從安裝、管理到防御,阿里云安騎士全向測(cè)評(píng)
——阿里云云盾安騎士產(chǎn)品評(píng)測(cè)
對(duì)于黑客而言,服務(wù)器是最理想的肉雞。而當(dāng)前云計(jì)算系統(tǒng)中的海量云主機(jī)資源,更是黑客面前的美味大餐。開(kāi)源系統(tǒng),本身就存在著比較嚴(yán)重的系統(tǒng)安全漏洞問(wèn)題,容易使黑客趁虛而入。而虛擬系統(tǒng)安全管理手段匱乏,又進(jìn)一步助長(zhǎng)了黑客們的囂張氣焰。
近期,又有安全研究人員發(fā)現(xiàn),數(shù)萬(wàn)WordPress站點(diǎn)被利用于實(shí)施第7層DDos攻擊。大多數(shù)實(shí)施攻擊的源網(wǎng)站托管在知名VPS/云服務(wù)提供商:亞馬遜的AWS、Digital Ocean、谷歌云、微軟的Azure、HETZNER、OVH和Linode之上……
云主機(jī)任黑客宰割的三宗罪
提到網(wǎng)絡(luò)威脅,首先讓人聯(lián)想到的就是僵(僵尸)、木(木馬)、蠕(蠕蟲(chóng))。蠕蟲(chóng)的危害雖然巨大,但是其不可控制性過(guò)強(qiáng),隱蔽性差、易于被查殺,目前已經(jīng)接近被淘汰的階段。但是通過(guò)木馬控制主機(jī),組織成龐大的僵尸網(wǎng)絡(luò)來(lái)發(fā)起DDoS攻擊的情況,目前卻愈演愈烈。
云主機(jī)被黑客肆意宰割,無(wú)外乎以下三種原因。
一、開(kāi)源軟件漏洞
和傳統(tǒng)的商業(yè)軟件不同,開(kāi)放源碼軟件可以被散布在世界各地的編程者、隊(duì)伍開(kāi)發(fā)。同時(shí),開(kāi)放的源代碼也很容易被一些別有用心者利用。這就為開(kāi)源系統(tǒng)留下了不可控制的安全隱患。于是開(kāi)源軟件的系統(tǒng)漏洞問(wèn)題,自然也就開(kāi)始顯著增長(zhǎng)了。

這是在網(wǎng)絡(luò)上收集到的一個(gè)組件漏洞排名,從這個(gè)里可以看到,在WordPress組件中,居然存在著100個(gè)以上的安全漏洞。由此可知數(shù)萬(wàn)WordPress站點(diǎn)淪為黑客肉雞也是一個(gè)理所當(dāng)然的事情了。
這還只是已知漏洞所造成的威脅,在黑客手中還有很多尚未暴露的“0 day”漏洞,以及云計(jì)算系統(tǒng)中所存在的漏洞等等,這些漏洞所能造成的危害,就不是將用戶(hù)的云主機(jī)變成“肉雞”這么簡(jiǎn)單了。
二、木馬、黑客程序
除了軟件漏洞之外,木馬、黑客程序?qū)υ浦鳈C(jī)的危害也不容小覷。
黑客在通過(guò)軟件漏洞,獲得云主機(jī)的控制權(quán)限后,會(huì)通過(guò)上傳木馬程序的方式,來(lái)達(dá)到對(duì)主機(jī)長(zhǎng)期占有的目的。
另外,在云主機(jī)的使用過(guò)程中,必然要安裝很多第三方的工具軟件。然而一些免費(fèi)工具的下載網(wǎng)站,往往為了達(dá)到其盈利的目的,會(huì)在這些下載程序中夾雜一些后門(mén)、木馬之類(lèi)的黑客程序。
此類(lèi)后門(mén)、木馬之類(lèi)的黑客程序,具有很強(qiáng)的多變性與隱蔽性,還會(huì)模仿成系統(tǒng)或服務(wù)進(jìn)程,讓用戶(hù)無(wú)法分辨,更難以及時(shí)進(jìn)行處理。
三、撞庫(kù)、暴力破解、弱口令
除了漏洞和木馬之外,如果黑客撐握了用戶(hù)的登錄信息,一樣也可以對(duì)云主機(jī)為所欲為。因此,撞庫(kù)、暴力破解、弱口令等一系列安全問(wèn)題,也在無(wú)時(shí)無(wú)刻對(duì)云主機(jī)的安全造成著威脅。
當(dāng)每一次網(wǎng)絡(luò)泄密事件發(fā)生后,均伴隨著海量用戶(hù)信息的泄露。通過(guò)對(duì)這些登錄信息的收集,黑客可以打造出更加精準(zhǔn)的“萬(wàn)能鑰匙”,從而更加精確的,在不觸及登錄告警機(jī)制的情況下,通過(guò)撞庫(kù)的形式,進(jìn)行云主機(jī)的非法登錄。除了撞庫(kù),還可以通過(guò)組織大量肉雞,在不同時(shí)間通過(guò)強(qiáng)行計(jì)算的方式,對(duì)用戶(hù)登錄信息進(jìn)行暴力破解。
此外,還有很多用戶(hù)并不注意自身等錄信息的安全,使用一些非常常用的、易于記憶的用戶(hù)名、密碼進(jìn)行云主機(jī)登錄,而這同樣也給予黑客可乘之機(jī)。
安騎士——無(wú)微不至的安防衛(wèi)士
在傳統(tǒng)數(shù)據(jù)中心中,遇到上述問(wèn)題,通常采用安裝企業(yè)級(jí)的防病毒軟件來(lái)進(jìn)行處理??墒窃谠浦鳈C(jī)上,這樣的處理方式就力不從心了。
首先,是資源占用的問(wèn)題:傳統(tǒng)企業(yè)級(jí)防病毒軟件的實(shí)時(shí)防護(hù)程序,需要占用較多的CPU和內(nèi)存資源。當(dāng)進(jìn)行查殺病毒操作時(shí),還需要通過(guò)龐大的病毒庫(kù)對(duì)系統(tǒng)和文件進(jìn)行分析。對(duì)于處理性能充裕的傳統(tǒng)服務(wù)器而言,這些資源的占用無(wú)傷大雅。而對(duì)于按資源使用付費(fèi)的云主機(jī)來(lái)說(shuō),這種資源占用行為就是極大的浪費(fèi)。
其次,是統(tǒng)一管理的問(wèn)題:云計(jì)算按需部署的特性,導(dǎo)致云主機(jī)數(shù)量會(huì)隨業(yè)務(wù)增減而不斷變化,而傳統(tǒng)企業(yè)級(jí)防毒軟件對(duì)這種隨機(jī)擴(kuò)展的應(yīng)用特點(diǎn)往往難以適應(yīng),無(wú)法統(tǒng)一進(jìn)行管理,從而給黑客以可乘之機(jī)。
而且,傳統(tǒng)企業(yè)級(jí)防護(hù)軟件對(duì)于撞庫(kù)、暴力破解、弱口令等騙取管理權(quán)限的黑客行為,通常缺乏有效的防護(hù)手段進(jìn)行防御。
那么,云主機(jī)安全應(yīng)當(dāng)如何進(jìn)行應(yīng)對(duì)?針對(duì)這個(gè)問(wèn)題,阿里云推出了全新形態(tài)的云主機(jī)安全防護(hù)產(chǎn)品——安騎士。
安騎士云主機(jī)防護(hù)產(chǎn)品,由Agent、云端防護(hù)中心、控制臺(tái)與安騎士APP四大主要組成部分構(gòu)成。
Agent,是一個(gè)常駐在云服務(wù)器操作系統(tǒng)中的輕量化進(jìn)程,可以根據(jù)用戶(hù)配置的安全策略上報(bào)服務(wù)器上存在的安全風(fēng)險(xiǎn)數(shù)據(jù)和新增的安全事件數(shù)據(jù),同時(shí)響應(yīng)用戶(hù)和安騎士云端防護(hù)中心的指令,實(shí)現(xiàn)對(duì)云服務(wù)器上的安全威脅清除和惡意攻擊攔截。
云端防護(hù)中心,接收全網(wǎng)Agent上報(bào)云服務(wù)器安全事件和威脅數(shù)據(jù),通過(guò)云端的多個(gè)威脅識(shí)別模型,對(duì)每一條上報(bào)的安全事件進(jìn)行分析,根據(jù)分析結(jié)果給Agent下發(fā)相關(guān)攔截和處理指令。
控制臺(tái),主要功能包括云服務(wù)器資產(chǎn)管理、安全威脅數(shù)據(jù)處理、安全策略配置、安全報(bào)表查看等全部可供用戶(hù)使用的功能。
APP,可以隨時(shí)隨地掌握云服務(wù)器安全狀態(tài),以及迅速處理云服務(wù)器面臨的安全威脅。
下面,至頂網(wǎng)根據(jù)目前云主機(jī)所遇到的主要威脅形式,對(duì)安騎士的安全防護(hù)功能,進(jìn)行了一次體驗(yàn)性的評(píng)估。
統(tǒng)一高效輕量運(yùn)維
和阿里云的大部分安全功能一樣,安騎士的控制臺(tái)也已經(jīng)集成在了阿里云的控制臺(tái)之中。通過(guò)服務(wù)器安全(安騎士)直接進(jìn)行調(diào)用。并可以直觀的對(duì)各臺(tái)云主機(jī)安全狀態(tài)進(jìn)行查詢(xún)。

安騎士的Agent不但可以在阿里云的云主機(jī)上進(jìn)行安裝,在非阿里云的服務(wù)器上也同樣可以進(jìn)行部署。并且可以不同版本的Windows與Linux系統(tǒng)進(jìn)行支持。

在一臺(tái)單核1G內(nèi)存的Linux云主機(jī)上安裝安騎士,并進(jìn)行漏洞檢測(cè)時(shí)發(fā)現(xiàn),其AliYunDun與AliHids進(jìn)程的CPU占用率僅為0.3%、內(nèi)存占用率分別為0.6%與0.9%?;静粫?huì)對(duì)云主機(jī)上業(yè)務(wù)應(yīng)用產(chǎn)生過(guò)多影響。

控制臺(tái)的統(tǒng)一管理,極大減輕了用戶(hù)對(duì)大量云主機(jī)進(jìn)行維護(hù)時(shí)的工作強(qiáng)度。輕量級(jí)的Agent避免了云主機(jī)大量資源浪費(fèi)的產(chǎn)生。
查疑補(bǔ)缺即時(shí)修復(fù)
Agent輕量級(jí)化后,是否會(huì)對(duì)檢測(cè)效果產(chǎn)生不利的影響?為此我們同樣也對(duì)安騎士Agent的檢測(cè)能力進(jìn)行了了解。
在通過(guò)安騎士控制臺(tái),進(jìn)行內(nèi)核配置檢測(cè)時(shí),發(fā)現(xiàn)當(dāng)前云主機(jī)所使用的鏡像源,已經(jīng)有新鏡像可供升級(jí),于是安騎士向我們做出了風(fēng)險(xiǎn)提示。

當(dāng)我們按照提示將系統(tǒng)內(nèi)核進(jìn)行升級(jí)后,風(fēng)險(xiǎn)提示消失。


源頭布控清僵除木
僅僅通過(guò)被動(dòng)的補(bǔ)丁修復(fù),很明顯是無(wú)法滿足云主機(jī)安全防護(hù)需求的。要想保障云主機(jī)的安全,還要從威脅的源頭查起,去主動(dòng)追詢(xún)。安騎士同樣也具備著溯本清源木馬追查能力。憑借安騎士Agent與云端防護(hù)中心聯(lián)動(dòng),可以及時(shí)分析云主機(jī)中的木馬行為,對(duì)木馬文件及時(shí)定位、即時(shí)清理。
在本次測(cè)試中,我們?cè)诒粶y(cè)云主機(jī)上,上傳了一個(gè)可以用于遠(yuǎn)程命令執(zhí)行的Webshell腳本文件,當(dāng)文件上傳后,即時(shí)被安騎士Agent查覺(jué),并在控制中心中進(jìn)行告警,WebShell腳本文件也即時(shí)被加以隔離,從而無(wú)法對(duì)云主機(jī)進(jìn)行更進(jìn)一步控制。

登錄安全查無(wú)巨細(xì)
云主機(jī)的安全,重要的還是管理權(quán)限的問(wèn)題,一但用戶(hù)登錄名稱(chēng)與密碼泄露,或遭到暴力破解,云主機(jī)同樣也將被易手,安全更加無(wú)從保障。
在阿里云安騎士的控制臺(tái)上,可以查詢(xún)每次用戶(hù)登錄的記錄信息和登錄的源IP地址,一但發(fā)現(xiàn)異常登錄信息,用戶(hù)可以及時(shí)進(jìn)行處理。

同時(shí)阿里云安騎士還具備出色的防暴力破解能力,可以有效對(duì)爆力破解行為進(jìn)行阻斷,并將爆力破解行為進(jìn)行記錄。

應(yīng)用分析連接管理 未來(lái)云安全的新趨勢(shì)
有記錄、有阻斷、有告警、有定位,阿里云安騎士憑借具備多種威脅識(shí)別能力的云端防護(hù)中心,高效輕量的Agent管理進(jìn)程,直觀即時(shí)的管理控制臺(tái)應(yīng)用,高性能全方位的為云主機(jī)提供了周全的安全防護(hù)能力。從而使得云主機(jī),再也不會(huì)淪為任黑客肆意宰割的羔羊。并且,通過(guò)對(duì)黑客連接的有效定位,還可以順藤摸瓜,最終斬?cái)嗪诳蜕煜蛟浦鳈C(jī)的幕后黑手,使其曝露在光天化日之下。從而還云計(jì)算網(wǎng)絡(luò)世界一片清靜藍(lán)天。相信隨著阿里云安騎士部署數(shù)量的增長(zhǎng),云計(jì)算的安全也將逐步得以實(shí)現(xiàn)。
