前言
- 在云环境下网络更加复杂,用户场景多样,在使用主机时,除了需要应对常见的安全风险外,还有云环境新引入的各种安全风险。为保障主机的安全风险,华为云Stack主机安全解决方案可以检测云中的各种风险,提升主机的安全性。
- 学完本课程后,您将能够:
- 了解主机安全常见的安全风险与挑战
- 掌握主机安全解决方案
- 掌握主机安全服务使用配置
主机安全概述
主机安全概念
主机安全,通过技术或管理方法对主机上的应用软件、监控软件、操作系统进行安全增强和安全运维,其核心内容是保证数据在存储和处理过程中,达到保密性、完整性、可用性的要求。
主机安全风险与挑战 - 黑客入侵
-
某视频网站用户数据泄密
- 黑客利用网站Web主机的漏洞被上传WebShell,成功入侵主机。
- 黑客在内网进行横向渗透与提权,最终获得数据库的操作权限。
- 黑客窃取数据库中用户数据,在黑市售卖,并勒索该网站。
-
某生物科技公司被利用挖矿
- 企业没有对外提供访问的Web主机,因此密码强度较弱。
- 黑客扫描到公司的IP后,成功暴力破解主机账户,同时由于内网免密登录,进一步控制了全部内网主机。
- 黑客在内网主机上安装挖矿程序,利用内网的高性能主机进行挖矿。
-
某连锁便利店网站瘫痪
- 黑客利用漏洞入侵对外提供访问的主机,入侵后横向破解内网多台主机账户。
- 黑客在多台主机创建影子账号,并擦除日志进行潜伏。
- 黑客在网站活动日当天利用账号在主机放置木马,导致网站数据库无法启动,网站瘫痪。
-
某计算机公司被勒索
- 用户主机访问外网时下载恶意程序并运行。
- 用户内网所有主机均感染勒索病毒,文件和数据被加密,无法解开。
安全风险管理难
- 大型企业主机数量众多,企业运维人员无法管理主机上的大量安全资产、关键配置和系统漏洞,导致企业主机存在很大安全风险。
- 来自外部以及内部的攻击日益频繁,攻击手段多样化,防范困难,任何一台主机被攻击后,都有可能扩散影响到整个系统,从而导致企业业务中断或数据泄露。
安全合规审查严格
-
“网络安全和信息化相辅相成,安全是发展的前提,发展是安全的保障,安全和发展要同步推进。”
-
《网络安全法》于2017年6月1日正式实施,是我国第一部规范网络空间秩序的基础性法律,意义深远,不仅在法律上保障了公民在网络空间的利益,还维护了国家网络空间主权和安全,明确了个人信息的保护,促进互联网健康稳定的发展。
-
《网络安全法》第二十一条 国家实行网络安全等级保护制度。
- 网络安全等级保护制度中对主机的入侵防范,恶意代码防范,漏洞扫描,都有明确要求。
- 如果无法满足以上要求,不能通过等保测评,则企业会遭到处罚或无法继续运营。
主机安全服务
HSS详述
企业主机安全服务介绍
- 企业主机安全服务(Host Security Service,HSS)是以工作负载为中心的安全产品,旨在满足现代混合云、多云数据中心基础架构中服务器工作负载的独特保护要求。它集成了主机安全、容器安全和网页防篡改。
- HSS不受地理位置影响,为主机、容器等提供统一的可视化和控制能力。
- HSS通过对主机、容器进行系统完整性的保护、应用程序控制、行为监控和基于主机的入侵防御等,保护工作负载免受攻击。
主机安全服务 - 实现原理(主机安全)
- 主机安全是提升主机整体安全性的服务,通过主机管理、风险预防、入侵检测、高级防御、安全运营、网页防篡改功能,全面识别并管理主机中的信息资产,实时监测主机中的风险并阻止非法入侵行为,帮助企业构建服务器安全体系,降低当前服务器面临的主要安全风险。
| 组件 | 说明 |
|---|---|
| 管理控制台 | 可视化的管理平台,便于集中下发配置信息,查看在同一区域内主机的防护状态和检测结果 |
| HSS云端防护中心 | 1、使用AI、机器学习和深度算法等技术分析主机中的各项安全风险。2、集成多种杀毒引擎,深度查杀主机中的恶意程序。3、接收您在控制台下发的配置信息和检测任务,并转发给安装在服务器上的Agent。4、接收Agent上报的主机信息,分析主机中存在的安全风险和异常信息,将分析后的信息以检测报告的形式呈现在控制台界面 |
| Agent | 1、Agent通过HTTPS和WSS协议与HSS云端防护中心进行连接通信,默认端口:10191。2、每日凌晨定时执行检测任务,全量扫描主机;实时监测主机的安全状态;并将收集的主机信息(包含不合规配置、不安全配置、入侵痕迹、软件列表、端口列表、进程列表等信息)上报给云端防护中心。3、根据您配置的安全策略,阻止攻击者对主机的攻击行为。4、说明:如果未安装Agent或Agent状态异常,您将无法使用企业主机安全服务。根据操作系统版本选择对应的安装命令/安装包进行安装。5、网页防篡改、容器安全与主机安全共用同一个Agent,您只需在同一主机安装一次 |
主机安全服务 - 实现原理(容器安全)
- 容器安全能够扫描镜像中的漏洞与配置信息,帮助企业解决传统安全软件无法感知容器环境的问题;同时提供容器进程白名单、容器文件监控、容器信息收集和容器逃逸检测功能,有效防止容器运行时安全风险事件的发生。
| 组件 | 说明 |
|---|---|
| CGS | Container |
| 管理Master | 负责管理与维护CGS Container |
| 安全智能 | 安全智能是安全信息知识库,用于获取漏洞库、恶意程序库等更新,以及大数据AI训练模型等 |
| 管理控制台 | 用户通过管理控制台使用容器安全服务 |
主机安全服务 - 实现原理(网页防篡改)
网页防篡改可实时监控网站目录,并通过备份恢复被篡改的文件或目录,保障重要系统的网站信息不被恶意篡改,从而保护网站的网页、电子文档、图片等文件不被黑客篡改和破坏。
主机安全服务功能特性
- 主机安全服务功能特性
- 1、负载管理
- 主机管理
- 容器管理
- 2、资产管理
- 深度扫描出主机中的账号、端口、进程、Web目录、软件信息和自启动任务
- 3、漏洞管理
- 检测Linux软件漏洞、Windows系统漏洞,帮助用户识别潜在风险
- 4、基线检查
- 扫描出主机系统和关键软件含有风险的配置信息
- 5、容器镜像安全
- 扫描镜像仓库与正在运行的容器镜像,发现镜像中的漏洞、恶意文件等并给出修复建议
- 6、入侵检测
- 主机安全告警
- 容器安全告警
- 告警白名单管理
- 7、网页防篡改
- 实时发现并拦截篡改指定目录下文件的行为,并快速获取备份的合法文件恢复被篡改的文件
主机安全服务应用场景 - 黑客入侵防护
- 介绍完企业主机安全的基本情况后,我们再来看下企业主机安全的主要应用场景,即能够帮助我们解决什么问题。
- 首先企业主机安全能够阻止黑客针对主机的入侵。通过对量入侵行为的分析,我们简单的把主机入侵行为划分成两类,一类是比较初级的入侵行为,黑客的手法是首先利用主机的弱密码进行账户暴力破解攻击;然后在入侵对外提供访问的主机后对内网其他主机进行横向账户暴破,同时还可以创建影子账户或克隆账户进行潜伏;最后在控制内网大量主机或核心主机后开始安装恶意程序或者删除、篡改、窃取文件。
- 针对初级入侵行为,首先通过口令复杂和经典弱口令检测来发现弱密码并提升密码强度,降低主机被暴破的风险;同时提供账户暴力破解防护功能来阻断黑客的账户暴破行为,并且提供双因子认证功能来进一步杜绝账户暴破风险。最后,企业主机安全还提供风险账号检测、恶意程序检测和关键文件变更检测等功能,来发现和阻止黑客入侵成功后进行的各种破坏和危险行为。
- 第二种是比较高级的入侵行为,首先黑客会扫描主机或网站的漏洞,然后利用漏洞进行入侵,例如向Web服务器上传WebShell并获得主机账户的部分权限,然后通过不断的提权和横向扩散最终渗透到内部的核心主机与数据库,最后通过安装恶意程序或窃取数据库中的数据来达到最终的入侵目的。
- 面对高级入侵行为,企业主机安全首先能够提供漏洞管理功能,发现主机与应用中间件存在的漏洞并提供修复建议;同时企业主机安全提供WebShell检测功能,能够有效发现黑客上传的WebShell;另外企业主机安全服务提供针对数据库的漏洞检测、基线检查与账户暴破防护,能够有效保障数据库的安全;最后企业主机安全提供恶意程序检测功能,能够有效检测与查杀各种病毒、木马、挖矿软件等。
黑客入侵防护 - 基于AI的恶意程序检测
- 恶意程序检测功能能够有效查杀互联网面临的最常见的病毒、木马、后门、挖矿等恶意程序。
- 第二项关键技术是基于AI的恶意程序检测技术。恶意程序检测功能能够有效查杀互联网面临的最常见的病毒、木马、后门、挖矿等恶意程序的侵袭。
- 企业主机安全的恶意程序检测功能提供三重检测算法:第一重检测是传统的基于恶意程序特征库的检测,会将运行程序的哈希值与特征库中的恶意文件哈希值进行对比,有效识别已知恶意程序;第二重检测是基于AI的图像指纹识别算法,实现原理是提取程序的多项指纹特征并转换成图像,然后将图像通过AI图像识别技术与恶意程序家族的图像进行对比,判断程序是否属于恶意程序家族。恶意程序家族的图像是使用谱聚类算法进行机器学习,不断将恶意文件聚类而生成的。基于AI的图像指纹识别算法能够有效预云查杀系统,企业主机安全在云端集成了多款杀毒引擎和沙箱,当用户怀疑某防恶意程序的变种,因为无论恶意程序如何变化,他都是有着相似的家族特征,通过AI识别技术能够有效的识别出这个相似度。第三重检测是病毒程序为恶意程序时可以提交到云端进行检测,病毒云查杀利用多家杀软厂商的能力,构筑了恶意程序检测的最后一道防线,也能够有效阻止最新的未知恶意程序。
主机安全服务应用场景 - 安全风险管理
- 识别主机的安全资产、软件漏洞以及关键配置,分析并管理其中的潜在安全风险,提前防范风险,有效减少主机90%被攻击面。
- 账户资产风险
- 主机上突然增加一个未知账户,可能是黑客非法账户
- 账户口令强度不足,不符合基线检查要求
- 端口资产风险
- 主机高危端口开放,与系统安全基线不符,需要及时清点和关闭这些端口
- 针对某端口的攻击大规模爆发,需要清点所有主机的这个端口
- 进程资产风险
- 主机上突然出现许多进程,与日常基线不符,可能是非法进程启动,这时,需要同步排查其他主机上的相同进程
- 软件资产风险
- 清点非法的软件资产,不应该安装的软件被安装上了
- 清点版本过低的软件资产,某些软件还停留太低的版本需要软件更新
- 漏洞爆发后,可以快速定位到受影响的资产范围,加速漏洞处置
- 账户资产风险
主机安全服务应用场景 - 网页防篡改
- 静态网页防篡改:防止网站服务器中的静态网页文件被篡改。
- 动态网页防篡改:防止网站数据库中动态网页内容被篡改。
- 两种都是实时检测
主机安全服务应用场景 - 容器安全
云服务商首发容器安全服务,保证企业容器虚拟环境从开发到生产整个周期的安全性。
容器安全应用场景 - 镜像安全
- 镜像漏洞扫描
- 对镜像仓库和容器中的镜像进行已知CVE漏洞等安全扫描
- 发现镜像的漏洞、不安全配置和恶意代码
- 帮助用户得到一个安全可信的镜像文件
- CI/CD工具集成
- 支持与CI/CD工具集成使得开发人员在开发阶段就可以获知镜像是否安全,是否存在漏洞,并且能够及时修复漏洞和不安全配置
- 镜像安全策略
- 确保镜像以安全的方式运行,如不允许有某种漏洞的镜像或漏洞数量超范围的镜像运行、禁止未被扫描确认过的未知镜像运行、不允许以root用户运行镜像等
容器安全应用场景 - 容器运行时安全
- 支持智能安全策略:自动学习容器运行行为,智能推送安全策略,帮助企业制定容器进程、文件保护等白名单,确保容器以最小权限运行
- 容器进程控制
- 进程黑白名单:有效阻止异常进程、提权攻击、违规操作等安全风险事件的发生
- 恶意进程检测
- 文件保护
- 将关键文件目录设为只读,保护容器内部的关键文件,避免被修改,从而大大提高了系统和应用的安全性
- 容器防逃逸
- 从宿主机角度检测逃逸行为,简单精确,包括shocker攻击、进程提权、DirtyCow和文件暴力破解等
- 容器进程控制
HSS开通流程
主机安全服务开通流程
- 在介绍了企业主机安全的应用场景后,我们来简单介绍下如何使用企业主机安全。
- 首先,我们需要在主机客户端上安装部署主机安全服务,包括安装Agent,设置告警通知,及开启防护开关。这些操作十分简单,您可以根据界面操作指导进行。另外,您还可以进行一些简单地可选安全配置,比如设置常用登陆地,白名单IP和自定义弱口令等。
- 在安装部署完成企业主机安后,我们需要对您企业主机的安全风险进行一遍整体的排查,例如通过企业主机安全服务发现存量的漏洞和高危系统配置,并安装修复建议进行加固;通过企业主机安全服务发现主机存在的各种恶意程序与Web后门,并进行隔离查杀。在风险整体排查与处理后,您的企业主机安全状态将会达到一个较高的水平,面临的入侵风险将会大幅降低。
- 最后,我们可以通过企业主机安全服务对主机的安全状态进行日常的管理,以及处理一些突发的主机安全事件,保证企业主机与业务的安全。例如我们可以定期通过资产管理功能清点主机的安全资产,通过漏洞管理和基线检查功能处理增量的漏洞与不安全配置;通过入侵检测功能阻断黑客的入侵行为,以及处理病毒、木马、挖矿等各种恶意程序。
主机安全服务开通流程 - 安装Agent
- 安装Agent需要在服务器中执行安装命令
- Linux服务器需要预装wget才能执行安装
- 安装完成后,进入“主机管理”,查看对应服务器的“Agent状态”显示为“在线”
主机安全服务开通流程 - 开启防护
-
进入“主机管理”,选择对应的主机开启防护(Agent状态必须为在线,开启企业版、旗舰版)
-
进入“主动防御”→ “网页防篡改”选择对应的主机开启防篡改版本
-
进入“容器管理”,选择对应节点开启容器安全版本
-
选择对应的版本,如果提示配额不足,则点击界面右上方“申请主机安全”,申请新的配额
主机安全服务开通流程 - 安全配置-策略管理(可选)
-
进入“安全运营”→“策略管理”
-
可以按需修改企业版/旗舰版默认策略组配置
-
可以复制旗舰版默认策略组,定制旗舰版策略配置
-
进入“安装与配置”→“安全配置”
-
可以根据需要配置常用登录地,登录ip白名单,及恶意程序自动查杀策略
缩略词
| 缩略语 | 英文全称 | 解释 |
|---|---|---|
| AI | Artificial Intelligence | 人工智能。 |
| WSS | WebSocket Secure | 安全的websocket通信,是html5通信协议的一种,需要使用证书。 |
| CGS | Container Guard Service | 容器安全服务,提供扫描容器镜像与容器安全防护功能。 |
| CI | Continuous Integration | 持续集成,多名开发者在开发不同功能代码的过程当中,可以频繁的将代码行合并到一起并切相互不影响工作。 |
| CD | Continuous Delivery | 持续交付,是在持续部署的基础之上,将产品交付到线上环境,因此持续交付是产品价值的一种交付,是产品价值的一种盈利的实现。 |
6484
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
