作者：阿里云高級(jí)安全專家鄔怡

乘長(zhǎng)假期間春光明媚，得空回顧了一下十年工作。

深以為，運(yùn)維安全絕對(duì)是企業(yè)安全保障的基石。

看到這兒，有些程序猿不禁要問，哥們，你是不是寫錯(cuò)了，應(yīng)該是安全運(yùn)維吧！

非也！

事實(shí)上，安全運(yùn)維和運(yùn)維安全是兩個(gè)概念。

我的理解：安全運(yùn)維是工程師對(duì)各種安全設(shè)備和軟件進(jìn)行運(yùn)維保障系統(tǒng)安全，而運(yùn)維安全相比之下是涵蓋了整個(gè)云計(jì)算系統(tǒng)和安全有關(guān)的方方面面。本文主要探討公共云環(huán)境下運(yùn)維安全常見的難題及解決方案。

目前使用公共云的用戶可以分為兩類：

一是一開始業(yè)務(wù)就部署在公共云上面，主要以新興互聯(lián)網(wǎng)公司為主。

二是已經(jīng)有自建的IT環(huán)境，需要向公共云上遷移。伴隨著用戶IT環(huán)境從傳統(tǒng)自建IDC向公共云環(huán)境的轉(zhuǎn)變，運(yùn)維工作也從內(nèi)網(wǎng)環(huán)境遷移到公網(wǎng)中，這對(duì)用戶來說是一個(gè)非常大的改變。

本文主要討論傳統(tǒng)IT環(huán)境向公共云遷移面臨的運(yùn)維安全問題，要知道，傳統(tǒng)IT環(huán)境下所有IT基礎(chǔ)設(shè)施和數(shù)據(jù)都是用戶自己掌控。從心理上來講用戶感覺會(huì)更安全，對(duì)公網(wǎng)的暴露面也更小。一旦用戶將業(yè)務(wù)和數(shù)據(jù)都遷移到公共云上，用戶可能會(huì)有不安全感。

事實(shí)上，公共云在基礎(chǔ)架構(gòu)安全性方面遠(yuǎn)超一般用戶自建的IDC，主要體現(xiàn)在以下方面：

1.      因?yàn)楣苍?/span>IDC機(jī)房建設(shè)規(guī)格非常高，所以公共云的IDC機(jī)房在電力、空調(diào)等方面可用性更有保障；

2.     公共云有比較好的網(wǎng)絡(luò)資源，所以公共云的網(wǎng)絡(luò)質(zhì)量更好；

3.     公共云的服務(wù)器都是批量采購(gòu)和檢測(cè)，并且一般都有可靠的存儲(chǔ)系統(tǒng)，公共云的硬件可靠性也更有保障；

4.     公共云系統(tǒng)、安全方面都有非常專業(yè)的團(tuán)隊(duì)，都是業(yè)界頂級(jí)水平，使用公共云在系統(tǒng)、安全方面的風(fēng)險(xiǎn)更小；

但是，筆者從事運(yùn)維工作十年，最近在公共云運(yùn)維實(shí)踐過程中也發(fā)現(xiàn)：計(jì)算環(huán)境從本地到云端自身安全性是提高了，但云上的運(yùn)維工作卻面臨著一些新的安全風(fēng)險(xiǎn)和挑戰(zhàn)。

因?yàn)楣苍频倪\(yùn)維管理工作必須通過互聯(lián)網(wǎng)完成，和傳統(tǒng)IT環(huán)境運(yùn)維有很大不同，總結(jié)起來風(fēng)險(xiǎn)主要來自以下四個(gè)方面：

1.   運(yùn)維流量被劫持：公共云場(chǎng)景下運(yùn)維最大的變化就是運(yùn)維通道不在內(nèi)網(wǎng)，而是完全通過互聯(lián)網(wǎng)直接訪問公共云上的各種運(yùn)維管理接口。很容易被嗅探或中間人劫持攻擊，造成運(yùn)維管理賬號(hào)和憑證泄露。

2.   運(yùn)維管理接口暴露面增大：原來黑客需要入侵到內(nèi)網(wǎng)才能暴力破解運(yùn)維管理接口的密碼，而現(xiàn)在公共云上的用戶一般都是將SSH、RDP或其它應(yīng)用系統(tǒng)的管理接口直接暴露在互聯(lián)網(wǎng)。只能依靠認(rèn)證這一道防線來保證安全，黑客僅需破解密碼或繞過認(rèn)證機(jī)制就能直接獲取管理員權(quán)限。

3.   賬號(hào)及權(quán)限管理困難：多人共享系統(tǒng)賬號(hào)密碼，都使用超級(jí)管理員權(quán)限，存在賬號(hào)信息泄露和越權(quán)操作風(fēng)險(xiǎn)。

4.   操作記錄缺失：公共云中的資源可以通過管理控制臺(tái)、API、操作系統(tǒng)、應(yīng)用系統(tǒng)多個(gè)層面進(jìn)行操作。如果沒有操作記錄，一旦出現(xiàn)被入侵或內(nèi)部越權(quán)濫用的情況將無法追查損失和定位入侵者。

這些風(fēng)險(xiǎn)都是公共云場(chǎng)景下進(jìn)行運(yùn)維工作的常見風(fēng)險(xiǎn)。

阿里云在創(chuàng)立第一天就認(rèn)定安全是頭等重要的事情。針對(duì)這些問題，阿里云提供了多種安全防護(hù)措施供用戶使用。用戶可以利用阿里云平臺(tái)產(chǎn)品自身的安全機(jī)制、云盾、云市場(chǎng)中的第三方安全產(chǎn)品配合，來緩解或消除這些風(fēng)險(xiǎn)。

加強(qiáng)運(yùn)維安全工作可以采取的具體措施如下：

1.   使用VPC網(wǎng)絡(luò)幫助用戶基于阿里云構(gòu)建出一個(gè)隔離的網(wǎng)絡(luò)環(huán)境。用戶可以完全掌控自己的虛擬網(wǎng)絡(luò)，包括選擇自有IP地址范圍、劃分網(wǎng)段、配置路由表和網(wǎng)關(guān)等。

從運(yùn)維安全的角度出發(fā)使用VPC網(wǎng)絡(luò)還需要再對(duì)VPC網(wǎng)絡(luò)內(nèi)部網(wǎng)段進(jìn)行劃分，一般建議分為三個(gè)網(wǎng)段：互聯(lián)網(wǎng)應(yīng)用組、內(nèi)網(wǎng)應(yīng)用組、安全管理組。

三個(gè)網(wǎng)段之間采用安全組隔離，并設(shè)置相應(yīng)的訪問控制策略，限制所有實(shí)例SSH、RDP等運(yùn)維管理端口只允許安全管理組訪問。建議策略如下：

互聯(lián)網(wǎng)應(yīng)用組建議策略

安全管理組建議策略

內(nèi)網(wǎng)應(yīng)用組建議策略

2.   搭建從運(yùn)維工作地到阿里云的加密運(yùn)維通道，用戶可以在阿里云安全市場(chǎng)購(gòu)買專業(yè)的VPN設(shè)備來搭建加密運(yùn)維通道，保證運(yùn)維流量不被劫持。

運(yùn)維用的VPN一般建議采用L2TP/IPSEC VPN，可以采用Site To Site或撥號(hào)兩種模式。如果是有大量運(yùn)維人員在固定辦公地點(diǎn)辦公可以使用Site to Site模式，建立一條從運(yùn)維辦公地到公共云的長(zhǎng)連接加密通道，公共云上的安全管理組網(wǎng)段就相當(dāng)于本地運(yùn)維網(wǎng)絡(luò)的延伸。如果運(yùn)維人員較少并且經(jīng)常移動(dòng)辦公，可以采用撥號(hào)VPN的模式，需要運(yùn)維時(shí)再撥號(hào)連入安全管理組網(wǎng)段。當(dāng)然也可以同時(shí)采用這兩種模式，兼顧固定地點(diǎn)和移動(dòng)辦公運(yùn)維。

最后再建議如果使用撥號(hào)模式VPN時(shí)，一定要啟用雙因素認(rèn)證，配合數(shù)字證書或動(dòng)態(tài)口令令牌使用，提高VPN接入安全性。

3.   使用阿里云RAM，將阿里云主賬號(hào)與日常運(yùn)維賬號(hào)分離，限定運(yùn)維賬號(hào)管理權(quán)限和范圍。這樣即使運(yùn)維賬號(hào)信息泄露也不會(huì)危及整個(gè)云基礎(chǔ)設(shè)施安全。RAM最佳實(shí)踐如下：

為根賬戶和RAM用戶啟用MFA

建議您為根賬戶綁定MFA，每次使用根賬戶時(shí)都強(qiáng)制使用多因素認(rèn)證。如果您創(chuàng)建了RAM用戶，并且給用戶授予了高風(fēng)險(xiǎn)操作權(quán)限（比如，停止虛擬機(jī)，刪除存儲(chǔ)桶），那么建議您給RAM用戶綁定MFA。詳細(xì)了解多因素認(rèn)證請(qǐng)參考管理MFA設(shè)備

使用群組給RAM用戶分配權(quán)限

一般情況下，您不必對(duì)RAM用戶直接綁定授權(quán)策略，更方便的做法是創(chuàng)建與人員工作職責(zé)相關(guān)的群組（如admins、developers、accounting等），為每個(gè)群組綁定合適的授權(quán)策略，然后把用戶加入這些群組。群組內(nèi)的所有用戶共享相同的權(quán)限。這樣，如果您需要修改群組內(nèi)所有人的權(quán)限，只需在一處修改即可。當(dāng)您的組織人員發(fā)生調(diào)動(dòng)時(shí)，您只需更改用戶所屬的群組即可。

將用戶管理、權(quán)限管理與資源管理分離

一個(gè)好的分權(quán)體系應(yīng)該支持權(quán)力制衡，盡可能地降低安全風(fēng)險(xiǎn)。在使用RAM時(shí)，您應(yīng)該考慮創(chuàng)建不同的RAM用戶，其職責(zé)分別是RAM用戶管理、RAM權(quán)限權(quán)限、以及各產(chǎn)品的資源操作管理。

為用戶登錄配置強(qiáng)密碼策略

如果您允許用戶更改登錄密碼，那么應(yīng)該要求他們創(chuàng)建強(qiáng)密碼并且定期輪換。您可以通過RAM控制臺(tái)為RAM用戶創(chuàng)建密碼策略，如最短長(zhǎng)度、是否需要非字母字符、必須進(jìn)行輪換的頻率等等。

定期輪轉(zhuǎn)用戶登錄密碼和訪問密鑰

建議您或RAM用戶要定期輪換登錄密碼或訪問密鑰。在您不知情的時(shí)候，如果出現(xiàn)憑證泄露，那么憑證的使用期限也是受限制的。您可以通過設(shè)置密碼策略來強(qiáng)制RAM用戶輪換登錄密碼或訪問密鑰的周期。

撤銷用戶不再需要的權(quán)限

當(dāng)一個(gè)用戶由于工作職責(zé)變更而不再使用權(quán)限時(shí)，您應(yīng)該及時(shí)將該用戶的權(quán)限進(jìn)行撤銷。這樣，如果在不知情的時(shí)候，當(dāng)用戶的訪問憑證泄露時(shí)對(duì)您帶來的安全風(fēng)險(xiǎn)最小。

將控制臺(tái)用戶與API用戶分離

不建議給一個(gè)RAM用戶同時(shí)創(chuàng)建用于控制臺(tái)操作的登錄密碼和用于API操作的訪問密鑰。通常只給員工創(chuàng)建登錄密碼，給系統(tǒng)或應(yīng)用程序只創(chuàng)建訪問密鑰。

使用策略限制條件來增強(qiáng)安全性

建議您給用戶授權(quán)時(shí)設(shè)置策略限制條件，這樣可以增強(qiáng)安全性。比如，授權(quán)用戶Alice可以關(guān)停ECS實(shí)例，限制條件是Alice必須在指定時(shí)間、并且您公司網(wǎng)絡(luò)中執(zhí)行該操作。

不要為根賬戶創(chuàng)建訪問密鑰

由于根賬戶對(duì)名下資源有完全控制權(quán)限，所以為了避免因訪問密鑰泄露所帶來的災(zāi)難性損失，我們不建議創(chuàng)建根賬號(hào)訪問密鑰并使用該密鑰進(jìn)行日常工作。創(chuàng)建根賬號(hào)的訪問密鑰需要通過登錄阿里云控制臺(tái)才能完成，該操作需要多因素認(rèn)證，并且還支持嚴(yán)格的風(fēng)控檢查。只要根賬戶不主動(dòng)創(chuàng)建訪問密鑰，賬號(hào)名下的資產(chǎn)安全風(fēng)險(xiǎn)可控。

遵循最小授權(quán)原則

最小授權(quán)原則是安全設(shè)計(jì)的基本原則。當(dāng)您需要給用戶授權(quán)時(shí)，請(qǐng)授予剛好滿足他工作所需的權(quán)限，而不要過渡授權(quán)。比如，在您的組織中，如果Developers組員（或者一個(gè)應(yīng)用系統(tǒng)）的工作職責(zé)只需要讀取OSS存儲(chǔ)桶里的數(shù)據(jù)，那么就只給這個(gè)組（或應(yīng)用系統(tǒng)）授予OSS資源的只讀權(quán)限，而不要授權(quán)OSS資源的所有權(quán)限，更不要授予對(duì)所有產(chǎn)品資源的訪問權(quán)限。

4.   Linux使用密鑰登錄，不要使用賬號(hào)密碼登錄，一勞永逸的解決賬號(hào)暴力破解問題。具體配置方法如下：

            Ubuntu 14.04.1為例，設(shè)置步驟如下：

            一. 生成密鑰的公鑰和私鑰

            # ssh-keygen -trsa 

            Generatingpublic/private rsa key pair.Enter file in whichto save the key (/root/.ssh/id_rsa): Createddirectory '/root/.ssh'.Enter passphrase(empty for no passphrase): #輸入密碼Enter samepassphrase again:                #輸入密碼Your identification has been saved in /root/.ssh/id_rsa.Your public key has been saved in /root/.ssh/id_rsa.pub.The key fingerprint is:            1c:37:a8:a3:65:a2:4a:89:ab:46:30:ad:54:d1:40:eb root@iZ28vo50eu5Z

            二. 將生成的私鑰（id_rsa）下載到本地的windows機(jī)器上，并把公鑰導(dǎo)入到.ssh/authorized_keys 文件中去

            #  cd /root/.ssh/

            #cat id_rsa.pub> authorized_keys 

            三. 設(shè)置sshd 服務(wù)器服務(wù)，打開以下設(shè)置：

            RSAAuthenticationyes 

            PubkeyAuthenticationyes

            AuthorizedKeysFile     /root/.ssh/authorized_keys 

            修改以下設(shè)置： 

            ChallengeResponseAuthenticationno 

            PasswordAuthenticationno 

            UsePAM no 

            四. 重啟ssh服務(wù)

            #service ssh restart 

            五. 導(dǎo)入私鑰到遠(yuǎn)程工具中，比如xshell。

5.   可以修改ECS Windows 服務(wù)器的默認(rèn)遠(yuǎn)程桌面3389端口，以降低針對(duì)遠(yuǎn)程桌面的惡意掃描和攻擊。具體配置方法如下：

一.使用工具進(jìn)行自動(dòng)修改

您可以在云市場(chǎng)中購(gòu)買和使用【3389遠(yuǎn)程端口修改工具】進(jìn)行3389默認(rèn)端口的自動(dòng)修改。

二.手工修改：

1)【開始】----【運(yùn)行】中輸入'regedit'打開注冊(cè)表編輯器;

2)依次展開'HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\Wds\rdpwd\Tds\tcp'注冊(cè)表項(xiàng);

3)其下的'PortNumber”鍵值所對(duì)應(yīng)的端口號(hào)就是遠(yuǎn)程桌面端口，將其修改為用戶需要的端口即可；

4)再依次展開注冊(cè)表中'HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp'注冊(cè)表項(xiàng);

5)同樣按照上面的方法將'PortNumber'鍵值進(jìn)行更改保存。

注意：修改后需要檢查防火墻、tcp/ip篩選中是否有安全規(guī)則限制，并需要重啟服務(wù)器后生效。

1)Windows 2003開啟端口方法：

遠(yuǎn)程登陸服務(wù)器后，進(jìn)入控制面板雙擊“windows防火墻”，打開防火墻后，點(diǎn)擊“例外”選項(xiàng)卡可以看到服務(wù)器上已添加的開放端口，點(diǎn)擊“添加端口”，在彈出的框中輸入您需要添加的端口號(hào)，確定完成。再進(jìn)入控制面板點(diǎn)擊“網(wǎng)絡(luò)連接”，在外網(wǎng)網(wǎng)卡上點(diǎn)擊鼠標(biāo)右鍵“屬性”，并雙擊“Internet 協(xié)議 （TCP/IP）”，點(diǎn)擊“高級(jí)”，在彈出的框中點(diǎn)擊“選項(xiàng)”，點(diǎn)擊“屬性”，在TCP/IP篩選的彈出框中，添加TCP協(xié)議的端口，確定后重啟服務(wù)器，端口就開通了。

2)Windows 2008 開啟端口方法：

遠(yuǎn)程登陸服務(wù)器后，進(jìn)入控制面板--wiindows防火墻，打開windows防火墻，選擇“高級(jí)設(shè)置”，左上方選擇“入站規(guī)則”，在右上方選擇“新建規(guī)則”，進(jìn)入規(guī)則向?qū)ы?yè)面選擇“端口”，下一步協(xié)議選擇“TCP”，選擇特定本地端口填寫您要開啟的端口號(hào)，下一步選擇“允許連接”，下一步設(shè)置允許應(yīng)用到的規(guī)則域區(qū)域，建議全部選擇，下一步設(shè)置端口名稱，完成即可。

6.   安裝云盾安騎士客戶端，安騎士不僅能攔截密碼破解和發(fā)現(xiàn)異地登錄問題，還能提高主機(jī)安全防護(hù)能力，推薦用戶都安裝。

7.   使用集中的特權(quán)及賬號(hào)管理系統(tǒng)統(tǒng)一管理運(yùn)維賬號(hào)和權(quán)限，比如阿里云安全市場(chǎng)中的專業(yè)堡壘機(jī)，解決系統(tǒng)賬號(hào)復(fù)用、運(yùn)維權(quán)限混亂、運(yùn)維過程不透明等運(yùn)維難題，并將系統(tǒng)操作日志記錄下來以備審計(jì)。

8.   開啟阿里云ActionTrail，記錄用戶的云賬戶資源操作，提供操作記錄查詢，并可以將記錄文件保存到用戶指定的OSS存儲(chǔ)空間。利用 ActionTrail保存的所有操作記錄，可以實(shí)現(xiàn)云端用戶權(quán)限安全分析、資源變更追蹤以及合規(guī)性審計(jì)。

打開ActionTrail控制臺(tái)，進(jìn)入“歷史事件查詢”，將可以看到最近7天的操作記錄。

總體架構(gòu)示意圖

安全防護(hù)是一個(gè)系統(tǒng)性的工作，上面這些建議僅是云端運(yùn)維安全最基本的一些要求。如果需要更深入的解決方案可以聯(lián)系阿里云安全解決方案團(tuán)隊(duì)。

近期文章（可直接點(diǎn)擊閱讀）

CMDB經(jīng)驗(yàn)分享之 – 剖析CMDB的設(shè)計(jì)過程

新浪微博平臺(tái)穩(wěn)定性體系介紹

打造家庭多功能服務(wù)器--(一) 硬件選型及安裝系統(tǒng)centos7

技術(shù)流盤點(diǎn)國(guó)內(nèi)IaaS云，只選對(duì)，不選貴

工程師的痛只有工程師知道

如果有個(gè)DevOps能力坐標(biāo)系，你的團(tuán)隊(duì)會(huì)處在什么坐標(biāo)？

紅帽發(fā)布Ansible 2.0，社區(qū)貢獻(xiàn)最大

一個(gè)老運(yùn)維的心里話

IT運(yùn)維分析與海量日志搜索

運(yùn)維幫已開通多個(gè)微信群供大家交流學(xué)習(xí)，需要先加南非蜘蛛微信 （yunweibang008）后拉你入群。

會(huì)員討論群：總?cè)?、總?cè)?、總?cè)?、總?cè)?

軟件討論群：Nginx、Zabbix

QQ討論群：186356564

快樂分享，快樂生活

商務(wù)合作，請(qǐng)加微信yunweibang008