公有云安全概述

云安全职责划分-共同担责

软件即服务SAAS

云服务厂家几乎负责所有的安全性，因为租户只能访问、管理和使用其提供的应用程序，但无法对应用程序做破坏性操作。例如：SAAS服务厂家提供安全、日志、运维、审计、应用安全性检测等，二租户只能给管理租户账户和权限。

平台及服务PAAS

云服务厂家负责平台的安全性，租户负责平台上部署的应用，包括所有的应用安全配置。两者职责几乎均分。例如RDS关系型数据库服务，云服务厂家提供RDS实例管理安全、RDS实例的修复和核心配置。租户对数据库账户、访问安全等负责。

基础设置即服务IAAS

云服务厂家负责基本的安全，而租户负责在此基础上搭建的其它安全。相比PAAS，IAAS租户承担更多的职责。

租户安全关注点——治理和企业风险管理

组织治理和度量云计算带来的企业风险的能力。 例如违约的判决先例，用户组织充分评估云提供商风险的能 力，当用户和提供商都有可能出现故障时保护敏感数据的责任，及国际边界对这些问题有何影响等都是关注点。

法律问题：合同和电子举证

使用云计算时潜在的法律问题。 本节涉及的的问题包括信息和计算机系统的保护要求、安全漏 洞信息披露的法律、监管要求，隐私要求和国际法等。

合规性和审计管理

保持和证明使用云计算的合规性。 本节涉及评估云计算如何影响内部安全策略的合规性、以及不同的合规性要求（规章、法规等）。同时还提供在审计过程中 证明合规性的一些指导。

信息治理

治理云中的数据。 本节涉及云中数据的识别和控制；以及可用于处理数据迁移到 云中时失去物理控制这一问题的补偿控制。也提及其它项，如谁负责数据机密性、完整性和可用性等。

管理平面和业务连续性

保护访问云时使用的管理平台和管理结构，包括 Web 控制台 和 API。确保云部署的业务连续性。

基础设施安全

核心云基础架构安全性，包括 络、负载安全和混合云安全考虑。该领域还包括私有云的安全基础。

虚拟化及容器（Container）技术

虚拟化管理系统、容器和软件定义的 络的安全性。

事件响应、通告 和补救

适当的和充分的事件检测、响应、通告和补救。尝试说明为了启动适当的事件处理和取证，在用户和提供商两边都需要满足的一些条目。本域将会帮助您理解云给您现有的事件处理程序带来的复杂性。

应用安全

保护在云上运行或在云中开发的应用软件。包括将某个应用迁移到或设计在云中运行是否可行，如果可行，什么类型的云平 台是最合适的（SaaS, PaaS, or IaaS）。

数据安全和加密

实施数据的安全和加密控制，并保证可扩展的密钥管理。

身份、授权和访问管理

管理身份和利用目录服务来提供访问控制。关注点是组织将身 份管理扩展到云中遇到的问题。本节提供洞察评估一个组织准备就绪进行基于云的身份、授权和访问管理(IdEA)。

安全即服务

提供第三方促进安全保障、事件管理、合规认证以及身份和访问监督。

相关技术

与云计算有着密切关系的已建立的新兴技术，包括大数据，物联 和移动计算。

租户云上安全诉求及方案

业务连续不中断

业务中断的主要原因

络攻击

络的每一层都有可能成为攻击者的切入点，非应用层的攻击可能导致基础 络不可用，如DDOS、DOS可以让企业 络出口几乎等于不可用，针对应用层的CC攻击可以让服务器无法正常对外提供服务，无论针对哪一层进行的攻击行为，都有可能导致客户的业务中断，无法正常运行。

漏洞

没有及时修补的漏洞、0Day，都使得企业的业务运行在不安全的环境下，利用漏洞的攻击可以让黑户非法窃取数据、造成业务中断、数据丢失等。以在护 行动中暴露出来的coremail为例，可造成coremail的配置文件信息泄露，其中包括数据库连接的用户名密码等敏感信息

病毒

如果近几年来让大家印象深刻的导致业务中断的事件，由勒索病毒（永恒之蓝、warnnacry）为代表的病毒大家再熟悉不过了，病毒对在很多方面都可以导致业务系统不可用：服务器资源高占用、死机、数据被删除、数据被加密等。

络攻击的分类

络攻击按照流量特点可以分为流量型攻击和单包攻击两种。

流量攻击也就是我们熟知的DOS、DDOS，使用大量的流量或者应用层连接造成业务不可用。

单包攻击虽然没有大量的流量，但是通过构造特殊的 文来攻击 络中设备的漏洞，可直接造成 络设备的宕机、 络拓扑信息泄露。

流量型攻击分类

流量型攻击从攻击层面可以分为 络层和应用层，通过构造大量 文造成接口流量拥塞、设备处理卡顿，从而达到正常业务流量无法得到及时处理的问题，借此来中断业务。

TCP flood

攻击者首先伪造地址对服务器发起SYN请求，服务器就会回应一个ACK+SYN，而真实的IP没有发送请求，不作回应。服务器没有收到回应，会重试3-5次并且等待一个SYN Time（一般30秒-2分钟）后，丢弃这个连接。如果攻击者大量发送这种伪造源地址的 SYN请求，服务器端将会消耗非常多的资源来处理这种半连接（SYN_RECV状态），保存遍历会消耗非常多的CPU时间和内存，何况还要不断对这个列表中的IP进行 SYN+ACK的重试，服务器无暇理睬正常的连接请求造成拒绝服务。这种情况称作服务器端受到了SYN Flood攻击（SYN洪水攻击）

UDP flood

UDP协议是一种无连接的服务,攻击者向服务器发送大量UDP协议数据包，导致服务器带宽和系统资源耗尽，无法提供正常服务。比较常见的是攻击者利用大量UDP小包冲击DNS服务器或Radius认证服务器、流媒体视频服务器等。UDP Flood攻击包括小包和大包两种方式进行攻击。

ICMP flood

ICMP Flood 攻击属于流量型的攻击方式，攻击者使用工具发送大量的伪造源IP的ICMP 文，造成服务器带宽资源被大量占用，给服务器带来较大的负载，影响服务器的正常服务。由于目前很多防火墙直接过滤ICMP 文， 因此ICMP Flood出现的频度较低。

HTTP flood

常见的HTTP Flood攻击分为HTTP get flood、HTTP post flood，是指利用应用层Http协议，向服务器发送海量Http请求，造成服务器繁忙和资源耗尽，无法正常提供服务的DDoS攻击。

HTTPS floofd

与HTTP flood类似，只是基于HTTPS。

DNS flood

分为DNS Query Flood和DNS Reply Flood。DNS Query Flood采用的方法是向被攻击的服务器发送大量的域名解析请求，域名解析的过程给服务器带来了很大的负载，每秒钟域名解析请求超过一定的数量就会造成DNS服务器解析域名超时，导致DNS服务器无法为合法用户提供服务。通常攻击者所请求解析的域名是随机生成或者是 络世界上根本不存在的域名，被攻击的DNS DNS服务器就需要进行频繁的字符串匹配，由于在本地无法查到对应的结果，服务器必须使用递归查询向上层域名服务器提交解析请求，引起连锁反应，从而给DNS服务器带来更大的负载。DNS reply flood就是黑客发送大量的DNS reply 文到DNS缓存服务器，导致缓存服务器因为处理这些DNS reply 文而资源耗尽，影响正常业务。

SIP flood

攻击者通过发送大量的INVITE消息到SIP服务器，导致被攻击SIP服务器分配大量的资源用以记录和跟踪会话，直到资源耗尽而无法响应合法用户的呼叫请求。

SIP（Session Initiation Protocol，会话初始协议）的开发目的是用来帮助提供跨越因特 的高级电话业务。因特 电话（IP电话）正在向一种正式的商业电话模式演进，SIP就是用来确保这种演进实现而需要的NGN(下一代 络）系列协议中重要的一员。支持H.264协议。

单包攻击种类

最常见的DoS攻击就是我们常常提到的单包攻击，这类攻击一般都是以个人为单位的黑客发动的，攻击 文也比较单一，虽然破坏力强大，但是只要掌握了攻击的特征，防御起来还是比较容易的。

畸形 文攻击：通常指攻击者发送大量有缺陷的 文，从而造成主机或服务器在处理这类 文时系统崩溃。

扫描类攻击：是一种潜在的攻击行为，并不具备直接的破坏行为，通常是攻击者发动真正攻击前的 络探测行为。

特殊控制 文攻击：也是一种潜在的攻击行为，不具备直接的破坏行为，攻击者通过发送特殊控制 文探测 络结构，为后续发动真正的攻击做准备。

扫描窥探攻击

利用ping扫射（包括ICMP和TCP）来标识 络上存活着的系统，从而准确定位潜在的目标；利用TCP和UDP端口扫描，就能检测出操作系统和监听着的潜在服务。攻击者通过扫描窥探就能大致了解目标系统提供的服务种类和潜在的安全漏洞（识别目标弱点），为进一步侵入系统做好准备。

畸形 文攻击

通过向目标系统发送有缺陷的IP 文，使得目标系统在处理这样的IP 文时发生错误，或者造成系统崩溃，影响目标系统的正常运行。主要的畸形 文攻击有Ping of Death、Teardrop等。

特殊 文攻击

攻击者利用一些合法的 文对 络进行侦察或者数据检测，这些 文都是合法的应用类型，只是正常 络很少用到。

 

 

 

络攻击防范

防火墙，antiddos

安全组：防护对象为弹性云服务器

络ACL：防护对象为VPC的子

 

 

计费项：基础防护+业务带宽+弹性防护

付费方式：预付+后付

计费周期：基础防护带宽（Gbit/s）、业务带宽（Mbit/s）按照月/年计费，购买时生成预付费订单付费。

后付费周期：弹性防护带宽（Gbit/s）按自然日计费，按照前一日实际发生的超出基础防护攻击峰值生成后付费账单。

漏洞

漏洞会影响到很大范围的软硬件设备，包括操作系统本身及其支撑软件， 络客户和服务器软件，路由器和安全防火墙等。换而言之，在这些不同的软硬件设备中都可能存在不同的安全漏洞问题。

常见漏洞按照分类可以分为三大类：主机漏洞、Web漏洞和数据库漏洞。

主机漏洞：内存破坏类漏洞、CGI类漏洞、输入验证类漏洞、配置错误类漏洞、系统本地补丁、常见协议弱口令、木马病毒

Web漏洞：SQL注入攻击、跨站脚本、文件包含、远程代码执行、主流CMS漏洞。

数据库漏洞：常见类型数据库漏洞，如Oracle、MySQL、SQL Server、DB2、Informix、Sybase

基于威胁类型分类：

获取控制：劫持执行程序流程，使程序执行指定任意指令或命令，控制应用系统或操作系统。

获取信息：劫持程序访问预期外的资源并被攻击者获取，影响系统的机密性。

拒绝服务：导致目标应用或系统暂时或永久性失去相应服务的能力。

基于技术类型分类：

内存破坏类：栈缓冲区溢出，堆缓冲区溢出，静态数据区溢出。

错误逻辑类：安全检查的实现逻辑上上有问题。

设计错误类：系统设计上对安全机制的考虑不足导致在设计阶段引入安全漏洞。

错误配置类：系统运维过程中默认不安全的配置状态。

输入验证类：对用户输入没有做充分的检查过滤就用于后续操作导致的漏洞。

漏洞防御

针对Web安全的防御主要可以分为以下两个方面：

用户侧：在用户侧通过限制用户可访问的Web站点类型，限制恶意站点，从而达到防御Web攻击的目的。

站点侧：在站点上规范开发，开发时从语言编写层面防御针对Web攻击，让攻击行为无法被执行。

病毒

病毒是一组程序或指令的集合，它能够通过某种途径潜伏在计算机存储介质或程序中，当达到某种条件（如特定时间或者特定 络流量等）时被激活，从而对计算机资源进行一定程度的破坏。

病毒的传播途径多种多样，在早期以移动介质传播为主，但是随着Internet技术的发展，以及E-mail和一批 络工具的出现，使得计算机病毒的种类迅速增加，扩散速度也大大加快，计算机病毒的传播方式迅速转变以 络系统间的传播为主。

络（电子邮件、 页链接、P2P共享）、U盘等

病毒特征

病毒具有以下特征：

传染性

可以通过多种方式传播，在当今互联 时代，病毒可以通过 络迅速传播到世界的各个地方。

破坏性

一般的病毒会删除、加密系统内文件，少部分的病毒会对计算机的硬件进行不可逆的破坏，如CIH病毒。

隐蔽性

一般病毒很难被发现，他们会伪装地和正常程序名称很像，让人很难察觉，如svh0st这种名称，不仔细观察会认为是系统进程（svhost是windows系统正常的系统进程）。有的病毒会依附于正常程序，当正常程序执行时它们也会被调用。

潜伏性

并不是所有的病毒都会立即执行，而是等待设定的触发条件达到才会执行，比如某个时间点。

不可预见性

不同类型的病毒之间从代码角度来看差距很大，很难不查看代码的具体行为就判断出该程序是不是病毒，同时对代码的一点修改，就可以让病毒的行为改变，从而绕过杀毒软件已经退出的检测、查杀手段。

病毒分类

按破坏性分类：

良性病毒：良性病毒并不破坏系统中的数据，而是干扰用户的正常工作，导致整个系统运行效率降低、系统可用内存总数减少、使某些应用程序不能运行。

恶性病毒：恶性病毒发作时以各种形式破坏系统中的数据。如删除文件、修改数据、格式化硬盘或破坏计算机硬件。

传播媒介分类：

单机病毒：单机病毒的载体是磁盘，常见的是病毒从软盘传入硬盘，感染系统，然后再传染其他软盘，软盘又传染其他系统。

络病毒： 络病毒的传播媒介不再是移动式载体，而是 络通道，这种病毒的传染能力更强，破坏力更大。

按传染方式分类

文件型病毒：文件型病毒是指能够感染文件、并能通过被感染的文件进行传染扩散的计算机病毒。

系统引导型病毒：这类病毒隐藏在硬盘或软盘的引导区，当计算机从感染了引导区病毒的硬盘或者软盘启动，或者当计算机从受感染的磁盘中读取数据时，引导区病毒就会开始发作。

混合型病毒：混合型病毒综合了系统引导型和文件型病毒的特性，它的危害比系统引导型和文件型病毒更为严重。这种病毒不仅感染系统引导区，也感染文件，通过这两种方式来感染，更增加了病毒的传染性以及存活率。

宏病毒：宏病毒是一种寄存于文档或模板的宏中的计算机病毒，主要利用MicrosoR word提供的宏功能来将病毒带进到带有宏的Doc文档中，一旦打开这样的文档，宏病毒就会被激活，进人计算机内存中，并驻留在Nonnal模板上。

按连接方式分类：

源码型病毒：源码型病毒攻击的对象是高级语言编写的源程序，在源程序编译之前插入其中，并随源程序一起编译、连接成可执行文件。

入侵型病毒：入侵型病毒将自身连接入正常程序之中。这类病毒难以被发现，清除起来也较困难。

操作系统型病毒：操作系统型病毒可用其自身部分加入或替代操作系统的部分功能，使系统不能正常运行。

外壳型病毒：外壳型病毒将自身连接在正常程序的开头或结尾。

病毒防范

针对病毒大家最了解的防御手段：杀毒软件，Anti Virus，一般简称AV，从查杀原理来区分，AV可以分为两种类型：

扫描性：描病毒程序本身的特征，然后与杀软病毒库中的特征码作对比，能够匹配说明就是病毒，但随着病毒越来越多，病毒库的体积会越来越臃肿，客户需要频繁地升级病毒库。

主动防御性：将可疑程序放到一个“沙箱”内运行，“沙箱”是一个模拟的操作系统，沙箱会观察该程序是否会执行一些危险行为，表现出明显的病毒特征，如果在模拟的操作系统内该程序表现出一些危险行为，沙箱会判定该程序为病毒。

从防范的位置来看，一般在主机侧（用户主机、服务器）通过安装杀毒软件、定期查杀、更新系统等行为进行防范，在 络侧通过部署具有防病毒功能的防火墙、物理沙箱设备来进行主动防御。

华为云租户业务防护方案

漏洞扫描服务VSS具有web 站扫描和主机扫描HSS（host security service）两种扫描能力。

漏洞扫描服务帮您快速检测出您的 站和主机存在的漏洞，提供详细的漏洞分析 告，并针对不同类型的漏洞提供专业可靠的修复建议。

体验式扫描

第一次使用漏洞扫描服务的新用户，在未进行域名认证时，可以对 站进行体验式扫描，预估 站风险。

主机漏洞扫描

支持深入扫描

通过配置验证信息，可连接到服务器进行OS检测，进行多维度的漏洞、配置检测。

支持内 扫描

可以通过密钥的方式访问业务所在的服务器，适配不同企业 络管理场景。

支持弱密码扫描

多场景可用

全方位的OS连接，涵盖90%的中间件，支持标准Web业务弱密码检测、操作系统、数据库等弱口令检测。

丰富的弱密码库

丰富的弱密码匹配库，模拟黑客对各场景进行弱口令探测，同时支持自定义字典进行密码检测。

支持中间件扫描

丰富的扫描场景

支持主流Web容器、前台开发框架、后台微服务技术栈的版本漏洞和配置合规扫描。

多扫描方式可选

支持通过标准包或者自定义安装等多种方式识别服务器中的中间件及其版本，全方位发现服务器中的漏洞风险

站漏洞扫描

具有OWASP TOP10和WASC的漏洞检测能力，支持扫描22种类型以上的漏洞。

扫描规则云端自动更新，全 生效，及时涵盖最新爆发的漏洞。

支持HTTPS扫描。

一站式漏洞管理

支持任务完成后短信通知用户。如果您希望在扫描任务执行完成后收到短信通知，请购买专业版或者企业版。

提供漏洞修复建议。如果您需要查看修复建议，请购买专业版或者企业版。

支持下载扫描 告，用户可以离线查看漏洞信息，格式为HTML。如果您需要下载扫描 告，请购买专业版或者企业版。

支持重新扫描。

自定义扫描

支持任务定时扫描。

支持端口扫描。

支持弱密码扫描。如果您需要对 站进行弱密码检测，请购买专业版或者企业版。

支持自定义登录方式。

支持Web 2.0高级爬虫扫描。

web 站扫描采用 页爬虫的方式全面深入的爬取 站url，基于多种不同能力的漏洞扫描插件，模拟用户真实浏览场景，逐个深度的分析 站细节，帮助用户发现潜在的安全隐患。同时内置了丰富的无害化扫描规则，以及扫描速率动态调整能力，可有效避免用户 站业务受到影响。

 

主机扫描需要经过用户授权（支持账密授权、脚本授权方式）访问用户主机，能够自动发现并检测主机操作系统、中间件等版本漏洞信息和基线配置，基于实时同步官 更新的漏洞库匹配漏洞特征，帮助用户及时发现主机安全隐患。

 

Web应用防火墙（Web Application Firewall，WAF），通过对HTTP(S)请求进行检测，识别并阻断SQL注入、跨站脚本攻击、 页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意爬虫扫描、跨站请求伪造等攻击，保护Web服务安全稳定。

操作全程可管控

 

用户可通过云服务基线查看各项风险的详细信息和指导建议。

身份认证

• 检查是否启用IAM用户
• 检查租户的用户列表，是否至少有两个已启用的用户，且其中一个用户所属的用户组不是admin用户组。启用IAM用户，是指通过IAM服务启用除企业管理员以外的其他用户，且该用户不属于admin组。

访问控制

• 络ACL规则检查
• 检查所有 络ACL的规则是否存在不安全规则，即是否存在开放过大的访问控制策略。不安全规则，即方向为入方向，动作为允许，协议为任一类别协议，源地址为0.0.0.0/0（所有地址），源端口范围为1-65535或0，目的地址为0.0.0.0/0（所有地址），目的端口范围为1-65535、0或者特定的业务端口，如22。

安全组规则检查

• 检查所有安全组的规则是否存在不安全规则，即是否存在开放过大的访问控制策略。不安全规则，即方向为入方向，协议为任一类别协议，源地址为0.0.0.0/0（所有地址），端口为1-65535或者特定的业务端口，如22。

日志审计

• 检查是否启用云审计服务
• 检查租户是否已经开通云审计服务，并且至少有一个追踪器的状态是正常的。云审计服务，可以提供云账户下资源的操作记录，通过操作记录，用户可以实现安全分析、资源变更、合规审计、问题定位等常见应用场景。
• 检查是否启用OBS桶日志记录
• 检查租户的所有OBS桶是否开启日志记录功能。OBS桶日志记录，是指用户开启一个桶的日志记录功能后，OBS会自动对这个桶的访问请求记录日志，并生成日志文件写入用户指定的桶（即目标桶）中。

数据安全

• OBS桶的ACL权限检查
• 检查所有OBS桶，是否给匿名用户赋予桶访问权限或者ACL访问权限。桶ACL是基于账 或用户组的桶级访问控制，桶的拥有者可以通过桶ACL授予指定账 或用户组特定的访问权限。为安全起见，不建议通过桶ACL为匿名用户赋予桶的相关权限。如果匿名用户被授予了访问桶的权限，则表示所有人都可以访问对应的桶，并且不需要经过任何身份认证。

RDS实例安全组规则检查

• 检查所有RDS实例关联的安全组的规则是否存在不安全规则，即是否存在开放过大的访问控制策略。不安全规则，即方向为入方向，协议为任一类别协议，源地址为0.0.0.0/0（所有地址），端口为1-65535或者数据库业务端口，如3306。

基础防护

• 检查是否启用Anti-DDoS流量清洗
• 检查租户的弹性云服务器、弹性负载均衡资源是否启用了Anti-DDoS流量清洗。启用Anti-DDoS流量清洗，是指为华为云内资源（弹性云服务器、弹性负载均衡），开启流量清洗防护，抵御DDoS攻击。

检查ECS实例是否启用企业主机安全

• 检查租户的弹性云服务器是否安装主机安全客户端，且防护状态是否开启。启用企业主机安全，是指为云主机安装主机安全客户端并开启防护。从而提升主机整体安全性，帮助企业降低主机安全风险。
• 云审计服务管理控制台支持创建数据事件追踪器，用于记录数据操作日志。        

追踪器分类

管理事件追踪器和数据事件追踪器。

管理事件追踪器用于记录管理事件，即针对云资源的操作日志，例如创建、登录、删除等。

数据事件追踪器用于记录数据事件，即针对数据的操作日志，例如上传、下载等。

策略根据授权的精细程度