京东就像一座人口来往繁忙的大型“城池”,每天都有大量人群在“城池”内外穿梭流动,在11.11大促活动期间,更会人流量暴增,给“城池”安全运行带来巨大考验。如何帮助这座“城池”构建好安全防御系统,使“城池”保证忙而有序、安全平稳,是保证持续繁荣发展的关键。
在2017年京东集团年会上“技术、技术、技术”三个词喊出后,京东智联云作为京东的技术基石,在京东大促活动中承担的责任越来越重,同时也积累了丰富的经验。本篇文章将和大家分享京东智联云在护航11.11大促中,是如何筑牢“城池”的安全防御系统?
开头提到了京东就像一座大型“城池”,当一座城池备战防御的时候,需要进行城墙巡检、城门加固、护城河构筑、甬道加固等加固工作,来筑牢“城池”的安全防御系统,同时还需要进行实战演习,检验安全防御系统的有效性。
▲图1 筑牢“城池”安全防御系统步骤▲
“城墙巡检”—— 全面基线巡检
全面基线巡检,是为了保证基本面没有大的缺口,规避“木桶效应”,避免被黑客轻而易举的长驱直入。
全面基线巡检的难点在于:
1)如何保障全面性;
2)如何准确快速完成检查。
在全面性保障方面,京东智联云有统一的资产管理平台,对实体、虚拟资产进行统一管理。那作为云租户,如何来保障对资产的全面管理?云原生管理控制台天然具备统一的资产管理能力,所有购买资源都可以在上面进行统一管理。
在巡检的准确快速性方面,则主要通过分布式漏洞扫描快速完成在暴露的攻击面扫描,重点关注如:弱口令、远程命令执行等可以被黑客One Step利用并且造成重大危害的漏洞。同时,通过主机安全对存在潜在风险的配置项进行检查,消除因配置导致风险。通过漏洞扫描+主机安全的组合拳,保证系统在基本面上没有大的缺口。
云上租户也可以直接在云上使用网站威胁扫描、主机安全这套组合拳,来对业务基本面实施安全检查。
“城门加固”—— 重点系统加固
重点系统加固,首先需要锁定重点系统,重点系统通常是指在业务核心链路上出现问题可能产生阻塞,进而影响整个业务的系统。
重点系统在日常工作中往往已经在安全方面进行了重点关注,在大促备战期间主要关注:
1)重点系统在大促过程中扩容的资源是否保持与原来一样的标准;
2)已知风险是否已经完成修复,未完成修复的风险规避方案如何实施。
在系统变更方面,京东智联云有统一的部署平台,对系统的新增部署有统一记录,部署变更记录,准确定位到新增部署点,检查安全措施是否符合要求,保证安全措施的一致性。对已知风险未修复的点,则通过安全防护产品或者安全访问控制策略进行风险规避,完成系统加固。
针对重点系统加固的同时,京东智联云还会组织实战演练,进行“红蓝攻防对抗”,模拟真实黑客攻击检验系统加固的有效性,发现隐藏的薄弱环节,并反馈改进方案,进一步提升系统安全性。
云上租户也可以通过云上WAF、主机安全等安全防护产品的使用来加固重点业务系统,同时也可以使用安全攻防服务,来进行真实的“红蓝攻防对抗”,模拟黑客攻击,检验系统隐藏较深的薄弱点。
“护城河构筑”—— 超大流量DDos攻击防护方案
DDoS全称Distributed Denial-of-Service,其中Denial-of-Service意为拒绝服务,它的目的就是使服务不能访问。Distributed是分布式,指的是这种攻击不是来自一个源头,有可能来源于成千上万台设备。
随着IoT行业发展,物联网设备增多,在线时间长,漏洞更新周期长,成为攻击者漏洞利用的温床,物联网设备逐渐成为DDoS攻击的主力目标。据统计,2019年国内DDoS攻击次数相比2018年增加了30.2%,100Gbps以上大型攻击次数逐步攀升,超大规模攻击持续增长已成为常态。
京东智联云的高防业务经过多年大促历练,可以有效抵御SYN Flood、UDP Flood、ICMP Flood等各种流量攻击,并且可以通过自建的超大带宽高防机房、近源清洗、流量压制、DNS刷新等机制,提供TB级流量防御能力,抵御超大流量攻击。
▲图2 超大流量DDoS攻击防护方案▲
超大流量DDoS攻击防护的实战演练,也会在大促前完成,主要通过京东智联云在全国各地自建的机房,模拟多次超大流量攻击,验证防护能力的有效性。多次演练和实战都证明,京东智联云的超大流量DDoS攻击防护方案完全可以抵御TB级的流量攻击。
“加固甬道”—— 生态商家安全能力输出
大促期间,京东周边生态的商家也会面对大量攻击威胁,京东智联云作为京东集团对外技术赋能的出口,对外输出了完整的覆盖网络层、应用层、业务层、数据层的整体解决方案,并实现了安全能力的积木化应用,生态商家可以根据自有需求选用对应能力进行安全加固。
“战备指挥”—— 安全运营中心
战前准备工作完成后,就将进入到战备指挥阶段,京东智联云安全运营中心作为京东智联云安全大脑,收集各个安全组件的海量数据,通过大数据关联分析和机器学习技术,从全局视角提升对安全威胁的发现识别、理解分析、响应处置,最终提供给安全专家安全决策参考。
安全运营中心的安全分析能力来源于三部分:
1、京东历年积累的618和11.11实战安全攻防数据;
2、京东智联云安全专家团队分析提炼的上百种威胁模型;
3、基于京东智联云丰富的用户业务场景获取的海量训练样本和威胁情报。
与各安全产品单兵作战的场景不同,安全运营中心会7X24小时不间断地分析和关联各安全产品的攻防数据,对异常行为和攻击特征进行精准提取和还原。在提升各安全产品防护效果的同时,协助安全专家完成大规模攻击下的安全研判和决策。
▲图3 安全指挥大屏▲
总结
京东智联云作为京东的技术基石,通过对“城墙”、“城门”、“护城河”的构筑,已经为京东这座人声鼎沸、车水马龙的“城池”建立好了完善的安全防御系统,同时通过“甬道”为生态商家进行了安全能力输出,为生态商家的安全能力提升提供了坚实的基础。