基于纵深防御思想的华为云安全防御方案

上“云”时代，云安全越发重要。我认为，云安全和传统的网络安全一样，单一的措施无法解决问题，因此纵深防御思想同样很重要。
纵深防御思想的本质是强调冗余的安全性。也就是说，云安全管理者可以通过在物理层、网络层、系统层、应用层分别构建相互独立的安全防护措施，即使某一防护措施被突破，依然可以通过其它的安全措施来阻止威胁，从而有效降低黑客攻击的成功率。具体如下图：

纵深防御思想

不同的云环境下提供不同的安全产品，但大体思路是一致的，本文基于华为公有云产品来构建安全防御方案。

一、物理层

华为云的物理层安全与传统环境的关注重点不一样。
传统环境下，物理安全主要关注的是数据机房的环境安全，比如安装部署报警器、监视器、空调、UPS等机房设施。
华为云环境下，数据机房的物理环境安全由华为公司负责，用户无需关心上述细节问题，从而可以将注意力放在华为云的分布式物理环境的安全应用上。
什么是华为的分布式物理环境呢？华为将云服务所需的硬件和软件服务部署至不同的物理数据中心，这里“物理”指的是不同的地区或同一地区的不同机房，来确保提供不会中断云服务。为了便于理解，华为云使用“区域”和“可用区”这两个概念来描述。

• 区域（Region）：从地理位置和网络时延维度划分，同一个Region内共享弹性计算、块存储、对象存储、VPC网络、弹性公网IP、镜像等公共服务。
  *可用区（AZ）：是一个或多个物理数据中心的集合。

简单来说，区域就是在地理空间上不同地区的数据中心；可用区就是在同一个地区的不同位置的数据中心。
如下图所示：

区域与可用区
从使用安全的角度，是否将资源放在同一可用区内，主要取决于对容灾能力和网络时延的要求。对容灾能力的要求越高，越是要注意不要把鸡蛋放在同一个笼子里。因此，将数据在不同区域、或者同一区域的不同可用区进行多份冗余备份，能够确保不会因为物理问题而丢失数据。具体部署如下图所示：
分布式物理安全

此处还涉及到数据同步、冷备、热备等相关知识，建议大家遇到具体情况时再具体分析和解决。

二、网络层

华为云网络层的安全主要依托VPC网络、iptables和DDOS防护产品来实现。

1、VPC网络

华为云的主流网络架构是VPC网络，其网段划分、网络隔离以及相关网络功能都是企业级云网络所必须的。
那么什么是VPC网络呢？VPC即Vitrual Private Cloud，虚拟专用网络。它采用的是数据链路层隔离技术，有点类似于传统网络中VLAN的划分，既能够实现VPC之间的100%安全隔离，也能够灵活的控制VPC内和VPC间的通信访问。
安全隔离包括两个方面功能：

• 安全组:通过对报文协议（TCP、UDP、ICMP）以及端口的过滤来实现严格控制外部对ECS的网络访问
• 防火墙：VPC子网支持黑白名单，可以用来放行或禁止进出一个或多个子网的流量
  灵活控制通信包括三个方面功能：
• 自定义路由：可以自定义VPC内的路由规则
• 对待连接：在两个VPC之间，能够使用私有IP地址进行通信

• VPC和云专线服务：打通线下数据中心和华为云之间的数据通道
  下图是基于VPC网络架构的华为云部署示意图。

  
  VPC网络架构

2、iptables

在实践应用中，我们一般会在ECS（云服务器）上开启iptables来做网络访问安全规则，iptables能够实现包过滤、地址转换等功能。

3、DDOS防护产品

对云来说，DDOS攻击是网络层最大的威胁，也是最常见的威胁。DDOS攻击即分布式拒绝攻击，指的是攻击者通过大规模的网络请求数据包，造成我们的云服务器网络、服务、应用等瘫痪，不能对外提供正常服务。
从某种角度来说，DDOS攻击利用的是合法的数据访问，因此是无法真正解决的。在我的博文《“图兰军”攻击事件的威胁分析》中曾经指出:目前情况下，应对DDoS的方法主要是三板斧：

• 头板斧：小流量封锁。对网络流量进行分析，检测到DDoS攻击后立刻通过防火墙进行阻断，或通过路由黑洞、路由协议转发等方式进行流量封锁。但是小流量封锁的方式在攻击流量超过出口带宽时，就不再有效了。
• 二板斧：大流量清洗。大流量清洗主要侧面借助华为云的带宽扩容或者华为云DDOS防护产品进行数据清洗。
• 三板斧：CDN分流。内容分发服务（CDN）是指通过在网络各处放置节点服务器，让用户能够就近访问网站服务。在出现DDoS攻击时，我们可以将所有静态站迁移到CDN去，进一步稀释攻击流量。
  此处还需介绍一下华为云DDOS防护产品。华为云DDOS防护服务（Anti-DDoS Service，简称ADS）有如下3个版本：
• DDoS原生基础防护（Anti-DDoS流量清洗）
• DDOS原生高级防护（DDoS原生标准版、DDoS原生防护-全力防基础版、 DDoS原生防护-全力防高级版和DDoS原生铂金版）

• DDOS高防（DDoS高防中国地区和DDoS高防国际版）。
  其中，Anti-DDoS流量清洗为免费服务，DDoS原生高级防护和DDoS高防为收费服务。
  基于DDOS威胁太大，所以建议采购DDOS原生高级防护产品，但是相关产品价格比较贵，因此应该注意按需采购，即，保底防护带宽与日常遭受攻击的流量值持平或者略高，其它的突发攻击交给弹性防护带宽来解决。这样就能尽量少花钱，其部署方式如下图所示：

  
  DDOS部署

三、系统层

系统层安全主要对应的是操作系统安全：一方面，企事业单位的实际需求和个人主机的应用场景不一样；另一方面，云操作系统往往以服务器为主，稳定性和可用性非常重要。
综合两方面情况，系统层的终端或服务器安全应以云服务提供商的安全防护产品为主，以对操作系统的用户管理、软件包管理、文件系统管理等基线配置为辅，综合做好系统层安全管理工作。

1、华为云企业主机安全 HSS

企业主机安全（Host Security Service）产品能够提供资产管理、漏洞管理、基线检查、入侵检测、程序运行认证、文件完整性校验等安全运营功能，基本符合云安全例规相关要求。与此同时，使用非常方便，一键购买和开启云主机的安装防护，如下图所示。

HSS

2、主机系统基线安全

拿Linux操作系统为例，需要设置的安全基线如下：

• 用户管理安全方面：
  • passwd文件和shadow文件管理
  • 用户口令复杂度
  • 特权用户使用管理
  • 最小权限用户新建、使用和删除
• 软件包管理：
  • 自启动应用和服务管理
  • 安装包来源设置和检查
• 文件系统管理：
  • 关键文件系统加锁
  • 日志文件的操作和应用
  • 敏感文件的扫描和清除
• 数据管理：
  • 数据备份和删除
  • 数据加密

限于篇幅，本文先简单带过这些内容，后期专门写一篇博文来进行介绍。
部分基线安全设置已在《Python脚本：一键加固Ubuntu服务器》和《批处理脚本：一键加固Windows终端》等两篇博文中有所涉及。

四、应用层

需要对外开放的云端应用主要是Web应用，因此应用层安全主要以Web服务安全为主。
在我的博文《典型Web安全防护策略》中，已经详细介绍过传统环境下Web安全防御防护基础知识。
此处重点介绍一下华为云的Web应用防火墙产品，它在针对华为云环境进行适配的基础上，通过对网站业务流量进行多维度检测和防护，结合深度机器学习智能识别恶意请求特征和防御未知威胁，具备较好的Web攻击防护、CC攻击防护、访问控制、安全可视化等功能。
华为云官网介绍WAF如下图所示：

WAF

笔者认为，其主要优势包括以下几点：

• 使用简单。无需安装任何软件或者部署任何硬件设备，在购买WAF后，把域名解析到WAF的CNAME地址上，并配置网站服务器IP地址，就可以启用WAF。
• 自动更新。补丁、插件、功能等由华为云负责更新和维护，用户无需担心最新Web漏洞的问题。
• 功能齐全。能够有效防御SQL注入、XSS跨站、木马上传等常见攻击，过滤CC攻击，支持对HTTP\HTTPS流量进行防护，提供实时查看攻击信息和事件日志的功能。

综上所述，部署华为公有云的企业，如果对外开放Web服务，那么就应该购买华为云WAF产品。

五、态势感知系统

云上态势感知系统其实就是一套能够集中展现物理层、网络层、系统层、应用层的整体安全情况的预警系统。
态势感知系统中的“态势”二字指的是将来可能发生的事。顾名思义，态势感知系统能够提前感知将来可能发生的事，实现网络空间的“知己知彼、百战不殆”。而云态势感知系统是以大数据技术和高性能计算为基础，通过对威胁情报进行分析，形成对云上网络威胁的预判。
这里可以把威胁情报简单理解成各类安全数据库，比如软件白名单、恶意地址库、反网络病毒联盟信息、国家漏洞发布数据以及云上部署的安全系统和软件日志、云上资产指纹等，它是态势感知系统的数据依据。
因此，在云上部署态势感知系统的最大作用是发现威胁，而不是解决威胁。它覆盖了物理层、网络层、系统层、应用层等各个层级，却与各个层级的安全产品作用并不相同，它搜集这些已经部署的安全产品信息，起到的是事件集中呈现、整体安全评估、威胁分析告警的作用。
如下图所示，是华为云态势感知系统与其它云服务的关系。

态势感知系统的补充作用