全部產品
Search

搜尋本產品

    NAT Gateway:通過NAT Gateway和NAT防火牆防護私網出站流量安全的最佳實務

    文件中心

    NAT Gateway:通過NAT Gateway和NAT防火牆防護私網出站流量安全的最佳實務

    更新時間:Dec 27, 2024

    本文介紹私網資產主動發起外聯的風險、及對應的解決方案和當前典型的業務情境下的防護方案,並為您提供防護部署和營運的操作流程。

    業務出站流量安全挑戰

    隨著網路攻擊的複雜化,企業的安全建設也面臨更艱巨的挑戰。一般企業雲上工作負載往往既有互連網訪問的入向流量,也有業務資產主動發起的出向流量。然而,在考慮如何保護網路時,大多企業安全營運團隊往往更多關注入向網路流量,並部署相對完善的安全措施。但是出向網路流量的安全往往被忽視,成為很多企業的安全防護體系短板,比如入向防護措施被繞過後攻擊滲透至內網,造成竊取資料、下載安裝惡意軟體或對外串連惡意中控等。同時,由於企業安全管理措施疏忽,也可能會有內部人員對外非授權訪問,或訪問惡意網站應用程式等,造成敏感性資料泄露等風險。

    企業需要關注的潛在出向流量安全風險:

    • 惡意軟體攻陷風險

      當惡意攻擊者繞過入向安全防護棧措施,攻陷企業內部工作負載後,往往會外聯惡意中控,如回調進行勒索軟體下載等。在攻擊鏈路中,惡意軟體感染一般是更大規模攻擊的初始階段之一,許多惡意軟體仍然需要與命令和控制 (C&C) 伺服器進行通訊,建立串連,擷取更新,請求命令以及將竊取的資料泄露到中控伺服器。某些類型的勒索軟體、殭屍網路、挖礦行為等都需要進行外聯回調。這時候就需要及時警示和阻止惡意外聯,防止對企業的IT基礎設施、數字資產、開發系統等造成進一步破壞。

    • 資料泄露風險

      盜取企業高價值資料往往是惡意攻擊者的目標,一旦攻擊成功,惡意攻擊者可以擷取企業的高價值資料,如財務資料、密碼、電子郵件、個人識別資訊等,並通過網路流量外傳,用於非法兜售、財務欺詐、身份盜竊等惡意活動。攻擊者還可能利用這些擷取的資訊對企業進一步提權或訪問敏感性資料系統等,給企業帶來更多破壞性風險。

    • 內部人員風險

      由於安全意識不足或企業安全管理措施疏忽等,內部人員在進行業務系統開發或營運時,可能對外調用訪問一些不安全的Web服務、地理位置、IP等。或者有意將企業敏感性資料上傳至外部GitHub等公開或開源平台,給企業造成攻擊入侵風險和敏感性資料泄露風險。這是需要及時有效監測這些風險行為,並及時警示及阻止,同時也需要進一步審計溯源。

    • 供應鏈風險

      如果企業自身安全系統完善,但是由於業務中需要涉及三方開發系統,或者需要與供應商、子公司等業務互聯互訪,一旦相應供應商或子公司由於安全措施不足,導致被破壞攻陷後,攻擊也會影響到企業,並進行惡意外聯等。這就需要企業針對來自供應鏈方的流量也需要進行安全監控和審計,發現攻擊後能及時溯源止損。

    • 出站流量合規風險

      一些行業監管機構以及安全內審團隊,針對出向流量提出來較明確和嚴格的監管要求,提升系統的安全性。比如支付卡行業資料安全標準 (PCI DSS) v 4.0的要求:1.3.2要求限制源自持卡人資料環境 (CDE) 的出站流量。根據要求,僅允許被認為必要的出站流量。必須阻止所有其他出站流量。此要求旨在防止實體網路內的惡意個人和受損系統組件與不受信任的外部主機進行通訊。因此,企業也需要針對出站流量進行嚴格的安全管理和審計。

    解決方案

    針對出向流量安全管理,企業可以通過採用“NAT Gateway+NAT邊界防火牆”的方案實現對出向流量的有效監控和保護。

    • NAT Gateway通過自訂SNAT、DNAT條目可為雲上伺服器提供對外公網服務、及主動訪問公網能力。通過NAT Gateway的SNAT能力,當ECS主動發起對外訪問串連時,ECS會通過SNAT位址集區中的EIP訪問互連網,避免將私網直接暴露在公網,提升資產安全性。

    • NAT邊界防火牆為Cloud Firewall的NAT邊界安全能力,可針對NAT轉化前的VPC內資源(例如ECS、ECI等)通過NAT Gateway直接存取互連網時,進行4~7層流量安全保護,審計和攔截未授權的流量訪問,降低未經授權的訪問、資料泄露、惡意流量攻擊等安全風險。Cloud Firewall的存取控制策略相比NAT Gateway的SNAT規則,可以精細化的管控訪問的目的IP、目的網域名稱、目的地區、協議、連接埠及應用。

    方案架構

    情境一:多個VPC出向流量安全

    某企業機構在雲上主要為資料中心系統開發業務,主要有兩個Virtual Private Cloud,一個為生產VPC,一個為測試VPC,日常開發環境中有外部軟體調用需求(兩個VPC都有外聯),如jar包啟動更新等,需企業員工開發僅授權訪問正常業務,不允許非授權外聯,以避免安全風險。

    部署方案

    • 每個VPC內部署一個NAT Gateway,在NAT Gateway上配置SNAT策略,實現私網ECS綁定NAT EIP訪問公網。

    • 每個NAT Gateway部署一個NAT邊界防火牆,在NAT邊界防火牆上配置白名單機制的ACL存取控制策略,不允許訪問未經授權的IP和網域名稱。

    情境二:統一DMZ VPC出向流量安全

    某金融機構在雲上主要為證券保險業務,有多個業務VPC,包括中台VPC、第三方系統VPC、行情VPC等,所有VPC均通過DMZ訪問公網,日常環境中有外部支付服務、外部行情服務及監管服務業務訪問需求,需僅授權訪問正常業務,不允許非授權外聯,造成安全風險。同時需對所有出向訪問流量即時監控審計,及時發現異常流量和攻擊。

    部署方案

    • 僅DMZ VPC內部署一個NAT Gateway,在NAT Gateway上配置SNAT策略,實現私網ECS綁定NAT EIP訪問公網,其他VPC通過雲企業網互聯訪問DMZ VPC實現外網訪問。

    • 僅DMZ VPC的NAT Gateway前部署一個NAT邊界防火牆,在NAT邊界防火牆上配置白名單機制的ACL存取控制策略,不允許訪問未經授權的IP和網域名稱。

    情境三:單VPC內多個交換器的出向流量安全

    某大型跨國機構在雲上單個VPC中,由於業務訪問較為複雜,對外訪問系統較多,需要針對不同的資產做安全防護,實現更精細化安全性原則管理。

    部署方案

    • 業務VPC內基於不同交換器部署NAT Gateway,其中一個NAT Gateway綁定了多個EIP。在NAT Gateway上配置SNAT策略,實現私網ECS綁定NAT EIP訪問公網。

    • 每個NAT Gateway分別對應部署一個NAT邊界防火牆,在NAT邊界防火牆配置白名單機制的ACL存取控制策略,不允許訪問未經授權的IP和網域名稱。

    部署指導

    步驟一:部署NAT Gateway

    1. 登入NAT Gateway管理主控台,根據業務情境,為對應的VPC建立公網NAT Gateway。具體操作,請參見建立公網NAT Gateway執行個體

    2. 為建立的公網NAT Gateway綁定EIP。具體操作,請參見建立和管理公網NAT Gateway執行個體

      重要

      公網NAT Gateway需要綁定EIP才能正常工作。

    3. 為公網NAT Gateway建立SNAT條目,實現無公網IP的ECS執行個體訪問互連網。具體操作,請參見建立SNAT條目

      Cloud Firewall的NAT邊界防火牆能力只支援NAT Gateway配置了SNAT條目,並且不存在DNAT條目。否則無法開啟NAT邊界防火牆。

    步驟二:建立並開啟NAT邊界防火牆

    前提條件

    • 已開通Cloud Firewall服務,並且購買了足夠數量的NAT邊界防火牆授權數。具體操作,請參見購買Cloud Firewall服務

    • 已建立公網NAT Gateway,具體操作,請參見建立和管理專用網路

      重要

      目前,NAT邊界防火牆僅支援防護公網NAT Gateway。

      NAT Gateway滿足以下條件:

      • NAT Gateway所在的地區支援開通NAT邊界防火牆。NAT邊界防火牆支援的地區,請參見支援的地區

      • NAT Gateway已至少綁定1個EIP,並且NAT Gateway綁定的EIP不超過10個。相關內容,請參見建立和管理公網NAT Gateway執行個體

      • NAT Gateway已配置了SNAT條目,並且不存在DNAT條目。相關內容,請參見建立和管理SNAT條目

        如果NAT Gateway存在DNAT條目,您需要先刪除DNAT條目,才可以開啟NAT邊界防火牆。具體操作,請參見建立和管理DNAT條目

      • NAT Gateway所在的VPC已配置了0.0.0.0指向該NAT Gateway的路由條目。相關內容,請參見建立和管理路由表

      • NAT Gateway所在的VPC能夠分配至少28位的子網段。

    操作步驟

    如果NAT Gateway沒有同步到NAT邊界防火牆資產列表中,您可以單擊列表右上方同步資產進行手動同步,手動同步資產需要5~10分鐘,請耐心等待。

    1. 登入Cloud Firewall控制台,在左側導覽列選擇防火牆開關

    2. 單擊NAT边界防火墙頁簽,在目標NAT Gateway的操作列單擊。

    3. 建立NAT邊界防火牆面板,建立並開啟NAT邊界防火牆資訊。具體操作,請參見NAT邊界防火牆

    4. 建立完成後,需要定位到目標NAT Gateway,在開關列開啟NAT邊界防火牆開關。

      image

    步驟三:配置存取控制策略

    1. 登入Cloud Firewall控制台

    2. 在左側導覽列,選擇防護配置 > 存取控制 > NAT边界

    3. NAT边界頁面,選擇待配置的NAT Gateway,單擊新增策略

      Cloud Firewall會自動同步您當前帳號下關聯的NAT Gateway,您可以單擊下拉框選擇待配置的NAT Gateway。

      image..png

    4. 建立策略-NAT邊界面板,配置存取控制策略。單擊確定。具體操作,請參見配置NAT邊界存取控制策略

      image

    步驟四:驗證防護方案是否生效

    1. 登入VPC的ECS執行個體,執行curl命令(例如curl www.test.com)類比業務訪問互連網。關於如何登入ECS執行個體,請參見ECS遠端連線方式概述

    2. 登入Cloud Firewall控制台

    3. 在左側導覽列,選擇日志监控 > 日誌審計

    4. 流量日誌 > NAT邊界頁簽,源IP設定為ECS的私網IP,搜尋流量日誌,查看存取控制策略生效則表示NAT邊界防火牆能夠防護NAT Gateway出向流量。

      image

    營運指導

    異常流量分析

    步驟一:排查NAT邊界是否存在超量流量

    1. 登入Cloud Firewall控制台在左側導覽列,單擊總覽。

    2. 總覽頁面,查看流量趨勢,發現某個時間點存在異常流量峰值。

      說明

      超過購買的防護頻寬時,趨勢圖上會顯示已購NAT邊界處理能力,方便您瞭解流量超過防護頻寬多少。

      image

    如果排查有異常流量峰值,您需要查看私網外聯資產明細,定位異常IP。具體步驟,請參見步驟二

    步驟二:根據私網外聯資產明細,定位異常IP

    1. 登入Cloud Firewall控制台

    2. 在左側導覽列,選擇流量分析 > 主動外聯

    3. 外聯明細 > 私網外聯資產頁簽,根據訪問流量進行排序,重點排查訪問流量過大的資產IP,判定是否存在異常訪問。

      image

    如果定位出異常IP,您需要結合日誌審計資料做進一步判斷。具體操作,請參見步驟三

    步驟三:結合日誌審計資料,判斷異常流量是否符合業務需要

    1. 登入Cloud Firewall控制台

    2. 在左側導覽列,選擇日誌監控 > 日誌審計

    3. 流量日誌 > NAT邊界頁簽,源IP設定為ECS的私網IP,搜尋流量日誌,查看源IP源連接埠目的連接埠,判斷異常流量是否符合業務需要。

      image

    營運建議

    如果您排查出異常流量峰值,且判定該流量確實是業務所需,可以參考如下建議進行營運:

    • 擴充Cloud Firewall防護頻寬

      具體操作,請參見續約說明

    • 最佳化業務部署

      例如,您的業務需要訪問阿里雲OSS服務SLS服務時,建議您使用內網Endpoint訪問,以節省公網流量頻寬。

    • 為不需要防護的IP關閉Cloud Firewall

      具體操作,請參見關閉NAT邊界防火牆