客戶負責國家級新媒體產品的設計、研發、維護等工作,重點打造APP、移動報道指揮系統、全媒體聚合平臺、新媒體專線等融媒體產品。因公安部要求,需在“2020年兩會期間”做好系統的安全保障工作,我方重點保障客戶APP系統的安全性,並做好相關應急預案,確保整個系統在兩會召開期間能正常安全穩定運行。
袋鼠雲運維服務團隊應客戶需求,制定了安全護航專項方案,具體方案如下:
安全護航準備
護航準備期間主要目的是通過內部自查的方式來了解自身安全現狀、主動發現安全風險、提高安全防護能力、完善安全監控、減少被攻擊面。袋鼠雲採取了以下措施:
1) 網絡安全架構梳理
發現未受安全保護的區域,然後對其進行加固,加固後的網絡安全架構示意圖如下:
DNS解析:使用DNSPod提供解析服務,該解析平臺擁有200G的DNS攻擊防護能力,並開通賬號雙因子認證登錄功能,嚴防域名被惡意篡改。
互聯網區域:在公網入口增加DDOS高防和WAF產品提高防護能力。本次護航中我們使用可抵禦300 Gbps 攻擊防護的DDoS高防IP,來抵禦互聯網服務器遭受大流量的DDoS攻擊;使用Web應用防火牆來防禦SQL注入、XSS跨站腳本、常見Web服務器插件漏洞、木馬上傳、非授權核心資源訪問等OWASP常見攻擊,並過濾惡意CC攻擊,避免網站資產數據泄露,保障網站的安全與可用性。同時在公網SLB上只授權允許WAF回源流量進行訪問。
2) 資產梳理
對直接暴露在互聯網下的資產進行嚴格防護。梳理過程中發現有部分ECS服務器使用EIP方式直接訪問公網,屬於高風險區域。我們提供的解決方案是取消這些服務器的EIP,使用NAT網關出公網,屏蔽服務器直接暴露於公網。
3) 全面基線自查
對服務器/數據庫賬號、口令、權限、策略、日誌、漏洞、操作安全等項進行覈查加固。此次護航中我們通過堡壘機來進行賬號的最小化授權管控與審計,通過雲安全中心來實時監測基線、漏洞,對異常告警及時修復。
4) 安全策略優化
對安全組、RDS白名單、RAM訪問策略、OSS訪問策略等進行梳理。對無策略限制或者策略開放範圍過大的ip進行優化,做到最小化授權。
5) 數據保護
對數據庫數據配置自動備份策略,每日定時備份數據。對ECS服務器設置好自動快照策略,定時快照以防止勒索病毒帶來的巨大損失。
6) 組建應急小組
爲了在面臨網絡攻擊時能快速響應,啓動應急預案調度技術人員,在護航期間臨時成立應急小組。
7) 全面的安全監控
對互聯網出/入口網絡流量、業務訪問、服務器漏洞基線、數據庫SQL等內容進行全面實時的監控預警,及時發現異常。
護航保障
護航期間,袋鼠雲組織安全團隊爲客戶提供全過程的安全護航工作,期間提供每日安全巡檢、應急響應以及攻擊阻斷與策略優化相關工作。
每日安全巡檢主要查看互聯網出/入流量、DDOS高防、WAF、SLB、雲安全中心等各個重要監控指標狀態有無異常,並對有異常的事件進行上報處理。
對安全預警實時響應通報並對攻擊事件進行分析研判,期間我們對大量的CC攻擊進行多次的策略優化工作對異常訪問進行精準訪問控制,及時封堵攻擊減輕攻擊帶來的業務影響。
護航總結
護航結束後,我們對期間產生的CC攻擊、web入侵、異常掃描等攻擊進行彙總統計:兩會期間客戶系統總共遭受到700000000+次網絡攻擊。通過實時的安全預警,及時地進行防護策略優化,所有攻擊均被成功攔截阻斷,未對業務造成損失,兩會安全護航圓滿結束。
隨着雲計算行業的快速發展,雲上企業遭受的網絡攻擊形式層出不窮,如果企業未建立全域的安全防護能力,沒有提升安全意識,遭受攻擊是在所難免的。袋鼠雲可爲企業提供安全加固、滲透測試、漏洞掃描、應急響應、等保、安全管家等一站式安全服務,爲企業雲上安全保駕護航!