辰东,盗墓笔记小说全集

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案

云安全運營總結(jié)

做云安全運營也有一年多時間了，對云上安全建設(shè)和運營有一點粗淺的經(jīng)驗，希望可以拋磚引玉，借此文章能有機(jī)會和大佬們交流安全運營，安全建設(shè)方向的經(jīng)驗。

創(chuàng)新互聯(lián)專注于蘭溪企業(yè)網(wǎng)站建設(shè),自適應(yīng)網(wǎng)站建設(shè),商城開發(fā)。蘭溪網(wǎng)站建設(shè)公司,為蘭溪等地區(qū)提供建站服務(wù)。全流程按需網(wǎng)站制作，專業(yè)設(shè)計，全程項目跟蹤，創(chuàng)新互聯(lián)專業(yè)和態(tài)度為您提供的服務(wù)

首先我貼一張思維導(dǎo)圖，云上安全運營工作主要圍繞此圖開展，因為我們的身份是云安全乙方，所以不開展SDL工作。

一、風(fēng)險管理

風(fēng)險管理工作是安全運營的重頭戲，風(fēng)險管理是一個動態(tài)的過程，所以工作量不言而喻。

我們的風(fēng)險管理其實和甲方的有些不一樣，比如我們省去了對重要資產(chǎn)的估值這一步，只要是租戶的資產(chǎn)，我們都ALL IN ONE，我們把重心放在更細(xì)粒度的發(fā)現(xiàn)風(fēng)險項上。

1.1 云上風(fēng)險項

1.2 自動化監(jiān)控風(fēng)險

阿里云幾乎所有的產(chǎn)品都支持API調(diào)用，通過編寫相關(guān)規(guī)則，可以實現(xiàn)自動化監(jiān)控風(fēng)險的功能。

例如安全組風(fēng)險，通過如下代碼可以獲取到某個Region的所有安全組信息

返回的字典數(shù)據(jù)中，Permission字段包含了“授權(quán)方向”，“IP協(xié)議”，“授權(quán)范圍”，“端口范圍”，“授權(quán)策略”

通過如下示例代碼可以過濾出存在高風(fēng)險的安全組

這里僅以安全組風(fēng)險舉例，其它風(fēng)險項如法炮制，都是調(diào)用阿里云API獲取數(shù)據(jù)，并通過規(guī)則篩選出風(fēng)險項。

6個風(fēng)險項，以面向?qū)ο蟮木幊趟枷敕庋b成6個類。并設(shè)置計劃任務(wù)，每天運行一次。

1.3 降低風(fēng)險

降低風(fēng)險也可以理解成風(fēng)險處置。作為云安全乙方，我們沒有權(quán)限對租戶的風(fēng)險項進(jìn)行直接修改操作，只能通過以下兩種方式通知租戶進(jìn)行修復(fù)：

釘釘告警
短信告警

1.4 責(zé)任劃分

平臺側(cè)：負(fù)責(zé)發(fā)現(xiàn)風(fēng)險，并通知到租戶
租戶側(cè)：進(jìn)行風(fēng)險項整改工作

二、應(yīng)急響應(yīng)

資產(chǎn)數(shù)量多，難免會發(fā)生安全事件，所以應(yīng)急響應(yīng)也劃分進(jìn)了安全運營范疇。處理過多次應(yīng)急響應(yīng)事件，包括挖礦事件，對外ddos事件。入侵原因top3：ssh暴力破解，redis未授權(quán)訪問，elasticsearch弱口令

2.1 事前準(zhǔn)備

編寫應(yīng)急響應(yīng)方案
工具準(zhǔn)備：windows，linux殺毒軟件，rootkit掃描工具

2.2 事中處置

遵守PDCERF模型進(jìn)行應(yīng)急響應(yīng)工作。一般情況下，我會按照如下步驟進(jìn)行應(yīng)急

初步判斷事件真?zhèn)?/li>
找到項目負(fù)責(zé)人，拉群成立臨時應(yīng)急響應(yīng)小組
經(jīng)租戶授權(quán)許可后進(jìn)行應(yīng)急響應(yīng)工作
備份快照
登錄服務(wù)器，分析網(wǎng)絡(luò)連接，并根據(jù)網(wǎng)絡(luò)連接進(jìn)行訪問控制，例如挖礦通信端口1234，立即網(wǎng)絡(luò)阻斷掉該端口
通過網(wǎng)絡(luò)訪問控制，對內(nèi)網(wǎng)機(jī)器進(jìn)行隔離，降低內(nèi)網(wǎng)橫向感染風(fēng)險
分析進(jìn)程，kill惡意進(jìn)程
檢查啟動項，刪除惡意啟動項
檢查是否存在隱形賬號，并通過工具自動化檢查rootkit
殺毒軟件對服務(wù)器進(jìn)行全盤掃描，刪除病毒
入侵溯源，重點分析：.bash_history, web日志，互聯(lián)網(wǎng)服務(wù)(例如elasticsearch，redis)日志
找到入侵原因后，進(jìn)行加固

2.3 事后關(guān)注

事后，要保持一段時間對該機(jī)器以及該網(wǎng)段其它機(jī)器進(jìn)行重點關(guān)注，以防殘留后門導(dǎo)致事件復(fù)發(fā)。

三、安全巡檢

安全巡檢是安全運營工作中頻率最高的工作項。正常情況下，重要的部門需要一天進(jìn)行2次巡檢，早上下午各一次。

3.1 編寫安全巡檢方案

將巡檢的操作流程，巡檢項，注意事項進(jìn)行文檔化，一方面可以為新入職的安全工程師提供指導(dǎo)，另外一方面可以滿足安全評審需要。

3.2 日常巡檢工作

假設(shè)網(wǎng)絡(luò)環(huán)境分為專有云區(qū)和公有云區(qū)，有5個租戶，每天都要進(jìn)行2次安全巡檢，那么一天巡檢的次數(shù)就是10次。需要關(guān)注的巡檢項包括：

態(tài)勢感知事件
主機(jī)安全事件
基線檢查(風(fēng)險)
漏洞檢查(風(fēng)險)

那么，浪費在5個租戶上的巡檢時間會非常多，好在阿里云提供了API，可以幫助我們從多租戶雙區(qū)域的手工巡檢中解脫出來。這里我想表達(dá)的意思是，其實安全巡檢本身沒什么技術(shù)含量，但卻又是一個重復(fù)繁瑣的工作，利用好編程能力，可以很大程度上提高工作效率，這也是為什么很多公司要求安全運營人員要掌握一門編程語言的原因。

3.3 記錄巡檢數(shù)據(jù)

保存巡檢數(shù)據(jù)主要是為了審計，為了問責(zé)。(個人觀點)

假如4月1號早上發(fā)生了安全事件，作為安全運營工程師沒有及時做好巡檢工作，第二天巡檢的時候才發(fā)現(xiàn)事件告警，導(dǎo)致了租戶嚴(yán)重?fù)p失，這個責(zé)任是需要的安全工程師承擔(dān)的。

巡檢日志表格示例

上面的表格4.1沒有對主機(jī)安全事件進(jìn)行巡檢，第二天才發(fā)現(xiàn)有挖礦事件，導(dǎo)致租戶遭受了重大損失。所以作為安全運營工程師應(yīng)該承擔(dān)主要責(zé)任。

四、安全產(chǎn)品運營

云安全產(chǎn)品運營是我們云安全運營工程的職責(zé)之一。租戶通過開通/接入申請，我們對安全產(chǎn)品進(jìn)行接入，配置操作。

租戶申請10個域名接入WAF -> 安全運營工程師進(jìn)行配置 -> 本地修改hosts驗證 -> 租戶修改dns記錄
租戶申請10臺ECS接入堡壘機(jī) -> 安全運營工程師進(jìn)行配置 -> 通過test用戶驗證可用性 ->完成配置
云盾功能性測試。(云盾版本升級后，或者同城容災(zāi)部署后)

五、編寫文檔

編寫文檔，并不是安全運營工程師的主要職責(zé)，這個工作應(yīng)該由安全架構(gòu)師或者首席安全官來做。但有時候安全團(tuán)隊會選擇相信我，讓我完成其中一部分文檔的編寫。例如《云上安全加固方案》，《安全巡檢方案》，《應(yīng)急響應(yīng)方案》。有時候嘗試做自己不擅長做的事情，能幫助自己快速成長。

六、業(yè)務(wù)上線評審(TODOLIST)

目前，租戶的業(yè)務(wù)上線是沒有經(jīng)過我們安全評審的。比如項目方可以有權(quán)限自己開安全組，想怎么開就怎么開。業(yè)務(wù)系統(tǒng)上線前也幾乎不會做漏洞掃描和安全測試。安全工作應(yīng)該伴隨項目規(guī)劃到項目實施再到上線項目的整個生命周期。不經(jīng)過評審就直接上項目，嚴(yán)重違背了安全建設(shè)生命周期。這一塊需要規(guī)范起來，但一直沒有時間去做。

當(dāng)前題目：云安全運營總結(jié)
標(biāo)題路徑：http://m.fisionsoft.com.cn/article/cdsdceg.html

新聞中心

一、風(fēng)險管理

二、應(yīng)急響應(yīng)

三、安全巡檢

四、安全產(chǎn)品運營

五、編寫文檔

六、業(yè)務(wù)上線評審(TODOLIST)

其他資訊

一、風(fēng)險管理

四、安全產(chǎn)品運營

五、編寫文檔

六、業(yè)務(wù)上線評審(TODOLIST)