傳統安全防護手段,無法滿足云計算時代的安全防護需要,CWPP應運而生。從主機防病毒、入侵防護,到應用程序控制、行為監測及響應,再到主機的加固與運營等8大層面,能力層層遞進,防護面面俱到。而用戶應該先著眼于哪一層?哪一層才真正體現云安全防護的“真本領”?內行看門道。亞信安全近期正式發布的信艙(DS)—云主機安全20版本(簡稱DS 20)全面滿足了云工作負載保護平臺CWPP各項功能。其中最核心,也是最見功力的更新集中在了云主機安全加固的能力提升。
身處“云風暴”,要先看清風險
云服務極大地滿足了用戶使用和拓展存儲資源、軟件資源和計算資源的需求,而主要風險正來源于此:
· 云平臺虛擬化資產數量龐大難以維護企業內部極少有人能及時了解本身的核心資產,如虛擬服務器規模、域名、網段的清晰情況。尤其是資產和組織架構越來越復雜之后,云主機數量統計幾乎成了一道最難搞懂的“高考數學題”。
· 應用系統配置風險漏洞未被重視從近年來主機安全事件來看,應用系統的配置風險是眾多用戶不太重視的問題;另外,隨著新的應用系統類型不斷增加并被應用到生產環境中,這方面的安全漏洞將會被大面積利用,這里面除了傳統的數據庫應用,Web容器、開源監控系統(如Zabbix),MongoDb、Redis、Hadoop等新型應用配置風險漏洞也將成為黑客利用的目標。
云主機風險推動“三大”安全新需求:
· 信息資產采集管理: 面對云計算場景大量的虛擬化資產以及快速更迭的系統及應用,云安全產品應具備強大的資產采集管理能力,通過對資產信息進行分析為企業提供漏洞風險及入侵威脅的判斷的基礎信息,有助于深入發現內部暴露的IT風險問題和風險。
· 漏洞風險檢測及修復: 服務器承載各類業務系統,時刻面臨著外部的用戶訪問,一旦存在漏洞,將使得平臺被黑客入侵的風險被成倍放大。因此,云安全產品應具備強大的漏洞風險檢測及修復能力,需能夠對漏洞風險進行精準發現,并針對不同漏洞風險做出精準分析,提供精確到命令的修復建議。
· 安全合規需求: 國家對網絡安全的重視達到了一個新的高度,尤其是《網絡安全法》的出臺,代表著網絡安全的管控已進入快車道,既是云安全的新起點,也是重要的轉折點。
因此,云安全產品應具備強大的基線合規性檢查能力,能夠對平臺基線進行合規性檢查,對于存在安全缺陷的項目進行識別及給出相應處理意見,防止風險的產生。
打開云端資產治理及漏洞管理“新思路”
想解決資產導致的風險問題,提升系統的安全防護能力的話,就要換位思考,從基于黑客入侵的視角對資產進行分析,了解資產本身常被黑客利用的脆弱點有哪些。
這一步的分析我們可以從幾個方面進行思考:· 攻擊者入侵的動機是什么?· 攻擊者入侵的目標有哪些?· 攻擊者入侵想要達到目的的方法或途徑有哪些?
經過分析我們不難發現,攻擊者的最終目標往往在于存儲重要數據的服務器。而攻擊者想要獲得服務器的控制權或數據的過程中,常以資產自身的漏洞、弱口令賬號為跳板進入資產內部,并通過提權,創建計劃任務等一系列動作達到目的。
解決思路清晰后,如何進行資產梳理和漏洞運營的方案也就對應產生:· 摸清家底:亞信安全DS 20支持全面收集主機層面資產,包括端口、對內對外IP、web站點、web中間件、web應用、數據庫、進程、第三方組件、軟件應用、環境變量、計劃任務、jar包等;同時可對資產實時監測,基于變更規則(變更頻率)進行告警。
【圖:亞信安全DS 20 資產管理】
· 漏洞可視
近兩年,勒索病毒一直處于高頻活躍狀態,通過分析可以發現勒索病毒常常以文件服務器、數據庫等存放數據的服務器為目標,并利用弱口令、高危漏洞等作為攻擊入侵的主要途徑。在亞信安全DS 20平臺上,用戶可通過漏洞管理模塊,全面排查系統中存在的漏洞、弱口令、風險賬號等,從而提升系統安全性;另外,亞信安全DS 20融合了NASL技術,通過POC快速對新出現的漏洞進行驗證,利用了NASL技術與國家漏洞庫建立聯動機制,極大地提升了重大活動和重點網絡中的供應鏈類漏洞預警響應能力。
【圖:亞信安全DS 20 實現漏洞管理可視化】
【圖:亞信安全DS 20 對系統漏洞風險全面評估】
· 快速定位
對用戶而言,應急響應時間的長短,直接關乎著企業的損失。如何快速響應,控制威脅一直是安全人員及用戶關注的重點。對此,DS 20新增“資產一鍵搜”功能,可幫助用戶快速定位受威脅的資產,為處置動作爭取更多的時間。
通過基線檢測建設,實現云主機安全加固自動化
云主機承載著關鍵數據及核心業務系統,一旦受到攻擊,整個信息系統中最具價值的部分將面臨失竊和被破壞的風險,為保障主機安全,因此需要構建以計算環境安全為核心的縱深防御體系,加強主動評估風險及主動預警響應能力。為此,亞信安全DS 20 提供了強大的基線檢查能力,能夠對大量的主機進行統一掃描,支持檢測操作系統和服務(數據庫、服務器軟件、容器等)的弱口令、賬號權限、身份鑒別、密碼策略、訪問控制、安全審計和入侵防范等安全配置,并提供檢測結果,針對存在的風險配置給出加固建議。
【圖:亞信安全提供了豐富的安全合規基線模板】
數字經濟的快速發展和融合,給數據中心帶來了眾多挑戰,尤其是云數據中心面臨的安全風險正在加劇。持續演化的數據中心安全威脅不會遠離,云主機安全將是我們的最后一道防線。這也是亞信安全在DS 20 中增加云主機資產梳理、漏洞掃描、基線核查的目的,是構建云主機安全加固新防線的三個核心能力。
