即可。或參考下列詳細配置文檔:
互連網防火牆保護開啟:開啟防火牆開關
NAT會話日誌開啟:NAT會話日誌配置流程
具體操作,請參見IPS私網溯源。
溯來源資料查看
Cloud FirewallIPS私網溯源功能聯動NAT Gateway會話日誌能力,由於NAT Gateway日誌捕獲和投遞有一定資料延遲,您查詢私網溯源結果預計會有約20分鐘延遲。
在IPS私網溯源狀態開啟後,您可以在以下情境中查看到溯來源資料。
列表:
詳情頁:
列表:
詳情頁:
頁簽中:
更多文檔
查看更多Cloud FirewallIPS攻擊防護配置:IPS配置
通過NAT Gateway和NAT防火牆防護私網出站流量安全的最佳實務:通過NAT Gateway和NAT防火牆防護私網出站流量安全的最佳實務