信息来源：4hou

一、前言

伴随着越来越多的企业上公有云，特别是大型企业，核心业务上云之后，云上企业安全建设思路没有因为公有云的开放性而妥协，大部分企业的建设思路都是把公有云改造成专有云，使用VPC隔离公有云网络，内部系统上网都通过NATGateway，运维使用windows堡垒机，对外的业务系统直接限制在DMZ区。这样公有云原生安全解决方案就有些不适应，有的需要做架构方面调整，有的需要开发新的安全功能。本次就和大家讨论如何提高这种场景的安全解决方案。

二、解决方案

1、要做解决方案我们先要了解网络架构

首先我们先借鉴政务云的建设思路：

@1、把业务划分到不同的区域，通过VPC来隔离。VPC之间是有通过ACL来控制，实现网闸隔离的效果。进出通讯VPC log 发送到集中日志管理平台中。

@2、安全建设

链路负载均衡、anti-DDoS设备、防火墙、IDS/IPS、WAF、堡垒机、数据库审计、日志审计、漏洞扫描一个不能少。

那么公有云对应的产品是：SLB（4层、7层）、DDoS基础防护、安全组、态势感知（IDS、日志审计）、云WAF或者VPC-WAF、RDS日志审计、云扫描器。

那么有这些传统的安全产品的解决方案就能高枕无忧了么？最近某APT攻击分析机构发布的数据，在应对APT攻击过程中：十家公司中有九家遭受黑客入侵。

@1、入侵后76%攻击者会偷取凭证，保证其权限的持续性。

@2、43%APT攻击事件会发生数据泄露事件，其中51%会公布给媒体，26%会在暗网售卖，剩下的部分黑客内部交流使用。

@3、平均发现存在APT攻击的时间为7个月，是在以上安全设置存在的情况下。

@4、94%安全事件告警为误报、误操作或者业务需要。排查这些事件需要花费SOC运营人员每天8个小时的时间。

2、全新的内网威胁解决方案

（1）发现APT入侵

在分析了APT攻击流程后，我们发现在Discovery/Lateral Movement、Command and Control。可以很好的发现黑客入侵的痕迹。

@1、横向移动最好的检测方法是通过蜜罐的方式。

@2、集成威胁情报、防病毒多查杀引擎、沙箱的态势感知是发现C2最好的方式。

（2）评估影响范围

站在安全运营人员的角度上讲，发现安全事件需要对有失陷主机有通讯的系统都要排查一遍，除恶务尽。那就就需要网络层数据、主机层数据联动。

@1、需要采集网络层VPC log、ACL log等基础日志。

@2、需要在云主机上采集socket连接数据，进程数据。

@3、大数据分析平台，融合以上所有数据，通过图分析、关联分析等手段评估影响范围。

如何部署和实施：

公有云是一个特殊的环境，传统的蜜罐系统是在公有云上部署困难，这时候云原生的蜜罐系统就发挥了极大的作用。

部署方案：

@1、感知到的端口扫描、漏洞扫描都可以通过docker探针收集并且实时发送到态势感知平台统计，通过用户的VPC环境上传到Underlay网络中。

@2、安装方式相对来说比较灵活，低交互蜜罐可以使用docker方式部署，高交互蜜罐或者密网可以通过VM方式部署。通过控制台开通部署，方便快捷。列举VPC中的VLAN用户点击部署。

@3、主机安全和VPClog收集东西向数据

三、总结

在公有云原生安全发展的今天，不见得传统安全防护比云安全高明多少。