请问计算学校环境安全的内容云原生安全效果怎么样

点击联系发帖人 时间：2020-11-04 19:12

学校环境安全的内容

随着云计算的普及无论是国际仩的公有云，还是亚太区私有云专有云都呈现出一个明确的信号，云计算已经成为主流因本贴重点探讨安全相关的话题，因此云计算夲身的相关的内容将不再赘述

基于边界和访问控制的安全模型被打破

在传统网络安全模型中，我们最核心的是访问控制和数据安全而訪问控制最终在技术安全上落地为网络边界访问控制，从安全产品交付形态来讲就是网络防火墙这就导致了一个非常有意思的现象，通過互联网侧我们要发现网络层的漏洞往往比较难我们的安全攻防对抗最激烈的也都表现在网络边界上。
在云环境下最大的挑战就在于网絡边界被打破我们过去对往往将网络边界与物理边界联系在一起的，而上云之后尤其是物理边界不乎存在这也就引发了我们不得不重視的下面这个话题。

原本就不安全的内网迁云后加剧安全风险

很多时候我们认为云不安全主要的安全问题其实在过去就大量存在，只是雲的变革将过去的安全问题突显出来了身份认证、口令强度管理、补丁管理，在内网几乎形成虚设

网络安全能力上云面临巨大挑战

网絡安全能力在传统IT架构下通常由独立硬件设备、专用终端软件两个大类够成，在网络边界、流量侦听、操作系统三个不同的层面各取所需實现安全预期

然而云计算将网络边界、流量、独立运算环境（硬件设备）都进行了云化，换句话讲传统的网络安全设备的依赖的载体不存在了

云计算环境中，需要解决传统网络中过度重视边界安全留下的隐患同时还要解决传统安全能力无法上云的问题。经过近几年的摸索最核心的思路是从如下几个方面着手考虑

构建安全新边界安全能力前置

云计算将互联网入口和流量进行了积中化，同时也带来了严偅的网络安全挑战首当其冲的就是DDOS和突发大流量请求。国际最为通用的做法是将安全能力前置以akamai、cloudflare为例，通过构建强大的网络基础资源实现海量DDOS清洗、CDN分发网络实现大流量攻击缓解，同时通过在这个CDN网络中引入WAF技术将应用层攻击进行实时过滤，从而确保云计算上面嘚服务能平稳运行

云安全负载保护将成为重要的安全手段

网络安全的防御云服务器本身将是非常重要的一个环节，充分应用云主机ECS的数據和计算资源实现最小化开销的安全计算，已经成为云计算安全解决方案不可或缺的一部分

用云计算的思路去构建安全能力

在传统时玳，安全产品往往以独立硬件设备交付背后是一系统完整的硬件、操作系统、软件、应用的集成。优点是独立可控不足之处也显而易見，资源浪费、数据无法共享、故障无法及时切换等
在云计算时间安全设备最核心的将是安全能力，如果将安全能力与计算环境解耦充分利用云原生的优势，将实现安全能力最大化资源利用最大化。

}

很多企业对管理IT设备并不感兴趣只对其结果更感兴趣。他们希望快速交付软件并专注于其核心产品或服务。这就是云原生计算概念出现以及提高其安全性变得至关偅要的原因。

传统上企业拥有许多服务器和资源。如今正在朝着更简单的现实迈进开发人员将其工作重点放在部署业务逻辑所需的内嫆上，而无论其部署在何处这就是企业在不使用服务器以及不增加IT开销的复杂管理的情况下迁移到云平台具有吸引力的原因。

如果企业能够在没有硬件、补丁程序管理、存储容量等情况下推广其产品并且能够以更经济、更快的速度完成这些任务，那将是一场伟大的胜利

2012年是IT行业发展的黄金时代，管理员主导了IT世界开发人员也加入了这一行列。从那时到2016年人们已经进入了云计算时代，而开发人员成為主导者

多年来，IT部门一直在引导或实现组织内部的创新开发人员的创新路径仅限于他们控制的领域，即应用层除此之外的一切都昰IT部门的职责。这其中包括托管、负载平衡、数据库管理以及是否采用虚拟化或高级网络技术

随着网络功能虚拟化(NFV)和云计算的出现，这種情况发生了变化开发人员将在2020年掌握自己的命运，从而推动其组织走向创新不仅由于采用虚拟化和云计算，而且由于开发人员在自巳的电脑上设置完整应用程序堆栈的相对简单性实现这些都是可能的。

在许多企业中首席技术官的重点已经从基础设施导向转移到了應用程序导向。开发人员是这些组织的新生代它们是增加企业利润的关键。

关于云原生效率的问题有很多无论是将部署时间减少300%还是呮减少30%，实际上都将节省大量的时间实际上，新的应用程序是作为微服务开发的或者至少是作为容器开发的，只是因为它们运行更快

这种新方法使开发人员能够投资于可扩展的解决方案，而无需使企业不必要地预先分配大量资金使用适当数量的资源来提供最佳服务、应用程序和基础设施都可以快速扩展或缩减。

季节性或峰值导向的业务从迁移到云原生架构中获得了很多好处用户还可以从迁移中获益，因为他们可以获得尽可能最好的服务而无需停机。

这种向更广泛地使用云原生架构的趋势将随着时间的推移而不断增长

到2025年，虚擬机和裸机将与当今的大型机和令牌环网一样过时实际上，大多数中大型企业已经在进行某种从虚拟机到容器的迁移项目许多开发人員无需再启动虚拟机，因为他们可以使用容器在其电脑上运行整个应用程序堆栈完成之后，他们只需将其提升并转移到暂存和生产环境Φ即可

此外，内部部署和云计算环境正在成为一个单一的实体而不是两个独立的基础设施。人们过去认为可以将运行在数据中心的笁作负载都转移到云平台，这是出于经济原因然而如今，大多数部署正在变成混合部署企业正在选择保留一些内部部署负载(主要是不能轻易移动到云平台的遗留应用程序)。IT管理员开始考虑将云平台中的部署作为内部部署数据中心的扩展而不是需要管理的单独网络。

这種趋势很可能会持续下去这使得了解有关如何保护混合网络环境不断变化的期望变得更加重要。云原生环境的变化速度比内部部署的速喥快得多可在几毫秒内启动代码。

大多数传统解决方案并不是为应对短暂的网络和计算实体而创建的而瞬态网络和计算实体在几秒钟の内就可能波动。那么在瞬息万变的环境中，进行面向未来的风险管理的最佳方法是什么?没有唯一的答案但是一般而言，建议企业考慮长远探索适合自己的方法，然后通过一年、三年和五年来研究每个选项

考虑安全性的未来时，基本原理保持不变威胁建模概念保歭不变。但是要考虑许多安全问题其中包括策略、权限和授权。随着网络的融合安全工具也随之发展。展望未来只有能够提供真正嘚单一控制面板来控制企业数字资产的解决方案才会对安全性产生真正的影响。

在寻找有助于将安全性应用于云原生架构的解决方案时需要提出以下问题：

可以提高云服务的可见性吗?应用程序可以部署在多个云计算实例上，也可以部署在不同站点甚至不同区域的服务器上这使得定义明确的安全边界变得更加困难。正确的工具可以帮助企业了解云计算资源的范围和布局尤其是当自动发现云计算部署上的應用程序并映射它们之间的数据流时，可以轻松了解企业在云中运行的应用程序以及它们之间的交互方式
可以实现多个环境的单一视图嗎?用于应用安全性的工具需要进行调整，以能够跨内部部署和多云组织控制混合网络例如，如果企业的架构要求将策略部署到边缘那麼它如何管理融合?许多网络解决方案几乎不了解第7层处理级别，更不用说容器了
可以在这些环境中设置和维护策略吗?考虑解决方案如何解决网络策略并从技术和程序角度理解潜在的挑战。确保云原生架构内或应用程序与外部网络之间的应用程序流量安全是一个良好的开始但是在云平台中，有必要实施微分段以便企业可以在应用程序级别定义策略。通过定义允许哪些应用程序进行交互以及在粒度级别上尣许的交互类型可以为在云中运行的应用程序提供必要的安全级别。寻找可提供自动策略建议的工具这些建议可以有效地应用于任何雲计算基础设施，从而简化企业的安全策略

?企业将来可以证明云原生安全状况吗?在规划未来的路线图时，需要考虑网络将是什么样子将使用哪种类型的工作负载和网络构造?确保企业选择的安全供应商为其路线图提供了全面覆盖。

如果正确实施那么现代微分段技术可鉯提供一种保护云原生环境的简单方法，其中包括解决容器的独特挑战并提供创建低至流程级别的动态应用程序策略的能力。寻找可提供单一视图和基本可见性的工具以自动发现所有网络流和依赖性。这使企业可以充分利用无服务器计算的优势而不会增加安全风险或複杂性。

}

最近参加了Xcon2020安全技术峰会趁热咑铁跟大家聊聊云平台上的原生自动化应急响应。

随着云计算的大规模普及公有云的应急响应趋势已逐渐从”被动响应”发展为”主动感知”。一方面云计算的灵活性、可扩展性和性价比吸引了更多的企业上云；另一方面云计算的网络开放资源共享特性也给网络攻击提供了更为广阔的土壤。

传统单点对抗的应急响应已无法满足云时代的复杂攻击形态和规模如何在攻击前做好预防措施，攻击后快速有效嘚自动化溯源取证和风险收敛已经成为云时代应急响应技术的核心竞争力

我认为近代应急响应的发展可分为两个时代：IDC时代和云时代。
IDC時代企业环境部署应用多以linux和windows为主这一阶段事件响应检测方法论多以单点对抗为主。

随着云计算的普及的普及越来越多的企业上云，企业环境和资产形态已由传统的实体化向虚拟化和多样化转换云计算的灵活性、可扩展性和性价比吸引了更多的企业上云，同时也带来叻新一轮的安全风险

IDC时代的资产形态以windows和Linux实体机为主，数量在百台以下其特点是：成本高、不易扩展、维护和恢复比较复杂，这一阶段的应急响应方法论一般为被动式单机检测

云时代的资产形态则更加多样化和多元化。数量更是有千台甚至以上其特点是：低成本、噫扩展、资产数量多、安全责任共担。云计算的提供便利的同时其规模也带来很大安全运营成本。对于安全事件应急响应的自动化溯源取证已经成为必然趋势

安全行业的小伙伴应该都明白一个道理，那就是没有绝对安全的系统而当系统被入侵和破坏时，不可避免的会導致业务中断应急响应的核心价值就是在安全事件突发时，快速有序的处理最大限度的快速恢复业务和减少损失。因此响应和恢复速喥将是云上应急响应的核心竞争力

以上是我总结的云上应急响应的现状，从图中可以看到云租户的诉求和运营商的交付方案存在很大的鈈对等这也是云上应急的主要矛盾。大量的差评工单和投诉都是因为这个产生的这也是客户和运营商面临的一个重大难题。

既然是难題难在哪里？从图中我们可以看到有六大困难并get到三个关键点：海量事件的困扰，分析投入大、人员要求高；证据完整性的挑战证據提取和保全难度大；责任共担模型便捷模糊导致权责不清晰。

如何解决以上提到的困难通过上图我们可以看到云平台的主要解决方案昰通过云平台基础设施和自动化运维体系构成。通过SOC中集成的云产品日志和全网蜜罐数据进行智能化分析解决云主机自身无日志或日志丢夨问题、通过镜像、快照和自动化工具突破网络复杂、应用场景复杂、责任边界模糊、取证苦难和数据量大的困难

云时代的原生自动化應急响应

业内通常使用的PDCERF方法学（最早由 1987 年美国宾夕法尼亚匹兹堡软件工程研究所在关于应急响应的邀请工作会议上提出），将应急响应汾成准备（Preparation）、检测（Detection）、抑制（Containment）、根除（Eradication）、恢复（Recovery）、跟踪（Follow-up）6个阶段的工作从上图可以看到一次完整的应急响应需要做的事情佷多。而业内的提到应急响应一般仅进行到第二个阶段比较好的运营商会进行到第四个阶段。无论第二还是第四阶段都是建立在解决问題的角度无法进行持续性运营和方案进化。常规的应急响应对人力和能力的要求很高且无法解决上边提到的六个难点问题。为了更好嘚在云上做好应急响应腾讯安全云鼎实验室结合多年的云上运营和实践经验设计出云原生自动化应急方案。

? 整个系统运行环境和资源均在用户vpc内
? 操作由用户账号发起/用户授权
? 所有证据数据和分析结果均保留于用户vpc空间

整个方案分为两大部分：被动响应和主动发现夲方案采用CS架构，结合云平台多年运营经验、SOC、全网蜜罐和威胁情报的数据进行自动化智能分析从而帮助应急响应人员在最短时间内定位入侵途径、完成电子取证和输出应急策略。

被动溯源分为三个阶段：

第一阶段：当客户发生入侵事件后通过自助授权后会启动溯源主機中的谛听系统。谛听系统会申请镜像授权当授权通过后，会创建临时API KEY并根据要求进行快照或镜像当镜像打包完毕会进行镜像挂载或鍺加载快照进行常规溯源。常规溯源会覆盖九大检测场景如果溯源结束会输出报告和证据；

第二阶段：如果溯源失败。会自动拉取SOC的行為检测数据、全网蜜罐的入侵还原数据以及威胁情报的IOCS数据进行智能化数据分析分析后会输出报告和证据；

第三阶段：如果溯源结束，將会输出相关IOCS到log中输出未知检测告警，通过人工进行最终溯源

主动溯源由SOC、蜜罐、威胁情报构成：SOC的行为检测数据会实时输出异常告警，并提供告警溯源；全网蜜罐进行入侵数据采集还原数据入侵路径，并输出IOCS进行特征匹配输出溯源结果和报告；根据威胁情报的IOCS数據进行特征匹配，输出溯源结果和报告

接下来我们通过被动关系和主动关系构建来看看整个数据是如何关联和分析的。

上图展示了整个溯源方案的被动关系构建图谱:通过入侵时间将恶意命令、服务、登录日志、服务日志、进程网络等数据关联起来并通过算法、逻辑和入侵特征判定入侵途径。

主动关系的构建通过SOC和蜜罐数据来完成：SOC流量日志和进程日志通过域名或者IP等进行关联；服务指纹和文件/木马特征通过基线和木马行为进行特征关联；SOC和蜜罐数据通过聚类校验和回归验证判断入侵行为

对于被动检测和主动检测无法覆盖的未知入侵方式、文件和行为将会以日志的方式打印出来。通过查看日志可以得知云安全产品和溯源工具的检测能力等从而针对性的进行改进，持续進化自身驱动和完善云安全产品。

接下来我们通过案例来看看整套方案的一个应用效果这里展示的是数据加密勒索的应急分析案例。

艏先溯源主机上的谛听客户端经过特征分析成功匹配到入侵方式、入侵时间和相关文件证据链；

接着，谛听服务端经过数据聚合分析进荇时间排序从而成功输出入侵链路和感染路径；

最终生成整个证据链和分析结论。从上图可以看到完整的分析流程

上图充分展示了方案实施后的一个运营效果。

以上的就是本次要分享的云原生自动化应急响应方案此方案通过与云平台基础设施相结合，利用大数据智能囮分析和自动化手段有效的解决了应急响应中的三大难题希望本次分享可以帮助大家做好云上的应急响应。

}

常信村百科网