好。接着上次继续和大家来聊云服务及系统的相关安全方面。
· 应用层面:
o 启用多因素认证来保护Web表示层和应用日志。
o 用基于角色的访问控制来细粒度控制应用的各项工作流及操作。
o 同样定期将日志离线导入中央日志管理平台或聚合到安全信息事件管理SIEM,以防日志被篡改。
我们最后来看看“事后”。据我的一个在云安全运营中心(SOC)的“眼线”朋友透露:一直以来,在各种使用云服务的企业的被攻击案例中,大多数是因为采用了弱口令之类的弱安全基线。而受到攻击后一般都以“Just my luck!”的方式三缄其口,并无后续的取证或诉讼。正所谓“God only help those who help themselves”,我们对待既已发生的云安全事件,要像“法医秦明”做好各种取证工作,以彰显自身专业性。依据经验,哥总结下来,一般步骤分为文件分析取证和数据分析取证两步骤:
文件分析取证是通过各种日志(包括超过阀值的错误登录日志,当然也包括成功登录的日志,因为里面特殊账户登录的时间戳)信息的查找,以及文件目录结构和文件名的扫描,如果发现可疑的shell脚本之类的文件,可以通过查询其生成的时间和其关键字信息等,来判断其是否利用了诸如Web漏洞或者是通过Web Server执行的命令等进行了攻击。
而数据分析取证则是登陆到攻击主机或“肉鸡”主机的数据库的后台,查询是否有不明IP地址的登陆记录,结合服务器日志分析,重点考虑是否有非法的用户名生成,或是有提权之类的操作。
总的说来,可以用一个P2DR2M(Protection、Policy、Detection、Response、Recovery和Management)的口诀来概括企业云服务系统安全所涉及到和需要考量的各个方面。
