監控雲上資源,系統的安全狀況,找出業務系統可能存在的漏洞,對可疑活動的警示作出反應,或是針對企業日常活動中的安全事件進行追溯,是構建業務安全機密性、完整性、可用性重要的一環。
監測控制
通過運用雲上的多種監測控制手段,以此來感知不同層級的威脅,進行分析判斷,採取相應的措施,並可針對自身的業務量身定製監控和檢測控制。針對監測控制,有以下最佳實務:
網路管理:建立隔離分層的網路,有助於對相似的網路組件進行邏輯分組,還縮小了未經授權的網路訪問的潛在影響範圍。針對Virtual Private Cloud,通過使用ECS安全性群組,網路ACL,流日誌等,控制網路流量,保障雲端服務的安全性和可靠性,或是通過RAM存取控制策略,對Virtual Private Cloud的存取權限進行控制。
許可權管理:許可權管理對於業務來說是非常重要的,不同的角色有不同的許可權,對每個使用者指派最小夠用許可權,能極大的防止各種越權操作,從而有效減少由於操作不當帶來的故障和安全問題。
配置審計:當使用大規模資源時,需要監管資源配置的合規性,通過使用配置審計服務,可監控雲帳號下的資源變更,追蹤配置變更歷史,並即時地完成合規性審計。
Action Trail:日常通過Action Trail,可記錄雲帳號下使用者登入及資源訪問操作,以此實現安全分析、入侵檢測、資源變更追蹤以及合規性審計。也可將帳號下的行為事件下載或儲存到Log ServiceSLS或Object Storage Service,然後進行行為分析、安全分析、資源變更行為追蹤和行為合規性審計等操作。
DDoS防護:分散式阻斷服務 (DDoS) 攻擊通過消耗目標伺服器效能或網路頻寬,從而造成伺服器無法正常地提供服務。可通過以下幾個方面著手緩解DDoS攻擊的威脅:
縮小暴露面,隔離資源和不相關的業務;
最佳化業務架構;
利用公用雲的特性設計Auto Scaling和災備切換的系統;
做好業務監控和應急響應;
使用DDoS防護類產品;
入侵檢測:通過檢測入侵主要是為了防止資料泄露或者業務系統被破壞,通過配置相應的檢測和警示機制,可瞭解雲端服務器或者雲產品中存在的威脅,例如某個惡意IP對資產攻擊、資產已被入侵的異常情況等。
日誌警示
日誌提供了服務和應用程式的第一手資訊,保留安全事件的日誌,為審計,調查安全事件,系統安全的維護等提供了強有力的保障,確保了部署在雲上資源的可用性、業務的正常運行和健康度。因此對日誌的合理管理是保證業務安全的首要條件。
日誌的管理組件括日誌的收集,安全儲存,分析和警示的產生,針對日誌管理,有以下準則:
日誌收集:需從雲上的各種資源,服務,應用程式中收集日誌,其次收集應儘可能是非侵入的;
安全儲存:保留期限應是靈活可配置的,需根據安全要求、合規要求、不同雲產品特點,設定合理的日誌儲存時間,其次日誌資料的儲存應是安全防篡改的,嚴格控制各類身份對於該日誌的許可權,尤其是寫、刪類型的許可權;
日誌查詢:在滿足營運,業務和安全要求的基礎上,選擇合理並可供實施的日誌查詢機制;
日誌分析:需對異構源的日誌正常化並形成通用格式,是日誌分析所必需的,其次應全面的分析以瞭解當前系統的安全事件;
警示產生:警示應是即時,準確,可觸達的(應該有儘可能多的通知機制),其次每種類型的警示都要有可啟動並執行應急補救措施。