@toc

操作和资源可管控

为什么需要操作全程可管控？

操作全程可管控

• 顾名思义，就是要将操作人员的误操作，高危操作和恶意操作等统统关进笼子里

• 如果操作没有管控，操作人员的误操作、高危操作、恶意操作导致的业务中断行为将无法控制
• 哪些操作运维人员可以执行如果不加以限制，删库跑路将不再只是一个“网络段子”

什么是操作全程可管控

• 风险可识别
  • 预先定义风险高危操作行为，对于高危行为进行权限控制，限制低权限人员执行高危操作
• 操作可审计
  • 记录操作人员的字符（Telnet、SSH）、图形化操作（RDP、VNC），操作过程可回放，实现事后追溯和举证
• 安全策略
  • 通过严格的策略限制可以访问业务资源环境的人员，杜绝越权访问

资源操作可管控

NO.1 风险可识别

• 用户可通过 SA-云服务基线查看各项风险的详细信息和指导建议
  • 身份认证
    • 检查是否启用IAM用户
    • 检查租户的用户列表，是否至少有两个已启用的用户，且其中一个用户所属的用户组不是admin用户组。启用IAM用户，是指通过IAM服务启用除企业管理员以外的其他用户，且该用户不属于admin组
  • 访问控制
    • 网络ACL规则检查
    • 检查所有网络ACL的规则是否存在不安全规则，即是否存在开放过大的访问控制策略。不安全规则，即方向为入方向，动作为允许，协议为任一类别协议，源地址为0.0.0.0/0（所有地址），源端口范围为1-65535或0，目的地址为0.0.0.0/0（所有地址），目的端口范围为1-65535、0或者特定的业务端口，如22
  • 日志审计
  • 数据安全
  • 基础防护

NO.2 操作可审计

• 云审计服务（Cloud Trace Service，CTS），通过配置追踪器云审计服务可以实现安全审计>问题定位>资源追踪

NO.3 安全策略

• 统一身份认证（Identity and Access Management，IAM）：策略根据授权的精细程度，分为细粒度策略和 Role-Based Aeecss Control（RBAC）策略

态势感知 SA

• 可视化威胁检测和分析的平台。能够检测出超过20大类的云上安全风险，，包括DDoS攻击、暴力破解、Web攻击、后门木马、僵尸主机、异常行为、漏洞攻击、命令与控制等。利用大数据分析技术，态势感知可以对攻击事件、威胁告警和攻击源头进行分类统计和聚合分析，为用户呈现出全局安全攻击态势
• 通过采集全网流量数据和安全防护设备日志信息，并利用大数据安全分析平台进行处理和分析，态势感知检测出威胁告警，同时将主机安全、Web防火墙和DDoS流量清洗等安全产品上报的告警进行汇聚，最终为用户呈现完整的全网攻击态势，进而为安全事件的处置决策提供依据
  

云审计服务 CTS

• 日志审计模块是信息安全审计功能的核心必备组件，是企事业单位信息系统安全风险管控的重要组成部分。在信息系统逐步云化的背景下，包括我国SAC/TC在内的全球各级信息、数据安全管理部门已对此发布多份标准，如：ISO IEC27000、GB/T 20945-2013、COSO、COBIT、ITIL、NISTSP800等
  
• 云审计服务的主要功能
  • 记录审计日志：支持记录用户通过管理控制台或API接口发起的操作，以及各服务内部自触发的操作
  • 审计日志查询：支持在管理控制台对7天内操作记录按照事件来源、事件名称、操作类型、资源名称/ID、事件状态和时间范围等多个维度进行组合查询
  • 审计日志转储：支持将审计日志周期性的转储至对象存储服务（Object Storage Service，简称OBS）下的OBS桶，转储时会按照服务维度压缩审计日志为事件文件
  • 事件文件加密：支持在转储过程中使用数据加密服务（Data Encryption Workshop，简称DEW）中的密钥对事件文件进行加密
  • 关键操作通知：支持在检测到部分关键操作时，使用消息通知服务（Simple Message Notification，简称SMN）向用户发送邮件、短信通知

统一身份认证 IAM

• 统一身份认证（Identity and Access Management，简称IAM）是华为云提供权限管理的基础服务，可以帮助您安全地控制华为云服务和资源的访问权限
  

云堡垒机 CBH

• 云堡垒机目前支持云堡垒机实例和运维专家服务两大服务模块

• 云堡垒机实例对应一个独立运行的云堡垒机系统，云堡垒机系统具备核心系统运维和安全审计管控功能，符合安全合规审查要求，为用户提供安全统一的运维管理平台

  • 运维人员一次登录，便可对多台资源进行一站式管理
  • 实时记录所有运维操作和日志，便于审计
  • 符合 “网络安全法” 等法律法规，满足合规性规范审查要求

• 运维云堡垒机提供了用户管理、用户组管理、角色管理，认证方式支持账号和密码、USBKey和动态令牌多种令牌认证模式
  

• 云堡垒机提供了访问控制策略、命令控制策略和改密策略等三种方式

小结

• 通过态势感知SA服务来支撑用户做到风险可识别
• 通过CTS服务做到操作的可审计
• 通过IAM服务做到安全策略精细化管理

最后，欢迎大家关注我的个人微信公众号 『小小猿若尘』，获取更多IT技术、干货知识、热点资讯。同时，我在公众号中分享了精心整理的一些视频资料（包括 Python全栈教程、AI教程、前端、数据库等），大家回复相应关键词即可获取网盘视频链接，感谢大家的关注😊