云計(jì)算服務(wù)濫用10大安全防范措施

時(shí)間：2023-03-13 02:46:01 | 來源：電子商務(wù)

時(shí)間：2023-03-13 02:46:01 來源：電子商務(wù)

一、背景

云計(jì)算服務(wù)因易獲取、低成本、可靠性等優(yōu)勢，使得越來越多的個(gè)人、企業(yè)選擇使用云服務(wù)，由于注冊驗(yàn)證過程不嚴(yán)格、促銷或免費(fèi)試用、錯(cuò)誤的配置和漏洞等原因，導(dǎo)致云資源被惡意攻擊者濫用，網(wǎng)絡(luò)安全法的出臺(tái)以及各行業(yè)標(biāo)準(zhǔn)的要求，云運(yùn)營商需要對服務(wù)濫用的行為進(jìn)行識(shí)別和阻斷。

二、云服務(wù)濫用原因

• 云服務(wù)不安全部署：身份密碼的泄漏、系統(tǒng)或應(yīng)用漏洞、身份劫持。
• 利用云服務(wù)身份驗(yàn)證漏洞，從事非法活動(dòng)：偽造、冒用他人身份注冊并獲取服務(wù)。
• 支付漏洞，促銷、免費(fèi)試用活動(dòng)具有漏洞，黑產(chǎn)從業(yè)者搶購大量廉價(jià)云計(jì)算資源。

三、云服務(wù)濫用行為

常見的濫用行為包括：

• 分布式拒絕服務(wù)攻擊（DDoS）
• 違法內(nèi)容傳播（黃反賭毒暴恐政）
• 遠(yuǎn)程暴力破解（RDP、SSH、Mysql、FTP、Web）
• 惡意軟件，木馬傳播
• 數(shù)字貨幣挖礦采礦
• 電子郵件垃圾郵件
• 網(wǎng)絡(luò)釣魚攻擊活動(dòng)

CNCERT 的抽樣監(jiān)測結(jié)果顯示：

• 針對境內(nèi)目標(biāo) IP 的 DDoS 攻擊中 80.1%的攻擊來源為國內(nèi)云服務(wù)提供商；
• C2 遠(yuǎn)程控制端 IP 中約 59%為國內(nèi)云服務(wù)提供商 IP；
• 對外植入網(wǎng)站后門的 IP 中約 39.4%的境內(nèi) IP 來源于國內(nèi)云服務(wù)提供商；

四、做好安全防范，抵御惡意攻擊

1. 杜絕弱口令，弱口令是最容易出現(xiàn)的也是最容易被利用的漏洞。

2. 為所有服務(wù)配置強(qiáng)密碼，要求至少 8 個(gè)字符以上，包含大小寫字母、數(shù)字、特殊符號，并且要不定時(shí)更新口令。

3. Web 應(yīng)用系統(tǒng)，必須使用強(qiáng)密碼安全策略和驗(yàn)證碼，防止暴力破解和撞庫。

4. 數(shù)據(jù)庫系統(tǒng)（Redis、MongoDB、MySQL、MSsql Server）禁止使用弱密碼或無密碼。

5. 增強(qiáng)安全策略，使用多因素驗(yàn)證機(jī)制（MFA）、強(qiáng)制密碼安全策略（如：鎖定策略），和審計(jì)功能（異常告警）。

6. 使用虛擬專有網(wǎng)絡(luò)（VPC），隔離企業(yè)內(nèi)部不同安全級別的云主機(jī)，避免同網(wǎng)絡(luò)環(huán)境下一臺(tái)服務(wù)器被入侵后影響到其它云主機(jī)。

7. 在 VPC 中使用 NAT 提供上網(wǎng)服務(wù)，禁止云主機(jī)直接綁定公網(wǎng) IP，直接綁定公網(wǎng) IP 會(huì)導(dǎo)致云主機(jī)完全暴露在互聯(lián)網(wǎng)遭受攻擊入侵。

8. 對互聯(lián)網(wǎng)提供服務(wù)，通過負(fù)載均衡（LB）將需要開放對外的端口（如：80，443）代理到后端的應(yīng)用服務(wù)，并將對外服務(wù)放置在獨(dú)立的子網(wǎng)中。

9. 防火墻隔離（安全組）是云上的主要網(wǎng)絡(luò)安全隔離手段，通過安全組設(shè)置在網(wǎng)絡(luò)層過濾服務(wù)器的訪問行為，限定服務(wù)器對外/對內(nèi)的的端口訪問，授權(quán)訪問地址，從而減少攻擊面，保護(hù)服務(wù)器的安全。

10. 高危網(wǎng)絡(luò)端口，開啟的服務(wù)端口越多越不安全。只對外開放提供服務(wù)的必要端口，禁止將 RDP、SSH、Redis、MongoDB、MySQL、MSsql 等高危服務(wù)直接暴露在互聯(lián)網(wǎng)上。