云安全运营归纳
发布时间:2022-07-20 09:21:06 所属栏目:安全 来源:互联网
导读:做云安全运营也有一年多时间了,对云上安全建设和运营有一点粗浅的经验,希望可以抛砖引玉,借此文章能有机会和大佬们交流 安全运营,安全建设方向的经验。 一、风险管理 风险管理工作是安全运营的重头戏,风险管理是一个动态的过程,所以工作量不言而喻。
|
做云安全运营也有一年多时间了,对云上安全建设和运营有一点粗浅的经验,希望可以抛砖引玉,借此文章能有机会和大佬们交流 安全运营,安全建设方向的经验。 一、风险管理 风险管理工作是安全运营的重头戏,风险管理是一个动态的过程,所以工作量不言而喻。 我们的风险管理其实和甲方的有些不一样,比如我们省去了对重要资产的估值这一步,只要是租户的资产,我们都ALL IN ONE,我们把重心放在更细粒度的发现风险项上。 1.1 云上风险项 1.2 自动化监控风险 阿里云几乎所有的产品都支持API调用,通过编写相关规则,可以实现自动化监控风险的功能。 例如安全组风险,通过如下代码可以获取到某个Region的所有安全组信息 1.3 降低风险 降低风险也可以理解成风险处置。作为云安全乙方,我们没有权限对租户的风险项进行直接修改操作,只能通过以下两种方式通知租户进行修复: 钉钉告警 短信告警 1.4 责任划分 平台侧:负责发现风险,并通知到租户 租户侧:进行风险项整改工作 二、应急响应 资产数量多,难免会发生安全事件,所以应急响应也划分进了安全运营范畴。处理过多次应急响应事件,包括挖矿事件,对外ddos事件。入侵原因top3:ssh暴力破解,redis未授权访问,elasticsearch弱口令 2.1 事前准备 编写应急响应方案 工具准备:windows,linux杀毒软件,rootkit扫描工具 2.2 事中处置 遵守PDCERF模型进行应急响应工作。一般情况下,我会按照如下步骤进行应急 初步判断事件真伪 找到项目负责人,拉群成立临时应急响应小组 经租户授权许可后进行应急响应工作 备份快照 登录服务器,分析网络连接,并根据网络连接进行访问控制,例如挖矿通信端口1234,立即网络阻断掉该端口 通过网络访问控制,对内网机器进行隔离,降低内网横向感染风险 分析进程,kill恶意进程 检查启动项,删除恶意启动项 检查是否存在隐形账号,并通过工具自动化检查rootkit 杀毒软件对服务器进行全盘扫描,删除病毒 入侵溯源,重点分析:.bash_history, web日志,互联网服务(例如elasticsearch,redis)日志 找到入侵原因后,进行加固 (编辑:PHP编程网 - 黄冈站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
浙公网安备 33038102330482号