企业上云后的安全思考-猎豹移动林鹏
流量获取
传统模式
- 交换机几条命令搞定
- 只需要考虑交换机性能,解包服务器性能即可
云模式
- 流量无法统一收集–安全边界消失
- 考虑性能因素
- 考虑覆盖率
Packetbeat(抓取流量)
优点
- 支持多种协议类型(http、mysql、dns等),动态分析应用程序级协议,并将消息关联到事务中
- 支持自定义协议类型
- 支持多种格式输出,如:Elasticsearch、Logstash、Kafka、Redis等
- 支持跨平台部署,轻量级、部署简单、配置灵活
缺点
- 事件过多时,CPU占用率飙升->一定要做好CPU监控
资产识别
伴随着企业规模的扩大,防御的面也随之扩大,即意味着受攻击的面增大
关键信息
如struct2修了没有、Fastjson用了没有
- 域名、接口
- 对外开放端口
- 服务
- 运行组件
- 管理人员
- 补丁情况
- 历史告警信息
主机agent
- 主机资产管理系统,用于监控资产信息
- 镜像、安全基线、漏洞补丁等
访问控制
传统IDC
- 专线访问
- 端口集中管控,按需开放(对内、对外)
- 公网IP范围可固定,访问控制容易实施
- 后期更改访问控制也比较容易
云
- 边界模糊化,管理更加困难,几乎没有内网的概念
- 无法使用专线,所有访问与外网大致相同
- 复杂的安全组,若初期未规划,后期变更十分困难
其他问题
问题目录
- 服务商相应速度
- 共享存储权限问题
- 东西向流量检测
- 数据安全及监管
- 云服务认证Key泄露(如AWS AK/SK或者Security Token等)
案例-云服务认证Key泄露(如AWS AK/SK或者Security Token等)
攻击路径
- 云服务认证Key->云服务公开API/SDK->云服务资源访问/控制
利用方式
- github仓库配置不当
- 云架构中的密码重用
- 针对云租户账号密码的社工攻击(如AWS Creditial Harvesting钓鱼攻击)
- 云主机的Web应用的漏洞(SSRF、RCE、LFI等)
- 公共的存储桶
- 信任的关联第三方数据泄露
- 硬编码在网页或移动APP中的AK/SK
本文作者:
yd0ng
本文链接: https://yd0ng.github.io/2021/01/11/%E4%BC%81%E4%B8%9A%E4%B8%8A%E4%BA%91%E5%90%8E%E7%9A%84%E5%AE%89%E5%85%A8%E6%80%9D%E8%80%83/
版权声明: 本作品采用 知识共享署名-非商业性使用-相同方式共享 4.0 国际许可协议 进行许可。转载请注明出处!
本文链接: https://yd0ng.github.io/2021/01/11/%E4%BC%81%E4%B8%9A%E4%B8%8A%E4%BA%91%E5%90%8E%E7%9A%84%E5%AE%89%E5%85%A8%E6%80%9D%E8%80%83/
版权声明: 本作品采用 知识共享署名-非商业性使用-相同方式共享 4.0 国际许可协议 进行许可。转载请注明出处!
