云威脅防護與安全服務集成優化
作為一種新的計算模式,云安全面臨的挑戰是復雜多樣的,其主要體現在以下幾方面:
- 虛擬化安全問題
- 云計算的數據安全問題
- 云計算中應用的安全問題
- 云計算用戶的安全問題
- 云計算服務使用的安全問題
華訊網絡憑借豐富的安全領域經驗,結合PPDR模型以及信息安全體系建設方法論,幫助用戶構建全面的云安全建設體系。參考云安全總體框架設計(圖一)和云安全能力建設路徑(圖二),提出了公有云整體安全建設架構(圖三)。
案例
華訊網絡結合某貨幣金融行業客戶目前的公有云安全建設現狀,為其提供了云業務安全加固方案和階段性優化建議。
在現有安全能力的基礎上,進行安全資源的整合與優化,建設思路如下:
短期(第一階段):通過安全產品部署實施實現云安全基礎防護能力建設;
中期(第二階段):完善安全與云服務標準,具備云安全主動防御能力,提升并完善應用安全、數據安全、運維安全建設;
長期(第三階段):通過日志分析告警、自動化流程等手段實現自動化持續防護,提升持續防護能力。
根據不同類型的安全設備,華訊網絡定制了相應的規則基線或改進方案:
1、公有云 WAF托管規則基線
各個業務對應的Web ACL必須添加的托管策略集:
? 托管核心規則集(CRS)
? 管理員保護托管規則組
? 托管已知錯誤輸入規則組
? Windows 操作系統托管規則組
? Linux 操作系統托管規則組
如有PHP, WordPress, SQL業務,依照使用的特定業務系統進行選擇添加。
2、公有云漏洞掃描規劃
漏洞掃描對象:云環境上所有應用處于運行狀態的EC2實例。
漏洞掃描工具:當前臨時解決方案是以Nessus漏洞掃描工具收集原始數據;待用戶提供標準掃描工具后,以標準方案執行。
3、Palo Alto防火墻策略配置標準
3.1 基礎防護
防火墻配置安全策略,針對SMB高危端口進行限制,如port445、13-139(需確認業務未使用相關端口),策略動作設置為阻斷。
防火墻配置安全策略,針對Palo Alto官方提供的惡意地址動態列表進行防護,策略動作設置為阻斷,包括:
? Bulletproof IP addresses惡意用戶地址防護。
? High risk IP addresses高危地址防護。
? Known malicious IP addresses已知惡意IP地址防護。
3.2 標準防護
? Trust——Untrust(黑名單模式):默認從公有云 Trust區域到公網Untrust區域的流量全部放行,不做限制。如有關于公有云上實例或服務關閉對公網訪問權限,需要提申請后,由防火墻管理員增加DENY策略。
? Untrust——Trust(白名單模式):默認從公網Untrust區域到公有云 Trust區域的流量全部禁止。如果有相關對外發布業務需要外部訪問,需要提申請后,由防火墻管理員增加ALLOW策略。
? Trust——Wan(黑名單模式):默認從公有云 Trust區域到用戶Wan區域的流量全部放行,不做限制。如有關于用戶其他SITE(包括其他云)拒絕被公有云訪問的需求,需要提申請后,由防火墻管理員增加DENY策略。
? Wan——Trust(白名單模式):默認從用戶Wan區域到公有云 Trust區域的流量全部禁止。如果有關于用戶其他SITE(包括其他云)需要對公有云訪問的需求,需要提申請后,由防火墻管理員增加ALLOW策略。
? Wan——Untrust以及Untrust——Wan默認無流量需求,不做任何策略,即禁止一切流量。
4、云堡壘機優化
4.1 產品部署
? 正式采購堡壘機產品后,根據生產環境資源需求,進行license替換與新實例部署。
? 根據生產環境創建用戶,用戶組與部門,并分配不同的角色,開啟會話監控和錄像管理。
? 完善已有的資產納管清單,補充并優化現有用戶運維規則,根據實際運維需求進行調整。
4.2 運維流程
? 完善堡壘機工單流程,相關人員需要使用安恒堡壘機納管資產時,會通過工單系統或微信群進行通知,待審批通過后運維人員需要按照工單需求開放特定的資產或用戶權限。
? 每月進行堡壘機定期報表的生成,分析工單數量、運維次數、運維時長。
? 堡壘機上線與運維過程中,華訊相關堡壘機管理員需參加原廠提供的產品培訓、流程培訓,并進行考核,考核通過后方允許參與堡壘機與工單的運維操作。
5、公有云SSO流程梳理與改進
基于標準的流程配置SSO:
? 準備工作,用戶申請信息表格。
? Sail point創建/更新AD Group及組員。
? SSO身份提供商SAML文件導入到新賬戶。
? 配置策略與角色關聯SSO身份提供商。
? 通過工具查詢AD Group組的對象信息。
? 整理SSO APP需要調整的YAML文件信息,并發送給Global申請調整。
? 確認用戶可通過SSO訪問。
