多少道防线才能挡住Azure云黑客？

岁末年初，正是各种数据安全事件多发的时期。

最近便有客户跟小编吐槽，企业云端虚拟机遭到了黑客攻击，导致损失了几十万，而且经过事后调查，判定云平台并无责任，需要使用者应承担全部责任，真是苦不堪言！

为此，客户专门向我们讨教，企业到底如何才能保护云端数据安全，有效防范企业云端平台的漏洞。

这不，小编带着迅易科技智能云服务的专家们来了。让大家更清晰地了解Azure云黑客攻击的来龙去脉，同时提供了对应的解决办法，也方便企业参考，防患于未然。（以下访谈内容已进行整理）

 一、企业遭遇黑客攻击，损失高达几十万

小编：这次主要发生了什么类型的黑客攻击事件？造成了什么损失？

专家：某IT公司一直使用Azure云实现数据服务、应用服务和网络服务，但是最近该企业虚拟机遭受了挖矿病毒的网络攻击。了解到该企业搭建了5台虚拟机用于测试，数据中心在国内，部署过程中开发人员在一台虚拟机打开了某类高危端口，导致直接暴露在Internet上的端口，在短短一天内，便遭到了国外异常IP的入侵。该黑客伪装成该企业的用户执行可疑进程，将虚拟机CPU占满，导致流量异常暴增，几TB的数据传出，产生了高额的出站流量费用。

为此，在短短一周内，该企业就直接产生了几十万的费用，在当前严峻的经济环境下，无疑是中小企业的一笔巨大开支。

小编：此次黑客的主要攻击手段是什么？

专家：在事件发生后，该企业的运维人员通过某些杀毒的方法进行清除，但是黑客却使用了Rootkit手段。一般来说，Rootkit自身并不是恶意软件，它是恶意软件用来隐藏自己的一种手段。而且经黑客改造的Rootkit可能包括间谍软件和其它程序，如监视网络通信和用户击键的程序，也可以在系统中构建一个后门便于黑客使用，还可以修改日志文件，攻击网络上其它计算机，或者改变现有的系统工具用以逃避检测。黑客利用多种技术来操纵操作系统，让用户无法利用普通的杀毒软件来找到其踪迹，更别说清除了。

小编：当遭遇攻击的时候，是否有相关预警信号？有什么补救措施？

专家：此次的事故没有相关的预警信号，企业其实需要自行设置 Log Analytics日志分析告警、 Defender for cloud安全警报或者 Azure Monitor 自定义的警报规则（例如网络流量异常增加等）。

当时，该企业的杀毒措施主要是：首先用crontab查看有没有可疑的任务，注释掉；接着通过ps看kdevtmpfsi进程号，systemctl查守护进程，把kdevtmpfsi和守护进程一起杀掉，杀完后通过全盘搜索kdevtmpfsi和kinsing并删掉，但以上杀毒措施并不能杀除病毒，只能够删除虚拟机重建。

小编：经过这个案例，我们帮助企业针对云平台又做了什么安全保障？

专家：经过这次事件，我们帮助该企业的运维人员采取了更牢固、更严密的安全保护措施。第一，设置账号密码复杂度；第二，修改默认远程端口，并设置允许访问白名单；第三，禁止可疑IP访问端口；第四，设置网络流量异常告警；第五，开启Defender for cloud。通过这些安全措施，帮助企业确保服务器稳定，减少暴力、DOS/DDOS、钓鱼攻击等，保护数据安全，有效降低30%的云服务成本，而且我们也已经成功帮助企业拦截2个恶意攻击。

此外，我们还帮助该企业的运维人员还制定了完善的运维方案及应急计划。其中包括：制定完善运维方案、定义安全基线、明确责任归属、定期评审和完善、应急计划等。

小编：从这个案例中，开发者们应该能够获得到哪些关键信息呢？

专家：此次攻击中，我们并不能做详细的溯源分析，因为我们本来就是个裸奔的状态，溯源分析需要提前部署一些安全服务才能做到。但是就对黑客的攻击手段来说，也是在不断更新迭代，越来越复杂的攻击手段，自动化的工具等。

比如在系统层面，建议开发者在安装配置系统时，安装应用需要的最少的包，开启最少的服务，达到让黑客无法通过不在控制范围内的端口入侵。

二、为什么全球企业云上安全事故频发？

小编：造成当前黑客攻击严峻态势的主要原因是什么？

专家：造成当前黑客攻击严峻态势的主要原因有以下原因，首先是技术发展，随着互联网的快速发展，新的攻击手段和工具不断涌现，使得网络安全防护面临更大的挑战。其次是企业信息化程度变高，各行各业的信息化程度使得黑客了可趁之机。再者是用户意识低，很多用户对网络安全的认识不够，给黑客攻击提供了机会。最后是法律法规滞后，在一些国家和地区，关于网络安全的法律法规还不完善，对网络犯罪的处罚力度不够，不能有效地震慑黑客。

 小编：这种攻击是普遍现象吗？他们主要针对什么样的行业/人群进行攻击？

专家：是的，非常普遍。国家网络行动针对全球各个部门，他们主要按地区划分出最具针对性的部门进行攻击，尤其是智库、非政府组织和大学成为黑客攻击的首要目标。

 技术层面上，黑客主要攻击手段是：

1. 恶意软件：包括病毒、蠕虫、特洛伊等，这些可以破坏系统，窃取信息，甚至控制计算机。

2. 钓鱼攻击：通过伪造网站或电子邮件，诱使用户输入敏感信息，如密码、信用卡号等。

3. 拒绝服务攻击：通过大量无意义的请求，使得目标服务器无法正常提供服务。

4. 零日攻击：针对尚未公开的系统漏洞进行攻击。

5. 社会工程学：利用人的心理弱点，诱使其泄露敏感信息或执行某些行为。

小编：微软作为拥有全球安全合规认证最多的公有云服务商，能够提供相关的安全体系，为什么还会发生此类黑客攻击事件？

专家：相对其他厂商来说，微软云服务已经是比较安全的。尽管微软Azure确实提供了强大的安全特性和控制，但这并不能完全保证防止所有黑客攻击。没有一个安全厂商能保证100%的安全，只能尽可能的加强防范，使安全防护无限接近100%。发生黑客攻击事件的原因通常是：

1.人为错误：如果安全特性没有正确配置或使用，则无法提供预期的保护。例如，如果管理员设置了过于宽松的权限，或未正确配置防火墙规则，这可能会导致安全漏洞。

2.高级持续性威胁（APT）：一些黑客或黑客组织拥有高级技能和资源，能够进行复杂和持久的攻击。他们可能会利用尚未公开或尚未修复的漏洞（即"零日"漏洞）进行攻击。

3.社会工程学攻击：这种类型的攻击通常涉及欺骗人们泄露他们的凭据或其他敏感信息。例如，网络钓鱼攻击可能会诱使用户点击恶意链接或下载恶意软件。

4.责任共担模型：大多数云服务包括Azure，都遵循“责任共担模型”的安全模型。在这种模型中，云服务提供商负责保护云基础设施的安全，而客户负责保护他们在云中存储和处理的数据的安全。

5.内部威胁：企业中不满的员工或内部攻击者可能会滥用他们的权限，窃取数据或破坏系统。

 因此，即使Azure提供了强大的安全功能，也需要用户正确地配置和使用这些功能，以及采取其他必要的安全措施，以最大限度地降低被黑客攻击的风险。

三、企业如何保护云上安全？

小编：为了实现企业Azure云安全架构，我们应该怎么做？

专家：当企业成功上云之后，为了确保整个云环境能够始终保持安全和稳定的运行，治理手段同样不可或缺，可以通过以下手段让企业治理策略有效执行。

1.策略和治理：云安全架构是基础，明确各种安全措施和流程。

2.人员培训和意识：确保员工接受定期的安全培训。利用好技术和工具，通过Azure提供的各种安全工具和服务，确保这些工具和服务被正确配置和使用。

3.做好持续监控和响应：建立一套持续的安全监控机制及团队，包括使用Azure Monitor、Azure Sentinel等工具。

4.实现数据保护：包括数据加密、备份和恢复及访问的严格控制。

5.保证合规性：根据你的行业和地理位置，你可能需要遵守各种数据保护和隐私法规。确保你的云安全架构符合所有相关的法规要求。

6.建立安全文化：使每个人都意识到安全的重要性，都积极参与到保护企业安全的行动中来。

 小编：企业构建云安全架构体系，所需成本高吗？

专家：越安全的架构成本肯定是越高的。但是构建企业Azure云安全架构体系的成本取决于许多因素，包括企业规模、企业选择的Azure服务、企业安全需求等。虽然初始投入可能较高，考虑到网络安全事件可能导致的损失，这样的投资通常是值得的。另外，Azure提供了许多内置的安全工具和服务，这些都包含在企业的Azure订阅费用中，不需要额外支付。

小编：构建安全架构体系后，在IT运维方面会存在哪些影响因素？开发者技能上有哪些改变？

专家：构建企业Azure云安全架构体系后，会对IT运维和开发者的工作带来一些影响和变化。

 尽管这些变化可能会带来一些挑战，但它们也是提高企业安全性的必要步骤。通过正确的培训和支持，才能让企业的IT运维和开发者团队可以成功地应对这些挑战。

四、 迅易云安全服务的优势在哪？

小编：企业想要保障云服务的安全，我们将从哪几个方面应对？

专家：企业应该采取全方位的防护措施来保障云安全，包括加强访问控制，采用加密技术，实施防火墙，实施漏洞管理，监控和响应以及选择可信赖的云服务提供商。作为支持众多国内外云产品的技术服务提供商，迅易科技可以根据企业自身的需求，帮助企业进行推荐选择与采购，并建议企业正确配置和使用这些功能。比如，Azure提供了一系列的安全产品和服务，这些工具可以帮助企业检测和防止安全威胁，保护企业的数据和应用程序。此外，我们还能提供策略和治理的优化，提升全员安全意识和培训，持续监控和响应以及数据保护等方面的服务。

 小编：对于要满足企业安全需求，针对此类型Azure云攻击，我们构建的安全体系有什么优势？

专家：针对Azure云攻击，建立一个有效的安全体系对于满足企业安全需求至关重要。以下是一些优势：

统一的基础设施安全管理系统:使用 Defender for Cloud，可提供增强可见性和控制Azure资源的安全性。

更牢固的云网络防火墙：使用 Azure 防火墙，提供出站和入站访问控制。

更安全的访问控制和身份验证：使用 AD管理用户访问和身份验证，可设置多因素认证（MFA）提高安全性。

让数据加密：可使用 Azure Key Vault 对数据加密，以及管理和保护用于云应用程序的密钥和其他机密。

持续监控和审计：Azure 提供一系列的日志和监控工具，实时监控安全情况并进行审计。

及时打补丁和更新：确保 Azure 服务和应用程序都已更新到最新版本，并及时打上所有的安全补丁。

 云上安全，至关重要！如果您想要了解更多云安全的内容和技术手段，欢迎前往迅易科技官网联系我们，我们将有智能云服务的两位专家为您答疑解惑~

迅易科技智能云服务专家
朱俊腾

迅易科技智能云服务专家
吴彦玲