云主机安全容灾建设

一.信息安全三要素（CIA三元组）

Confidentiality（保密性）：指只有授权用户可以获取信息。

Integrity（完整性）：指信息在输入和传输的过程中，不被非法授权修改和破坏，保证数据的一致性。

Availability（可用性）：指保证合法用户对信息和资源的使用不会被不正当地拒绝。

CIA三元组

从优先级上称呼，个人更喜欢叫AIC，即：Availability（可用性）> Integrity（完整性）> Confidentiality（保密性）

事实上，真实场景下好的安全架构逻辑，安全防护方案，优先级上也应遵循AIC顺序。

三元组相辅相成，缺一不可。

许多安全解决方案普遍存在以下两类局限性：

（1）过度关注保密性和完整性，而忽略系统可用性。
（2）过度关注架构内因对可用性的影响，忽略外部安全问题对可用性影响。

安全容灾解决方案同业务容灾解决方案的区别：

（1）业务容灾解决方案倾向业务架构内因解决问题。业务容灾问题发生的普遍原因是基于业务访问量，架构负载，业务逻辑等内部可用性层面导致，解决思路多以异地灾备，混合云多活灾备， 数据迁移同步等层面解决。

（2）安全容灾解决方案倾向安全行为外因解决问题。安全容灾问题的普遍原因是基于外部安全攻击行为导致，解决思路多以数据灾备，主机灾备，安全防御，安全检测等思路解决。

安全的根本目的是：保障业务的连续性。

不能片面地为了“安全”而安全。

二.主机安全面对的灾有哪些

1.核心灾难：勒索病毒

（1）数据库被删勒索

数据库被删勒索

（2）数据恶意加密勒索

数据被加密勒索

2.挖矿木马

（1）服务器可用性问题：高占用CPU进程。

灾后影响：（1）业务服务崩溃，系统不可用。

（2）恢复较慢。完全清除干净+定位入侵原因+系统安全加固，常规处置需要1~2个小时。

（2）病毒消除问题：内核级kernel感染。如若清理此类内核病毒用一句话形容就是：“杀敌1000，自损800”。

清除内核挖矿木马的代价是：清除病毒同时可能导致服务器宕机。

灾后影响：（1）业务服务崩溃，系统不可用。

（2）消除不净，病毒反复重生，耗散人力。若重装系统，数据损耗大，时间损耗长。

控制台监测：CPU长期被100%占用

主机监测：挖矿进程高占用，CPU高占用

3.后门植入

（1）入侵问题：一句话木马，webshell植入

灾后影响：（1）APT攻击：存在长期安全隐患。

（2）数据安全隐患：数据泄露，隐私泄露

（3）业务服务奔溃：一切取决于攻击者何时发起破坏

（4）伺机使用沦陷服务器发起对外攻击

webshell远程控制服务器

（2）僵尸网络问题：DDOS僵尸网络控制。

灾后影响：业务服务崩溃不可用

常见三种原因：（1）出站流量过载。

（2）被植入僵尸网络agent，发起对外攻击，被自身云平台发现封禁。

（3）流量异常被运营商封禁。

僵尸网络对外攻击

三.2021勒索大事记：（Colonial Pipeline）

美国能源输送公司Colonial Pipeline被Darkside勒索软件勒索500万美元

当你以为为攻击者支付比特币就能解密数据的时候，其实不然：

彭博社：遭勒索攻擊的Colonial Pipeline花了大筆冤妄錢，換到不中用的解密工具：https://www.ithome.com.tw/news/144418

四.云安全方案架构

云上安全解决方案架构

安全容灾方案是基础兜底，运用于故障后业务快速恢复，服务于Availability（可用性）和 Integrity（完整性）

安全防御方案是核心能力，发挥御敌以千里之外的作用，服务于Integrity（完整性）和 Confidentiality（保密性）

安全监测方案是上层可视，运用于长期安全运营，攻击分析，攻击溯源。服务于 CIA全过程

五.云主机安全容灾解决方案

1.第一步：快照备份，全盘快照

（1）创建云上定期快照：https://cloud.tencent.com/document/product/362/8191

创建云上定期快照策略

（2）对核心数据定期备份至本地硬盘。

2.第二步：云上防御，选择混合云架构勒索防御安全产品

（1）腾讯云

腾讯主机安全混合云解决方案：https://v2.s.tencent.com/activity/news/70

腾讯云主机安全混合云解决方案

（2）阿里云

阿里云防勒索解决方案:https://cn.aliyun.com/solution/security/bvp

aliyun公有云防勒索解决方案

aliyun混合云防勒索解决方案

（3）华为云

华为云主机安全HSS防勒索最佳实践：https://support.huaweicloud.com/bestpractice-hss/hss_06_0010.html

华为云主机安全HSS防勒索架构

3.第三步：终端防御，按需配置终端安全产品

（1）腾讯御点：https://guanjia.qq.com/avast/177/index.html

腾讯御点

（2）VERITAS：https://www.veritas.com/protection/netbackup#announcement

VERITAS勒索防御