关于运维:数栈运维安全案例某传媒企业两会期间安全护航

数栈是云原生—站式数据中台PaaS，咱们在github和gitee上有一个乏味的开源我的项目：FlinkX，记得给咱们点个star！star！star！

gitee开源我的项目：https://gitee.com/dtstack_dev...

github开源我的项目：https://github.com/DTStack/fl...

FlinkX是一个基于Flink的批流对立的数据同步工具，既能够采集动态的数据，比方MySQL，HDFS等，也能够采集实时变动的数据，比方MySQL binlog，Kafka等，是全域、异构、批流一体的数据同步引擎，大家如果有趣味，欢送来github社区找咱们玩~

客户是负责国家级新媒体产品的设计、研发、保护等工作，重点打造APP、挪动报道指挥系统、全媒体聚合平台、新媒体专线等融媒体产品。因公安部要求，需在“2020年两会期间”做好零碎的平安保障工作，我方重点保障客户APP零碎的安全性，并做好相干应急预案，确保整个零碎在两会召开期间能失常平安稳固运行。

袋鼠云运维服务团队应客户需要，制订了平安护航专项计划，具体计划如下：
一、平安护航筹备

护航筹备期间次要目标是通过外部自查的形式来理解本身平安现状、被动发现平安危险、进步平安防护能力、欠缺安全监控、缩小被攻击面。袋鼠云采取了以下措施：

（一）网络安全架构梳理

发现未受平安爱护的区域，而后对其进行加固，加固后的网络安全架构示意图如下：

DNS解析：应用DNSPod提供解析服务，该解析平台领有200G的DNS攻打防护能力，并开明账号双因子认证登录性能，严防域名被歹意篡改。互联网区域：在公网入口减少DDOS高防和WAF产品进步防护能力。本次护航中咱们应用可抵挡300 Gbps 攻打防护的DDoS高防IP，来抵挡互联网服务器蒙受大流量的DDoS攻打；应用Web利用防火墙来进攻SQL注入、XSS跨站脚本、常见Web服务器插件破绽、木马上传、非受权外围资源拜访等OWASP常见攻打，并过滤歹意CC攻打，防止网站资产数据泄露，保障网站的平安与可用性。同时在公网SLB上只受权容许WAF回源流量进行拜访。

（二）资产梳理

对间接裸露在互联网下的资产进行严格防护。梳理过程中发现有局部ECS服务器应用EIP形式间接拜访公网，属于高风险区域。咱们提供的解决方案是勾销这些服务器的EIP，应用NAT网关出公网，屏蔽服务器间接裸露于公网。

（三）全面基线自查

对服务器/数据库账号、口令、权限、策略、日志、破绽、操作平安等项进行核查加固。此次护航中咱们通过堡垒机来进行账号的最小化受权管控与审计，通过云平安核心来实时监测基线、破绽，对异样告警及时修复。

（四） 安全策略优化

对平安组、RDS白名单、RAM拜访策略、OSS拜访策略等进行梳理。对无策略限度或者策略凋谢范畴过大的ip进行优化，做到最小化受权。

（五） 数据保护

对数据库数据配置主动备份策略，每日定时备份数据。对ECS服务器设置好主动快照策略，定时快照以避免勒索病毒带来的巨大损失。

（六） 组建应急小组

为了在面临网络攻击时能疾速响应，启动应急预案调度技术人员，在护航期间长期成立应急小组。

（七）全面的安全监控

对互联网出/入口网络流量、业务拜访、服务器破绽基线、数据库SQL等内容进行全面实时的监控预警，及时发现异常。
二、护航保障

护航期间，袋鼠云组织平安团队为客户提供全过程的平安护航工作，期间提供每日平安巡检、应急响应以及攻打阻断与策略优化相干工作。

每日平安巡检次要查看互联网出/入流量、DDOS高防、WAF、SLB、云平安核心等各个重要监控指标状态有无异样，并对有异样的事件进行上报解决。

对平安预警实时响应通报并对攻打事件进行剖析研判，期间咱们对大量的CC攻打进行屡次的策略优化工作对异样拜访进行精准访问控制，及时封堵攻打加重攻打带来的业务影响。
三、护航总结

护航完结后，咱们对期间产生的CC攻打、web入侵、异样扫描等攻打进行汇总统计：两会期间客户零碎总共蒙受到700000000+次网络攻击。通过实时的平安预警，及时地进行防护策略优化，所有攻打均被胜利拦挡阻断，未对业务造成损失，两会平安护航圆满结束。

随着云计算行业的疾速倒退，云上企业蒙受的网络攻击模式层出不穷，如果企业未建设全域的平安防护能力，没有晋升安全意识，蒙受攻打是在劫难逃的。袋鼠云可为企业提供平安加固、浸透测试、破绽扫描、应急响应、等保、平安管家等一站式平安服务，为企业云上平安保驾护航！