关于云安全:重大活动网络攻击面前京东智联云的攻防之道

8次阅读

共计 4669 个字符，预计需要花费 12 分钟才能阅读完成。

不论是 6.18 年中大促，还是 11.11 流动大促，京东都会吸引到少量“剁手党”的关注。可问题是，“黑手党”的关注也不少，流动的开启往往意味着网络攻击同步开启，为了保障流动的顺利进行，京东智联云构建起来多层次、全方位的保障体系。那么这套体系可能施展怎么的力量呢？ 京东智联云云产品研发部平安专家朱延勇在 CSDN 直播流动《“重大流动”网络安全保障中的攻守实际》中便进行了具体的讲述 。

对任一平台而言，每年都少不了具备肯定影响力的经济、体育、文化流动，比方电商平台的 6.18 和 11.11；比方线上的服贸会、进博会等；再比方重要人物、流动的直播，像春晚、元宵节晚会等。

对这些流动剖析后，不难发现其四大特点：

第一，须要提前筹建长期机构进行举办；
第二，重大流动受到多方监管；
第三，流动波及的信息系统往往极其简单；
第四，社会关注度高，面向宽泛的用户群体。

正是因为这些特点的存在，使得流动中的业务稳定性和安全性有了更高的要求。

因为在流动中长期组织的退出使得沟通成本增加，产生和累积各种不稳固因素；多方监管的确能够晋升安全性，但执行层面上往往存在规范不对立的状况，会让平安保障工作面临简单的硬性要求；零碎简单，会对安保设计提出更多挑战，须要在无限的资源根底上协调和沟通具备不同平安能力的子系统，保障整体业务的稳定性、安全性；关注度高不仅意味着普通人参加的更多，还意味着对攻击者的吸引力更强。

不过在重大流动背后倒也不用人人自危，其不利因素虽多，但攻打模式却没有太大区别。惟一的差别点只在于特定攻打类型所占比例的增高，比方往年 618 流动中，京东智联云拦挡到的内部攻打次要还是 CC 攻打、DDoS 攻打这些能影响到业务连续性和页面稳定性的攻打模式。

攻打模式尽管不出意外，可麻烦的是这些攻打始终以来少有十拿九稳的解决方案，再加上重大流动背后，业务繁冗、流量微小、攻打简单，这就对平安团队的业务能力造成了更加严厉的考验。

京东智联云的做法是构建多层次全方位的平安保障体系。立足于等保监管、联合平安保障工作的重点和流程，将在“重大流动”中构建平安保障的过程分为：“ 五大档次”、“四个阶段”、“三大准则”和“两大重点”。具体地，“五大档次”是基于等级爱护的要求划分物理层、网络层、零碎层、应用层、数据层五大进攻档次视角；“四个阶段”是以工夫维度将重大平安保障流动工作依照不同阶段的工作内容和重点划分为研发部署阶段、安保建设阶段、安保演练阶段、平安保障阶段四个阶段；“三大准则”是指平安保障体系构建过程中三个根本准则——同步布局、同步建设、同步经营；“两大重点”则是指平安保障建设与落地过程中要关注的两大核心内容。

京东智联云基于我的项目染指工夫、工作重点、工作指标等因素思考将保障工作的四个阶段分为：研发部署阶段、安保建设阶段、安保演练阶段和平安保障阶段。首要准则是：在无限的估算下，辨认工作重点，正当调配防护力量，防止贪大求多，扩散防护力量，导致整体防护成果大打折扣。

研发部署阶段的建设是根底。 这一阶段次要基于三大准则发展工作，同步开启我的项目研发和平安建设工作，将平安的考量、机制和相干制度深度交融到我的项目的立项、设计、开发、测试、运维监控全流程中。制订必要的组织和流程、提出具体的平安要求、提供可操作的平安领导、帮助构建根底平安环境，为平安保障工作的顺利推动夯实根底。具体地，基于整体安保指标的根底上组建涵盖研发部门负责人、运维负责人、平安架构师、合规工程师等人员的根本安保工作组；基于等保标准、参考公司平安要求、面向攻防实战制订具体的整体平安规章制度，并对其做全员的宣贯；面向编码运维实际提供一些可读性高、可操作性高的平安编码标准与施行手册；基于根底网络、利用平安、数据安全、安全监控笼罩等视角与档次对研发部署过程进行评审与把控；提供定期更新、充沛审计、合乎业务方应用需要的平安镜像、平安组件、平安 SDK 等根底环境。

事实中受限于估算等因素的限度，这一阶段工作的模式可能存在差别，比方“平安征询”、“专家服务”等模式，但相应工作内容应尽可能笼罩。

安保建设阶段是整个平安保障体系的设计和初始落地施行阶段，是安保体系的外围和根底。 该阶段也是通常意义上内部安保团队染指执行安保工作的次要工夫节点。本阶段次要有三方面内容组成：业务资产和人员梳理、保障技术方案设计、攻击面收敛和加固。

资产和人员梳理是安保体系建设的数据根底。 本阶段能够通过内部扫描、外部扫描、外部走访等各种伎俩对系统资产进行测绘，对组织人员进行盘点。同时，须要将相干因素彼此关联，为安保方案设计及运维人员提供全局的防护视图及资料库。

如上图所示，是以零碎视角对系统所属的资源、人员、利用和平安配置进行梳理和关联。

信息梳理结束后便能够基于此进行保障技术方案设计， 次要蕴含平安配置计划和应急处理预案。平安防护配置须要以“全面防护、纵深进攻”为准则，对整体平安架构进行设计、对平安产品进行选型、对平安产品的规定配置进行优化。具体可能波及：平安产品的进攻地位、平安产品的部署档次、平安产品的防护规格、平安产品规定的宽松度、审计产品的覆盖范围等方面内容。应急预案设计次要是把将来运维工作以及可能面临的危险预案化，以期事件产生时能以较高的响应速度和精准度进行应答处理。预案的设计应该做到全面和标准化，应该笼罩平安保障工作中的所有内容以及参加工作的所有人员，以规范定义、规范流程、规范操作以及规范输入的模式对预案细节进行固化并在后续演练过程中改良和优化。预案的设定能够是多视角多维度的，比方：面向业务零碎、面向进攻档次、面向重点威逼模式等。

攻击面的收敛和加固是平安保障工作的重中之重， 间接关系着零碎整体的安全性。该阶段须要对内外部潜在的威逼进行辨认，对可能的脆弱性进行加固，协同、闭环地进行攻击面收敛和平安加固。攻击面收敛次要以合规和攻打视角开展，基于全面的资源和人员数据，利用“攻防不对称”中的劣势，实现最小化裸露和最大化收敛。通过平安自查、基线合规查看、平安专项治理、周期性巡逻、寻求内部监管等形式进行。同时，该阶段工作要留神转换攻守思维形式，防止繁多视角对待问题，防止因繁多攻打或防守视角产生平安盲点及平安斗争。同时该阶段工作同样须要尽可能地标准化，防止无限的平安保障人力被流程性、事务性的非必要工作过多节约。

通过齐备的安保体系建设和具体预案制订，根本能够满足平安保障的工作需要。然而，以上工作往往是以外部视角为主，基于无限的假如，依赖于平安人员的过往教训来制订，可能在理论运行过程中存在诸如安全策略与业务不匹配、工作流程不晦涩和非凡平安危险被默认漠视等问题，为后续保障执行阶段埋下隐患。

为了确保十拿九稳，京东智联云在平安保障工作中通过演练流动，对平安计划及预案进行验证。 测验平安监测、应急值守、应急处理等工作的顺畅度和协调度，确保安保建设阶段的工作能依照设计目标实现防护成果。演练针对不同的人员和零碎，从不同的档次，面向不同的事件倒退阶段，以不同的模式发展，如针对特定业务事件的联动处理（平安风控加固演练等）；针对安全措施生效的处理（防护设施掉线、防护规定绕过等）；针对单项问题的预演（DDoS 攻打事件、Web 破绽攻打事件、0day 破绽事件等）；模仿实在攻打场景的红蓝反抗；赏金式平安众测等。如有条件能够被动疏导监管方观摩或参加演练过程，尽可能将各类危险在演练阶段裸露，防止前期发现平安问题或危险，难以短时间内加固及修复。

保障演练即是对系统安全保障体系的理论运行成果进行测验，也是对平安保障体系人员进行训练。

保障演练阶段同样须要将安全措施以标准化、可执行、简单明了的模式进行落地，让运维人员面对事件能够依照防守预案手册疾速且便捷地实现防护处理工作。

前三个阶段实现后针对平安保障体系建设的工作就根本实现，然而体系的落地施行须要保障运维团队来撑持。尤其是在流动期间： 人工和自动化相结合平安监测与报警、7×24 小时安保职守、AI 与专家协同的剖析研判和安全事件的被动应急响应处理，都是必不可少的工作 。

如上图所示，京东智联云在平安保障体系阶段通过态势感知等平安产品提供涵盖数据资源层、威逼检测层、关联剖析层、威逼展现层的多层次平安监测和态势预测。平安运维团队能够直观地获知安全事件和平安态势，从而推动事件处理。

标准化同样要在平安保障阶段进行严格执行，以威逼封禁操作为例，京东智联云把威逼封禁工作流实现了标准化、制度化，以便于保障工作在由不同班次不同部门进行执行时能协调有序。其总体流程如上所示，在发现威逼后由剖析人员进行威逼剖析，理清攻打指标、攻打办法和模式，输入事件初始报告；而后由其余人员进行二次确认，分析攻击起源以及是否为零碎误判，输入事件确认报告。在确认攻打后须要对高危险动作进行封禁操作，封禁 IP 对所有关联系统人进行通报，同时要告知止损策略，输入事件处理报告；对于低频攻打则会退出观测列表，观测流动特点并进一步处理剖析，造成处理记录。同时，在平安保障阶段，须要例行化汇总输入平安态势，为下层提供决策资料、积极响应监管部门要求。

近期，中国国内服务贸易交易会在线上胜利举办，京东智联云在其中表演了重要角色。

依靠于京东智联云原生平安产品的反对，构建了全面纵深的平安保障体系。

基于京东智联云原生 DevSecOps 性能，轻松实现项目管理、代码研发、产品研发部署流水线、线上运维治理与系统监控全生命周期的平安防护，为我的项目打下了松软的平安根底。

基于京东智联云原生平安基础设施，比方抗 DDoS 零碎、VPC 网络隔离、利用平安网关、云 WAF、主机平安、分布式扫描零碎等，为零碎提供松软的平安防护根底。值得一提的是，京东智联云的多个平安产品同时提供多云部署能力，帮忙客户在简单环境中，构建平安根底。

在利用层面，京东智联云提供了云原生的全链加密伎俩，包含 KMS 开发用 SDK、SSL 数字证书、后端数据落地的存储加密等，造成全方位的数据安全保障。

同时，京东智联云还提供云原生的利用平安、身份认证及平安服务，满足平安保障过程中如利用平安、账号身份认证治理与审计、平安咨询服务、平安培训、破绽扫描、代码审计、应急响应服务等多样的平安需要。

在流动背后，一支弱小的云原生平安经营团队，对于平安产品的治理和运维有着重要帮忙。 在流动期间，京东智联云基于云原生平安产品和久经考验的业余平安经营团队 ，提供云原生对立平安经营，综合利用根底数据层的全量资产信息采集、威逼感知层的情报感知、机器学习的异样检测、平安沙箱的威逼剖析、实时针对性攻打剖析、离线攻打聚合剖析、自动化编排研判等伎俩，提供对立风险管理、对立事件展现和零碎防护处理，帮忙平安保障人员疾速便捷的执行平安保障经营工作。

在数据时代，大量的流动被搬运到线上，网络安全的重要性也随之加强。比方京东智联云所面对的 11.11 大促场景便是一个很典型的例子，以 多云化、系统化、标准化的平安伎俩保障流动的失常进行 ，这大略是每个互联网安全从业者最后的幻想。侥幸的是，随着京东智联云平安产品的一直推出，开发者有了更加方便快捷且平安的上云伎俩，解脱传统繁杂的场面存在了事实可能。

公众号后盾回复关键词 _“PPT201027”_ 获取演讲 PPT，点击【浏览原文】取得沙龙视频回放链接。