概要：運(yùn)營在阿里云上的中小企業(yè)，應(yīng)如何充分利用平臺(tái)資源，做好安全監(jiān)控和審計(jì)。

如同今年5月我在 VSRC 會(huì)議上所說：云計(jì)算和企業(yè)上云是大勢所趨，今天人們討論的不再是“什么是云，要不要云？”的話題，而是“用什么樣的云，怎么用好云，以及如何做好云上企業(yè)信息安全的運(yùn)營？”。

1.現(xiàn)實(shí)需求

如果您目前正從事企業(yè)信息安全相關(guān)工作，或是對云上企業(yè)的信息安全工作感興趣，那么安全監(jiān)控和審計(jì)是繞不開的話題。無論是為了應(yīng)對合規(guī)檢查，滿足行業(yè)標(biāo)準(zhǔn)還是加速安全事件發(fā)現(xiàn)和處置的效率，一個(gè)數(shù)據(jù)完整，功能可靠的安全監(jiān)控審計(jì)系統(tǒng)是必不可少的。

云上安全監(jiān)控和審計(jì)在本質(zhì)上與傳統(tǒng) IDC 環(huán)境是一樣的。但又因?yàn)樵朴?jì)算特別是公有云自身的特殊性，具體開展工作時(shí)方式方法還需要調(diào)整。如果您的企業(yè)正打算或已經(jīng)遷移到的云平臺(tái)，那么安全監(jiān)控和審計(jì)對象必然會(huì)發(fā)生變化，例如：

·?

新增了控制臺(tái)（典型云平臺(tái) Console），以及圍繞控制臺(tái)的用戶身份認(rèn)證和操作行為

·?

云平臺(tái)龐大豐富的產(chǎn)品功能也帶來了監(jiān)控審計(jì)上的挑戰(zhàn)

·?

云平臺(tái)上沒有傳統(tǒng)的 IDS，你很難直接拿到主機(jī)間的流量數(shù)據(jù)

2.有什么值得監(jiān)控的

可以說，上云后企業(yè)的身家性命就都在云上了，在安全監(jiān)控上投入再多都不為過。當(dāng)然，具體要對哪些信息或事件做監(jiān)控，這個(gè)需要安全團(tuán)隊(duì)結(jié)合企業(yè)自身云平臺(tái)的使用深度和現(xiàn)實(shí)需求開展。本文重點(diǎn)關(guān)注的是，基于阿里云品臺(tái)和云平臺(tái)上的產(chǎn)品/服務(wù)的監(jiān)控審計(jì)。傳統(tǒng)的基于操作系統(tǒng)日志、業(yè)務(wù)系統(tǒng)日志的安全監(jiān)控審計(jì)不在本文討論范圍內(nèi)。

以下，是筆者認(rèn)為需要重點(diǎn)關(guān)注的監(jiān)控項(xiàng)目。

2.1 控制臺(tái)用戶賬號

企業(yè)用戶購買云平臺(tái)服務(wù)后，一般會(huì)通過主賬號為不同的員工創(chuàng)建 RAM 子賬號，同時(shí)指定是否開啟 Web Console 登錄權(quán)限?？刂婆_(tái)用戶賬號可在自身權(quán)限范圍內(nèi)，訪問和使用云平臺(tái)產(chǎn)品功能。

用戶賬號監(jiān)控重點(diǎn)需要覆蓋如下內(nèi)容：

賬號登錄成功或失敗行為

賬號異地登錄行為

登錄過程是否使用了雙因素身份認(rèn)證

離職員工賬號登錄行為

企業(yè)應(yīng)重點(diǎn)關(guān)注賬號共享、賬號破解、關(guān)鍵賬號未啟動(dòng)雙因素認(rèn)證、離職員工賬號未及時(shí)禁用等安全事件。

2.2 RAM 子賬號AccessKey

管理員可以為RAM子賬號設(shè)置是否啟用AccessKey。一旦開啟該功能，則該 RAM 賬號可以通過AccessKey/AccessSecret調(diào)用阿里云 API 接口，以程序的方式訪問云上資源，如：服務(wù)購買、信息查詢、設(shè)備實(shí)例啟動(dòng)或終止、策略發(fā)布、配置變更等。

關(guān)于RAM 子賬號AccessKey的安全監(jiān)控， 需要重點(diǎn)關(guān)注如下內(nèi)容：

·?

AccessKey訪問資源時(shí)的讀寫行為和頻次

·?

AccessKey訪問的來路（內(nèi)網(wǎng)或外網(wǎng)）

·?

AccessKey訪問資源時(shí)的成功或失敗行為

·?

作廢AccessKey的訪問行為

由于 AccessKey 支持程序方式訪問，因此一旦對應(yīng)的AccessSecret 有變更，相關(guān)程序沒有及時(shí)更新，極有可能導(dǎo)致服務(wù)不可用。此外AccessKey/AccessSecret

作為程序鑒權(quán)認(rèn)證的標(biāo)識，容易出現(xiàn)泄露的情況，企業(yè)應(yīng)及時(shí)發(fā)現(xiàn)并終止那些訪問行為異常的AccessKey/AccessSecret組合。

2.3 云上資源的配置變化

創(chuàng)建云主機(jī)、修改SLB端口轉(zhuǎn)發(fā)、調(diào)整安全組策等行為在日常運(yùn)維工作過程是經(jīng)常發(fā)生的。每一次調(diào)整都會(huì)帶來資源配置或系統(tǒng)狀態(tài)發(fā)生變化，勢必影響當(dāng)前系統(tǒng)整體安全風(fēng)險(xiǎn)。

基于筆者所在安全團(tuán)隊(duì)在云上的安全運(yùn)營經(jīng)驗(yàn)，建議重點(diǎn)監(jiān)控下述內(nèi)容：

·?

SLB 端口轉(zhuǎn)發(fā)發(fā)生變化（新增、刪除、修改等）

·?

VPC 路由策略變化

·?

安全組策略調(diào)整

·?

云主機(jī)創(chuàng)建、啟動(dòng)、停止和銷毀

·?

EIP 資源啟用、銷毀

·?

RAM 賬號新增、修改

·?

密碼、密鑰修改或充值

·?

RDS、OSS

資源開通及變更

2.4 有效期相關(guān)的監(jiān)控

云上產(chǎn)品通常有按量付費(fèi)和包年包月等付費(fèi)形式。企業(yè)運(yùn)營遇到一定規(guī)模后，必然出現(xiàn)資源有效期管控方面的問題。從安全的角度看，資源或服務(wù)一旦到達(dá)有效期未能及時(shí)續(xù)費(fèi)，很有可能會(huì)導(dǎo)致現(xiàn)有服務(wù)不可用，嚴(yán)重影響到到業(yè)務(wù)連續(xù)性。

有效期通常包括：資源、服務(wù)、配置、狀態(tài)和規(guī)則等屬性，所以應(yīng)重點(diǎn)監(jiān)控系列內(nèi)容

·?

云資源的有效期，如 ECS、RDS 的到期時(shí)間

·?

云安全產(chǎn)品的有效期，如：WAF、態(tài)勢感知、安騎士、云防火墻、應(yīng)用安全 SDK、堡壘機(jī)等

·

域名、證書的有效期

曾經(jīng)出現(xiàn)過這樣的案例：某知名企業(yè)因缺乏對自家域名的監(jiān)控，域名過期后沒能及時(shí)發(fā)現(xiàn)且被他人注冊，導(dǎo)致重大業(yè)務(wù)故障和聲譽(yù)受損。

對于正常到期且釋放的資源，原則上也應(yīng)該從主監(jiān)控清單（也包括各類白名單）中移除，特別是 EIP等共用資源。

2.5 安全產(chǎn)品的輸出

為保障絕大多數(shù)云租戶的信息網(wǎng)絡(luò)安全，平臺(tái)及云市場提供了各種形式的安全產(chǎn)品。但此類產(chǎn)品往往以產(chǎn)品形式孤立運(yùn)行，企業(yè)還需要對各類事件進(jìn)行關(guān)聯(lián)和分析。

對安全產(chǎn)品的監(jiān)控內(nèi)容包括：

·?

產(chǎn)品本身的可用性

·?

安全產(chǎn)品的高優(yōu)先級告警，如：Webshell 檢測、異常進(jìn)程、異常登錄等。

如果企業(yè)安全團(tuán)隊(duì)沒有專職人員持續(xù)在云廠商產(chǎn)品上進(jìn)行事件響應(yīng)和運(yùn)營，那么集中收集和監(jiān)控分析安全產(chǎn)品的基礎(chǔ)事件是很有必要的。企業(yè)還可以部署類似 SIEM 相關(guān)的產(chǎn)品對各類監(jiān)控?cái)?shù)據(jù)進(jìn)行關(guān)聯(lián)和分析。

3. 有什么值得審計(jì)的

企業(yè)安全團(tuán)隊(duì)除了要在第一時(shí)間對各類安全事件進(jìn)行監(jiān)控和響應(yīng)，還要定期對已發(fā)生的各類系統(tǒng)安全問題、安全事件處置進(jìn)行審計(jì)。審計(jì)內(nèi)容至少包括如下：

3.1 賬戶行為

云上主賬號、子賬號的所有活動(dòng)記錄應(yīng)該被審計(jì)。除了安全監(jiān)控要對登錄事件進(jìn)行實(shí)時(shí)分析，后期的安全日志審計(jì)也要跟上。應(yīng)定期重審：所有賬號的權(quán)限，賬號活動(dòng)與其所有權(quán)限是否一直，權(quán)限是否在有效期內(nèi)等。

3.2 事件處置

云平臺(tái)安全產(chǎn)品每天觸發(fā)的安全事件都應(yīng)被處置。因此審計(jì)系統(tǒng)應(yīng)對安全事件進(jìn)行收集，對安全事件的處置過程和處置結(jié)果進(jìn)行審計(jì)，定期提供審計(jì)報(bào)表，以督促安全團(tuán)隊(duì)開展安全工作。

3.3 變更記錄

應(yīng)重點(diǎn)審計(jì)所有對云上資源進(jìn)行操作的行為，包括：云主機(jī)開通和釋放，安全區(qū)創(chuàng)建、配置和刪除，SLB 應(yīng)用配置和節(jié)點(diǎn)摘除，高防 IP 服務(wù)配置、WAF 參數(shù)調(diào)整、OSS 資源配置、財(cái)務(wù)信息變更等。變更是生產(chǎn)環(huán)境故障的萬惡之源，做好變更審計(jì)能有效協(xié)助故障響應(yīng)和操作審計(jì)。

4. 如何實(shí)現(xiàn)監(jiān)控審計(jì)

針對阿里云平臺(tái)上的各類安全監(jiān)控和審計(jì)要求，企業(yè)應(yīng)采取符合自身需求的技術(shù)手段完成功能實(shí)現(xiàn)?？偟膩碚f，就是數(shù)據(jù)采集、存儲(chǔ)和分析。如果對實(shí)時(shí)性要求比較高，企業(yè)還可以定制自己的安全監(jiān)控系統(tǒng)。要獲取到云平臺(tái)上的相關(guān)事件或日志，有多種方法，以下是部分實(shí)現(xiàn)思路。

4.2 阿里云自帶：ActionTrial

to OSS

阿里云平臺(tái)控制臺(tái)的【ActionTrial-操作審計(jì)】默認(rèn)支持30天內(nèi)的事件日志。如果企業(yè)需要更長時(shí)間的審計(jì)日志，可以通過【創(chuàng)建跟蹤】將操作審計(jì)的日志持續(xù)投遞到指定的OSS 存儲(chǔ)空間。

下圖是 OSS 存儲(chǔ)空間中看到的按日期存放的操作審計(jì)日志文件。

4.2 阿里云自帶：部分日志投遞到SLS

企業(yè)可以通過客戶服務(wù)渠道與阿里云后端協(xié)商，將部分云產(chǎn)品的事件日志投遞到云平臺(tái)日志服務(wù) SLS 中。作為阿里云重要合作伙伴，筆者所在企業(yè)有機(jī)會(huì)優(yōu)先體驗(yàn)到了態(tài)勢感知 DNS 日志投遞到 SLS 的功能。使用體驗(yàn)非常良好，日志收集和分析更加方便。

事實(shí)上，SLS 自帶強(qiáng)大的搜索和統(tǒng)計(jì)功能，能夠完成單一云產(chǎn)品自身數(shù)據(jù)分析和展現(xiàn)上的不足。如有可能，應(yīng)盡量多地使用 SLS 完成日志收集，畢竟都是平臺(tái)維護(hù)的，內(nèi)部打通也非常方便。

4.3 阿里云接口-獲取審計(jì)日志

針對操作審計(jì)，除了通過 OSS 的方式獲取審計(jì)文件外，企業(yè)還可以調(diào)用 ActionTrial 的 API 進(jìn)行審計(jì)事件的實(shí)時(shí)收集，為安全監(jiān)控提供最新的數(shù)據(jù)。操作方法是：通過阿里云RAM服務(wù)，創(chuàng)建子賬戶并授權(quán)其ActionTrail的操作權(quán)限。為了遵循最佳安全實(shí)踐，強(qiáng)烈建議使用子用戶來操作ActionTrail。

RAM中可授權(quán)的ActionTrail的操作(Action)如下：

·?

CreateTrail

·?

UpdateTrail

·?

DeleteTrail

·?

DescribeTrails

·?

GetTrailStatus

·?

StartLogging

·?

StopLogging

·?

LookupEvents

4.4 自定義網(wǎng)頁爬蟲

和很多用戶一樣，我們對阿里云默認(rèn)提供的事件收集和轉(zhuǎn)發(fā)不是非常滿意。因此，針對那些實(shí)時(shí)性較高，又不能通過平臺(tái)自身功能開展快速監(jiān)控和響應(yīng)的事件，我們開發(fā)了專用的阿里云控制臺(tái)安全事件爬蟲。

安全事件爬蟲，模擬用戶登錄到阿里云控制臺(tái)，對各類安全產(chǎn)品的基礎(chǔ)告警事件進(jìn)行抽取，并在第一時(shí)間對高危安全事件進(jìn)行高級。

5. 能不能讓我看點(diǎn)效果？

5.1 高防 IP 服務(wù)流量長期統(tǒng)計(jì)

以高防 DDoS 為例，模式系統(tǒng)只能查詢最近一周的流量。企業(yè)如果需要統(tǒng)計(jì)和分析長周期（季度級別）內(nèi)高防 IP 服務(wù)的流量趨勢，為高防續(xù)費(fèi)或采購提供決策，那就需要通過爬蟲對報(bào)表數(shù)據(jù)持續(xù)收集。

筆者所在安全團(tuán)隊(duì)，對上述數(shù)據(jù)進(jìn)行了自動(dòng)化采集和重繪制，結(jié)果如下。通過該數(shù)據(jù)，企業(yè)可以動(dòng)態(tài)評估業(yè)務(wù)帶寬對高防服務(wù)的閾值挑戰(zhàn)，以及為高防 IP服務(wù) 的年度采購提供重要參考依據(jù)。

5.2 安騎士告警信息發(fā)釘釘

針對安騎士產(chǎn)品的重要告警信息，企業(yè)可以在事件收集完成后，通過自定義的告警信息發(fā)送給安全人員。產(chǎn)品默認(rèn)只有郵件和短信，且有發(fā)送抑制功能（一天不超多 XX 條）。通過獨(dú)立的告警系統(tǒng)篩選，可以對安全事件進(jìn)行高定制話的判斷和推送。下圖是典型的云平臺(tái)安全事件推送到辦公 IM 的應(yīng)用場景。

集成告警到釘釘，這個(gè)功能太贊了。如果我沒猜錯(cuò)，很快阿里云會(huì)就會(huì)默認(rèn)支持了，期待吧。

6. 總結(jié)

以上是筆者所在安全團(tuán)隊(duì)針對阿里云平臺(tái)上開展安全監(jiān)控審計(jì)的一些技術(shù)總結(jié)，希望能為有需要的朋友提供幫助。總的來說，阿里云平臺(tái)在完成基礎(chǔ)云計(jì)算服務(wù)的同時(shí)，還為客戶提供了一系列的增值產(chǎn)品和服務(wù)，如：基礎(chǔ)產(chǎn)品、高級安全服務(wù)、日志審計(jì)、SLS服務(wù)、API 接口、大數(shù)據(jù)計(jì)算等。作為越來越依賴云計(jì)算的的中小企業(yè)，既然擋不住云計(jì)算的大勢所趨，那就要及時(shí)適應(yīng)和用好云計(jì)算平臺(tái)，盡早制定您的安全監(jiān)控和審計(jì)方案。未來，也期待你的分享！

阿里云MVP 傅奎