做云安全運(yùn)營(yíng)也有一年多時(shí)間了，對(duì)云上安全建設(shè)和運(yùn)營(yíng)有一點(diǎn)粗淺的經(jīng)驗(yàn)，希望可以拋磚引玉，借此文章能有機(jī)會(huì)和大佬們交流 安全運(yùn)營(yíng)，安全建設(shè)方向的經(jīng)驗(yàn)。

[[327356]]

首先我貼一張思維導(dǎo)圖，云上安全運(yùn)營(yíng)工作主要圍繞此圖開展，因?yàn)槲覀兊纳矸菔窃瓢踩曳?，所以不開展SDL工作。

一、風(fēng)險(xiǎn)管理

風(fēng)險(xiǎn)管理工作是安全運(yùn)營(yíng)的重頭戲，風(fēng)險(xiǎn)管理是一個(gè)動(dòng)態(tài)的過程，所以工作量不言而喻。

我們的風(fēng)險(xiǎn)管理其實(shí)和甲方的有些不一樣，比如我們省去了對(duì)重要資產(chǎn)的估值這一步，只要是租戶的資產(chǎn)，我們都ALL IN ONE，我們把重心放在更細(xì)粒度的發(fā)現(xiàn)風(fēng)險(xiǎn)項(xiàng)上。

1.1 云上風(fēng)險(xiǎn)項(xiàng)

1.2 自動(dòng)化監(jiān)控風(fēng)險(xiǎn)

阿里云幾乎所有的產(chǎn)品都支持API調(diào)用，通過編寫相關(guān)規(guī)則，可以實(shí)現(xiàn)自動(dòng)化監(jiān)控風(fēng)險(xiǎn)的功能。

例如安全組風(fēng)險(xiǎn)，通過如下代碼可以獲取到某個(gè)Region的所有安全組信息

返回的字典數(shù)據(jù)中，Permission字段包含了“授權(quán)方向”，“IP協(xié)議”，“授權(quán)范圍”，“端口范圍”，“授權(quán)策略”

通過如下示例代碼可以過濾出存在高風(fēng)險(xiǎn)的安全組

這里僅以安全組風(fēng)險(xiǎn)舉例，其它風(fēng)險(xiǎn)項(xiàng)如法炮制，都是調(diào)用阿里云API獲取數(shù)據(jù)，并通過規(guī)則篩選出風(fēng)險(xiǎn)項(xiàng)。

6個(gè)風(fēng)險(xiǎn)項(xiàng)，以面向?qū)ο蟮木幊趟枷敕庋b成6個(gè)類。并設(shè)置計(jì)劃任務(wù)，每天運(yùn)行一次。

1.3 降低風(fēng)險(xiǎn)

降低風(fēng)險(xiǎn)也可以理解成風(fēng)險(xiǎn)處置。作為云安全乙方，我們沒有權(quán)限對(duì)租戶的風(fēng)險(xiǎn)項(xiàng)進(jìn)行直接修改操作，只能通過以下兩種方式通知租戶進(jìn)行修復(fù)：

1. 釘釘告警
2. 短信告警

1.4 責(zé)任劃分

• 平臺(tái)側(cè)：負(fù)責(zé)發(fā)現(xiàn)風(fēng)險(xiǎn)，并通知到租戶
• 租戶側(cè)：進(jìn)行風(fēng)險(xiǎn)項(xiàng)整改工作

二、應(yīng)急響應(yīng)

資產(chǎn)數(shù)量多，難免會(huì)發(fā)生安全事件，所以應(yīng)急響應(yīng)也劃分進(jìn)了安全運(yùn)營(yíng)范疇。處理過多次應(yīng)急響應(yīng)事件，包括挖礦事件，對(duì)外ddos事件。入侵原因top3：ssh暴力破解，redis未授權(quán)訪問，elasticsearch弱口令

2.1 事前準(zhǔn)備

1. 編寫應(yīng)急響應(yīng)方案
2. 工具準(zhǔn)備：windows，linux殺毒軟件，rootkit掃描工具

2.2 事中處置

遵守PDCERF模型進(jìn)行應(yīng)急響應(yīng)工作。一般情況下，我會(huì)按照如下步驟進(jìn)行應(yīng)急

1. 初步判斷事件真?zhèn)?/li>
2. 找到項(xiàng)目負(fù)責(zé)人，拉群成立臨時(shí)應(yīng)急響應(yīng)小組
3. 經(jīng)租戶授權(quán)許可后進(jìn)行應(yīng)急響應(yīng)工作
4. 備份快照
5. 登錄服務(wù)器，分析網(wǎng)絡(luò)連接，并根據(jù)網(wǎng)絡(luò)連接進(jìn)行訪問控制，例如挖礦通信端口1234，立即網(wǎng)絡(luò)阻斷掉該端口
6. 通過網(wǎng)絡(luò)訪問控制，對(duì)內(nèi)網(wǎng)機(jī)器進(jìn)行隔離，降低內(nèi)網(wǎng)橫向感染風(fēng)險(xiǎn)
7. 分析進(jìn)程，kill惡意進(jìn)程
8. 檢查啟動(dòng)項(xiàng)，刪除惡意啟動(dòng)項(xiàng)
9. 檢查是否存在隱形賬號(hào)，并通過工具自動(dòng)化檢查rootkit
10. 殺毒軟件對(duì)服務(wù)器進(jìn)行全盤掃描，刪除病毒
11. 入侵溯源，重點(diǎn)分析：.bash_history, web日志，互聯(lián)網(wǎng)服務(wù)(例如elasticsearch，redis)日志
12. 找到入侵原因后，進(jìn)行加固

2.3 事后關(guān)注

事后，要保持一段時(shí)間對(duì)該機(jī)器以及該網(wǎng)段其它機(jī)器進(jìn)行重點(diǎn)關(guān)注，以防殘留后門導(dǎo)致事件復(fù)發(fā)。

三、安全巡檢

安全巡檢是安全運(yùn)營(yíng)工作中頻率最高的工作項(xiàng)。正常情況下，重要的部門需要一天進(jìn)行2次巡檢，早上下午各一次。

3.1 編寫安全巡檢方案

將巡檢的操作流程，巡檢項(xiàng)，注意事項(xiàng)進(jìn)行文檔化，一方面可以為新入職的安全工程師提供指導(dǎo)，另外一方面可以滿足安全評(píng)審需要。

3.2 日常巡檢工作

假設(shè)網(wǎng)絡(luò)環(huán)境分為專有云區(qū)和公有云區(qū)，有5個(gè)租戶，每天都要進(jìn)行2次安全巡檢，那么一天巡檢的次數(shù)就是10次。需要關(guān)注的巡檢項(xiàng)包括：

1. 態(tài)勢(shì)感知事件
2. 主機(jī)安全事件
3. 基線檢查(風(fēng)險(xiǎn))
4. 漏洞檢查(風(fēng)險(xiǎn))

那么，浪費(fèi)在5個(gè)租戶上的巡檢時(shí)間會(huì)非常多，好在阿里云提供了API，可以幫助我們從多租戶雙區(qū)域的手工巡檢中解脫出來。這里我想表達(dá)的意思是，其實(shí)安全巡檢本身沒什么技術(shù)含量，但卻又是一個(gè)重復(fù)繁瑣的工作，利用好編程能力，可以很大程度上提高 工作效率，這也是為什么很多公司要求安全運(yùn)營(yíng)人員要掌握一門編程語(yǔ)言的原因。

3.3 記錄巡檢數(shù)據(jù)

保存巡檢數(shù)據(jù)主要是為了審計(jì)，為了問責(zé)。(個(gè)人觀點(diǎn))

假如4月1號(hào)早上發(fā)生了安全事件，作為安全運(yùn)營(yíng)工程師沒有及時(shí)做好巡檢工作，第二天巡檢的時(shí)候才發(fā)現(xiàn)事件告警，導(dǎo)致了租戶嚴(yán)重?fù)p失，這個(gè)責(zé)任是需要的安全工程師承擔(dān)的。

巡檢日志表格示例

上面的表格4.1沒有對(duì)主機(jī)安全事件進(jìn)行巡檢，第二天才發(fā)現(xiàn)有挖礦事件，導(dǎo)致租戶遭受了重大損失。所以作為安全運(yùn)營(yíng)工程師應(yīng)該承擔(dān)主要責(zé)任。

四、安全產(chǎn)品運(yùn)營(yíng)

云安全產(chǎn)品運(yùn)營(yíng)是我們?cè)瓢踩\(yùn)營(yíng)工程的職責(zé)之一。租戶通過開通/接入申請(qǐng)，我們對(duì)安全產(chǎn)品進(jìn)行接入，配置操作。

1. 租戶申請(qǐng)10個(gè)域名接入WAF -> 安全運(yùn)營(yíng)工程師進(jìn)行配置 -> 本地修改hosts驗(yàn)證 -> 租戶修改dns記錄
2. 租戶申請(qǐng)10臺(tái)ECS接入堡壘機(jī) -> 安全運(yùn)營(yíng)工程師進(jìn)行配置 -> 通過test用戶驗(yàn)證可用性 ->完成配置
3. 云盾功能性測(cè)試。(云盾版本升級(jí)后，或者同城容災(zāi)部署后)

五、編寫文檔

編寫文檔，并不是安全運(yùn)營(yíng)工程師的主要職責(zé)，這個(gè)工作應(yīng)該由安全架構(gòu)師或者首席安全官來做。但有時(shí)候安全團(tuán)隊(duì)會(huì)選擇相信我，讓我完成其中一部分文檔的編寫。例如《云上安全加固方案》，《安全巡檢方案》，《應(yīng)急響應(yīng)方案》。有時(shí)候嘗試做自己不擅長(zhǎng)做的事情，能幫助自己快速成長(zhǎng)。

六、業(yè)務(wù)上線評(píng)審(TODOLIST)

目前，租戶的業(yè)務(wù)上線是沒有經(jīng)過我們安全評(píng)審的。比如項(xiàng)目方可以有權(quán)限自己開安全組，想怎么開就怎么開。業(yè)務(wù)系統(tǒng)上線前也幾乎不會(huì)做漏洞掃描和安全測(cè)試。安全工作應(yīng)該伴隨項(xiàng)目規(guī)劃到項(xiàng)目實(shí)施再到上線項(xiàng)目的整個(gè)生命周期。不經(jīng)過評(píng)審就直接上項(xiàng)目，嚴(yán)重違背了安全建設(shè)生命周期。這一塊需要規(guī)范起來，但一直沒有時(shí)間去做。