世界上只有兩種人：知道自己被黑的，不知道自己被黑的。
—— 信息安全圈名言

被黑，其實(shí)和世界上的大多數(shù)事情一樣，也是灰度漸變的，黑客從獲取外圍的權(quán)限到拿下整個(gè)系統(tǒng)的控制權(quán)一般都要經(jīng)過多個(gè)步驟，包括：

• 偵查與信息收集：

  偵查目標(biāo)，包括利用社會(huì)工程學(xué)了解目標(biāo)。

• 制作與選擇攻擊工具：

  針對(duì)目標(biāo)編寫或選擇現(xiàn)成的工具。

• 傳送工具：

  將攻擊工具傳輸?shù)侥繕?biāo)系統(tǒng)上，包括利用站點(diǎn)的上傳漏洞等。

• 觸發(fā)工具：

  利用目標(biāo)系統(tǒng)的漏洞觸發(fā)執(zhí)行攻擊工具。

• 控制目標(biāo)：

  在目標(biāo)上建立遠(yuǎn)程控制通道。

• 執(zhí)行活動(dòng)：

  執(zhí)行需要的攻擊行為，包括獲取信息、進(jìn)一步擴(kuò)大權(quán)限等。

• 保留據(jù)點(diǎn)：

  創(chuàng)建據(jù)點(diǎn)，為后續(xù)攻擊提供便利。

這個(gè)過程被稱為攻擊鏈，從傳送工具開始，被“黑”的進(jìn)程就已經(jīng)開始了，后續(xù)的步驟環(huán)環(huán)相扣，假如在此過程中能夠及時(shí)的發(fā)現(xiàn)攻擊行為進(jìn)行阻斷就能挫敗此次攻擊。云安全中心和云防火墻就是斬?cái)喙翩湹膬杀?。今天就讓我們來聊聊它們的部署要點(diǎn)。

第一個(gè)要點(diǎn)，功能定位
阿里云官網(wǎng)，有關(guān)云安全中心的功能描述如下：

云安全中心是一個(gè)實(shí)時(shí)識(shí)別、分析、預(yù)警安全威脅的統(tǒng)一安全管理系統(tǒng)，通過防勒索、防病毒、防篡改、合規(guī)檢查等安全能力，
幫助用戶實(shí)現(xiàn)威脅檢測(cè)、響應(yīng)、溯源的自動(dòng)化安全運(yùn)營(yíng)閉環(huán)，保護(hù)云上資產(chǎn)和本地主機(jī)并滿足監(jiān)管合規(guī)要求。

所以千萬不要把云安全中心只當(dāng)成一個(gè)殺毒軟件來看待，云安全中心的威脅檢測(cè)、響應(yīng)、溯源自動(dòng)化對(duì)于及時(shí)的發(fā)現(xiàn)并阻斷入侵鏈具有關(guān)鍵作用。云安全中心其實(shí)更像一個(gè)主機(jī)IDS而不是一個(gè)殺毒軟件。

云防火墻在阿里云官網(wǎng)的描述如下：

SAAS化云原生防火墻，全面梳理云上資產(chǎn)的互聯(lián)網(wǎng)暴露和風(fēng)險(xiǎn)情況，一鍵防護(hù)；IPS虛擬補(bǔ)丁可智能防御高危漏洞；集成威脅情報(bào)，支持阻斷主動(dòng)外聯(lián)行為、業(yè)務(wù)間訪問關(guān)系可視，網(wǎng)絡(luò)流量審計(jì)，等保必備。

假如你只需要一個(gè)防火墻，其實(shí)免費(fèi)的安全組已經(jīng)足夠了，云防火墻的價(jià)值主要體現(xiàn)在IPS虛擬補(bǔ)丁以及發(fā)現(xiàn)并阻斷主動(dòng)外聯(lián)行為。攻擊者在控制目標(biāo)階段，通常情況下都會(huì)發(fā)起主動(dòng)外聯(lián)，因此相對(duì)于防火墻，我覺得云防火墻更適合作為一個(gè)網(wǎng)絡(luò)IPS來使用。

第二個(gè)要點(diǎn)，授權(quán)粒度
在購(gòu)買安全中心時(shí)，有一個(gè)要點(diǎn)是購(gòu)買的授權(quán)數(shù)必須大于當(dāng)前賬號(hào)的保有ECS數(shù)量，假如ECS的數(shù)量要增加，要提前對(duì)云安全中心進(jìn)行擴(kuò)容，增加授權(quán)數(shù)量。
另外，云安全中心的附加功能包括日志存儲(chǔ)空間、防勒索存儲(chǔ)空間授權(quán)的對(duì)象都是整個(gè)阿里云賬號(hào)而不是單個(gè)ECS服務(wù)器，假如配置了30GB的日志存儲(chǔ)空間，而當(dāng)前云賬號(hào)下的ECS數(shù)量為2，則兩臺(tái)ECS將共享這30GB的日志空間，鑒于阿里云建議為每臺(tái)ECS配置30G日志存儲(chǔ)空間，因此最好擴(kuò)容日志存儲(chǔ)到60GB。云安全中心的授權(quán)范圍是整個(gè)阿里云賬號(hào)。

云防火墻的授權(quán)可細(xì)化到單個(gè)VPC，假如當(dāng)前賬號(hào)下有兩個(gè)VPC，而只有一個(gè)互聯(lián)網(wǎng)防火墻授權(quán)可用，就可以在云防火墻控制臺(tái)選擇為哪一個(gè)VPC開通互聯(lián)網(wǎng)防火墻。在云防火墻的企業(yè)版、旗艦版中還有VPC防火墻的功能，也可以根據(jù)需要在不同的VPC之間進(jìn)行開通。

第三個(gè)要點(diǎn)，默認(rèn)安全
云安全中心和云防火墻都屬于“默認(rèn)安全”服務(wù)，在阿里云上的所有ECS服務(wù)器無論是否購(gòu)買云安全中心服務(wù)都會(huì)默認(rèn)安裝阿里云的云安全中心客戶端，當(dāng)然除非在購(gòu)買ECS時(shí)明確的取消安裝安全加固服務(wù)。
云防火墻無需復(fù)雜的配置即可對(duì)服務(wù)器提供安全防護(hù)，只需要在防火墻開關(guān)界面“一鍵開通”即可對(duì)全部服務(wù)器提供安全防護(hù)服務(wù)。

第四個(gè)要點(diǎn)，運(yùn)維建議
籬笆壞了就要趕緊補(bǔ)好，云安全中心上的報(bào)警信息要時(shí)刻關(guān)注，除了可以設(shè)置短信和郵件報(bào)警外還可以設(shè)置釘釘機(jī)器人自動(dòng)發(fā)送信息到釘釘群。當(dāng)收到云安全中心的預(yù)警時(shí)可以在第一時(shí)間登陸阿里云賬號(hào)使用云防火墻的主動(dòng)外聯(lián)活動(dòng)監(jiān)控功能對(duì)主動(dòng)外聯(lián)行為進(jìn)行監(jiān)控，并對(duì)可疑的主動(dòng)外聯(lián)行為進(jìn)行封禁，云防火墻支持按域名對(duì)外聯(lián)訪問進(jìn)行開通或者封禁，可以通過外聯(lián)白名單的方式只對(duì)指定的系統(tǒng)更新，業(yè)務(wù)合作方的域名開通主動(dòng)外聯(lián)。
假如云安全中心的版本是企業(yè)版還支持攻擊溯源的功能，對(duì)攻擊行為進(jìn)行關(guān)聯(lián)分析，可以更快速的定位和修復(fù)漏洞。

以上就是我對(duì)云安全中心和云防火墻的一些建議，希望對(duì)大家有用。