云服务下的安全特点及基础防护

随着互联网和云计算的发展,公有云服务器是人们越来越容易接受的产品,其最普遍受益的一点就是节省成本。企业不必像拥有私有云那样去购买,安装,操作或运维服务器或是其他设备。在一个公有云的服务供应商提供的平台上,企业只需使用或开发他们自己的应用程序即可。但公有云的安全问题也是显而易见的,基于Internet的公有云服务的特性,全世界只要能上网的人就可以访问到其云服务器,其在云主机及其云上的数据受到威胁会更多而且更复杂,数据相对于私有云处于一个不稳定的状态。不管是传统的信息化还是未来趋势的云计算,都面临着安全的风险,从安全防护的角度来说,需要一个循序渐进的方式去完善安全体系。一般建设的顺序是网络安全、主机安全、数据安全的顺序逐步完善。

但对于很多中小企业来说,本身的设备也不是太多,也就几台到几十台而已,如果花费太多的精力去搞安全也不划算,如果不搞又感觉不放心。那什么方面的内容是中小企业关注的呢?个人认为应该优先关注访问安全,就是有没有人非法访问你的服务器,因为在云平台下,任何人只要接入网络都可以访问到你的机器。所以我认为应该优先关注此信息,报告非上班时间访问,非上班地点访问,密码猜测,账号猜测,账号猜测成功等行为。从我了解的情况下,这部分目前还没有比较有效的开源或者免费工具供大家使用,现在elk用的比较多,但大多数情况下都不太适合中小公司,门槛太高。因此本公司针对这种情况,专门开发了赛克蓝德日志分析软件。可以针对上面的几种情况进行分析,部署简单学习成本很低。

首先上一张门户图:

下面来分析下几种告警:

非上班时间登录

本次告警规则为非上班时间登录系统,主要的目的是防止有人在非上班时间登录系统,这种情况是比较危险的。

验证过程:

首先配置非上班时间,这个系统已经内置,在安全配置的安全配置中。默认0点到8点,晚上20点到24点为非上班时间。

然后再用ssh连接工具,比如SecureCRT登录系统。这个时候就会有一条日志记录。

从日志上可以看出,登录时间为21:32:28秒,是属于非上班时间。登录后等个两三分中到WEB关系系统中查看日志和告警。

可以看出系统记录了日志,并产生了告警。

非上班地点登录

本次告警规则为非上班地点登录系统,主要的目的是防止有人在非上班地点登录系统,这种情况是比较危险的。

验证过程:

首先配置上班地点。这些数据要根据工作环境设置。从中可以看出这里里面没有192.168.21.1。需要注意的是配置完成后需要重新启动采集器来加载配置参数。

验证的过程和非上班时间一致。这个时候会产生一条非上班地点告警。需要注意的是对同一条事件如果满足多个告警规则,会生成多条告警,但日志只有一条。

从告警日志的详情来看和刚才的非上班时间登录是同一条日志。

当把192.168.21.1添加到上班地点中的时候,在做一次登录操作。这时候发现并没有产生告警,则表示此规则生效。

密码猜测攻击

密码猜测攻击是一种非常常见的攻击手段,其特征是一段时间内容有连续的错误登录日志,则可以确定为密码猜测攻击。

验证过程:

在一段时间内连续输错密码即可。从日志上看,在短时间内输错了3次密码。

产生的告警如下:

对应的事件:

这里面有个疑问就是多条日志在这里面只有一条日志,但对应的告警数量是3,这是因为在系统中对原始事件做了归并处理,当系统发现原始事件是一类的时候,就把这些事件合并成一条事件,对应的事件数量为实际发生的数量。

账号猜测攻击

账号猜测攻击是一种非常常见的攻击手段,一般被攻击者首先要确定主机的账号后才能对其发起进一步的攻击。所以一般攻击者首先会猜测root的账号,所以修改root账号名称或者禁止root账号远程登陆是非常有效的安全手段。其特征是一段时间内容有连续的账号不存在登录日志,则可以确定为账号猜测攻击。告警规则如下:

验证过程,用系统中不存在的账号登录系统。

产生的告警如下:

所对应的日志详情如下:

密码猜测攻击成功

密码猜测攻击成功是一种非常严重的攻击,表示攻击者已经攻击成功,进入了系统,这种情况是非常危险的,尤其要重点关注此告警。这种告警的主要特点是,刚开始的时候,用户有密码猜测的行为,紧接着用户会有一条登录成功的行为,这两种行为结合起来后就可以得出密码猜测攻击成功。

验证过程,首先用错误的密码连续登录系统几次,之后再用正确的密码登录。

产生的告警,可以看到产生了两条告警,一条是密码猜测攻击,一条是密码猜测攻击成功。

我们在看一下系统里面记录的日志,明显能看到,先有5此失败登录,紧接着有一条成功的日志。

从上面可以看出,基本上可以满足中小公司对登录日志分析的要求。

下载地址:

linux版本:http://pan.baidu.com/s/1i3sz19V

window版本:http://pan.baidu.com/s/1mg00RQo

欢迎试用,并提宝贵建议。

时间: 2024-10-26 06:18:32

云服务下的安全特点及基础防护的相关文章

Azure不同云服务下的虚拟机进行通信

在同一个云服务下的VM是具有同一个VIP.您可以创建两台vm分别在不同的云服务下(具有独立的VIP),都挂载在同一个虚拟网络下,这样,同一个虚拟网络下的两个云服务下的两台vm是可以通过VIP通信的. 相关测试,细节如下: 建立两台VM,分别在不同的云服务下,但挂在同一虚拟网络下.两台vm的信息如下: 2. 验证此场景下的两台VM的连通性:分别登陆两台VM,首先关闭防火墙.然后下载psping.exe( http://technet.microsoft.com/en-us/sysinternals

Azure IaaS云服务对应多个VIP

本文将介绍中国区Windows Azure Cloud Service可以启用多个虚拟IP的功能. [Part.1]应用场景: (1)同一个云服务下有多个SSL Website VM,为了能给每个VM分配443端口,需要配置多VIP. (2)SQL AlwaysOn:Another scenario for the use themultiple VIPs is hosting multiple SQL AlwaysOn availability group listeners onthe sa

Microsoft Azure系列之九 实现基于Iaas云服务的虚机负载平衡

如果需要对一个云服务下的不同虚拟机实现负载均衡,可以将Public Port的消息通过负载均衡转发到每个VM,从而实现请求的自动负载均衡. 具体拓扑如下: 我们可以对之前创建的这两台虚拟机,设置80端口的负载均衡. 注意:Azure的负载均衡目前只支持四层,不能保留Session. 负载均衡的算法是Azure设置好的,不能修改.算法主要依赖于五元组(source IP, source port, destination IP, destination port, protocol type).

云环境下的安全服务架构

这几天被利用smb等漏洞入侵并使用加密勒索软件的新闻刷屏了,至少各大公有云厂商.云安全服务厂商的响应都还挺及时,更新了防护规则.漏洞检测规则.补丁升级程序,并对开启了相应服务端口的客户进行了提示告警.国内优秀的安全团队更是早在4月份NSA文件刚被公开解密后就开始了对这些问题的密切关注,并对各自有合作的云业务进行了工作开展.不难发现,利用云的力量统一推送安全规则,统一监测告警对这些突发事件应急响应一定是安全的趋势. 因为这次大范围勒索软件对这波NSA公开漏洞感兴趣的可以研究下: x0rz/EQGR

linux下手工启动坚果云服务

自从使用awesome window manager之后,坚果云服务就不再自动启动了,需要手动启动. 坚果云的启动脚本位置为:"~/.nutstore/dist/bin/nutstore-pydaemon.py" 要在awesome window manager中设置为自动启动坚果云服务,则需要在awesome window manager配置文件rc.lua中添加如下代码: -- 自启动 autorun = true autorunApps =  {      "~/.nu

不熟悉云服务的情况下,改怎样选择适合自己的云服务器了?

不熟悉云服务器怎么选?新手想要租用云服务器,可能对云服务器并不熟悉,这时候如何知道选择什么样的云服务器好呢?Aone云大白根据多年来从事云服务器工作的经验来跟您探讨新手怎样选择自己合适的云服务器. 其实如果不熟悉云架构的复杂性,面对许多不同的云服务器供应商,可能很容易将云平台视为可互换的.从表面上看,各种不同的云平台功能差异不大,但事实却更加复杂.不同的云平台在许多方面存在极大差异,包括功能.可用性.可扩展性和性能.下面我们就来详细了解一下云服务的选择需要注意哪些. 1.网站种类:静态数据或动态

混合云服务哪家强? “天翼混合云”欲挑大梁

2月12日,由中国最大的云计算服务提供商之一中国电信股份有限公司云计算分公司(以下简称中国电信云公司)负责运营的中国电信天翼混合云服务正式开始商用.据中国电信云公司介绍,这是国内首次正式提供基于虚拟数据中心(Virtual Data Center, VDC)的混合云服务. 正式商用的天翼混合云服务究竟包括哪些具体的服务内容呢?中国电信云公司将面向国内用户提供包括虚拟数据中心(VDC).云容灾服务(DR2C)等在内的混合云服务,同时结合中国电信云公司自身的服务优势,包括专线链路服务.CDN服务.域

(三)整合spring cloud云服务架构 - particle云架构代码结构构建

上一篇介绍了spring cloud云服务架构的基本架构图,本篇我们根据架构图进行代码的构建.根据微服务化设计思想,结合spring cloud本身的服务发现.治理.配置化管理.分布式等项目优秀解决方案,我们使用Maven技术将框架进行模块化.服务化.原子化封装,也为后期的热插拔.持续集成做一些准备工作. 另外在搭建环境之前,大家需要熟练掌握maven的使用及相关异常问题的处理. particle云架构使用maven来构建的,使用maven不仅仅是jar包的管控,重要的是要抓住maven的一个核

监控宝携手华为云服务 助推云服务生态圈

监控宝携手华为云服务  助推云服务生态圈 近日,云智慧(北京)科技有限公司(以下简称:监控宝)与华为云服务达成云计算产品服务合作意向书.在合作共赢的基础上,共同构建长期.稳定的合作伙伴关系,通过华为云服务平台,携手向企业级用户提供更中立.专业.全面的云基础服务和增值服务. 随着云服务在国内市场的发展成熟,中国的云服务企业在IaaS层面上的竞争正如火如荼.企业级用户在降低成本采用租赁的模式来获取IT基础服务的同时,面对众多层次不齐的产品服务也眼花缭乱,可以说,云存储.云主机等基础云服务正在走向红海