• 某零售企业华为云安全加固案例

    某零售企业华为云安全加固案例

     

    1. 项目概述

    某零售企业使用华为云,主机200多台,因为历史原因,存在账号不清晰,VPC划分不合理,安全服务不完善等情况,需要进一步对现状梳理,对安全进行加固。

     

    2. 现状梳理

    2.1账号现状

    经过梳理,发现帐号存在如下安全问题:

    • 有8个帐号未确认使用者,其中1个帐号没有授于任何使用权限,存在非正常授权或授权没及时回收。
    • 只有2个帐号开启web登录多因素认证设备(MFA),其他帐号只要有帐号和密码直接登录,存在帐号盗用风险高和帐号共用的问题。
    • 帐号已开启帐号安全设置,开启了密码强度和用户安全。

    2.2网络现状

    • VPC使用不规范,有2个VPC只有一个子网;使用VPC都在同一可用区,存在业务可用性风险
    • 安全组分配混乱,有4安全组没有绑定实例、21安全组绑定1实例
    • 弹性公网IP没有绑定使用,存在资源浪费
    • 没有使用NAT网关,多台云主机公网IP只是用作ssh登录使用,存在系统暴露风险, 使用NAT网关可以减少系统暴露风险和降低网络成本。

     

    2.3资源现状

    • 有5台云主机资源没有及时回收,存在浪费问题。
    • 单个业务的云主机都在同一个可用区,存在可用区故障业务可用性问题。
    • 3台云主机用于数据库服务,使用相同配置的RDS,RDS的安全性和可用性更高。
    • RDS未加入安全组

     

    3. 华为云安全加固方案

    3.1 帐号安全

    • 结合当前使用情况以及云账户管理的最佳实践,建立云账户管理规则并分发至相关干系人;
    • 使用RAM创建和管理用户和组,并使用各种权限来允许或拒绝他们对云资源的访问;
    • 启用多因子认证,并安全的保存多因子认证的设备或Token;
    • 周期性的轮换身份和访问管理秘钥,并及时删除未使用的秘钥;
    • 依据标准化的身份生命周期流程,当员工状态发生变化时,及时增加、删除、修改员工权限。

    3.2操作审计

    启用华为云操作审计服务,操作审计提供操作记录查询,并可以将审计事件保存到您指定的日志服务或者对象存储空间。利用为云操作审计服务保存的所有操作记录,可以实现安全分析、资源变更追踪以及合规性审计。

    3.3 使用华为云负载均衡替换原架构中的Nginx

    负载均衡(Server Load Balancer)对多台云服务器进行流量分发,扩展应用系统对外的服务能力,实现更高水平的应用容错。

    负载均衡SLB除了实现负载均衡功能之外,也极大的减少了云服务器对公网IP的需求(减少成本支出),同时减少了对外暴露的攻击面(增加安全性)。

    3.4 使用NAT网关加固网络安全

    NAT Gateway能够为VPC内的云服务器提供SNAT功能,通过灵活简易的配置,即可轻松构建VPC的公网出口。NAT Gateway为VPC内云服务器提供主动连接到公网的服务,减少公网IP的需求减少成本支出),同时减少了云服务器对外暴露,避免了云服务器被攻击的风险。

    3.5 设置严格的访问控制

    在云服务器上设置严格的安全组/IPTABLES,确保每台云服务器仅仅对其他必要的云服务器开放指定的端口,删除不需要开放的端口。

    3.6 DDOS防护

    通过配置华为云DDoS防护,将业务请求流量牵引至DDoS防护清洗,攻击流量被过滤,仅正常流量被转发到源站,确保源站服务器稳定可靠,建议云帐号预留备用金,在需要时启用DDOS防护。

    3.7 云服务器密码管理

    为云服务器设定密码复杂度策略,同时禁用SSHD的密码访问(启用公钥私钥认证)。

    3.8 部署华为云安全云脑

    安全云脑(SecMaster)是华为云原生的新一代安全运营中心,集华为云多年安全经验,基于云原生安全,提供云上资产管理、安全态势管理、安全信息和事件管理、安全编排与自动响应等能力,可以鸟瞰整个云上安全,精简云安全配置、云防护策略的设置与维护,提前预防风险,同时,可以让威胁检测和响应更智能、更快速,帮助您实现一体化、自动化安全运营管理,满足您的安全需求。

    3.9 备份与灾难恢复计划

    通过华为云提供的数据库备份功能和快照,为数据库和云服务器建立备份策略,以防备数据丢失的风险。

    通过定期数据恢复测试,可以验证数据备份的有效性。

     

    4. 项目收益

    该客户通过新钛云服华为云安全加固的梳理和加固,资产更清晰,安全得到了进一步的加固,取得了预期效果。

     

    «
    »
以专业成就每一位客户,让企业IT只为效果和安全买单

以专业成就每一位客户,让企业IT只为效果和安全买单