云安全中心的云蜜罐功能可以为您提供云内外的攻击发现、攻击溯源等能力。您可以在阿里云VPC、已接入云安全中心的服务器实例上创建云蜜罐实例,来防御您服务器在云内外受到的真实攻击,加固您服务器的安全防护。
背景信息
传统防御方式的主旨是将攻击者拒之门外,然而随着攻击手段的多样化、隐蔽化、复杂化,传统的防御方式往往疲于应付,比如利用0day漏洞的APT攻击,传统的基于规则和特征库的安全产品很难察觉。出现问题时安全运维人员只能做事后修补,而实际上攻击者早已渗透到内网并潜伏。企业需要一种技术手段,主动对抗攻击行为,采取有利于防守方的技术措施,对攻击者形成震慑,保护数据安全。
蜜罐是一个攻击诱骗系统,通过使用蜜罐模拟一个或多个易受攻击的主机和服务,给攻击者提供一个容易被攻击的目标,伪装成用户的业务应用,使攻击者误认为是欲攻击的目标对象。由于蜜罐并没有向外界提供真正有价值的服务,因此所有试图与其进行连接的行为均可认为是可疑的,同时,让攻击者在蜜罐上耗费时间,可以延缓对真正目标的攻击,捕获更多攻击者的信息进行反制,使目标系统得到保护。
云蜜罐原理
虽然蜜罐转守为攻,但是传统蜜罐的缺点也很明显:几乎不可实现高真实、低成本、高覆盖的蜜罐服务。为弥补传统防御方式、传统蜜罐方案的不足,云安全中心的云蜜罐技术应运而生。
云安全中心的云蜜罐功能提供了以下功能和服务。
云原生的VPC黑洞功能
将VPC内部流量中,目的IP不可达的,导流至VPC黑洞探针,再根据VPC黑洞探针上面配置的转发规则,转发至相应的蜜罐服务。
通用的主机探针方案
在业务主机上部署Agent进行流量转发,负载低、无应用侵入、安全稳定,支持大多数主流硬件和系统。
丰富的蜜罐服务
高低交互蜜罐,其中低交互可以覆盖所有端口,高交互内置几十种常见的、易被攻击者攻击的蜜罐服务,覆盖Web应用、数据库、系统服务、特殊缺陷、自定义服务五大类型。
可定制化蜜罐
可基于容器实现自定义蜜罐,实现高级别的业务模拟。
VPC黑洞方案与主机探针方案结合,实现低IP成本、低计算资源成本下高IP覆盖。丰富的蜜罐服务与可定制化蜜罐组成的统一的蜜罐集群,实现高真实度的同时,实现蜜罐类型的高覆盖。
云蜜罐的安全性
因为安全产品带入的稳定性问题、安全性的问题常有曝光,因此云蜜罐在设计之初就考虑了自身产品的性能、稳定性与安全性,确保在实现功能的同时,保证低负载、高稳定、高安全。
性能影响
VPC黑洞功能
不占用主机、网络资源。
主机探针
纯异常端口流量转发,占用系统资源较小。
稳定性影响
VPC黑洞功能
VPC黑洞功能会针对扫描流量进行模拟交互,如果有通过扫描的资产探测软件,可能会造成误报。
主机探针
主机探针需要占用主机端口,因此需要合理规划主机探针所安装的主机端口分配。
安全性影响
主机探针的安全性
主机探针与管理中心只存在导流与功能控制交互,即使管理节点被攻陷,也没有渠道通过探针控制主机。
蜜罐逃逸的安全性
每个用户独享一套蜜罐集群,且内置docker逃逸检测。
网络安全性
通过网络隔离,即使蜜罐集群被攻陷,也不能通过蜜罐和探针的通道攻击客户原网络。
支持的环境
云蜜罐支持阿里云、非阿里云(其他云、传统线下环境)等各种网络环境。
在阿里云环境,云安全中心和网络团队合作开发的VPC黑洞蜜罐功能,可以将VPC内部流量中,目的IP不可达的流量黑洞,再接入蜜罐服务,实现低成本、高覆盖的蜜罐服务。
在非阿里云环境,云蜜罐支持低负载、安全可靠的主机探针导流模式,将可疑流量导流至后端蜜罐集群。
使用限制
主机探针的使用限制
主机探针仅支持在云安全中心的资产中心中维护的服务器实例。
VPC黑洞探针的使用限制
VPC黑洞探针目前仅支持阿里云的以下地域。
华北1(青岛)
华北2(北京)
华北3(张家口)
华北5(呼和浩特)
华北6(乌兰察布)
华东1(杭州)
华东2(上海)
华南1(深圳)
华南2(河源)
华南3(广州)
西南1(成都)
中国(香港)
日本(东京)
新加坡
印度尼西亚(雅加达)
美国(弗吉尼亚)
美国(硅谷)
英国(伦敦)
阿联酋(迪拜)
德国(法兰克福)