关于运维:数栈运维安全案例某传媒企业两会期间安全护航

41次阅读

共计 1827 个字符,预计需要花费 5 分钟才能阅读完成。

数栈是云原生—站式数据中台 PaaS,咱们在 github 和 gitee 上有一个乏味的开源我的项目:FlinkX,记得给咱们点个 star!star!star!

gitee 开源我的项目:https://gitee.com/dtstack_dev…

github 开源我的项目:https://github.com/DTStack/fl…

FlinkX 是一个基于 Flink 的批流对立的数据同步工具,既能够采集动态的数据,比方 MySQL,HDFS 等,也能够采集实时变动的数据,比方 MySQL binlog,Kafka 等,是全域、异构、批流一体的数据同步引擎,大家如果有趣味,欢送来 github 社区找咱们玩~

客户是负责国家级新媒体产品的设计、研发、保护等工作,重点打造 APP、挪动报道指挥系统、全媒体聚合平台、新媒体专线等融媒体产品。因公安部要求,需在“2020 年两会期间”做好零碎的平安保障工作,我方重点保障客户 APP 零碎的安全性,并做好相干应急预案,确保整个零碎在两会召开期间能失常平安稳固运行。

袋鼠云运维服务团队应客户需要,制订了平安护航专项计划,具体计划如下:
一、平安护航筹备

护航筹备期间次要目标是通过外部自查的形式来理解本身平安现状、被动发现平安危险、进步平安防护能力、欠缺安全监控、缩小被攻击面。袋鼠云采取了以下措施:

(一)网络安全架构梳理

发现未受平安爱护的区域,而后对其进行加固,加固后的网络安全架构示意图如下:

DNS 解析:应用 DNSPod 提供解析服务,该解析平台领有 200G 的 DNS 攻打防护能力,并开明账号双因子认证登录性能,严防域名被歹意篡改。互联网区域:在公网入口减少 DDOS 高防和 WAF 产品进步防护能力。本次护航中咱们应用可抵挡 300 Gbps 攻打防护的 DDoS 高防 IP,来抵挡互联网服务器蒙受大流量的 DDoS 攻打;应用 Web 利用防火墙来进攻 SQL 注入、XSS 跨站脚本、常见 Web 服务器插件破绽、木马上传、非受权外围资源拜访等 OWASP 常见攻打,并过滤歹意 CC 攻打,防止网站资产数据泄露,保障网站的平安与可用性。同时在公网 SLB 上只受权容许 WAF 回源流量进行拜访。

(二)资产梳理

对间接裸露在互联网下的资产进行严格防护。梳理过程中发现有局部 ECS 服务器应用 EIP 形式间接拜访公网,属于高风险区域。咱们提供的解决方案是勾销这些服务器的 EIP,应用 NAT 网关出公网,屏蔽服务器间接裸露于公网。

(三)全面基线自查

对服务器 / 数据库账号、口令、权限、策略、日志、破绽、操作平安等项进行核查加固。此次护航中咱们通过堡垒机来进行账号的最小化受权管控与审计,通过云平安核心来实时监测基线、破绽,对异样告警及时修复。

(四)安全策略优化

对平安组、RDS 白名单、RAM 拜访策略、OSS 拜访策略等进行梳理。对无策略限度或者策略凋谢范畴过大的 ip 进行优化,做到最小化受权。

(五)数据保护

对数据库数据配置主动备份策略,每日定时备份数据。对 ECS 服务器设置好主动快照策略,定时快照以避免勒索病毒带来的巨大损失。

(六)组建应急小组

为了在面临网络攻击时能疾速响应,启动应急预案调度技术人员,在护航期间长期成立应急小组。

(七)全面的安全监控

对互联网出 / 入口网络流量、业务拜访、服务器破绽基线、数据库 SQL 等内容进行全面实时的监控预警,及时发现异常。
二、护航保障

护航期间,袋鼠云组织平安团队为客户提供全过程的平安护航工作,期间提供每日平安巡检、应急响应以及攻打阻断与策略优化相干工作。

每日平安巡检次要查看互联网出 / 入流量、DDOS 高防、WAF、SLB、云平安核心等各个重要监控指标状态有无异样,并对有异样的事件进行上报解决。

对平安预警实时响应通报并对攻打事件进行剖析研判,期间咱们对大量的 CC 攻打进行屡次的策略优化工作对异样拜访进行精准访问控制,及时封堵攻打加重攻打带来的业务影响。
三、护航总结

护航完结后,咱们对期间产生的 CC 攻打、web 入侵、异样扫描等攻打进行汇总统计:两会期间客户零碎总共蒙受到 700000000+ 次网络攻击。通过实时的平安预警,及时地进行防护策略优化,所有攻打均被胜利拦挡阻断,未对业务造成损失,两会平安护航圆满结束。

随着云计算行业的疾速倒退,云上企业蒙受的网络攻击模式层出不穷,如果企业未建设全域的平安防护能力,没有晋升安全意识,蒙受攻打是在劫难逃的。袋鼠云可为企业提供平安加固、浸透测试、破绽扫描、应急响应、等保、平安管家等一站式平安服务,为企业云上平安保驾护航!

正文完
 0