名詞解釋
區域(Region)
阿里雲上的網絡區域通常是以層次化的方式由外部向內部進行劃分的,概括來說,通常會有三個層級的網絡區域結構:
第一層級(物理區域):地域與可用區
地域是指物理的數據中心。用戶可以根據目標用戶所在的地理位置選擇地域。而可用區是指在同一地域內,電力和網絡互相獨立的物理區域。在同一地域內可用區與可用區之間內網互通,可用區之間能做到故障隔離。
地域與可用區的配置和運維由阿里雲負責,對於最終用戶而言,僅需要選擇合適的地域或可用區部署資源,運行雲上業務即可。
第二層級(邏輯網絡區域):虛擬專有網絡VPC
虛擬專有網絡VPC以虛擬化網絡的方式提供給客戶,是每個客戶獨有的雲上私有網絡區域。雲租戶可以完全掌控自己的專有網絡,例如選擇IP地址範圍、配置路由表和網關等,也可以在自己定義的專有網絡中使用阿里雲資源,如雲服務器、雲數據庫RDS版和負載均衡等。
對於客戶而言,虛擬專有網絡VPC是雲上網絡配置的第一步,也是真正意義上的雲上組網的開始。
第三層級(VPC內部區域):子網與資源邊界
子網類似傳統網絡中的VLAN,是通過虛擬交換機(VSwitch)提供的,用來連接不同的雲資源實例。而云資源則是通過虛擬網卡的方式進行網絡互聯,也是目前雲上最小顆粒度的資源邊界。
——三層網絡架構參考圖
邊界
基於阿里雲上三個層級的網絡區域,自然也就形成了雲上三道網絡邊界,也就是網絡安全中常見的“層次化防禦”的推薦架構:
第一邊界:互聯網邊界(南北向流量)
雲上業務如果對互聯網開放,或是需要主動訪問互聯網,那流量必定會穿過阿里雲與互聯網的邊界,也就是雲上網絡的第一道邊界——互聯網邊界。對於該類流量,我們通常稱之為南北向流量,針對這類流量的防護,在等保中有明確的要求。由於存在流量主動發起方的區別,防護的重點一般也會區分由外向內和由內向外的不同流量類型。
第二邊界:VPC邊界(東西向流量)
VPC是雲上最重要的網絡隔離單元,客戶可以通過劃分不同的VPC,將需要隔離的資源從網絡層面分開。但同時,由於業務的需要,部分流量又可能需要在VPC間傳輸,或是通過諸如專線,VPN,雲連接網等方式連接VPC,實現VPC間應用的互訪。因此,如何實現跨VPC邊界流量的防護,也是雲上網絡安全很重要的一環。
第三邊界:雲資源邊界(微隔離流量)
由於VPC已經提供了很強的隔離屬性,加上類似安全組的細顆粒度資源級管控能力,通常在VPC內部不建議再進行過於複雜的基於子網的隔離管控,通常會使用安全組在資源邊界進行訪問控制。如果客戶需要更精細化的VPC內子網隔離,也可以使用網絡ACL功能進行管控。
——雲上三層網絡邊界示意圖
從等級保護要求看雲上網絡防護重點
以下內容基於《等保2.0》中有關網絡安全的相關要求展開,為客戶提供阿里雲上相關最佳實踐。
等保類目:安全通信網絡——網絡架構
網絡設備業務處理能力
- 防護要求:應保證網絡設備的業務處理能力滿足業務高峰期需要
- 最佳實踐:
通常,對可用性要求較高的系統,網絡設備的業務處理能力不足會導致服務中斷,尤其對於傳統IDC的網絡架構和設備而言,由於無法快速水平擴展(物理架構限制),或是成本等相關原因,需要企業預留大量的網絡資源,以滿足業務高峰期的需要,但在日常使用過程中則會產生大量的浪費。對於這一點,上雲就很好的解決了這個問題,無論是業務帶寬的彈性伸縮,或是阿里雲上諸如雲防火牆等網絡安全類設備的動態水平擴容能力,都能很好地解決傳統網絡和安全所存在的限制,並大大降低企業的日常網絡運行成本。
- 基礎網絡能力:虛擬專有網絡VPC、彈性公網地址EIP、負載均衡SLB、網絡地址轉換NAT
- 擴展防護能力:雲防火牆、雲WAF、DDoS防護
網絡區域劃分
- 防護要求:應劃分不同的網絡區域,並按照方便管理和控制的原則為各網絡區域分配地址
- 最佳實踐:
通常,對於雲上的網絡區域劃分,建議客戶以VPC為顆粒度規劃,這是因為VPC能夠根據實際需要配置IP地址段,同時又是雲上的基礎默認網絡隔離域。對於VPC的劃分,一般建議參考企業自身的組織架構,或是業務重要屬性進行網絡拆分。常見的劃分方式有:
-
- 按業務部門劃分(例如To B業務、To C業務等)
- 按傳統網絡分區劃分(DMZ區域、內網區域等)
- 按使用屬性劃分(例如生產環境、開發測試環境等)
等保中有明確指出需要企業根據重要程度進行網絡區域劃分,同時,在同一VPC內的子網間默認路由互通,因此一般建議客戶以VPC為顆粒度實現網絡分區。同時,由於部分業務的通信互聯需要,VPC間能夠通過雲企業網(CEN)進行連通,在此基礎上也建議客戶使用阿里雲防火牆的VPC隔離能力來實現VPC間的有效隔離。
- 基礎防護能力:虛擬專有網絡VPC、雲企業網CEN、雲防火牆
- 擴展網絡能力:高速通道、虛擬邊界路由器VBR
網絡訪問控制設備不可控
- 防護要求:應避免將重要網絡區域部署在邊界處,重要網絡區域與其他網絡區域之間應採取可靠的技術隔離手段
- 最佳實踐:
雲上網絡的常見訪問控制設備有云防火牆、安全組、以及子網ACL。
雲防火牆覆蓋互聯網邊界和VPC邊界,主要管控互聯網出和入向的南北向流量,以及跨VPC訪問(包括專線)的流量控制;
安全組作用於主機邊界,主要負責雲資源邊界的訪問控制;
子網ACL主要實現對一個或多個VPC內部子網流量的訪問控制,在有精細化訪問管控要求時可以使用。
上述服務均提供給雲上客戶管理權限,能夠根據實際業務需要靈活進行ACL配置。
- 推薦防護能力:雲防火牆、安全組、網絡ACL
互聯網邊界訪問控制
- 防護要求:應避免將重要網絡區域部署在邊界處,重要網絡區域與其他網絡區域之間應採取可靠的技術隔離手段。
- 最佳實踐:
在傳統IDC的網絡規劃中,通常會配置DMZ區用以隔離互聯網和內網區域。在雲端,同樣可以通過設置DMZ VPC,來實現更高安全等級的網絡分區,並結合雲企業網的聯通性搭配雲防火牆的隔離能力,將重要的生產或內網區與互聯網區分隔開,避免高風險區域內的潛在網絡入侵影響企業的重要網絡區域。
同時,對於互聯網邊界,企業需要重點關注南北向的流量防護,對於暴露在互聯網上的網絡資產,包括IP、端口、協議等信息,需要定期進行盤點,並配置針對性的訪問控制規則,來實現互聯網出入口的安全管控。
- 推薦防護能力:虛擬專有網絡VPC、雲企業網CEN、雲防火牆
不同區域邊界訪問控制
- 防護要求:應避免將重要網絡區域部署在邊界處,重要網絡區域與其他網絡區域之間應採取可靠的技術隔離手段。
- 最佳實踐:
客戶在上雲初期,一般都會基於VPC進行網絡區域的規劃,對於不同區域的隔離與訪問控制,阿里雲提供了非常靈活的方式。通常,VPC之間默認無法通信,不同的VPC如果需要互相訪問,可以通過高速通道實現點對點的通信,或是將多個VPC加入同一個雲企業網(CEN)實現互通,後者對於客戶的配置和使用更為友好,也是更推薦的方式。在此基礎上,客戶能夠通過雲防火牆提供的VPC邊界訪問控制,來對跨VPC的流量進行訪問管控,過程中不需要客戶手動更改路由,既簡化了路由的配置,又能通過統一的方式實現安全隔離管控。
同時,對於通過專線(虛擬邊界路由VBR)或VPN方式組建的混合雲場景,或是管控來自辦公網的雲上訪問,也能通過雲防火牆在VPC邊界,通過分佈式的方式實現統一訪問控制,保障核心區域內的資源訪問可管可控。
- 推薦防護能力:虛擬專有網絡VPC、雲防火牆、安全組
關鍵線路、設備冗餘
- 防護要求:應提供通信線路、關鍵網絡設備和關鍵計算設備的硬件冗餘,保證系統的可用性。
- 最佳實踐:
阿里雲提供的各類網絡和安全服務,在設計初期,首要考慮的就是如何實現高可用架構。無論是虛擬網絡服務,諸如虛擬網絡VPC、負載均衡SLB或NAT網關,還是安全類服務,如雲防火牆、雲WAF或DDoS防護,都在硬件層面實現了冗餘,並通過集群的方式提供服務,滿足客戶雲上關鍵業務對於網絡安全可用性的要求。
與此同時,當客戶在進行網絡規劃和配置的過程中,還是需要對高可用架構進行必要的設計,例如多可用區架構、專線的主備冗餘等,實現更高等級的通信鏈路保障。
- 基礎網絡能力:參考各阿里雲網絡與安全產品高可用特性
等保類目:安全通信網絡——通信傳輸
傳輸完整性保護
- 防護要求:應採用密碼技術保證通信過程中數據的完整性。
- 最佳實踐:
對於數據傳輸完整性要求較高的系統,阿里雲建議在數據傳輸完成後,進行必要的校驗,實現方式可採用消息鑑別碼(MAC)或數字簽名,確保數據在傳輸過程中未被惡意篡改。
- 推薦防護能力:客戶業務實現
傳輸保密性保護
- 防護要求:應採用密碼技術保證通信過程中數據的保密性。
- 最佳實踐:
數據傳輸過程中的保密性保護,根據業務類型通常會分為通道類連接和網站類訪問。
對於通道類連接,阿里雲提供了VPN網關服務,幫助客戶快速搭建加密通信鏈路,實現跨區域的互聯。對於網站類的訪問,阿里雲聯合了中國及中國以外地域的多家數字證書頒發機構,在阿里雲平臺上直接提供數字證書申請和部署服務,幫助客戶以最小的成本將服務從HTTP轉換成HTTPS,保護終端用戶在網站訪問過程中的通信安全。
- 推薦防護能力:VPN網關、SSL/TLS證書
等保類目:安全區域邊界——邊界防護
互聯網邊界訪問控制
- 防護要求:應保證跨越邊界的訪問和數據流通過邊界設備提供的受控接口進行通信
- 最佳實踐:
對於由互聯網側主動發起的訪問,如果是網站類的業務,一般建議企業配置雲WAF來進行有針對性的網站應用防護,並搭配雲防火牆,實現全鏈路的訪問控制;對於非網站類的入雲業務流量,包括遠程連接、文件共享、開放式數據庫等,客戶能夠通過雲防火牆在公網EIP維度進行有針對性的開放接口統計與防護。
對於由雲內部主動發起的向互聯網的外聯,建議企業基於雲防火牆提供的出雲方向ACL,同樣在EIP維度進行基於白名單的訪問控制,將外聯風險降到最低。
- 推薦防護能力:雲防火牆、雲WAF
網絡訪問控制設備不可控
- 防護要求:應保證跨越邊界的訪問和數據流通過邊界設備提供的受控接口進行通信;
- 最佳實踐:
參考【安全通信網絡——網絡架構】章節中的最佳實踐,同時,部分雲上PaaS服務也提供了類似的訪問控制能力,如負載均衡SLB、對象存儲OSS、數據庫服務RDS,客戶能夠根據實際使用情況進行配置。
- 基礎網絡能力:參考各阿里雲網絡產品
- 推薦防護能力:雲防火牆、安全組、雲WAF、網絡ACL
違規內聯檢查措施
- 防護要求:應能夠對非授權設備私自連接到內部網絡的行為進行檢查或限制;
- 最佳實踐:
客戶在雲上的內部網絡,通常會部署內部應用服務器或數據庫等重要數據資產。對於向內部網絡發起連接的行為,一般會經由互聯網(南北向)通道或專線及VPC(東西向)通道。
對於來自互聯網的網絡連接,一般建議客戶在邊界EIP上進行網絡流量的檢查。客戶能夠通過雲防火牆提供的深度包檢測(DPI)能力,分析來源IP和訪問端口等信息,識別出潛在的異常連接行為,並通過配置有針對性的訪問控制策略,實現違規流量的阻斷。
對於東西向的流量,通常是由企業IDC或辦公網發起的,尤其是辦公網,除了能夠在雲下邊界部署上網行為管理等服務外,也能夠利用雲防火牆提供的VPC邊界管控能力,識別異常訪問流量,並針對性的進行特定IP或端口的封禁。
- 推薦防護能力:雲防火牆
違規外聯檢查措施
- 防護要求:應能夠對內部用戶非授權連接到外部網絡的行為進行檢查或限制;
- 最佳實踐:
對於由內部網絡主動向外部發起訪問的行為,能夠通過雲防火牆提供的主動外連識別能力進行檢測。對於所有跨邊界的出雲方向網絡流量,雲防火牆會分析流量的訪問目標,結合阿里雲威脅情報能力,一旦發現連接目的是惡意IP或域名,會立刻觸發告警,提醒客戶檢查網絡訪問行為是否存在異常,並建議客戶對確認為惡意的流量通過配置ACL的方式進行阻斷。
同時阿里雲安全中心通過在主機層面進行入侵檢測,也能夠發現違規的外聯進程,並進行有針對性的阻斷和告警提示,幫助客戶進行惡意風險的溯源。
- 推薦防護能力:雲防火牆、雲安全中心
等保類目:安全區域邊界——訪問控制
互聯網邊界訪問控制
- 防護要求:應在網絡邊界或區域之間根據訪問控制策略設置訪問控制規則,默認情況下除允許通信外受控接口拒絕所有通信;
- 最佳實踐:
“除允許通信外受控接口拒絕所有通信”,即網絡安全中的“白名單”概念,需要客戶配置類似如下的訪問控制策略,實現網絡暴露面的最小化:
|
優先級 |
訪問源 |
訪問目的 |
端口 |
協議 |
行為 |
|
高 |
特定IP(段) |
特定IP(段) |
指定端口 |
指定協議 |
拒絕 |
|
中 |
特定IP(段) |
特定IP(段) |
指定端口 |
指定協議 |
允許 |
|
默認 |
所有(ANY) |
所有(ANY) |
所有(ANY) |
所有(ANY) |
拒絕 |
無論是互聯網邊界,或是VPC區域邊界,都可以通過阿里雲防火牆實現上述訪問控制的配置和管理。阿里雲防火牆作為雲原生SaaS化防火牆,與傳統防火牆不同,在客戶開啟過程中,不需要客戶進行任何網絡架構的調整,並且訪問策略會優先保障客戶在線業務的正常運行。在日常使用過程中,建議客戶根據實際業務流量,通過配置“觀察”行為類型的規則,在不中斷業務的前提下進行流量分析,逐步完善並添加相應的“允許”類訪問控制規則,最終完成默認“拒絕”規則的上線,在業務平滑過渡的過程中實現邊界訪問的收口;而對於新上雲的客戶,則建議在初期就配置訪問控制“白名單”規則,加強網絡安全管控。
- 推薦防護能力:雲防火牆
等保類目:安全區域邊界——入侵防範
外部網絡攻擊防禦
- 防護要求:應在關鍵網絡節點處檢測、防止或限制從外部發起的網絡攻擊行為;
- 最佳實踐:
雲上常見的網絡攻擊,根據攻擊類型和所需防護的資產,一般分為網絡入侵行為、針對網站的攻擊和海量分佈式攻擊(DDoS攻擊)。
對於雲上暴露資產的入侵檢測和防禦,阿里雲防火牆通過提供網絡入侵檢測和防禦(IDPS)能力,幫助客戶在互聯網邊界和VPC邊界防範惡意外部入侵行為,並通過提供虛擬補丁的方式,為雲上客戶在網絡邊界實現針對遠程可利用漏洞的虛擬化防禦,幫助客戶提升整體網絡安全防禦水平和應急響應能力。
而對於在雲上開展網站類業務的客戶,阿里雲提供了Web應用防火牆的防護能力,對網站或者APP的業務流量進行惡意特徵識別及防護,避免網站服務器被惡意入侵,保障業務的核心數據安全,解決因惡意攻擊導致的服務器性能異常問題。
針對DDoS攻擊,阿里云為雲上客戶提供了DDoS防護的能力,在企業遭受DDoS攻擊導致服務不可用的情況下,使用阿里雲全球DDoS清洗網絡,通過秒級檢測與AI系統,幫助雲上客戶緩解攻擊,保障業務穩定運行。
- 推薦防護能力:雲防火牆、雲WAF、DDoS防護
內部網絡攻擊防禦
- 防護要求:應在關鍵網絡節點處檢測、防止或限制從內部發起的網絡攻擊行為;
- 最佳實踐:
對於內部發起的網絡攻擊行為,如果發生在雲端,一般是由於雲資源已經被成功入侵導致。此時,除了使用阿里雲安全中心進行資源(例如主機或容器)維度的應急響應和防禦外,同時能夠使用雲防火牆,加固不同VPC區域之間的安全隔離,並在允許的通信鏈路上對網絡流量進行持續的網絡入侵檢測防禦(IPS),將網絡攻擊的影響範圍降到最小,限制網絡攻擊行為,同時便於後期進行調查取證和攻擊分析。
- 推薦防護能力:雲防火牆、雲安全中心
等保類目:安全區域邊界——惡意代碼和垃圾郵件防範
惡意代碼防範措施
- 防護要求:應在關鍵網絡節點處對惡意代碼進行檢測和清除,並維護惡意代碼防護機制的升級和更新
- 最佳實踐:
對於阿里雲上的惡意代碼防護,通常建議客戶在資源層面通過雲安全中心實現防護,同時利用雲防火牆在網絡層面進行協同防禦,並在網站資源上利用雲WAF進行防護。
雲安全中心目前支持蠕蟲病毒、勒索病毒、木馬、網站後門等惡意代碼的檢測和隔離清除,並定期升級相關惡意代碼規則庫;
針對挖礦蠕蟲(例如對SSH/RDP等進行暴力破解)攻擊,雲防火牆通過提供入侵檢測和防禦能力,對惡意代碼和相關行為進行檢測並告警;針對高危可遠程利用漏洞,雲防火牆利用阿里雲安全在雲上攻防對抗中積累的大量惡意攻擊樣本,針對性地生成精準的防禦規則,並在後臺實現自動化的規則升級和更新,幫助客戶以無感的方式不斷提升整體安全防護能力。
雲上網站在接入Web應用防火牆後,防護引擎會自動為網站防禦SQL注入、XSS跨站、Webshell上傳、命令注入、後門隔離、非法文件請求、路徑穿越、常見應用漏洞攻擊等Web攻擊,實現對雲上網站的惡意行為檢測和防護。
- 推薦防護能力:雲安全中心、雲防火牆、雲WAF
等保類目:安全區域邊界——安全審計
網絡安全審計措施
- 防護要求:應在網絡邊界、重要網絡節點進行安全審計,審計覆蓋到每個用戶,對重要的用戶行為和重要安全事件進行審計;
- 最佳實踐:
通常建議客戶在互聯網邊界和VPC區域邊界通過啟用阿里雲防火牆,實現對全網絡邊界的流量安全審計,並在發生安全事件時,能夠通過網絡日誌快速定位異常流量和進行網絡溯源。目前雲防火牆提供了三類審計日誌:
-
- 流量日誌:經過互聯網邊界和VPC邊界的流量日誌記錄,包括訪問流量開始和結束的時間、源IP和目的IP、應用類型、源端口、應用、支持的協議、動作狀態、字節數以及報文數等信息;
- 事件日誌:經過互聯網邊界和VPC邊界且命中了安全檢測規則的流量記錄,是流量日誌的子集,包括事件的時間、威脅類型、源IP和目的IP、應用類型、嚴重性等級以及動作狀態等信息;
- 操作日誌:記錄雲防火牆中的所有用戶操作行為,包括操作的用戶賬號、執行的時間、操作類型、嚴重性以及具體操作信息。
同時阿里雲針對網絡日誌提供了強大的分析能力,幫助客戶不僅在安全維度發現異常流量,還能夠在運維層面提供強大的數據支撐,統計網絡流量行為,分析並優化網絡使用和成本,提升整體網絡運行效率。
對於網站類業務,阿里雲WAF也提供了日誌服務,能夠近實時地收集並存儲網站訪問日誌和攻擊防護日誌,協助客戶進行深入分析、以可視化的方式進行展示、並根據所設定的閾值實現監控報警。
雲防火牆和雲WAF的日誌留存均基於日誌服務SLS,能夠提供6個月的留存時長,並通過SLS提供的能力進行分析、統計報表、對接下游計算與提供日誌投遞等能力,實現靈活的日誌分析和管理。
- 推薦防護能力:雲防火牆、雲WAF
等保類別:安全區域邊界——集中管控
安全事件發現處置措施
- 防護要求:應能對網絡中發生的各類安全事件進行識別、報警和分析;
- 最佳實踐:
對於雲上常見的內外部網絡攻擊,可以參考【安全區域邊界——入侵防範】章節中的相關內容。目前針對不同類型的網絡攻擊,阿里雲都提供了對應的防護能力,從DDoS類的攻擊,網絡入侵行為的檢測和告警,到針對網站的惡意行為識別和分析,都可以通過阿里雲相關安全產品,實現有針對性的防護。
- 推薦防護能力:雲防火牆、雲WAF、DDoS防護
等保類目:安全運維管理——網絡和系統運維管理
運維外聯的管控
- 防護要求:應保證所有與外部的連接均得到授權和批准,應定期檢查違反規定無線上網及其他違反網絡安全策略的行為
- 最佳實踐:
對於辦公環境的外聯行為,建議客戶根據實際情況選擇針對性的防護手段。當客戶使用阿里雲上資源開展日常運維工作時(例如使用堡壘機進行雲上環境運維),對於雲上資源的外訪,建議客戶通過雲防火牆進行主動外連行為的檢測,及時發現惡意的外連行為,進行針對性的封禁。具體最佳實踐可以參考【安全區域邊界——邊界防護】中的違規外聯檢查措施部分,實現針對性的管控。
- 推薦防護能力:雲防火牆
總結
網絡安全等級保護在2019年已經從1.0升級為2.0,是我國網絡安全領域的基本國策。針對雲上網絡安全,等保2.0在完善網絡架構和訪問控制的基礎上,也對網絡入侵防禦和安全審計提出了更高的要求。通過本最佳實踐,希望能夠在企業建設雲上網絡安全防禦體系的過程中,供企業參考,以更全面的視角看待網絡安全,實現更有效的防護。
附錄
《等保2.0》網絡安全高危風險與應對建議彙總
|
防護層面 |
控制點 |
標準要求 |
推薦防護能力 |
|
安全通信網絡 |
網絡架構 |
網絡設備業務處理能力 |
VPC、EIP、SLB、NAT |
|
網絡區域劃分 |
VPC、雲防火牆、CEN |
||
|
網絡訪問控制設備不可控 |
雲防火牆、安全組、網絡ACL |
||
|
互聯網邊界訪問控制 |
VPC、雲防火牆、CEN |
||
|
不同區域邊界訪問控制 |
VPC、雲防火牆、安全組 |
||
|
關鍵線路、設備冗餘 |
各阿里雲網絡與安全產品 |
||
|
通信傳輸 |
傳輸完整性保護 |
客戶業務實現 |
|
|
傳輸保密性保護 |
VPN、SSL證書 |
||
|
安全區域邊界 |
邊界防護 |
互聯網邊界訪問控制 |
雲防火牆、雲WAF |
|
網絡訪問控制設備不可控 |
各阿里雲網絡與安全產品 |
||
|
違規內聯檢查措施 |
雲防火牆 |
||
|
違規外聯檢查措施 |
雲防火牆、雲安全中心 |
||
|
訪問控制 |
互聯網邊界訪問控制 |
雲防火牆 |
|
|
入侵防範 |
外部網絡攻擊防禦 |
雲防火牆、雲WAF、DDoS防護 |
|
|
內部網絡攻擊防禦 |
雲防火牆、雲安全中心 |
||
|
惡意代碼和 垃圾郵件防範 |
惡意代碼防範措施 |
雲防火牆、雲安全中心、雲WAF |
|
|
安全審計 |
網絡安全審計措施 |
雲防火牆、雲WAF |
|
|
集中管控 |
安全事件發現處置措施 |
雲防火牆、雲WAF、DDoS防護 |
|
|
安全運維管理 |
網絡和系統 運維管理 |
運維外聯的管控 |
雲防火牆 |