前言

• 信息安全建设中一直流行一句话“三分靠技术，七分靠管理”，由此可见在安全建设中，管理的重要性。通过安全管理，能整合组织安全数据，了解安全态势，洞见未知威胁等
• 学完本课程后，您将能够：
  • 描述业界通用的安全管理体系
  • 设计安全管理方案

信息安全管理需求

安全管理的重要性

• 据权威的安全事件调查报告，大部分安全事件追溯原因都是安全管理和安全运营的问题，而非安全技术。包括是否有安全管理建设、安全事件应急的响应速度、是否有完善的安全策略。突出的面向安全管理的风险包括：

  • 不安全配置：弱密码、错误配置等
  • 不及时更新补丁
  • 利用云的社工、钓鱼

• 社会工程学，以欺骗的手段，类似鱼叉式钓鱼这种定向邮件钓鱼的方式获取内部权限或数据

典型安全事件分析

• 不安全配置

  • 弱口令
  • Comparitech扫描发现xx云存储服务上有6,000 份扫描文件暴露，其中包括护照，出生证和印度儿童的个人资料

• 补丁漏洞管理问题

  • 核弹级Log4shell
  • 2021年12月公开的核弹级漏洞log4shell席卷全球 。据统计，共有6921个应用程序都有被攻击的风险。不少业内人士将其形容为“无处不在的零日漏洞”。并且，Log4j 漏洞可能需要数月甚至数年时间才能妥善解决

• 钓鱼攻击者利用云协作攻击

  • 钓鱼攻击
  • 攻击者利用基于云的协作服务(如微软的SharePoint Online 和 OneDrive)，诱骗用户点击恶意链接，进行网络欺诈或供应链欺诈

等级保护管理要求

2018年6月27日，公安部会同中央网信办、国家保密局、国家密码管理局起草发布《网络安全等级保护条例（征求意见稿）》（简称“《等保条例》”）。作为《网络安全法》的重要配套法规，“等保条例”为等保建设提出了更加具体、操作性也更强的要求，为开展等级保护工作提供了重要的法律支撑

等级保护中的安全管理建设

• 建设“一个中心”管理下的“三重防护”体系
  

安全管理中心

云安全运营和管理面临的资源挑战

• 云平台基于组织业务高速发展的需求而导入，但也给组织的安全管理增加了新的任务和难题
  
• 业务场景挑战
  • 专家少：安全运营专家昂贵稀缺，日常保障已经紧张
  • 体系散：随着业务上云，跨工具、跨业务、跨云，传统的“盒式”、边界防守安全方案，带来的工具切换已将安全运营人力拖垮
  • 时间紧：安全要求日益提升，护网，要求高实时性，彻底“玩不动”“0抵抗”
  • 责任大：HCS运营主体对安全隔离要求更高，多个环境保留，同时成为云平台的安全责任主体，挑战更为明显

云平台业务安全运营控制和审计问题

安全运维内需

面临的问题	需求分析
1、云上服务器资产庞大。2、设备密码管理复杂。3、误操作、恶意操作。4、第三方代维监管。5、责任难定位	除等保合规性要求外，还有各类行业性安全需求。重视内控审计管理，对内网管理要求高，安全性要求高，对第三方人员管控的需求旺盛，今年各地方加大安全信息建设。对运维需求的进一步提升，“运维+安全”是越来越多的企业迫切需要的

• 问题带来的隐患：
  • 误操作，关键应用服务异常甚至宕机
  • 违规操作，敏感信息泄露或者被篡改
  • 无法快速定位操作事故的原因

云平台安全管理需求

安全管理服务详解

安全运营中心SOC

华为云Stack SOC服务介绍

• 华为云Stack安全运营管理体系由Security Operations Center (SOC) 和 Intelligent Security Analysis Platform (ISAP) 构成:
  
• SOC：是安全运营专家团队在安全运营作战过程中，对发生的安全事件及疑似威胁告警，进行加速响应处置的云原生安全运营中心；支持安全编排及自动响应，并支持对安全服务的策略统一行管；极大提升响应效率，降低响应时间
• ISAP：是提供海量数据采集和存储、快速检索、威胁异常分析的云原生安全智能分析平台，支持对安全服务、设备的日志、告警等统一收集，并支持对接第三方SIEM平台；ISAP详细介绍请参考《华为云Stack ISAP服务介绍》

华为Stack SOC特性介绍

安全运营中心（Security Operations Center）提供基于完整安全运营业务框架的工作台入口，可对安全资产、安全策略进行统一管理；提供面向安全运营业务流，进行自助编排、自动响应、人工处置的能力

特性清单	SOC（含SOAR）功能描述
资产管理	支持对关键资产、安全资产等进行统一管理呈现，支持同步MO、CSL资产信息；依赖MO
安全策略统一行管	实现安全策略的集中查看及配置下发，当前只支持HSS、WAF、EdgeFW服务的基础安全策略管理
安全分析及检测	依赖ISAP
安全编排及自动响应	1、对需要处理的安全事件（incident）以及可疑事件，通过安全编排实现自动化处置及事件调查。2、内置自动处置剧本，支持按需定义扩展，需专家经验

SOC管理功能

• 统一策略
  
• 资产管理
  

SOC安全编排能力

安全运营中心（Security Operations Center）提供基于完整安全运营业务框架的工作台入口，可对安全资产、安全策略进行统一管理；提供面向安全运营业务流，进行自助编排、自动响应、人工处置的能力

SOC自动响应

安全智能分析平台ISAP

ISAP - 基于云环境的大数据安全分析

ISAP安全智能分析平台架构

• 主要特点：
  • 预集成丰富的云原生安全埋点数据
  • 支持三方安全埋点数据接入
  • 支持三方安全应用接入
  • 支持多场景数据采集
  • 集成安全告警分析能力
  • TB数据秒级检索
  • 自定义安全看板，针对性场景化安全监控
  • 安全数据长期存储满足合规要求

安全智能分析平台分子系统能力

子系统	描述
采集子系统	采集子系统支持能力如下：1）无码化配置接入，支持多种数据源协议对接（kafka/udp/tcp/restfull等) 2）支持多种日志数据格式解析（CSV，syslog，json等）3）管理、配置、监控工具化和可视化4）日志通过采集器或者不通过采集器将数据推送到OBS进行长期保存，用于安全调查与审计场景需求
检索子系统	快速数据检索子系统能力如下：1）支持亿级数据的秒级检索能力2）支持自定义数据快速接入搜索引擎3）查询可视化，支持自定义Dashboard4）支持数据长期存储5）支持客户定制存储方案
分析子系统	威胁分析子系统支持能力如下：1）构建安全大数据分析平台底座2）支持客户自定义威胁模型开发和运行3）支持多种维表数据关联分析4）支持自定义维表数据接入5）支持OBS海量离线数据检索6）告警降噪

ISAP安全智能平台部署场景

安全智能分析平台的价值

• 数据规模
  GB→TB

  • 分布式采集，包括日志，流量，情报等，支持线性扩容
  • 将各个安全服务的信息汇聚到统一平台管理，从而降低在每个安全产品上分布运营带来的人力成本

• 查询效率
  秒级

  • 通过分布式检索，亿级数据秒级返回结果
  • 提供决策依据，简化SIEM管理和提升安全运营效率

• 知识赋能
  每小时

  • 面对复杂多变的网络威胁，借助AI分析，自定义建模自动化发现高级威胁
  • 依托于华为云上经验，持续积累威胁情报

计算安全平台CSP

CSP - 计算安全平台

• 计算安全平台（Computing Security Platform）是服务器的贴身安全管家，提供资产管理、漏洞管理、基线检查、入侵检测等功能，能够帮助企业再云平台上更方便地管理主机安全风险，实时发现并组织黑客入侵行为，以及满足等保合规的要求。四大基本功能：
  • 资产管理：提供账号、端口、进程、Web目录和软件等安全资产信息的管理和分析
  • 漏洞检测：检测操作系统与软件包括SSH、OpenSSL、Apache、Mysql等存在的漏洞，并给出修复建议
  • 基线检查：检测系统弱口令和常用系统配置，识别不安全项目，预防安全风险
  • 入侵检测：检测与防护账户暴力破解，Web后门（WebShell），挖矿、勒索软件、木马等恶意程序，防止黑客入侵

风险预防

• 风险预防
  • 资产管理
    • 账户资产风险
    • 端口资产风险
    • 进程资产风险
    • 软件资产风险
  • 漏洞管理
    • 17万+漏洞信息管理
    • 同步Linux官网漏洞
    • 定时更新
    • 实时更新
  • 入侵防范
    • 全攻击路径检测
    • 账户暴破防护
    • 基于AI的恶意程序检测

智能检测

• 防虚拟机逃逸-对虚拟机逃逸攻击行为进行检测
  • 虚拟机逃逸：攻击者通过攻陷虚拟机，并结合主机或Hypervisor的漏洞再入侵物理机，继而控制物理机
  • CSP对Guest与Host之间的I/O流、宿主机上的行为进行监控，根据事先制定的规则或行为方式进行分析，判断是否存在疑似攻击行为
  • 支持对“Guest利用已知或未知漏洞对Host进行攻击的行为”的检测
• 容器镜像安全
  • 镜像漏洞扫描：扫描镜像仓库和容器中的已知漏洞、不安全配置和恶意代码
  • CI/CD工具集成：支持与CI/CD工具集成，使开发人员在开发阶段就可以获知镜像是否安全，是否存在漏洞，能够及时修复漏洞和不安全配置
  • 镜像安全策略:可设定镜像策略，如不允许有高危漏洞/漏洞数量超过一定数量的镜像运行、不允许以root权限运行等

容器运行安全

• 支持智能安全策略：自动学习容器运行行为，智能推送安全策略，帮助企业制定容器进程、文件保护等白名单，确保容器以最小权限运行
  • 容器进程控制
    • 进程黑白名单：有效阻止异常进程、提权攻击、违规操作等安全风险事件的发生
      恶意进程检测
  • 文件保护
    • 将关键文件目录设为只读，保护容器内部的关键文件，避免被修改，从而大大提高了系统和应用的安全性
  • 容器防逃逸
    • 从宿主机角度检测逃逸行为，简单精确，包括shocker攻击、进程提权、DirtyCow和文件暴力破解等

安全指数服务SIS

安全指数服务SIS简介

• SIS（Security Index Service），即安全指数服务，是关于云环境的一个安全评估服务，为用户提供统一、直观、多维度的安全视图
• 用户可以通过安全指数服务了解所使用云环境是否已合理配置，所采取的安全措施是否已经足够，以及主动安全、被动安全的概况。用户在安全指数服务中可以快速地进入各安全相关项进行配置
• SIS的主要功能
  • 云服务基线检查：从身份鉴别、访问控制、入侵防范、资源控制、备份恢复和数据安全几个维度对用户的云环境进行评估，根据最佳实践对不安全的配置提出修改建议，并提供快速修复的链接
  • 合规体检：根据等级保护规范的技术要求，从安全计算环境和安全通信网络两个维度对用户的云环境进行检测，提供合规检测报告，辅助用户做等保评估

SIS实现原理

• 安全指数服务通过向其它服务进行体检查询，并将结果进行分析整理，存放到本地数据库，再将最终的体检结果返回用户。涉及到的服务或组件有：IAM、RDS、ECS、BMS、VPC、Network ACL、ELB、CSHA、CSDR、CSBS、DBAS、HSS、EdgeFW等
• 安全指数通过调用各类云服务提供的Restful接口对租户开通的云服务进行配置巡检，安全指数检查的冻结时间为5分钟

SIS的业务流

• 用户通过ManageOne运营面（B2B场景为ManageOne租户面）安全服务界面申请SIS
• SCC-Service根据请求中的检查凭据创建子任务，并发查询该租户的配置信息，并将结果进行分析整理，存放到SCC-GaussDB，最后将最终的体检结果返回用户

SIS合规体检

堡垒机CBH

华为云Stack堡垒机CBH

• 华为云Stack堡垒机CBH，是为了解决云平台上资产的安全运维和管理需求:
  • 特别针对运维人员多、资产数量多、人员角色交叉、运维方式多样等情况，CBH能防止违规操作、越权操作，实现全程操作可控、可管、可审计
  • CBH包含主机管理、权限控制、运维审计、安全合规等功能，支持Chrome等主流浏览器远程运维
  • CBH既包括了传统堡垒机的4A（账号、授权、审计、认证）特性，还拥有新的特性

CBH的数据代理模式

堡垒机基础功能

• 用户管理

  • 用户管理
  • 角色管理
  • 多因子认证
  • 访问策略

• 资源管理

  • 密码托管
  • 改密策略
  • 运维授权
  • 应用发布

• 访问控制

  • 单点登录
  • 命令拦截
  • 二次授权
  • 工单管理

• 操作审计

  • 实时监控
  • 操作回放
  • 命令审计
  • 报表分析

华为云Stack堡垒机特色功能

• 高效运维

  • 自动改密
  • 报表定时发送
  • 多主机文件共享
  • 命令群发

• 协同作业

  • 会话协同
  • 双人授权

• 批量管理

  • 用户批量管理
  • 主机批量管理
  • 批量授权
  • 批量登录

• 集群部署

  • 分布式集群部署
  • HA双机热备

堡垒机 - 高危命令拦截

• 借鉴银行的授权机制，对一些高危操作进行二次授权，当上级确认后方可执行该高危操作
  • 策略制定
    
  • 命令拦截、请求审批
    
    
  • 上级审批
    

其他特色功能

• HTML5远程登录资源运维：不需要安装任何插件
• 双人授权机制：访问核心设备时，需要授权人现场授权才能访问资源。运维用户密码即便丢失，核心资产依旧收到保护。同时，双人授权存有日志，事后可对安全事件进行定位
• 会话协同功能：创建者按需管理会话权限，包括权限转移/强制收回、邀请其他用户参与和协助操作

学习推荐和缩略词

• 学习推荐
  华为云Stack案例库
  http: //support-it.huawei.com/kb/#/home

• 缩略词

缩略语	英文全称	解释
DDoS	Denial-of-service attack	分布式拒绝服务攻击
CTS	Cloud Trace Service	云审计服务
CBH	Cloud Bastion Host	云堡垒机
IAM	Identity & Access Management Suite	身份管理与访问控制
RDS	Relational Database Service	关系型数据库服务
CSHA	Cloud Server High Availability	云服务器高可用服务
CSDR	Cloud Server Disaster Recovery	云服务器容灾服务
CSBS	Cloud Server Backup Service	云服务器备份