往年的生活有多惬意呢?周末可以逛商场,下班可以去超市,回家能够逛网店,买买买已经融入生活,不再受到时间和地理的限制。但今年,疫情的出现导致我们的选择少了太多,网购几乎成为了唯一的途径。与此同时,各种电商节和促销活动让用户的注意力更加集中,海量用户涌入电商平台确实带来了业务,但如何保障活动安全稳定地进行下去,也成为各大平台面临的最大难题。
不论是6.18年中大促,还是11.11活动大促,京东都会吸引到大批“剁手党”的关注。可问题是,“黑手党”的关注也不少,活动的开启往往意味着网络攻击同步开启,为了保障活动的顺利进行,京东智联云构建起来多层次、全方位的保障体系。那么这套体系能够发挥怎样的力量呢?京东智联云云产品研发部安全专家朱延勇在CSDN直播活动《 “重大活动”网络安全保障中的攻守实践》中便进行了详细的讲述。
每次活动,都是平台的安全期末考
对任一平台而言,每年都少不了具有一定影响力的经济、体育、文化活动,比如电商平台的6.18和11.11;比如线上的服贸会、进博会等;再比如重要人物、活动的直播,像春晚、元宵节晚会等。
对这些活动分析后,不难发现其四大特点:
第一,需要提前筹建临时机构进行举办;
第二,重大活动受到多方监管;
第三,活动涉及的信息系统往往极其复杂;
第四,社会关注度高,面向广泛的用户群体。
正是因为这些特点的存在,使得活动中的业务稳定性和安全性有了更高的要求。
因为在活动中临时组织的加入使得沟通成本增加,产生和累积各种不稳定因素;多方监管确实可以提升安全性,但执行层面上往往存在标准不统一的情况,会让安全保障工作面临复杂的硬性要求;系统复杂,会对安保设计提出更多挑战,需要在有限的资源基础上协调和沟通具有不同安全能力的子系统,保障整体业务的稳定性、安全性;关注度高不仅意味着普通人参与的更多,还意味着对攻击者的吸引力更强。
不过在重大活动面前倒也不必人人自危,其不利因素虽多,但攻击形式却没有太大区别。唯一的差异点只在于特定攻击类型所占比例的增高,比如今年618活动中,京东智联云拦截到的外部攻击主要还是CC攻击、DDoS攻击这些能影响到业务连续性和页面稳定性的攻击形式。
京东智联云的多层次全方位安保体系
攻击形式虽然不出意外,可麻烦的是这些攻击一直以来少有万无一失的解决方案,再加上重大活动面前,业务繁杂、流量巨大、攻击复杂,这就对安全团队的业务能力形成了更加严峻的考验。
京东智联云的做法是构建多层次全方位的安全保障体系。立足于等保监管、结合安全保障工作的重点和流程,将在“重大活动”中构建安全保障的过程分为:“五大层次”、“四个阶段”、“三大原则”和“两大重点”。具体地,“五大层次”是基于等级保护的要求划分物理层、网络层、系统层、应用层、数据层五大防御层次视角;“四个阶段”是以时间维度将重大安全保障活动工作按照不同阶段的工作内容和重点划分为研发部署阶段、安保建设阶段、安保演练阶段、安全保障阶段四个阶段;“三大原则”是指安全保障体系构建过程中三个基本原则——同步规划、同步建设、同步运营;“两大重点”则是指安全保障建设与落地过程中要关注的两大核心内容。
京东智联云基于项目介入时间、工作重点、工作目标等因素考虑将保障工作的四个阶段分为:研发部署阶段、安保建设阶段、安保演练阶段和安全保障阶段。首要原则是:在有限的预算下,识别工作重点,合理分配防护力量,避免贪大求多,分散防护力量,导致整体防护效果大打折扣。
/// 研发部署阶段
研发部署阶段的建设是基础。这一阶段主要基于三大原则开展工作,同步开启项目研发和安全建设工作,将安全的考量、机制和相关制度深度融合到项目的立项、设计、开发、测试、运维监控全流程中。制定必要的组织和流程、提出具体的安全要求、提供可操作的安全指导、协助构建基础安全环境,为安全保障工作的顺利推进夯实基础。具体地,基于整体安保目标的基础上组建涵盖研发部门负责人、运维负责人、安全架构师、合规工程师等人员的基本安保工作组;基于等保规范、参考公司安全要求、面向攻防实战制定具体的整体安全规章制度,并对其做全员的宣贯;面向编码运维实践提供一些可读性高、可操作性高的安全编码规范与实施手册;基于基础网络、应用安全、数据安全、安全监控覆盖等视角与层次对研发部署过程进行评审与把控;提供定期更新、充分审计、符合业务方使用需求的安全镜像、安全组件、安全SDK等基础环境。
现实中受限于预算等因素的限制,这一阶段工作的形式可能存在差异,比如“安全咨询”、“专家服务”等形式,但相应工作内容应尽可能覆盖。
/// 安保建设阶段
安保建设阶段是整个安全保障体系的设计和初始落地实施阶段,是安保体系的核心和基础。该阶段也是通常意义上外部安保团队介入执行安保工作的主要时间节点。本阶段主要有三方面内容组成:业务资产和人员梳理、保障技术方案设计、攻击面收敛和加固。
资产和人员梳理是安保体系建设的数据基础。本阶段可以通过外部扫描、内部扫描、内部走访等各种手段对系统资产进行测绘,对组织人员进行盘点。同时,需要将相关要素彼此关联,为安保方案设计及运维人员提供全局的防护视图及资料库。
如上图所示,是以系统视角对系统所属的资源、人员、应用和安全配置进行梳理和关联。
信息梳理完毕后便可以基于此进行保障技术方案设计,主要包含安全配置方案和应急处置预案。安全防护配置需要以“全面防护、纵深防御”为原则,对整体安全架构进行设计、对安全产品进行选型、对安全产品的规则配置进行优化。具体可能涉及:安全产品的防御位置、安全产品的部署层次、安全产品的防护规格、安全产品规则的宽松度、审计产品的覆盖范围等方面内容。应急预案设计主要是把未来运维工作以及可能面临的风险预案化,以期事件发生时能以较高的响应速度和精准度进行应对处置。预案的设计应该做到全面和标准化,应该覆盖安全保障工作中的所有内容以及参与工作的所有人员,以标准定义、标准流程、标准操作以及标准输出的形式对预案细节进行固化并在后续演练过程中改进和优化。预案的设定可以是多视角多维度的,比如:面向业务系统、面向防御层次、面向重点威胁形式等。
攻击面的收敛和加固是安全保障工作的重中之重,直接关系着系统整体的安全性。该阶段需要对内外部潜在的威胁进行识别,对可能的脆弱性进行加固,协同、闭环地进行攻击面收敛和安全加固。攻击面收敛主要以合规和攻击视角展开,基于全面的资源和人员数据,利用“攻防不对称”中的优势,实现最小化暴露和最大化收敛。通过安全自查、基线合规检查、安全专项治理、周期性巡查、寻求外部监管等方式进行。同时,该阶段工作要注意转换攻守思维方式,避免单一视角看待问题,避免因单一攻击或防守视角产生安全盲点及安全妥协。同时该阶段工作同样需要尽可能地标准化,避免有限的安全保障人力被流程性、事务性的非必要工作过多浪费。
/// 保障演练阶段
通过完备的安保体系建设和详细预案制定,基本可以满足安全保障的工作需求。但是,以上工作往往是以内部视角为主,基于有限的假设,依赖于安全人员的过往经验来制定,可能在实际运行过程中存在诸如安全策略与业务不匹配、工作流程不流畅和特殊安全风险被默许忽视等问题,为后续保障执行阶段埋下隐患。
为了确保万无一失,京东智联云在安全保障工作中通过演练活动,对安全方案及预案进行验证。检验安全监测、应急值守、应急处置等工作的顺畅度和协调度,确保安保建设阶段的工作能按照设计目的实现防护效果。演练针对不同的人员和系统,从不同的层次,面向不同的事件发展阶段,以不同的形式开展,如针对特定业务事件的联动处置(安全风控加固演练等);针对安全措施失效的处置(防护设备掉线、防护规则绕过等);针对单项问题的预演(DDoS攻击事件、Web漏洞攻击事件、0day漏洞事件等);模拟真实攻击场景的红蓝对抗;赏金式安全众测等。如有条件可以主动引导监管方观摩或参与演练过程,尽可能将各类风险在演练阶段暴露,避免后期发现安全问题或风险,难以短时间内加固及修复。
保障演练即是对系统安全保障体系的实际运行效果进行检验,也是对安全保障体系人员进行训练。
保障演练阶段同样需要将安全措施以标准化、可执行、简单明了的形式进行落地,让运维人员面对事件可以按照防守预案手册快速且便捷地完成防护处置工作。
/// 安全保障阶段
前三个阶段完成后针对安全保障体系建设的工作就基本完成,但是体系的落地实施需要保障运维团队来支撑。尤其是在活动期间:人工和自动化相结合安全监测与报警、7×24小时安保职守、AI与专家协同的分析研判和安全事件的主动应急响应处置,都是必不可少的工作。
如上图所示,京东智联云在安全保障体系阶段通过态势感知等安全产品提供涵盖数据资源层、威胁检测层、关联分析层、威胁展示层的多层次安全监测和态势预测。安全运维团队可以直观地获知安全事件和安全态势,从而推动事件处置。
标准化同样要在安全保障阶段进行严格执行,以威胁封禁操作为例,京东智联云把威胁封禁工作流实现了标准化、制度化,以便于保障工作在由不同班次不同部门进行执行时能协调有序。其总体流程如上所示,在发现威胁后由分析人员进行威胁分析,理清攻击目标、攻击方法和形式,输出事件初始报告;然后由其他人员进行二次确认,分析攻击来源以及是否为系统误判,输出事件确认报告。在确认攻击后需要对高危险动作进行封禁操作,封禁IP对所有关联系统人进行通报,同时要告知止损策略,输出事件处置报告;对于低频攻击则会加入观测列表,观测活动特点并进一步处置分析,形成处置记录。同时,在安全保障阶段,需要例行化汇总输出安全态势,为上层提供决策材料、积极响应监管部门要求。
重大活动面前,基于云安全的安保实践
近期,中国国际服务贸易交易会在线上成功举办,京东智联云在其中扮演了重要角色。
依托于京东智联云原生安全产品的支持,构建了全面纵深的安全保障体系。
基于京东智联云原生DevSecOps功能,轻松实现项目管理、代码研发、产品研发部署流水线、线上运维管理与系统监控全生命周期的安全防护,为项目打下了坚实的安全基础。
基于京东智联云原生安全基础设施,比如抗DDoS系统、VPC网络隔离、应用安全网关、云WAF、主机安全、分布式扫描系统等,为系统提供坚实的安全防护基础。值得一提的是,京东智联云的多个安全产品同时提供多云部署能力,帮助客户在复杂环境中,构建安全基础。
在应用层面,京东智联云提供了云原生的全链加密手段,包括KMS开发用SDK、 SSL数字证书、后端数据落地的存储加密等,形成全方位的数据安全保障。
同时,京东智联云还提供云原生的应用安全、身份认证及安全服务,满足安全保障过程中如应用安全、账号身份认证管理与审计、安全咨询服务、安全培训、漏洞扫描、代码审计、应急响应服务等多样的安全需求。
在活动面前,一支强大的云原生安全运营团队,对于安全产品的管理和运维有着重要帮助。在活动期间,京东智联云基于云原生安全产品和久经考验的专业安全运营团队,提供云原生统一安全运营,综合利用基础数据层的全量资产信息采集、威胁感知层的情报感知、机器学习的异常检测、安全沙箱的威胁分析、实时针对性攻击分析、离线攻击聚合分析、自动化编排研判等手段,提供统一风险管理、统一事件展示和系统防护处置,帮助安全保障人员快速便捷的执行安全保障运营工作。
在数据时代,大量的活动被搬运到线上,网络安全的重要性也随之增强。比如京东智联云所面对的11.11 大促场景便是一个很典型的例子,以多云化、系统化、标准化的安全手段保障活动的正常进行,这大概是每个互联网安全从业者最初的梦想。幸运的是,随着京东智联云安全产品的不断推出,开发者有了更加方便快捷且安全的上云手段,摆脱传统冗杂的局面存在了现实可能。
扫描下方二维码,关注【京东智联云开发者】公众号后台回复关键词 “PPT201027” 获取演讲 PPT,点击【阅读原文】获得沙龙视频回放链接。