业务信息梳理
护网/重保前,需要对整体护网信息进行盘点,全面梳理可能针对云上业务系统的攻击路径,构建安全防护架构。
安全云脑纳管了网站、弹性云服务器、数据库、IP、VPC等资产,并关联对应的安全服务,护网、重保期间立志于从网络层、应用层、主机层、数据层等多方面构建整体网络防护架构,全面保障用户业务系统的安全稳定。
梳理网站资产
Web业务是企业最为重要和广泛使用的业务之一,也是最容易受到攻击的业务之一,因此,护网/重保前需要先进行Web资产的梳理。
针对网站域名,支持通过Web应用防火墙(Web Application Firewall,WAF)服务对网站业务流量进行全方位检测和防护,智能识别恶意请求特征和防御未知威胁,避免源站被黑客恶意攻击和入侵,防止核心资产遭窃取,为网站业务提供安全保障。
安全云脑的资产管理功能会自动将WAF中已录入的域名同步过来,可以在安全云脑中进行统一管理。护网/重保期间需要保证所有网站均已接入WAF并开启防护,以提高网站安全性。
查看方法如下:
- 登录安全脑控制台,并进入目标工作空间管理页面。
- 在左侧导航栏选择,进入资产管理页面后,选择“网站”页签,查看网站防护状态。
图1 查看网站防护状态
网站防护状态说明如下表所示:表1 网站防护状态说明 网站防护状态
说明
未防护
网站域名未在WAF中开启防护。
为防止网站被各种恶意流量攻击,建议您在将网站接入WAF,才能对HTTP(S)请求进行检测,保障业务核心数据安全,详细操作请参见网站接入WAF。
开启防护后,建议优化如下网站防护配置,护网期间请采用严格的安全防护模式:
Web基础防护(拦截模式),CC攻击防护(阻断模式),精准访问防护(阻断模式),IP黑白名单设置(拦截模式),地理位置访问控制(拦截模式)
防护配置详细操作请参见网站防护配置建议。
已防护
已购买WAF,且已在WAF中接入网站域名并开启防护。
--
对应的安全防护产品(WAF)在该region不支持使用。
梳理主机资产
安全云脑的资产管理功能会自动完成弹性云服务器(Elastic Cloud Server,ECS)资产的梳理,包括资产名称、镜像、IP等信息。
针对ECS主机资产,支持通过企业主机安全(Host Security Service,HSS)服务,全面识别并管理主机中的信息资产,实时监测主机中的风险并阻止非法入侵行为,帮助企业构建服务器安全体系,降低当前服务器面临的主要安全风险。
护网/重保期间需要保证所有ECS主机均接入HSS,尤其是绑定了EIP、以及Web业务所在ECS,以提高主机安全风险防御能力。
查看方法如下:
- 登录安全脑控制台,并进入目标工作空间管理页面。
- 在左侧导航栏选择,进入资产管理页面后,选择“主机资产”页签,查看主机防护状态。
图2 查看主机资产防护状态
主机资产防护状态说明如下表所示:表2 主机资产防护状态说明 主机防护状态
说明
未防护
ECS主机未开启防护,被威胁入侵的风险较高,建议您尽快为主机开启防护。开启防护步骤如下:
开启防护后,建议优化主机防护配置,开启恶意软件云查,并通过精细化策略配置,提升主机防护能力,详细操作请参见优化主机安全防护配置。
已防护
主机已开启防护。企业主机安全会持续优化迭代Agent版本,请及时参考升级Agent将Agent升级为最新版。
--
对应的安全防护产品(HSS)在该region不支持使用。
梳理数据库资产
梳理数据库资产的目的主要是在安全运营过程中,相关告警会自动关联数据库资产。
安全云脑的资产管理功能会自动完成云数据库(Relational Database Service,RDS)资产的梳理。针对数据库资产,支持通过数据库安全服务(Database Security Service,DBSS)服务来保障云上数据库的安全。
护网/重保期间需要保证所有RDS资产均已开启数据库安全审计,以保障云上数据库的安全。
查看方法如下:
- 登录安全脑控制台,并进入目标工作空间管理页面。
- 在左侧导航栏选择,进入资产管理页面后,选择“数据库”页签,查看数据库防护状态。
图3 查看数据库防护状态
数据库防护状态说明如下表所示:
表3 数据库防护状态说明 数据库防护状态
说明
未防护
RDS资产未在DBSS中配置并开启防护。
为防止数据库被攻击,建议您开通并使用数据库安全审计,详细操作请参见审计RDS关系型数据库(安装Agent)或审计RDS关系型数据库(免安装Agent)。
已防护
RDS资产已在DBSS中配置并开启防护。
--
对应的安全防护产品(DBSS)在该region不支持使用。
RDS通过DBSS纳管审计防护,还需要在DBSS中进行告警设置,将DBSS日志数据同步到安全云脑,从而监控到DBSS告警数据,详细操作请参见设置告警通知,设置时,请将所有DBSS实例所有告警风险等级的告警均开启告警通知。
梳理虚拟私有云资产
虚拟私有云(Virtual Private Cloud,VPC)是您在云上的私有网络,为云服务器、云容器、云数据库等云上资源构建隔离、私密的虚拟网络环境。
安全云脑的资产管理功能会自动完成云VPC资产的梳理。针对VPC资产,支持通过云防火墙(Cloud Firewall,CFW)服务来提供云上互联网边界和VPC边界的防护,VPC边界防火墙支持两个VPC之间通信流量的访问控制,实现内部业务互访活动的可视化与安全防护。
护网/重保期间需要保证所有VPC资产均已使用CFW防护,以保障云上互联网边界和VPC边界的安全。
查看方法如下:
- 登录安全脑控制台,并进入目标工作空间管理页面。
- 在左侧导航栏选择,进入资产管理页面后,选择“VPC”页签,查看VPC防护状态。
图4 查看VPC防护状态
VPC防护状态说明如下表所示:
表4 VPC防护状态说明 VPC防护状态
说明
未防护
VPC资产未在CFW中配置并开启防护。
为有效检测和统计VPC间的通信流量数据,建议您使用并配置VPC边界防火墙,详细操作请参见配置VPC边界云防火墙。
已防护
VPC资产已在CFW中配置并开启防护。
--
对应的安全防护产品(CFW)在该region不支持使用。
梳理弹性公网IP资产
弹性公网IP(Elastic IP,EIP)提供独立的公网IP资源,包括公网IP地址与公网出口带宽服务。为资源配置弹性公网IP后,可以直接访问Internet,如果资源只配置了私网IP,就无法直接访问Internet。弹性公网IP可以与弹性云服务器、裸金属服务器、虚拟IP、弹性负载均衡、NAT网关等资源灵活地绑定及解绑。
安全云脑的资产管理功能会自动完成云EIP资产的梳理。针对EIP资产,支持通过Anti-DDoS通过对互联网访问公网IP的业务流量进行实时监测,及时发现异常DDoS攻击流量。在不影响正常业务的前提下,根据用户配置的防护策略,清洗掉攻击流量。同时,Anti-DDoS为用户生成监控报表,清晰展示网络流量的安全状况。
护网/重保期间需要保证所有EIP资产均已使用Anti-DDoS进行流量清洗,以保障云上公网流量的基础安全。
查看方法如下:
- 登录安全脑控制台,并进入目标工作空间管理页面。
- 在左侧导航栏选择,进入资产管理页面后,选择“EIP”页签,查看EIP防护状态。
图5 查看EIP防护状态
EIP防护状态说明如下表所示:
表5 EIP防护状态说明 EIP防护状态
说明
未防护
EIP资产未在Anti-DDoS中配置并开启防护。
为有效对互联网访问公网IP进行检测,清洗攻击流量,建议您使用并配置Anti-DDoS,购买了公网IP后,系统自动开启Anti-DDoS默认防护。
已防护
EIP资产已在Anti-DDoS中配置并开启防护。
--
对应的安全防护产品(Anti-DDoS)在该region不支持使用。
除了使用Anti-DDoS进行流量清洗,还推荐使用CFW对公网IP进行防护,保证所有业务流量均经过云防火墙,通过CFW日志数据即可对整体业务进行监控或设置其他运营策略进行有效防护,详细操作请参见开启弹性公网IP防护。
