Security Center的雲蜜罐功能可以為您提供雲內外的攻擊發現、攻擊溯源等能力。您可以在阿里雲VPC、已接入Security Center的伺服器執行個體上建立雲蜜罐執行個體,來防禦您伺服器在雲內外受到的真實攻擊,加固您伺服器的安全防護。
背景資訊
傳統防禦方式的主旨是將攻擊者拒之門外,然而隨著攻擊手段的多樣化、隱蔽化、複雜化,傳統的防禦方式往往疲於應付,比如利用0day漏洞的APT攻擊,傳統的基於規則和特徵庫的安全產品很難察覺。出現問題時安全營運人員只能做事後修補,而實際上攻擊者早已滲透到內網並潛伏。企業需要一種技術手段,主動對抗攻擊行為,採取有利於防守方的技術措施,對攻擊者形成震懾,保護資料安全。
蜜罐是一個攻擊誘騙系統,通過使用蜜罐類比一個或多個易受攻擊的主機和服務,給攻擊者提供一個容易被攻擊的目標,偽裝成使用者的業務應用,使攻擊者誤認為是欲攻擊的目標對象。由於蜜罐並沒有向外界提供真正有價值的服務,因此所有試圖與其進行串連的行為均可認為是可疑的,同時,讓攻擊者在蜜罐上耗費時間,可以延緩對真正目標的攻擊,捕獲更多攻擊者的資訊進行反制,使目標系統得到保護。
雲蜜罐原理
雖然蜜罐轉守為攻,但是傳統蜜罐的缺點也很明顯:幾乎不可實現高真實、低成本、高覆蓋的蜜罐服務。為彌補傳統防禦方式、傳統蜜罐方案的不足,Security Center的雲蜜罐技術應運而生。
Security Center的雲蜜罐功能提供了以下功能和服務。
雲原生的VPC黑洞功能
將VPC內部流量中,目的IP不可達的,導流至VPC黑洞探針,再根據VPC黑洞探針上面配置的轉寄規則,轉寄至相應的蜜罐服務。
通用的主機探針方案
在業務主機上部署Agent進行流量轉寄,負載低、無應用侵入、安全穩定,支援大多數主流硬體和系統。
豐富的蜜罐服務
高低互動蜜罐,其中低互動可以覆蓋所有連接埠,高互動內建幾十種常見的、易被攻擊者攻擊的蜜罐服務,覆蓋Web應用、資料庫、系統服務、特殊缺陷、自訂服務五大類型。
可定製化蜜罐
可基於容器實現自訂蜜罐,實現進階別的業務類比。
VPC黑洞方案與主機探針方案結合,實現低IP成本、低計算資源成本下高IP覆蓋。豐富的蜜罐服務與可定製化蜜罐組成的統一的蜜罐叢集,實現高真實度的同時,實現蜜罐類型的高覆蓋。
雲蜜罐的安全性
因為安全產品帶入的穩定性問題、安全性的問題常有曝光,因此雲蜜罐在設計之初就考慮了自身產品的效能、穩定性與安全性,確保在實現功能的同時,保證低負載、高穩定、高安全。
效能影響
VPC黑洞功能
不佔用主機、網路資源。
主機探針
純異常連接埠流量轉寄,佔用系統資源較小。
穩定性影響
VPC黑洞功能
VPC黑洞功能會針對掃描流量進行類比互動,如果有通過掃描的資產探測軟體,可能會造成誤判。
主機探針
主機探針需要佔用主機連接埠,因此需要合理規劃主機探針所安裝的主機連接埠分配。
安全性影響
主機探針的安全性
主機探針與管理中心只存在導流與功能控制互動,即使管理節點被攻陷,也沒有渠道通過探針控制主機。
蜜罐逃逸的安全性
每個使用者獨享一套蜜罐叢集,且內建docker逃逸檢測。
網路安全性
通過網路隔離,即使蜜罐叢集被攻陷,也不能通過蜜罐和探針的通道攻擊客戶原網路。
支援的環境
雲蜜罐支援阿里雲、非阿里雲(其他雲、傳統線下環境)等各種網路環境。
在阿里雲環境,Security Center和網路團隊合作開發的VPC黑洞蜜罐功能,可以將VPC內部流量中,目的IP不可達的流量黑洞,再接入蜜罐服務,實現低成本、高覆蓋的蜜罐服務。
在非阿里雲環境,雲蜜罐支援低負載、安全可靠的主機探針導流模式,將可疑流量導流至後端蜜罐叢集。
使用限制
主機探針的使用限制
主機探針僅支援在Security Center的資產中心中維護的伺服器執行個體。
VPC黑洞探針的使用限制
VPC黑洞探針目前僅支援阿里雲的以下地區。
華北1(青島)
華北2(北京)
華北3(張家口)
華北5(呼和浩特)
華北6(烏蘭察布)
華東1(杭州)
華東2(上海)
華南1(深圳)
華南2(河源)
華南3(廣州)
西南1(成都)
中國(香港)
日本(東京)
新加坡
印尼(雅加達)
美國(維吉尼亞)
美國(矽谷)
英國(倫敦)
阿聯酋(杜拜)
德國(法蘭克福)