沃云平台安全配置指导手册
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
如无特殊需求,默认安全组建议放开如下端口:ssh(TCP 22 上下行)、远程桌面(TCP 3389 上下行)、DNS(UDP 53 上下行)、http (TCP 80 上行)、https(TCP443 上行)、PING(ICMP 上下行)。
5
说明:除沃云平台默认建议安全组策略以外,开放的安全组端口必须由客户应用厂家提 出明确使用需求;如业务需要必须开放其他安全组端口策略,请严格区分上、行方向。上行 方向为云主机出流量访问,下行方向为云主机入流量方向。
如果以上突破点有一个或者更多被满足,那么入侵事件就会随即发生!并且入 侵企图更会得寸进尺和变本加厉。
因此,保证网络信息安全就必须至少满足以下前提:
2
Ø 服务器远程管理源端口转换策略。(沃云平台基础功能,由业务开通员或用户负责 配置维护)
Ø 安全组最小端口范围开放原则,避免端口全部放开。(沃云平台基础功能,由业务 Hale Waihona Puke Baidu通员或用户负责配置)
例如,目前部分资源池客户还在继续使用 windows 2003 操作系统部署 IIS 服务,已经暴 漏出 IIS 6.0 的 WebDAV 扩展服务漏洞,微软已经不对此版本操作系统提供技术支持服务, 建议客户不要部署 Windows Server 2003 R2 系统.
沃云平台安全配置指导手册
版本:1.0 作者:联通云数据有限公司 时间:2017 年 07 月
1
第1章 危害信息安全的手段
1.1 前言
通过分析典型网络信息安全入侵案例,我们知道,入侵和攻击的产生,客观上 固然与系统平台安全漏洞的不断发现和黑客软件的泛滥有关,主观上也很大程度 归结于简陋的信息安全规划以及普通用户甚至网络管理人员自身安全意识的薄 弱和网络安全知识的贫乏。
2.1 云主机安全部署(沃云平台提供功能,业务开通员或客户负责配置)
沃云平台定期跟踪操作系统常见漏洞,提供满足安全加固的操作系统镜像需求:
推荐用户使用以上安全加固镜像,如用户使用自行制作的(或应用开发厂商提供的)操 作系统镜像,则用户或应用厂商须自行做好系统加固工作,并对其安全性负责。
2.2 云主机安全配置
2.4 自服务账号安全 (用户自行负责)
门户控制台账号,即沃云门户自服务账号,具有操作客户所有虚拟资源,控制整个资源 生命周期的权限。我们需要提醒客户重点关注此账户的安全。一旦此账户被恶意利用,客户 的数据和资源将遭遇巨大损失。例如,天津资源池曾经发生过自服务账号密码泄露,客户云 资源遭到恶意删除情况。
日、电话号码以及易于辨别和猜测的单词作为口令,理想的口令组合要求具有 8 位以上 长度,并且同时包含字母、数字以及特殊符号。 Ø 所有口令要求经常保持变更以增大可能的被暴力破解的难度。
7
Ø 严格限制每个账号的访问权限。 系统管理员/超级用户口令必须足够复杂和保持变更,切忌无口令或者弱口令,并且不允许将 口令记录在任何未受严格保护的媒介。
截图一,错误配置:“基于 IP 的全映射”
截图二,正确配置:“基于端口的映射,且内外端口不一致”
2) 安全组配置 (沃云平台基础功能,业务开通员或用户负责配置) 安全组是沃云平台为虚机提供的“防火墙”功能,用来对云主机的访问流量加以限制。
方向分为上行(云主机访问外部网络)、下行(外部网络访问云主机)。建议视客户应用需求 采用“最少服务+最小权限”开放。
因此自服务账号密码需要重点保护,务必遵循账号安全的基线,满足复杂性要求。理想 的口令组合要求具有 8 位以上长度,并且同时包含字母、数字以及特殊符号。同时,门户控 制台账号应定期维护更新,避免因离职、离岗等原因造成的密码泄露。
2.5 关注漏洞公告 (用户自行负责)
各操作系统厂家会定期发布漏洞公告及修补建议,同时,沃云平台也会发布针对安全事 件的紧急通报预警,需提醒客户强化网络安全意识,关注漏洞公告。
1.2 常见入侵手段
通常,入侵事件往往首先从以下方面寻找突破: Ø 利用自己(或者窃取)的合法账号越权操作。 Ø 寻找系统弱口令甚至空口令。 Ø 伪造受信任的 IP(MAC)地址。 Ø 不恰当的防火墙配置以及糟糕的安全策略。 Ø 扫描目标机器并得到开放端口、服务商和版本以及漏洞列表等信息。 Ø 利用系统或者相关软件漏洞远程侵入并提升权限。 Ø 病毒木马以及其它貌似合法的后门程序植入。
特别指出的是,默认的系统磁盘根共享和管理共享是非常危险的隐患之一,正确的防护 方法应该至少阻塞针对 137/138/139/445 端口的 TCP/UDP 数据包。
3) 云主机定期升级补丁 (用户自行负责) 人无完人,任何软件都不可能是完美和安全的,操作系统也是一样。因此操作系统需要
不断修补和升级,正版操作系统均可通过简单点击“WindowsUpdate”获得微软官方的免费 升级支持。每个升级补丁安装完成,在修补旧漏洞的同时,可能又引入了新的漏洞,因此需要 定期反复查验和升级,直到再没有任何安全补丁可以安装为止.
Ø 服务器强密码策略(大小字母、特殊符号,最少 8 位组合,每 3 个月修改一次密 码)。 (用户自行负责)
Ø 服务器漏洞定期扫描打补丁。(用户自行负责) Ø 应用代码健壮性,减少代码漏洞。 (用户自行负责) Ø 主观上足够的信息安全意识
以下将针对这些手段分别加以描述信息安全对策和解决方案。
3
第2章 云服务器安全
6
2.3 云主机账号安全 (用户自行负责)
事实证明,很多的内部敏感资源泄漏案例都来自于内部合法账号的越权使用、恶意攻击或 者弱口令高权限账号的被非法破解,因此我们需要提醒用户完善账号安全管理以及权限分 配。 对于系统账号管理,应该秉持“最小权限”,并遵循以下原则: Ø 所有验证系统必须加载口令保护或者其它硬件认证加密。 Ø 禁止所有来宾账号、可疑账号以及任何不需要或者已经过期的账号。 Ø 所有口令不能为空或者与用户名相同、相近和追加简单数字组合,并且也最好不要以生
1) 路由转发规则配置 (沃云平台基础功能,业务开通员或用户负责配置) 目前绝大多数黑客都是采用端口扫描探测服务器所开放端口,匹配攻击策略,因此尽量 减少服务器暴漏端口成为安全的第一道防线,尽量避免基于 IP 的全映射规则,务必使 用基于端口配置的路由转发规则,并要求内外端口不一致,详细配置如图:
4
5
说明:除沃云平台默认建议安全组策略以外,开放的安全组端口必须由客户应用厂家提 出明确使用需求;如业务需要必须开放其他安全组端口策略,请严格区分上、行方向。上行 方向为云主机出流量访问,下行方向为云主机入流量方向。
如果以上突破点有一个或者更多被满足,那么入侵事件就会随即发生!并且入 侵企图更会得寸进尺和变本加厉。
因此,保证网络信息安全就必须至少满足以下前提:
2
Ø 服务器远程管理源端口转换策略。(沃云平台基础功能,由业务开通员或用户负责 配置维护)
Ø 安全组最小端口范围开放原则,避免端口全部放开。(沃云平台基础功能,由业务 Hale Waihona Puke Baidu通员或用户负责配置)
例如,目前部分资源池客户还在继续使用 windows 2003 操作系统部署 IIS 服务,已经暴 漏出 IIS 6.0 的 WebDAV 扩展服务漏洞,微软已经不对此版本操作系统提供技术支持服务, 建议客户不要部署 Windows Server 2003 R2 系统.
沃云平台安全配置指导手册
版本:1.0 作者:联通云数据有限公司 时间:2017 年 07 月
1
第1章 危害信息安全的手段
1.1 前言
通过分析典型网络信息安全入侵案例,我们知道,入侵和攻击的产生,客观上 固然与系统平台安全漏洞的不断发现和黑客软件的泛滥有关,主观上也很大程度 归结于简陋的信息安全规划以及普通用户甚至网络管理人员自身安全意识的薄 弱和网络安全知识的贫乏。
2.1 云主机安全部署(沃云平台提供功能,业务开通员或客户负责配置)
沃云平台定期跟踪操作系统常见漏洞,提供满足安全加固的操作系统镜像需求:
推荐用户使用以上安全加固镜像,如用户使用自行制作的(或应用开发厂商提供的)操 作系统镜像,则用户或应用厂商须自行做好系统加固工作,并对其安全性负责。
2.2 云主机安全配置
2.4 自服务账号安全 (用户自行负责)
门户控制台账号,即沃云门户自服务账号,具有操作客户所有虚拟资源,控制整个资源 生命周期的权限。我们需要提醒客户重点关注此账户的安全。一旦此账户被恶意利用,客户 的数据和资源将遭遇巨大损失。例如,天津资源池曾经发生过自服务账号密码泄露,客户云 资源遭到恶意删除情况。
日、电话号码以及易于辨别和猜测的单词作为口令,理想的口令组合要求具有 8 位以上 长度,并且同时包含字母、数字以及特殊符号。 Ø 所有口令要求经常保持变更以增大可能的被暴力破解的难度。
7
Ø 严格限制每个账号的访问权限。 系统管理员/超级用户口令必须足够复杂和保持变更,切忌无口令或者弱口令,并且不允许将 口令记录在任何未受严格保护的媒介。
截图一,错误配置:“基于 IP 的全映射”
截图二,正确配置:“基于端口的映射,且内外端口不一致”
2) 安全组配置 (沃云平台基础功能,业务开通员或用户负责配置) 安全组是沃云平台为虚机提供的“防火墙”功能,用来对云主机的访问流量加以限制。
方向分为上行(云主机访问外部网络)、下行(外部网络访问云主机)。建议视客户应用需求 采用“最少服务+最小权限”开放。
因此自服务账号密码需要重点保护,务必遵循账号安全的基线,满足复杂性要求。理想 的口令组合要求具有 8 位以上长度,并且同时包含字母、数字以及特殊符号。同时,门户控 制台账号应定期维护更新,避免因离职、离岗等原因造成的密码泄露。
2.5 关注漏洞公告 (用户自行负责)
各操作系统厂家会定期发布漏洞公告及修补建议,同时,沃云平台也会发布针对安全事 件的紧急通报预警,需提醒客户强化网络安全意识,关注漏洞公告。
1.2 常见入侵手段
通常,入侵事件往往首先从以下方面寻找突破: Ø 利用自己(或者窃取)的合法账号越权操作。 Ø 寻找系统弱口令甚至空口令。 Ø 伪造受信任的 IP(MAC)地址。 Ø 不恰当的防火墙配置以及糟糕的安全策略。 Ø 扫描目标机器并得到开放端口、服务商和版本以及漏洞列表等信息。 Ø 利用系统或者相关软件漏洞远程侵入并提升权限。 Ø 病毒木马以及其它貌似合法的后门程序植入。
特别指出的是,默认的系统磁盘根共享和管理共享是非常危险的隐患之一,正确的防护 方法应该至少阻塞针对 137/138/139/445 端口的 TCP/UDP 数据包。
3) 云主机定期升级补丁 (用户自行负责) 人无完人,任何软件都不可能是完美和安全的,操作系统也是一样。因此操作系统需要
不断修补和升级,正版操作系统均可通过简单点击“WindowsUpdate”获得微软官方的免费 升级支持。每个升级补丁安装完成,在修补旧漏洞的同时,可能又引入了新的漏洞,因此需要 定期反复查验和升级,直到再没有任何安全补丁可以安装为止.
Ø 服务器强密码策略(大小字母、特殊符号,最少 8 位组合,每 3 个月修改一次密 码)。 (用户自行负责)
Ø 服务器漏洞定期扫描打补丁。(用户自行负责) Ø 应用代码健壮性,减少代码漏洞。 (用户自行负责) Ø 主观上足够的信息安全意识
以下将针对这些手段分别加以描述信息安全对策和解决方案。
3
第2章 云服务器安全
6
2.3 云主机账号安全 (用户自行负责)
事实证明,很多的内部敏感资源泄漏案例都来自于内部合法账号的越权使用、恶意攻击或 者弱口令高权限账号的被非法破解,因此我们需要提醒用户完善账号安全管理以及权限分 配。 对于系统账号管理,应该秉持“最小权限”,并遵循以下原则: Ø 所有验证系统必须加载口令保护或者其它硬件认证加密。 Ø 禁止所有来宾账号、可疑账号以及任何不需要或者已经过期的账号。 Ø 所有口令不能为空或者与用户名相同、相近和追加简单数字组合,并且也最好不要以生
1) 路由转发规则配置 (沃云平台基础功能,业务开通员或用户负责配置) 目前绝大多数黑客都是采用端口扫描探测服务器所开放端口,匹配攻击策略,因此尽量 减少服务器暴漏端口成为安全的第一道防线,尽量避免基于 IP 的全映射规则,务必使 用基于端口配置的路由转发规则,并要求内外端口不一致,详细配置如图:
4