云计算之安全

一、云安全中心

1.1 挖矿攻击（Cryptojacking）

1.1.1 定义

黑客在受害者的计算机上安装病毒程序，在受害者不知情的情况下，秘密挖掘加密货币，实现“用你的钱赚我的钱”。

1.1.2 特点

1. 隐蔽性极强，清理难度大
2. 收益可观（由加密货币决定，与机器数量正相关）
3. 除漏洞不及时修复外，AccessKey泄露导致的挖矿问题逐步增多

1.1.3 手段

1. 拿到泄露AK
2. 通过AK枚举ECS
3. 通过云助手给ECS下发命令
4. 下载挖矿软件
5. 执行挖矿

1.2 勒索病毒（Ransomware）

1.2.1 定义

国内俗称勒索病毒，一般是通过系统漏洞，弱密码等脆弱性实施入侵，加密用户服务器上的文件以破坏其可用性，进而就恢复进行勒索。

由于勒索一般仅能通过特定密钥才能进行恢复，一旦中招，几乎无解。

1.2.2 特点

1. 勒索的盈利属性比挖矿更高
2. 【外部】广撒网 + 【内部】蔓延快
3. 交钱恢复 -> 交钱也不恢复 -> 无法恢复

1.3 安全运维思路

1.3.1 安全运维最佳实践

90%精力做事前安全加固，10%做监控拦截及事后调查响应。

1.3.2 关注点

• 事前（安全加固）：漏洞修复，系统基线，云产品配置，网页防篡改，防勒索。
• 事中（拦截监控）：AK泄漏，防病毒，云产品调用基线，入侵检测，攻击态势，应用白名单。
• 事后（调查响应）：自动化溯源，资产指纹采集，日志分析。

1.4 安全加固-漏洞管理

支持一键快照、回滚，结合任务中心自动化批量安心修漏洞，确保业务的安全可恢复。

功能：

1. 真实风险评估：结合环境风险和资产重要性评估风险 漏洞标签及全网修复次数
2. 减少业务影响：漏洞修复时默认打快照 透出是否需要重启
3. 提升运维效率：支持批量修复、验证 任务中心支持自动化批量修复

1.5 安全加固-基线检查

全球第一家提供基线修复能力的云厂商，实现基线问题一键修复，为用户降低极大的工作量，助力快速满足合规检查。

功能：

1. 丰富的基线检查项：主机操作系统、数据库基线、弱口令、中间件基线
2. 等保合规基线：支持等保2.0 二级、三级合规检查，提供等保自查能力
3. 基线修复闭环：批量修复，并结合快照，保障风险可控

1.6 拦截监控-主动拦截

支持主流病毒木马、网站后门、恶意网络行为的主动拦截，支持暴力破解自动阻断。

功能：

1. 病毒自动隔离：支持云上主流病毒、木马、勒索软件的隔离，支持网站后门、恶意网络行为防御
2. 暴力破解自动阻断：结合安全组云原生安全能力，实现暴力破解闭环处置

1.7 常见告警排查思路

告警类别

告警原因

建议下一步操作

联动产品

Webshell

攻击者通过web存在的漏洞，在服务器上写入后门文件成功，从而获取网站服务器的某种程度上的操作权限，为进一步渗透提供更多信息和选择。

1.删除该文件；

2.检查网站代码，严格控制用户输入；

3.上传目录权限遵循最小权限原则。

云安全中心、web应用防火墙

ECS被暴力破解成功(SSH)

攻击者对特定端口（ssh、rdp）,尝试对账号密码进行枚举，从而成功登陆服务器，获取服务器权限。

1.对账号登陆失败设置策略；

2.避免公网段暴露；

3.采用证书登陆的方式；

4.密码复杂度符合要求。

云安全中心、堡垒机

异常网络连接-主动连接恶意下载源

攻击者已获取一定操作权限植入恶意木马或者存在远程代码执行漏洞，导致服务器主动访问恶意网站，或对外发送服务器信息。

1.删除木马程序；

2.检查相关漏洞，做好漏洞修复；

3.配置安全组/云防火墙。

云安全中心、云防火墙

挖矿程序

攻击者已经获取服务器权限，执行挖矿程序，挖矿会导致服务器CPU升高，从而影响正常的业务运行。

1.删除服务器上相关木马和进程；

2.检查定时任务、公钥、用户列表，防止二次入侵。

云安全中心、云防火墙

云助手异常命令

攻击者获取到了云助手权限，通过云助手下发命令，可以导致服务器执行恶意命令，一般为AK泄露造成。

1.检查云助手任务列表，对恶意任务进行删除；

2.查看AK调用情况，对已泄露AK进行禁用；

3.开启云安全中心-云平台配置检查进行扫描。

云安全中心

Redis配置不当致使Root被提权漏洞

Redis数据库配置不当，如公网匿名访问，可写入公钥，进而获取root权限

1.以较低的权限启动redis服务；

2.绑定只是允许本地访问redis；

3.清除/root/.ssh/目录下对应的密钥；4.开启云安全中心-云平台配置检查进行扫描。

云安全中心、云数据库

网页防篡改

实时发送

可选以下时段：

24小时

8:00-20:00

检测到网页防篡改告警时发送通知。每天最多发送5条通知。

1.8 云安全中心挖矿最佳实践

1.8.1 怎么判断自己的资产遭受到挖矿？

当主机的CPU有明显升高，例如达到百分之80以上，出现未知进程，并有持续向外发送网络包。云安全中心用户会收到告警短信或邮件，并在“控制台”-“运行时威胁检测”-“安全告警处理”出现挖矿事件告警，且将挖矿事件的其他告警事件关联，如“矿池通信”、“访问恶意域名”等。

1.8.2 普通用户处置方法

1. 根据高cpu进程，对应的进程信息，杀死该进程。
2. 查看进程的执行文件链接 ls -l /proc/xxx/exe
3. 检查防火墙看是否有特定的Ip访问策略
4. 检查定时任务，防止二次入侵。
5. 检查ssh公钥，防止存在持续后门。
6. 查看是否存在其他设备具有挖矿行为，防止蠕虫重复感染内网主机。
7. 挖矿病毒修改了系统的动态链接库配置文件/etc/ld.so.preload，top、ps等未查找到异常进程，可以使用busybox排查，该工具是静态编译的， 不依赖于系统的动态链接库，从而不受ld.so.preload的劫持，用于排查处理。

1.8.3 遇到挖矿怎么办 ？

1. 云安全中心对挖矿事件支持一键处理。
2. 针对挖矿事件产生的其他衍生告警，如：“矿池通信行为”，云安全中心通过生成策略防止对矿池访问，有充足的时间对安全事件进行处理。
3. 同时可以联动云防火墙，对该异常通信地址进行限制
4. 针对持久化驻留的后门，云安全中心会产生进程行为异常的告警，提醒用户检查定时任务，查看是否存在异常的计划任务。
5. 针对部分没有安全能力的用户，无法及时清理主机上残留的挖矿程序，或清理不干净导致复发，云安全中心的病毒拦截功能，依托并利用阿里云海量威胁情报数据和自主研发的基于机器学习、深度学习异常检测模型，对挖矿程序进行精准拦截，在事前抑制事件发生。
6. 对入侵事件有溯源能力，对入侵过程清楚展示。

二、DDoS防护

2.1 什么是DDoS攻击？

DDoS（Distributed Denial of Service，分布式拒绝服务）攻击是一种网络攻击方式，其目的是通过大量的数据流量淹没目标服务器或其周围的基础设施，使得服务器无法处理正常的服务请求，从而导致合法用户无法访问服务。

DDoS攻击通常利用多台被控制的计算机（僵尸网络）同时向目标发送请求，这些计算机可以分布在全球各地，使得攻击更难以追踪和防御。

这种攻击可以针对任何类型的互联网服务，包括网站、服务器、API接口等。DDoS攻击不仅能够造成服务中断，还可能导致数据丢失、业务损失以及高昂的恢复成本。

为了防范DDoS攻击，企业和组织通常会部署专门的安全措施，如防火墙、流量清洗中心、CDN（内容分发网络）等技术手段来缓解攻击的影响。

2.2 防护系列产品介绍

2.2.1 DDoS基础防护

免费：提供云上资产免费的500M-5G基础的免费防御，加入安全信誉联盟可以累积信誉分，获得更高的防御能力。

2.2.2 DDoS原生防护

付费云原生防御：付费增值服务，在不改变任何配置的情况下提升云产品的防御能力。

2.2.3 DDoS高防

付费大流量清洗中心：建设海量流量清洗中心，提供最高1.5T以上的攻击峰值防御能力，具备近源清洗和区域封禁能力，总体能力10T+。为中国出海业务提供不设上限防护和中国大陆访问加速模块。

2.2.4 游戏盾 “弹性安全网络”

无上限防御方案：DDoS攻击分布式调度清洗，SDK接入，上万防御节点，加密通讯，识别并隔离恶意APP终端，彻底解决DDoS/CC攻击问题，按照业务规模收费的成长性服务机制。

2.3 DDoS防护架构

2.4 实时监测防御能力

1秒异常流量检测，2秒异常流量处理：极大降低网络抖动，实现无阻塞实时网络。

3秒处理完成：实时阻断、实时响应，不对相关区域其他用户业务产生影响。

功能：

1. 流量监测：对流量可疑流量进行实时监测，发现攻击后启动异常流量防护管理。
2. DDoS清洗：封堵大流量DDoS攻击，保障业务可用
3. CC攻击防御（支持HTTPS）：拦截应用层DDoS/CC攻击，保障业务可用
4. 高级负载均衡（支持HTTPS）：负载均衡、健康检查、会话保持
5. 后台管理：对DDoS、CC、漏洞进行统一调度运维管理

2.5 七层攻击防御能力

• 承载了业界主流游戏、金融和互联网+厂家应用，实现对七层攻击的有效识别与防护。
• 业界最大规模的七层应用防护集群，防护性能达到1000万QPS以上。
• 基于云弹性架构，攻击防御能力弹性扩容，实现AI智能防护能力，实现分钟级策略下发。

2.6 全球防御能力

特点：

1. Anycast全球无上限防护
2. 国内无上限防护
3. AI智能防护
4. 7*24安全托管

优势：

1. 智能解析海外流量与国内访问流量
2. 国内新BGP高防具有多规格防护支持
3. 支持国内未备案，四层非标业务接入，实现全球防护。

注意事项：

新BGP高防7层业务接入必须进行国内备案。

2.7 基于海量数据分析的可信攻防情报

大数据分析转化为可信攻防情报，每天TB级数据的可信分析。

三、云防火墙

3.1 云防火墙定义

云防火墙是一种基于云计算环境设计的安全解决方案，用于保护云中的网络和资源免受未经授权的访问和潜在威胁。它通常提供了一种集中式的方法来管理进出云环境的网络流量，允许管理员设置规则来过滤特定的IP地址、端口、协议或其他参数，以此来控制哪些流量可以通过，哪些应该被阻止。

3.2 云防火墙架构

3.3 云防火墙功能

3.3.1 行为分析和追踪

审计日志分析-可溯

1. 攻击防护事件日志
2. 流量日志，包括网络抓包
3. 操作日志，操作行为审计

3.3.2 访问控制

ACL访问控制-可管

1. 互联网出口策略统一管理（南北向）
2. 云上跨网络分区策略管理（东西向）
3. 云上负载访问策略（安全组）全局管理

3.3.3 流量监控

全网流量分析-可见

1. 主动外联流量
2. 互联网访问流量
3. VPC间流量
4. 安全组ECS流量可视化

3.3.4 实施入侵防御

IPS入侵防护-可控

1. 云上网络入侵监视与检测（IDPS）
2. 云上负载失陷感知与虚拟补丁防御
3. 集成威胁情报，智能防御策略建议

3.4 全网统一ACL访问控制， 云上网络防护“三重门”

3.5 云防火墙常见问题

传送门：使用云防火墙的常见问题及解决方案_云防火墙(Cloud Firewall)-阿里云帮助中心

四、Web应用防火墙

4.1 Web应用防火墙（WAF）概览

WAF，即：Web Application FireWall（Web应用防火墙）。可以通俗的理解为：用于保护网站，防黑客、防网络攻击的安全防护系统；是最有效、最直接的Web安全防护产品。

也可以这么模糊的认为：防护网站安全的产品，都可统称为WAF。

4.2 实时防护能力-多防护引擎

1、从传统的正则检测、进化成”机器学习”引擎，再通过数据化实现”千人千面 ”的流量精准防御。

2、解决传统WAF经常面临的业务误报、不敢开防护等问题。

4.3 全球智能调度-GSLB

配置全球自动实时同步、实现全球多机、多集群、多中心容灾、一键回源Bypass、SLA 全年99.95%、高危风险指标钉钉群推送预警。

特点：

1. 高容灾保障
2. 7*24系统监控，异常指标实时预警
3. 多机模式，单机故障自动摘除
4. 多集群/机房/中心，集群故障调度
5. 一键Cname回源，兜底容灾有保障
6. 全球多节点接入，提升访问质量

4.4 BOT防护能力

4.5 0day防护能力

1. 漏洞爆发后的24-48小时内是高危期。在这段期间、会有大量渗透扫描在全网上进行目标捕捉。
2. 使用阿里云Web应用防火墙、24小时内保障规则准确更新、将风险降到最低。
3. 全程自动化规则更新、无需对代码进行任何改造发布、无需服务器上打补丁测试验证。

4.6 最佳实践--WAF+SLB

• WAF只做转发，前后的域名、端口需要一致。
• WAF是集群化部署，默认不开启会话保持。
• 共享集群中每台机器使用固定IP回源，独享集群使用动态IP(NAT网关)回源。
• 如果接入WAF后登录一直被踢出，一般与会话保持有关，建议源站(图中SLB)使用cookie、header等7层方式维护会话。
• WAF tcp超时5s，http读写超时120s;SLB读写超时60s(1-180s，可改) //5xx状态码需注意这项。

4.7 常见问题

传送门：使用WAF可能遇见的问题和解决方案_Web应用防火墙(WAF)-阿里云帮助中心

总结

1. 挖矿攻击（Cryptojacking）：黑客利用受害者的计算资源秘密挖掘加密货币，隐蔽性强，清理困难。
2. 勒索病毒（Ransomware）：通过加密用户文件勒索赎金，传播迅速且恢复难度大。
3. 安全运维思路：注重事前安全加固，辅以事中监控及事后响应，确保全面的安全管理。
4. DDoS防护：提供多层次的防御措施，包括基础防护、原生防护、高防服务及游戏盾，确保业务连续性和稳定性。
5. 云防火墙与WAF：云防火墙集中管理进出云环境的流量，WAF专注于保护网站免受Web应用层面的攻击，提供实时防护和智能调度能力。