1.云上安全设计以及华为云安全体系
1.1 为什么要关注云上安全
- CSA:Cloud Security Alliance,云安全联盟
1.2 云上企业安全诉求
1.3 五大安全维度应对云上安全诉求
1.4 华为云安全服务全景
2.工作负载安全
2.1 企业主机安全HSS
- 管理控制台是可视化的管理平台,便于用户集中下发配置信息,查看在同一区域内主机的防护状态和检测结果。
- HSS云端防护中心接收控制台下发的配置信息和检测任务,并转发给安装在服务器上的Agent。Agent根据配置的安全策略,阻止攻击者对主机的攻击行为,同时定时执行检测任务,全量扫描主机,实时监测主机的安全状态,并将收集的主机信息(包含不合规配置、不安全配置、入侵痕迹、软件列表、端口列表、进程列表等信息)上报给云端防护中心
- 云端防护中心将分析后的信息以检测报告的形式呈现在控制台界面。
- 其他功能:
- 网页防篡改:网页防篡改功能可实时发现并拦截篡改指定目录下文件的行为并快速获取备份的合法文件恢复被篡改的文件,从而保护网站的网页、电子文档、图片等文件不被黑客篡改和破坏。
- 高级防御:实现高级防御功能,包括:程序运行认证、文件完整性管理、勒索病毒防护。
- 多云统一管理:35支持跨云平台管理海量 (10万级)358异构 (X86/ARM),多OS (主流Linux/Windows) 主机安全状态.
2.2 HSS适用场景
- 主机安全为国内外23万企业和个人用户提供全面有效的安全解决方案,包括政府,互联网,教育等各行各业。主机安全为客户提供全面风险预防和实时防护,定时输出安全运营报告,满足客户的等保安全,实现了预防+检测+运营的全方位主机安全防护。
2.3 云容器安全CGS
- 容器安全服务是一个用于检测容器镜像生命周期的安全服务,能帮助高效管理容器与镜像的安全状态,降低容器与镜像面临的主要安全风险,可以从构建、分发、运行三阶段来看。
2.4 CGS适用场景
2.5 云堡垒机CBH
- CBH还支持协同作业、用户主机批量管理,数据库运维(纳管数据库主机资源)等
2.6 CBH使用流程
- 定制策略流程:
- 添加资源:管理员添加需要管理的资源,资源包括服务器、网络设备、安全设备、应用系统、数据库系统等对象。支持编辑相关设备信息,包括系统类型所属部门、资源名称、资源地址、协议类型、应用程序等。
- 添加主账户:管理员添加主账户(用户账户)。主账户是登录云堡垒机,获取目标设备访问权的唯一账户,与实际用户身份一一对应,每个用户一个主账户每个主账号只属于一个用户
- 添加从账户:管理员添加与资源对应的从账户(资源账户),包括账户名、密码等。从账户支持自动、手动、半自动的登录方式,并且能够由普通账户切换到特权账户,同时密码可由云堡垒机定期自动更新
- 创建访问控制策略:管理员建立基于“时间+主账启+资源+从账户+权限”等要素的关联策略。
- 行为全程审计:云堡垒机自动记录管理员的资源管理、用户管理和策略管理等所有行为日志,以便审计员监控和审计。
2.7 CBH适用场景
- 可以通过IAM账号来进行CBH的访问权限控制,同时管理人员能够在CBH系统中创建系统用户,为用户分配不同系统角色,图示即为CBH中分配的不同账号权限,其中仅admin拥有管理系统角色的权限。
- 严要求的审计合规场景:
- 通过在云上部署云堡垒机系统,单点登录入口,集中管理账户和资源,部门权限隔离,核心资产多人审核授权,敏感操作二次复核授权,健全的运维审计机制,能够为高风险衍业提供严要求审计功能,满足行业监管要求。
- 高效稳定的运维场景:
- 云堡垒机在远程运维过程中,隐藏资产真实地址,解决远程运维资产信息暴露问题。同时提供全面的运维日志,为审计运维和代运维人员的操作行为,提供有效监控,减少网上安全事故,助力企业长久稳定发展
- 大量资产和人员管理场景:
- 云堡垒机针对大量用户和大量资产,可海量容纳庞大人员和资源数据,运维人员单点登录,解决运维人员维护多台资产效率低,易出错的问题。同时通过制定细粒度权限控制,资源操作全程记录,可审计全量用户操作行为,并对事故问题进行有效追溯,确保有效定责。此外,系统桌面实时呈现运维全景,并可接收异常行为告警通知,确保人员无法越权操作。
2.8 云上架构中的负载安全产品
- 线条代表访问流量。
- DMZ 是英文“Demilitarized Zone”的缩写,中文名称为“隔离区”,可以理解为-个不同于外网或内网的特殊网络区域,DMZ内通常放置一些不含机密信息的公用服务器,比如WEB服务器、E-Mail服务器、FTP服务器等。这样来自外网的访问者只可以访问DMZ中的服务,但不可能接触到存放在内网中的信息等,即使DMZ中服务器受到破坏,也不会对内网中的信息造成影响。
3.网络安全
3.1 安全组&ACL
3.2 云防火墙CFW
- 提供功能包括实时入侵检测与防御,全局统一访问控制,全流量分析可视化,日志审计与溯源分析等,同时支持按需弹性扩容,是网络安全防护的基础服务
3.3 DDos攻击防护方案ADS
3.4 DDos攻击高防AAD
3.5 云上架构中的网络安全防护产品
- 线条代表访问流量
4.应用安全
4.1 Web应用防火墙WAF
- SQL注入攻击指攻击者通过欺骗数据库服务器,来执行未授权的任意查询。SQL注入攻击借助SQL语法,针对应用程序开发者在编程过程中的缺陷或不严谨代码,当攻击者能够操作数据,向应用程序中插入一些SQL语句时,SQL注入攻击就发生了。
- XSS是一种常见的web安全漏洞,它允许攻击者将恶意代码植入到提供给其它用户使用的页面中。不同于大多数攻击(一般只涉及攻击者和受害者 ),XSS涉及到三方,即攻击者、客户端与Web应用。XSS的攻击目标是为了盗取存储在客户端的cookie或者其他网站用于识别客户端身份的敏感信息。一旦获取到合法用户的信息后,攻击者甚至可以假冒合法用户与网站进行交互。
- 命令注入攻击,是指由于嵌入式应用程序或者web应用程序对用户提交的数据过滤不严格,导致黑客可以通过构造特殊命令字符串的方式,将数据提交至应用程序中,并利用该方式执行外部程序或系统命令实施攻击,非法获取数据或者网络资源等。
- 网页挂马指的是把一个木马程序上传到网站生成网马,执行时会生成更多木马,用户下载木马后执行并继续下载执行,进入恶性循环,从而使用户的电脑遭到攻击和控制
- CC攻击( Challenge Collapsar Attack,CC)是针对Web服务器或应用程序的攻击利用获取信息的标准的GET/POST请求,如请求涉及数据库操作的URI UniversalResource ldentifier)或其他消耗系统资源的URI,造成服务器资源耗尽,无法响应正常请求。
4.2 WAF适用场景
- 备注: 0day漏洞,又称“零日漏洞”( zero-day),是已经被发现(有可能未被公开》,而官方还没有相关补丁的漏洞。通俗地讲就是,除了漏洞发现者,没有其他的人知道这个漏洞的存在,并且可以有效地加以利用,发起的攻击往往具有很大的突发性与破坏性
4.3 WAF与CFW的区别
4.4 云上架构中的应用安全防护产品
- 线条代表访问流量。
- DMZ 是英文“Demilitarized Zone”的缩写,中文名称为“隔离区”,可以理解为-个不同于外网或内网的特殊网络区域,DMZ内通常放置一些不含机密信息的公用服务器,比如WEB服务器、E-Mail服务器、FTP服务器等。这样来自外网的访问者只可以访问DMZ中的服务,但不可能接触到存放在内网中的信息等,即使DMZ中服务器受到破坏,也不会对内网中的信息造成影响。
5.数据安全
5.1 数据资产安全
- 2020-2021年间数据泄露的平均总成本的增加了10%
- 数据泄露成本从386万美元上升到424万美元,成为本报告有史以来最高的年度平均总成本。那些安全状态更成熟的组织,成本明显较低,而那些在人工智能安全与自动化、零信任和云安全等领域落后的组织,则成本较高。
5.2 数据安全中心DSC
- 适用场景:
- 敏感数据自动识别分类:从海量数据中自动发现并分析敏感数据使用情况,基于数据识别引擎,对其储存结构化数据( RDS )和非结构化数据( OBS )进行扫描、分类、分级,解决数据“盲点”,以此做进一步安全防护
- 用户异常行为分析:通过深度行为识别引擎,建立用户行为基线,实现基线外异常操作实时告警,行为操作实时查询,行为轨迹可视化,风险事件关联识别针对风险事件关联用户操作,完善溯源审计链条。及时发现数据使用是否存在安全违规并及时预警,预防数据泄露
- 数据脱敏保护:通过多种预置脱敏算法+用户自定义脱敏算法,搭建数据保护引擎,实现非结构化数据脱敏储存,结构化数据静态脱敏,防止敏感数据泄露
- 满足信息合规要求:DSC拥有数十种合规模板,包含GDPR,PCI DSS,HIPAA等,多种合规规则一键匹配识别,生成报表供针对性整改,精准区分和保护个人数据,避免产生合规问题。
5.3 DSC数据内容防护流程
5.4 数据库安全DBSS
5.5 数据传输的身份保障-数字证书
- 公有证书:使Web浏览器能够标识使用安全套接字层/传输层安全性协议的网站并与之建立加密的网络连接
- 由公共CA机构签发0用于认证因特网上的资源
- 默认被应用程序和浏览器信任:CA根证书已存储到浏览器和OS信任区
- 遵守严格的规则、提供操作可见性,并遵循浏览器和操作系统供应商规定的安0全标准必须遵循严格的规范
- 私有证书: 识别和保护组织内的应用程序、服务、设备和用户等资源
- 由私有CA机构签发,用于组织内部资源的认证
- 服务器、网站、客户端、设备、VPN用户等
- 私有网络内的资源
- 默认不被信任:用户需要安装证书到客户端的信任区
- 优势:
- 可以用于标识任何资源
- 自定义颁发规则,用于验证及命名等
- 不受公共CA证书/机构规则的限制
5.6 云证书管理CCM
- 当前国际证书颁发机构签发的SSL证书,有效期基本都为1年。CCM支持私有证书轮换配置,可以根据私有证书的过期时间来设定轮换周期,在旧私有证书过期前,将新私有证书替换到对应的工作节点上,避免因私有证书过期导致业务通信中断。
- SSL证书管理:
- 网站可信认证网站建设。为用户建立的网站提供基于数字证书的可信身份认证0支持,避免网站被仿冒。
- 应用可信认证适用于云应用服务、移动应用服务。为用户云上的应用(CRM、OAERP等)提供基于数字证书的可信身份认证支持,避免接入非法应用。
- 应用数据传输保护适用于网站、应用与客户端之间的数据传输。对客户端与网站、应用之间的传输数据加密,防止数据中途被窃取,维护数据完整性,防止被篡改。
- 私有证书管理
- 企业信息化应用建立企业统一证书管理体系,实现证书全生命周期管理,融入持续监控和自动化管理能力,防范因证书管理不善导致的风险
- 车联网应用车企TSP使用私有证书管理服务,为每台车辆终端颁发证书,提供车车、车-云、车-路多场景交互时鉴权、认证、加密等安全能为。
- 物联网应用IOT平台使用私有证书管理服务,为每台IoT设备颁发证书,并通过IoT平台联动PCA,实现IoT设备的身份校验与认证,保障IoT场景下设备接入安全。
5.7 数据加密服务DEW
- DHSM:云上加密机,e单独提供给客户,满足高合规场景6业务比较庞大,并发业务高,比如我们的支付业务 )。
- KMS: 云服务加密(集成),数据磁盘加密、小数据加密
- KPS: 主要是针对主机登陆。
- CSMS:重要的密码、口令、令牌存储
5.8 DEW服务模块-专属加密DHSM
- 若用户购买了专属加密实例,可通过Dedicated HSM初始化并管控专属加密实例。用户作为设备使用者完全控制密钥的产生、存储和访问授权。
5.9 DEW服务模块-密钥管理KMS
- KMS密钥管理服务和华为云产品广泛集成,客户可以在KMS控制台自行创建密钥,或者导入外部密钥,对存放在RDS、ECS、OBS、SFS、DDS、EVS等45+款云产品上的数据进行加密保护,保障数据安全。
5.10 DEW服务模块-密钥对管理KPS
- 公钥和私钥就是俗称的不对称加密方式。公钥( Public Key )与私钥( Private Key )是通过一种算法得到的一个密钥对(即一个公钥和一个私钥),公钥是密钥对中公开的部分,私钥则是非公开的部分。公钥通常用于加密会话密钥、验证数字签名,或加密可以用相应的私钥解密的数据。通过这种算法得到的密钥对能保证在世界范围内是唯一的。使用这个密钥对的时候,如果用其中一个密钥加密一段数据,则必须用另一个密钥才能解密。比如用公钥加密的数据就必须用私钥才能解密,如果用私钥进行加密也必须用公钥才能解密,否则将无法成功解密
- 增强RDS/WKS口令管理,口令不再依赖记忆,使启用随机生成的高复杂度口令成为可能,防撞库。支持密钥对动态绑定ECS,为ECS切换为密钥对登录方式提供一键式解决方案,彻底解决ECS弱口令问题。
- 私钥/口令不在用户端静态存储,消减用户端泄漏私钥/口令风险,由KMS/KPS统一管理、定期轮换,有效缩小攻击时间窗口。私钥/口令在云端由KMS/KPS加密后安全存储,使用前以IAM/MFA认证鉴权后动态获取。同时使用方便,支持随时随地接入:IAM凭证在手(配合MFA ),可在任何地方动态获取私钥/口令实现资源访问。
5.11 DEW服务模块-凭据管理CSMS
- 用户或应用程序通过凭据管理服务,创建、检索、更新、删除凭据,轻松实现对敏感凭据的全生命周期和统一管理,有效避免程序硬编码或明文配置等问题导致的敏感信息泄密以及权限失控带来的业务风险
5.12 DEW服务产品适用场景
5.13 云上架构中的数据安全防护产品
- 图示众DEW分别为KPS、KMS
6.安全管理
6.1 安全管理(1)
- 威瑞森通信公司 (Verizon )是美国最大的有线通信和话音通信提供商,拥有1.4亿条接入线。
6.2 安全管理(2)
6.3 安全管理(3)
- 企业数字化转型面临合规安全问题,合规要求多,责任大,处罚高。合规安全是企业上云安全关注的重点,合规标准决定了云上企业需要实现到哪种安全程度。准则就是不同的合规标准。
6.4 统一身份认证IAM
- 对于一个项目,项目中可能存在不同的资源,这些资源可以按照策略将权限开放给不司的账号,图示中的项目A仅授权给了A,项目B中的一部分资源授权给A,一部分资源授权给B。
6.5 IAM用户身份验证
- AK:Access Key,访问密钥ID。与私有访问密钥关联的唯一标识符,访问密钥ID和私有访问密钥一起使用,对请求进行加密签名。
- SK: Secret Access Key,私有访问ID。与访问密钥ID结合使用的密钥,对请求进行加密签名,可标识发送方,并防止请求被修改。
6.6 IAM基本概念
- IAM不拥有资源,不进行独立的计费,IAM用户的权限和资源由所属帐号统一控制和付费。
- 可以使用用户组来为IAM用户授权。3默认情况下,新创建的IAM用启没有任何权限需要将其加入用户组,并给用户组授权,用户组中的用户将获得用户组的权限。授权后,IAM用户就可以基于权限对云服务进行操作。
6.7 对华为云资源进行精细访问控制
- 授权策略:
- 系统策略:由华为云维护
- 自定义策略:由用户维护
6.8 跨账号访问资源
- 委托仅支持账号,不支持联邦账号、IAM用户
- 委托其他云服务管理资源:由于华为云各服务之间存在业务交互关系,一些云服务需要与其他云服务协同工作,需要用户创建云服务委托,将操作权限委托给该服务,让该服务以用户身份使用其他云服务,代为进行一些资源运维工作。例如CGS容器安全服务要扫描容器镜像,需要委托SWR容器镜像服务权限给它。
6.9 使用企业原账使用云资源
- OIDC(OpenID Connect,简称OIDC): 是一个基于OAuth 2.0协议的身份认证标准协议。
- SAML( Security Assertion Markup Language,简称SAML): 安全主张标记语言是一个基于XML的开源标准数据格式,它在当事方之间交换身份验证和授权数据,尤其是在身份提供者IP和服务提供者之间交换。
- ldP (Identity Provider,简称IdP):负责收集、存储用户身份信息,如用户名、密码等,在用户登录时负责认证用户的服务。在企业与华为云联邦身份认证的过程中身份提供商指企业自身的身份提供商。
- 联邦认证实现过程:
- 创建身份提供商并创建互信关系
- 基于OIDC协议:在企业IdP中创建OAuth 2.0凭据,在华为云上创建身份提供商并配置授权信息,从而建立企业管理系统和华为云的信任关系
- 基于SAML协议:交换华为云与企业IdP的元数据文件(SAML2.0协议约定的接口文件,包括接口地址和证书信息),在华为云上创建身份提供商,建立信任。
- 配置身份转换规则: 通过在华为云配置身份转换规则,将IGP中的用户、用户组及其访问权限映射到华为云。
- 配置企业管理系统登录入口: 将华为云的访问入口配置到企业管理系统中,用户可通过登录企业管理系统直接访问华为云
6.10 态势感知SA
- 数据采集后,通过大数据基础平台进行批量处理,再通过大数据运营中心进行智能分析,分析结果输入态势感知服务,进行分析和告警等防护操作。
6.11 SA适用场景
- 资产风险管理: 云上业务众多,云上资产日益庞大,以及云资产的变化频繁,大大增加了云上安全风险。
- SA集中呈现云上主机或漏洞资产风险状况。集中云上所有资产安全状况,实时监控云上业务整体安全,让服务器中的漏洞、威胁和攻击情况一目了然,保障所有资产的安全,帮助企业轻松应对资产安全风险。
- 威胁事件告警:云上各类安全威”直存在,还有各类新型威胁类型不断涌出
- SA通过汇集全网流量数据和安全防护设备日志信息,能够实时检测和监控云上安全风险,实时呈现告警事件的统计信息,并可对各种威胁事件进行汇聚统计针对常见的暴力破解、Web攻击、后门木马、僵尸主机威胁事件,可预制的安全防护策略有效防御威胁风险,提升运维效率。
- 漏洞风险通报:随着企业业务的不断上云,为避免漏洞被成功利用,需尽可能多的找出并修复漏洞
- SA通过采集云上应急安全通告,能够实时披露新发现的漏洞,通报突发安全漏洞事件和预警潜在漏洞,同时通过集成漏洞扫描结果,能够定期进行漏洞扫描集中管理主机漏洞和网站漏洞,对系统、软件和网站进行检测,检测出系统、软件和网站存在的漏洞35针对检测到的漏洞提供修复建议。集中进行云上漏洞管理,快速帮助用户识别关键风险,发现攻击者可能感兴趣的资产,帮助用户快速弥补安全短板。
- 风险配置管理:SA支持检测云服务关键配置项,通过执行扫描任务,检查云服务基线配置风险状态,分类呈现云服务配置检测结果,告警提示存在安全隐患的配置,并提供相应配置加固建议和帮助指导。
6.12 威胁检测服务MTD
- MTD服务通过采集: 统一身份认证(IAM )、云解析服务(DNS )、云审计服务(CTS )、对象存储服务 (OBS )、虚拟私有云(VPC)的日志利用AI智能引擎、威胁情报、规则基线模型,持续监控暴力破解、恶意攻击、渗透、挖矿攻击等恶意活动和未经授权行为,识别云服务日志中的潜在威胁,并对检测出的威胁告警进行统计。
- 入云: 流量从Internet流入华为云方向,例如,从公网下载资源到云内ECS
- 出云: 从华为云流出到Internet方向,例如,云内的ECS对外提供服务,外部用户下载云内ECS上的资源。
6.13 MTD适用场景
6.14 MTD与SA的区别
6.15 SA+MTD检测租户身份风险
- MTD可通过应用威胁情报、AI检测引擎、关联模型等多种先进检测技术,对IAM.CTS、VPC和DNS四个服务的日志进行分析,及时发觉账户登录的暴破操作,追踪和审计网络异常行为,识别网络设备和节点的流量变化,发现诡异的连接数。同时MTD将异常告警上吐到态势感知服务(SA)并联动其他安全服务采取进一步处置行动,SA集成其他安全服务,对整体态势安全进行监控,及时发现系统安全问题。
- MTD服务可以检测IAM账号安全风险,以及利用DNS进行攻击暴露出来的风险,还有各种入侵行为在CTS日志中暴露出来的风险,这几类安全风险其他任何安全服务暂时无法解决或能力较弱。当风险提升时,与IAM进行微认证(如多因子认证、生物识别等》,验明正身。
6.16 管理检测与响应MDR
- 安全方案设计: 结合企业业务场景,从网络层,应用层,主机层,数据以及管理多个方面进行了安全方案设计,量身定制安全体系,进行网络隔离和账号权限管控,为企业提供全方位的安全性保障。
- 安全监控:
- 专业的监控人员
- 专业的监控平台
- 7*24不间断监控
- 定期对系统进行安全巡检。包括日志分析、告警分析、异常流量监控、攻击状态识别、系统漏洞扫描、系统渗透式测试等。主动识别系统可能存在的安全事件,及时知会业务团队,启动问题处理,及时消除安全风险。
- 应急响应:一旦发生疑似入侵事件,华为云安全专家团队立即进入应急响应流程,华为云已经经过大量日常安全演练,具备足够安全威胁处理经验