基于云安全环境的最佳实践

课程学习与最佳实践

无论您是打算使用托管服务来处理你们组织的云安全，还是决定创建管理自己的安全项目，至少，将所需的所有信息汇总起来就可能是一项复杂的任务了。为了解决这个问题，我们想要分享一些我们从威胁管理安全服务中收集到的见解和最佳实践。

在加入新的需要监督的客户时，我们使用标准方法来创建每个客户环境的详细理解和基准。监督部署可以像单个生产环境一样简单，也可以包含多个括开发与分段服务器的环境。然而，不管复杂性如何，我们都会进行详细的调查，以了解用户行为、进程、网络连接和文件活动应该发生的情况。

为了构建您的需求分析，您可以将此方中的主要步骤用作一系列最佳实践，以便清晰地了解您的环境、工作负载和行为，并定义强大的云安全策略和政策。我们关注的问题以及我们提出的主要问题将在下面列出，以帮助您制定策略。

用户行为

这个过程从问题开始，有助于定义DevOps用户预计的与Access（连接）、Privileges（特权）和Activities（活动）相关的行为。对于大多数公司来说，这些行为可能是最大的未知，特别是对于刚刚开始实施更多定义安全策略的更小快速移动组织而言。

访问

使用者浏览关于用户如何远程访问每个环境中的服务器的问题，您需要提出的关键问题包括如：

• 有访问V**与跨域访问吗？
• 访问是否完全开放，或只对特定的IP地址或范围允许连接？
• 访问是否限于特定的用户ID？这些是共享的或为唯一的ID？
• 是否使用root登录？ （如果是，阻止操作！）

我们提出了更多关于用户行为的问题，特别是与生产环境相关的问题，因为生产往往是不可变的，除了配置管理和部署工具之外，没有任何其他的直接远程访问。确定你的用户应该在受保护的环境中做什么和不应该做什么是良好的安全和操作卫生的关键。

特权和活动

接下来，我们想知道谁会进行具体的行动。所以一旦连接问题得到解决，我们就会转向与特权和活动有关的问题。其中最为常见的是特权升级和文件传输活动。这些应该被密切监视，因为他们是最有可能造成损害的方式，被允许访问的内部人员可以通过执行诸如从服务器传输文件或下载可用于未经许可的访问的二进制文件等活动。当然，能够通过sudo以root身份执行这些操作只会增加访问级别和隐藏这些操作的能力。

当您查看用户权限和活动时，请考虑以下关键问题：

• 谁能够sudo？
• 什么工具或服务将用到sudo？
• 什么用户执行scp和wget？
• 什么其他进程在执行时应该警报？

找到-exe，vi，tcpdump，netcat

重要的是要注意，这些活动不应该发生在生产服务器上。为确保恶意或无意的操作不会影响生产，在非生产型服务器上，监视和控制它们是非常重要的。

过程行为

在完成加入用户调查后，我们开始确定我们预计在每个工作负载上运行的进程。这可能是比较容易的基准测试领域之一，因为基于服务器角色，预期的基本定义一般是相当明确的，至少在生产工作量方面是这样。另一方面，开发服务器的流程行为则不太明确。生产中心需要回答的问题是在使用的不同应用程序堆栈中，并将这些问题与服务器主机名与标签进行匹配。

您需要为生产回答的一些关键问题如下：

• 什么应用程序堆栈在生产中运行？
• 什么服务进程分别在每个主机上运行？
• 什么服务/用户帐户是在这些下运行？

什么应该用root运行（如果有的话）？

• 这些如何部署与更新？
• 这些部署/更新的频率如何？

其他问题肯定需要在此考虑的，但是正在运行的流程和服务通常是已知的和被理解的。一旦您对工作负载有深入的了解，您需要回答这些问题，那么您不知道的进程和活动就会快速浮现。这一步是开展运营理解的一部分，因为这是一项安全性的练习。

网络行为

网络活动是另一个通常很容易定义的领域，尤其是对于生产工作负载。关键问题于确定这些服务器在哪里进行通信。识别入站和出站服务，以及哪些工作负载应该具有公共面向互联网的访问，哪些不应该具有。

在识别和定义网络行为时，请回答以下问题：

• 什么服务器可以公开访问服务？
• 对于非公共服务（如db工作负载），每个服务的预期网络连接分别是多少？

从特定的IP或子网？ 出站？ （大多数服务器不会建立出站连接，但是通常是很好定义的。）

• 哪些端口分别针对每个工作负载开放？

同样，一旦开始警报进入，将会识别先前不知道的其他网络连接。

威胁情报

通过添加IP信誉信息，还要考虑与已知的错误IP地址进行通信时应采取的操作类型。当然，对于大多数面向公众的服务，我们预计会有来自已知恶意IP的连接进行的扫描，各种黑客攻击您的服务器，以及针对您的V**和服务器的跨域攻击。这是面向公共互联网服务开放时所承担的风险，关闭这些服务通常不是一种选择。一旦确定了这些连接，就可以使用iptables或FailToBan等服务来阻止与这些IP地址的连接。

对于出站连接，从工作负载到已知恶意IP的通信通常是另一回事。这是第一严重性的事件，如果您的服务器正在建立到已知恶意IP的出站连接，则需要立即进行调查。有不同的知识产权声誉，并不都是一样的。对于这些，重要的是做额外的调查，以确定什么声誉以及可能的风险。我们检查的其中一项是IP位置，然后询问：

• 这是否来自一个已知具有不良活动的地理区域？
• 我的服务器应该与该地区的IP进行通信吗？
• 什么是确定的声誉，垃圾邮件，扫描，开发等？
• 其他IP信誉来源对这个IP有什么做法？

文件活动

文件监控活动通常是最容易定义的区域，有时是最重要的。有一个预定义的文件和目录开始肯定有帮助，但这可能只是一个开始。通常需要监视的文件是包含私钥信息、证书文件、密钥文件等以及服务器配置的文件。创建文件监视规则时需要考虑的一些事项与您要提醒的操作有关。使用先进的文件监控解决方案，不仅可以在修改文件时发出警报，而且还可以在发生许多其他操作时（例如打开，删除，创建或甚至复制文件）等。

一些最后的想法 通过完成一个基线程序并为我们的客户实施规则和警报，威胁堆栈已经认知，在客户环境中发生的许多事情并不是预期的。 虽然这些并不总是与安全有关，但它们肯定会有安全隐患。 通过遵循我们在加入用户方法中使用的分析过程，您可以创建更好的环境图景。 反过来，这将使您能够更全面地了解在该环境中发生的行为和活动。