云安全迎重大升級，亞信安全守護云主機最后一公里

傳統(tǒng)安全防護手段，無法滿足云計算時代的安全防護需要，CWPP應(yīng)運而生。從主機防病毒、入侵防護，到應(yīng)用程序控制、行為監(jiān)測及響應(yīng)，再到主機的加固與運營等8大層面，能力層層遞進，防護面面俱到。而用戶應(yīng)該先著眼于哪一層?哪一層才真正體現(xiàn)云安全防護的“真本領(lǐng)”?內(nèi)行看門道。亞信安全近期正式發(fā)布的信艙(DS)—云主機安全20版本(簡稱DS 20)全面滿足了云工作負載保護平臺CWPP各項功能。其中最核心，也是最見功力的更新集中在了云主機安全加固的能力提升。

身處“云風(fēng)暴”，要先看清風(fēng)險

云服務(wù)極大地滿足了用戶使用和拓展存儲資源、軟件資源和計算資源的需求，而主要風(fēng)險正來源于此：

·云平臺虛擬化資產(chǎn)數(shù)量龐大難以維護企業(yè)內(nèi)部極少有人能及時了解本身的核心資產(chǎn)，如虛擬服務(wù)器規(guī)模、域名、網(wǎng)段的清晰情況。尤其是資產(chǎn)和組織架構(gòu)越來越復(fù)雜之后，云主機數(shù)量統(tǒng)計幾乎成了一道最難搞懂的“高考數(shù)學(xué)題”。

·應(yīng)用系統(tǒng)配置風(fēng)險漏洞未被重視從近年來主機安全事件來看，應(yīng)用系統(tǒng)的配置風(fēng)險是眾多用戶不太重視的問題;另外，隨著新的應(yīng)用系統(tǒng)類型不斷增加并被應(yīng)用到生產(chǎn)環(huán)境中，這方面的安全漏洞將會被大面積利用，這里面除了傳統(tǒng)的數(shù)據(jù)庫應(yīng)用，Web容器、開源監(jiān)控系統(tǒng)(如Zabbix)，MongoDb、Redis、Hadoop等新型應(yīng)用配置風(fēng)險漏洞也將成為黑客利用的目標(biāo)。

云主機風(fēng)險推動“三大”安全新需求：

· 信息資產(chǎn)采集管理: 面對云計算場景大量的虛擬化資產(chǎn)以及快速更迭的系統(tǒng)及應(yīng)用，云安全產(chǎn)品應(yīng)具備強大的資產(chǎn)采集管理能力，通過對資產(chǎn)信息進行分析為企業(yè)提供漏洞風(fēng)險及入侵威脅的判斷的基礎(chǔ)信息，有助于深入發(fā)現(xiàn)內(nèi)部暴露的IT風(fēng)險問題和風(fēng)險。

· 漏洞風(fēng)險檢測及修復(fù): 服務(wù)器承載各類業(yè)務(wù)系統(tǒng)，時刻面臨著外部的用戶訪問，一旦存在漏洞，將使得平臺被黑客入侵的風(fēng)險被成倍放大。因此，云安全產(chǎn)品應(yīng)具備強大的漏洞風(fēng)險檢測及修復(fù)能力，需能夠?qū)β┒达L(fēng)險進行精準(zhǔn)發(fā)現(xiàn)，并針對不同漏洞風(fēng)險做出精準(zhǔn)分析，提供精確到命令的修復(fù)建議。

· 安全合規(guī)需求: 國家對網(wǎng)絡(luò)安全的重視達到了一個新的高度，尤其是《網(wǎng)絡(luò)安全法》的出臺，代表著網(wǎng)絡(luò)安全的管控已進入快車道，既是云安全的新起點，也是重要的轉(zhuǎn)折點。

因此，云安全產(chǎn)品應(yīng)具備強大的基線合規(guī)性檢查能力，能夠?qū)ζ脚_基線進行合規(guī)性檢查，對于存在安全缺陷的項目進行識別及給出相應(yīng)處理意見，防止風(fēng)險的產(chǎn)生。

打開云端資產(chǎn)治理及漏洞管理“新思路”

想解決資產(chǎn)導(dǎo)致的風(fēng)險問題，提升系統(tǒng)的安全防護能力的話，就要換位思考，從基于黑客入侵的視角對資產(chǎn)進行分析，了解資產(chǎn)本身常被黑客利用的脆弱點有哪些。

這一步的分析我們可以從幾個方面進行思考：· 攻擊者入侵的動機是什么?· 攻擊者入侵的目標(biāo)有哪些?· 攻擊者入侵想要達到目的的方法或途徑有哪些?

經(jīng)過分析我們不難發(fā)現(xiàn)，攻擊者的最終目標(biāo)往往在于存儲重要數(shù)據(jù)的服務(wù)器。而攻擊者想要獲得服務(wù)器的控制權(quán)或數(shù)據(jù)的過程中，常以資產(chǎn)自身的漏洞、弱口令賬號為跳板進入資產(chǎn)內(nèi)部，并通過提權(quán)，創(chuàng)建計劃任務(wù)等一系列動作達到目的。

解決思路清晰后，如何進行資產(chǎn)梳理和漏洞運營的方案也就對應(yīng)產(chǎn)生：· 摸清家底:亞信安全DS 20支持全面收集主機層面資產(chǎn)，包括端口、對內(nèi)對外IP、web站點、web中間件、web應(yīng)用、數(shù)據(jù)庫、進程、第三方組件、軟件應(yīng)用、環(huán)境變量、計劃任務(wù)、jar包等;同時可對資產(chǎn)實時監(jiān)測，基于變更規(guī)則(變更頻率)進行告警。

【圖：亞信安全DS 20 資產(chǎn)管理】

· 漏洞可視

近兩年，勒索病毒一直處于高頻活躍狀態(tài)，通過分析可以發(fā)現(xiàn)勒索病毒常常以文件服務(wù)器、數(shù)據(jù)庫等存放數(shù)據(jù)的服務(wù)器為目標(biāo)，并利用弱口令、高危漏洞等作為攻擊入侵的主要途徑。在亞信安全DS 20平臺上，用戶可通過漏洞管理模塊，全面排查系統(tǒng)中存在的漏洞、弱口令、風(fēng)險賬號等，從而提升系統(tǒng)安全性;另外，亞信安全DS 20融合了NASL技術(shù)，通過POC快速對新出現(xiàn)的漏洞進行驗證，利用了NASL技術(shù)與國家漏洞庫建立聯(lián)動機制，極大地提升了重大活動和重點網(wǎng)絡(luò)中的供應(yīng)鏈類漏洞預(yù)警響應(yīng)能力。

【圖：亞信安全DS 20 實現(xiàn)漏洞管理可視化】

【圖：亞信安全DS 20 對系統(tǒng)漏洞風(fēng)險全面評估】

· 快速定位

對用戶而言，應(yīng)急響應(yīng)時間的長短，直接關(guān)乎著企業(yè)的損失。如何快速響應(yīng)，控制威脅一直是安全人員及用戶關(guān)注的重點。對此，DS 20新增“資產(chǎn)一鍵搜”功能，可幫助用戶快速定位受威脅的資產(chǎn)，為處置動作爭取更多的時間。

通過基線檢測建設(shè)，實現(xiàn)云主機安全加固自動化

云主機承載著關(guān)鍵數(shù)據(jù)及核心業(yè)務(wù)系統(tǒng)，一旦受到攻擊，整個信息系統(tǒng)中最具價值的部分將面臨失竊和被破壞的風(fēng)險，為保障主機安全，因此需要構(gòu)建以計算環(huán)境安全為核心的縱深防御體系，加強主動評估風(fēng)險及主動預(yù)警響應(yīng)能力。為此，亞信安全DS 20 提供了強大的基線檢查能力，能夠?qū)Υ罅康闹鳈C進行統(tǒng)一掃描，支持檢測操作系統(tǒng)和服務(wù)(數(shù)據(jù)庫、服務(wù)器軟件、容器等)的弱口令、賬號權(quán)限、身份鑒別、密碼策略、訪問控制、安全審計和入侵防范等安全配置，并提供檢測結(jié)果，針對存在的風(fēng)險配置給出加固建議。

【圖：亞信安全提供了豐富的安全合規(guī)基線模板】

數(shù)字經(jīng)濟的快速發(fā)展和融合，給數(shù)據(jù)中心帶來了眾多挑戰(zhàn)，尤其是云數(shù)據(jù)中心面臨的安全風(fēng)險正在加劇。持續(xù)演化的數(shù)據(jù)中心安全威脅不會遠離，云主機安全將是我們的最后一道防線。這也是亞信安全在DS 20 中增加云主機資產(chǎn)梳理、漏洞掃描、基線核查的目的，是構(gòu)建云主機安全加固新防線的三個核心能力。

（免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負任何法律責(zé)任。
任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時，應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明，并提供身份證明、權(quán)屬證明及詳細侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 ）