云安全是指基于云计算商业模式应用的安全软件、硬件、用户、机构、安全云平台的总称。云安全通过网状的大量客户端对网络中软件的行为进行监测,获取互联网中木马、恶意程序的最新信息,并发送到Server端进行自动分析和处理,再把病毒和木马的解决方案分发到每一个客户端[1]。
在国内云计算蓬勃发展的现阶段,业内有两种不同的声音出现,一种是云计算安全,主要是对云自身的安全保护,包括云计算应用系统安全、云计算应用服务安全、云计算用户信息安全等;另一种安全云计算,通过使用云的形式提供和交付安全,即通过采用云计算技术来提升安全系统的服务性能,如基于云计算的防病毒技术、挂马检测技术等。
1.云安全发展路线月,趋势科技在美国正式推出了“云安全”技术。但是中国云安全行业的发展略晚于美国市场2-3年,即2011年萌芽,2014年众多技术驱动的创业型公司加入到该领域,同时2014年阿里云等公有云厂商正式上线云安全服务,行业逐渐进入快速发展阶段。
2019年如何把自己苹果id改成美国的,阿里云市场中90%以上的云安全服务由安全厂商提供,云平台安全服务更依赖于专业第三方厂商。所以云平台服务提供商在高级安全防护服务技术领域均采取与专业安全厂商合作的方式提供云安全服务,建立“自主”与“第三方”并存的生态格局。
国家级对抗已经特别关注云安全了,不管是SolarWinds针对微软的攻击(窃取Azure部分少量核心代码)还是从一些公开途径了解到的AWS(亚马逊的云服务)的一些安全防护思路(假设美国也会攻击、其他国家也会攻击)的思路来做的全链路加密(针对光纤进行物理、链路层、应用层加密)、检测针对监听光纤的行为和动作进行告警,安全团队进行应急响应。
因为云承载了大量核心的客户数据,这些数据是客户甚至一个国家的重要资源,所以美国一直在打压中国不能让中国的云厂商在美国落地生根,发展壮大。如果能针对云平台进行控制如何把自己苹果id改成美国的,那影响的后果绝对非常大的,云上面承载客户的数据太多了,还包括政府的数据(疫情、疾控等数据)、美国国防部的DIB计划(武器数据)、国家人力情报(OPM等人力数据)、高科技企业(微软、Amazon)等。
所以对于云厂商来说每年数十亿的投入、大量的顶尖安全人才、核心的云安全技术都是云厂商特别关注的,云和云安全更需要创新技术、更渴望顶尖的安全架构、更渴望有理想的追梦和同路的技术大牛、更渴望客户提出更高的安全要求、更渴望把技术做深入解决客户面临的APT攻击,保证国家新基建数字化转型过程中的关键基础设施的安全增强和落地。
Azure Follow的最佳安全实践:将IT基础架构系统放在安全且受控的位置(物理安全原则)、深入实施最小特权和防御原则(身份安全原则)、使用防火墙并将单独的NIC用于管理功能(网络安全原则)、进行渗透测试并持续审查安全流程(红蓝对抗)、使用网络防火墙对网络进行分段并提供访问控制(网络安全);
其实从Azure安全最佳设计原来来看,大家会觉得朴实无华,本来我也借此机会向“浮躁”的安全界发声,每天不用去搞一些高大上的NIST SP 800-53、CIS、NIST CSF、SANS什么的最佳实践,我不是说这些东西不好,说实话最重要的是适合自己的才是最好的。我就说我观察到的一个点来,Azure的最佳实践是落地在实处的,不是空话的,就拿红蓝对抗这件事来说,Azure做到了持续的进行渗透测试,并且会同步渗透测试报告给互联网的所有人(包括客户),试问这一点有多少厂商做到了,AWS和Google我没看到。如果有请各位看官也一定通知下。
Azure Active Directory账号、OAuth2 Client Credentials、Azure各类云服务产品的Connection String(连接串)都会在互联网被访问到,所以很明显,Azure自身的云平台也是存在一些风险的,所以云安全不管是底层平台还是租户侧的安全架构,都需要由非常懂云安全的架构师来落地和解决风险,拼凑和缝缝补补式的云安全只会让自身业务的发展遇到巨大挑战,云安全架构师贡献和长时间的投入要云安全企业从长远给足发展空间和机遇。
身份风险安全架构解决方案:账号层面梳理清晰、最小权限设计、最小业务网络安全控制、云服务产品开启默认安全配置、威胁检测方面需要投入模型、红蓝军对抗要重点发现自身风险(Red Team和Blue Team要充分合作配合好)、云服务产品安全开发大量安全功能(上面的一些削减攻击面、进行隔离、网络控制就用上了);
假设云服务产品层Extensions模块被入侵,会导致提供Extensions的VM造成入侵,针对VM的入侵也会使本篇重点讲解的(Geneva)安全监控同步到C+AI SOC(Cloud + AI Security Operations Center)进行响应(Response)、调查(Investigation)等动作。主机上的主要风险是特权账号被异常登录、操作系统配置恶意更改、植入恶意木马和蠕虫、代码被恶意篡改、操作系统漏洞、操作系统安全异常登录等风险;
l VM:通过Azure Security Park(AzSecPack)来收集虚拟机日志,采用Geneva Monitoring Agent(Linux和Windows)端来进行数据上传,通过SCUBA Poller(通过低延迟的日志分析威胁、调查等,这里根据各种开源情报猜测一下这里的SCUBA就是实时分析系统,可以第一时间进行准实时的威胁检测分析)或者ASM Poller把数据传递到Kusto SIEM平台(SIEM:安全信息和事件管理);
其实Azure威胁检测提出来了一个Multiple levels(多层)威胁检测框架,第一层分析Azure Geneva Platform可以让Azure安全快速的进行诊断、监控、分析动作;第二层Azure Geneva来针对保护的Azure环境而采集的Metrics(指标)、Logs(日志)和Analytics(分析);第三层Geneva Monitoring Agent来采集不管是Host OS、虚拟机上的GuestOS、Fabric Controller等等主机层面的信息;所以很明显就可以看出来,威胁检测的层次跟云平台架构息息相关,如果威胁检测的分层不足,覆盖的安全Agent范围不够、覆盖的安全Agent数据采集不足、威胁检测分析平台的模型不足,都将会导致某一层的入侵被遗漏,导致无法发现;
笔者在正式开始前,还是要重点声明一下的,笔者是通过Azure US Portal提供的正常AKS Extensions列表,发现了Azure Geneva Agent的部署Extensions模块,安装到了VM机器上,进行了详细分析的;由于会牵扯到非常细致的检测策略的细节,笔者会针对性的选择分析,力求覆盖面的和技术的深度有保障;
l 举例系统检测项:笔者进行分析后发现采集如下的信息(驱动、Windows服务、产品、功能、补丁、版本、证书、提取证书公钥、NTP、ASEP注册表、反病毒注册表、自动运行AutoRun、Applocker注册、硬件注册、SecureBoot注册表、TPM注册表、CI配置功能、Bitlocker状态、WU设置注册表、MSRC注册表、DSMS注册表、AZWaston注册表、容器版本、容器镜像、Docker容器、Docker容器详情、Docker容器进程详情、Docker卷);
l 风险:特权凭证在内存中明文获取风险;一旦黑客入侵到Azure的操作系统上,如是普通权限肯定会利用操作系统本身服务、内核、第三方服务能安全漏洞进行提权到管理员,提权之后会利用ProcDump(ProcDump是一个命令行实用程序,其主要目的是监视应用程序的CPU峰值,并在峰值期间生成崩溃转储,管理员或开发人员可以使用该转储来确定峰值的原因。参考:
如上图所示,首先需要增加Cluster,按照之前分享的内容,就是把各种数据统一存储到Azure Storage上,每个产品线都会有对应的采集,例如Skype、Azure产品等,提供给对应的云服务产品的部门来进行业务上的统计和查询,安全来做整体的Threat Hunting和对应的威胁检测;
u 网络连接:针对异常进程产生的恶意网络连接进行模型分析;另外只要是Azure云平台上跑的所有服务的进程的网络访问都会被记录下来,便于后续进行分析;同时Azure云平台网络存在Network Baseline(基线)网络访问,如果不在Network Baseline中的访问进行告警,后续应急响应团队进行分析;这里就跟后续的架构设计有关系了,默认情况下SDN的网络防火墙防护策略是默认禁止的,按需进行开放访问;
u Mitre ATT&CK:其实读者肯定很纳闷,为啥不针对Mitre ATT&CK框架进行大写特写,笔者角度的观点是觉得适合自己的威胁检测体系和框架就好了,解决问题的方案和框架并且适合自己才是站得住脚的,不过中立角度来说,Azure内部推断也进行了对应的Mitre ATT&CK对应模型的涵盖;(MITRE ATT&CK是一个自由框架,概述了网络威胁行为者采取的所有可能的方法。知识库完全基于真实世界的观察苹果id共享美国账号,为私人、政府和网络安全部门开发特定的威胁模型和方法奠定了基础。该框架有一个组件用于企业 IT 网络和云,另一个组件用于移动设备。ATT&CK 代表对抗战术、技术和常识。对于 Windows、Linux、Mac 和移动系统,通过战术分类,网络攻击技术矩阵各不相同。使用 ATT&CK 模型的团队可以记录和跟踪参与者在网络攻击的不同阶段正在做什么威胁,以渗透网络并渗出数据。 [2] ATT&CK 可用于运行对手模拟,这是通过应用有关特定对手的网络威胁情报来验证组织检测和减轻对抗活动的能力来评估技术领域安全性的过程。它也可以用于红色团队,这是在不被发现的情况下完成违规的练习。 [3] ATT+CK 可用于构建和测试行为分析;评估现有防御措施的工具、监测和缓解措施,以便优先投资于安全改进;确定安全操作中心在检测、分析和响应入侵方面有多有效;并且要理解和记录威胁组配置文件的行为,这些组可能使用的工具不可知性。)
u AI&ML:Azure内部笔者推断还是有很强大的AI&ML机器学习框架的,明显可以看到的就是Azure Sentinel和Jupyter完美结合的NoteBooks,笔者在多个场合提到过这个才是要重兵投入的Cloud SIEM AI&ML的技术方向,主要的点是用微软的这句话还是打动了笔者的:Jupyter 扩展了数据集执行的操作范围。 它将完整的可编程性与用于机器学习、可视化效果和数据分析的大量库集合组合在一起,这些属性使 Jupyter 成为安全调查和搜寻的引人注目的工具,很明显AI&ML、可视化以及Jupyter成熟的大量的库都是优势
u 威胁情报整合(CTI):威胁情报交换(Threat Intelligence Exchange)服务,它从各个Microsoft团队和各个第三方收集威胁数据(僵尸网络IP,恶意文件的Hash等),然后将这些数据共享给Microsoft团队,以便Microsoft团队可以在自己的产品和服务中采取对应的威胁消除和阻止行动。例如,Office 365经过分析和收集的情报确定某个特定IP属于某个僵尸网络。然后,他们与Interflow共享该信息,然后共享给对应的Office 365团队,以便该团队可以对IP进行阻断和禁止访问的动作;当然这些情报笔者推测会应用到了整个Azure云产品服务上;微软也会跟全球顶尖的威胁情报厂商合作,共享情报,用于内部情报的持续威胁检测效果保障;
ossemproject.com/intro.html) 一起合作,把内部的数据标准和元数据进行了很好的数据格式化标准,这一点也非常重要的,另外CyBOX笔者也发现是一个非常不错的威胁检测数据模型框架;⑧ Azure云平台威胁检测-应急响应平台(SOAR)
利用上面的威胁检测模型进行告警之后,会利用Kusto SIEM工具把攻击自动化同步到ServiceNow平台,另外Azure应急响应平台做的比较好的是进行了有效的事件响应分级策略,第一层:C+AI SOC人员会按照标准手册《Security Troubleshooting Guides》来进行标准化动作处置和响应,第二层:高优先级告警IPS或者AAA高危事件会直接同步给二线)处理,二线)如需要协作会同步给三线;第三层极其高危的安全事件例如Malware等直接交由三线)处理;
云安全发展趋势4.1. 从Gartner 2020年云安全技术成熟度曲线]
物理安全设备通常插入到网络外围以提供保护,使经过验证的用户能够访问网络。在虚拟环境中,网络、工作负载和虚拟机器不断被设置、销毁,并在数据中心或网络内迁移。此外,由于多个虚拟网络可以跨相同的基础物理基础设施运行,因此安全性必须解决每一层虚拟化问题。例如,虚拟机具有额外的安全复杂性,因为它们作为数字文件运行苹果手机怎样创建美国id,无论物理基础设施如何,都可以迁移,从而带来安全风险。这些趋势推动了更多的安全虚拟化。
Gartner预测,零信任网络访问(ZTNA)和微分段将在未来两年内在Hype周期和潜在的网络安全市场合并。随着基于身份和角色的接入增强基于网络的云资源和应用程序的访问,合并ZTNA和微分段的障碍逐渐消失,导致这一市场领域的整合。Gartner指出,ZTNA 解决了组织面临的用户对应用场景,而基于身份的细分则处理了组件到组件的情景。合并它们使组织能够实现更全面的零信任安全框架。
参考资料[1] 孙义明,薛菲,李建萍编著.网络中心战支持技术[J].国防工业出版社,2010.11.苹果id共享美国账号如何把自己苹果id改成美国的
