從安裝、管理到防護_阿里雲安騎士全向測評

對於黑客而言，服務器是最理想的肉雞。而當前雲計算系統中的海量雲主機資源，更是黑客面前的美味大餐。開源系統，自己就存在着比較嚴重的系統安全漏洞問題，容易使黑客趁虛而入。而虛擬系統安全管理手段匱乏，又進一步滋長了黑客們的囂張氣焰。

近期，又有安全研究人員發現，數萬WordPress站點被利用於實施第7層DDos攻擊。大多數實施攻擊的源網站託管在知名VPS/雲服務提供商：亞馬遜的AWS、Digital Ocean、谷歌雲、微軟的Azure、HETZNER、OVH和Linode之上……

雲主機任黑客宰割的三宗罪

提到網絡威脅，首先讓人聯想到的就是僵（殭屍）、木（木馬）、蠕（蠕蟲）。蠕蟲的危害雖然巨大，可是其不可控制性過強，隱蔽性差、易於被查殺，目前已經接近被淘汰的階段。可是經過木馬控制主機，組織成龐大的僵屍網絡來發起DDoS攻擊的狀況，目前卻愈演愈烈。

雲主機被黑客肆意宰割，無外乎如下三種緣由。

1、開源軟件漏洞

和傳統的商業軟件不一樣，開放源碼軟件能夠被散佈在世界各地的編程者、隊伍開發。同時，開放的源代碼也很容易被一些別有用心者利用。這就爲開源系統留下了不可控制的安全隱患。因而開源軟件的系統漏洞問題，天然也就開始顯著增加了。

這是在網絡上收集到的一個組件漏洞排名，從這個裏能夠看到，在WordPress組件中，竟然存在着100個以上的安全漏洞。由此可知數萬WordPress站點淪爲黑客肉雞也是一個理所固然的事情了。

這還只是已知漏洞所形成的威脅，在黑客手中還有不少還沒有暴露的「0 day」漏洞，以及雲計算系統中所存在的漏洞等等，這些漏洞所能形成的危害，就不是將用戶的雲主機變成「肉雞」這麼簡單了。

2、木馬、黑客程序

除了軟件漏洞以外，木馬、黑客程序對雲主機的危害也不容小覷。

黑客在經過軟件漏洞，得到雲主機的控制權限後，會經過上傳木馬程序的方式，來達到對主機長期佔有的目的。

另外，在雲主機的使用過程當中，必然要安裝不少第三方的工具軟件。然而一些免費工具的下載網站，每每爲了達到其盈利的目的，會在這些下載程序中夾雜一些後門、木馬之類的黑客程序。

此類後門、木馬之類的黑客程序，具備很強的多變性與隱蔽性，還會模仿成系統或服務進程，讓用戶沒法分辨，更難以及時進行處理。

3、撞庫、暴力破解、弱口令

除了漏洞和木馬以外，若是黑客撐握了用戶的登陸信息，同樣也能夠對雲主機隨心所欲。所以，撞庫、暴力破解、弱口令等一系列安全問題，也在無時無刻對雲主機的安全形成着威脅。

當每一次網絡泄密事件發生後，均伴隨着海量用戶信息的泄露。經過對這些登陸信息的收集，黑客能夠打造出更加精準的「萬能鑰匙」，從而更加精確的，在不觸及登陸告警機制的狀況下，經過撞庫的形式，進行雲主機的非法登陸。除了撞庫，還能夠經過組織大量肉雞，在不一樣時間經過強行計算的方式，對用戶登陸信息進行暴力破解。

此外，還有不少用戶並不注意自身等錄信息的安全，使用一些很是經常使用的、易於記憶的用戶名、密碼進行雲主機登陸，而這一樣也給予黑客可乘之機。

安騎士——無微不至的安防衛士

在傳統數據中心中，遇到上述問題，一般採用安裝企業級的防病毒軟件來進行處理。但是在雲主機上，這樣的處理方式就力不從心了。

首先，是資源佔用的問題：傳統企業級防病毒軟件的實時防禦程序，須要佔用較多的CPU和內存資源。當進行查殺病毒操做時，還須要經過龐大的病毒庫對系統和文件進行分析。對於處理性能充裕的傳統服務器而言，這些資源的佔用無傷大雅。而對於按資源使用付費的雲主機來講，這種資源佔用行爲就是極大的浪費。

其次，是統一管理的問題：雲計算按需部署的特性，致使雲主機數量會隨業務增減而不斷變化，而傳統企業級防毒軟件對這種隨機擴展的應用特色每每難以適應，沒法統一進行管理，從而給黑客以可乘之機。

並且，傳統企業級防禦軟件對於撞庫、暴力破解、弱口令等騙取管理權限的黑客行爲，一般缺少有效的防禦手段進行防護。

那麼，雲主機安全應當如何進行應對？針對這個問題，阿里雲推出了全新形態的雲主機安全防禦產品——安騎士。

安騎士雲主機防禦產品，由Agent、雲端防禦中心、控制檯與安騎士APP四大主要組成部分構成。

Agent，是一個常駐在雲服務器操做系統中的輕量化進程，能夠根據用戶配置的安全策略上報服務器上存在的安全風險數據和新增的安全事件數據，同時響應用戶和安騎士雲端防禦中心的指令，實現對雲服務器上的安全威脅清除和惡意攻擊攔截。

雲端防禦中心，接收全網Agent上報雲服務器安全事件和威脅數據，經過雲端的多個威脅識別模型，對每一條上報的安全事件進行分析，根據分析結果給Agent下發相關攔截和處理指令。

控制檯，主要功能包括雲服務器資產管理、安全威脅數據處理、安全策略配置、安全報表查看等所有可供用戶使用的功能。

APP，能夠隨時隨地掌握雲服務器安全狀態，以及迅速處理雲服務器面臨的安全威脅。

下面，至頂網根據目前雲主機所遇到的主要威脅形式，對安騎士的安全防禦功能，進行了一次體驗性的評估。

統一高效輕量運維

和阿里雲的大部分安全功能同樣，安騎士的控制檯也已經集成在了阿里雲的控制檯之中。經過服務器安全（安騎士）直接進行調用。並能夠直觀的對各臺雲主機安全狀態進行查詢。

安騎士的Agent不但能夠在阿里雲的雲主機上進行安裝，在非阿里雲的服務器上也一樣能夠進行部署。而且能夠不一樣版本的Windows與Linux系統進行支持。

在一臺單核1G內存的Linux雲主機上安裝安騎士，並進行漏洞檢測時發現，其AliYunDun與AliHids進程的CPU佔用率僅爲0.3%、內存佔用率分別爲0.6%與0.9%。基本不會對雲主機上業務應用產生過多影響。

控制檯的統一管理，極大減輕了用戶對大量雲主機進行維護時的工做強度。輕量級的Agent避免了雲主機大量資源浪費的產生。

查疑補缺即時修復

Agent輕量級化後，是否會對檢測效果產生不利的影響？爲此咱們一樣也對安騎士Agent的檢測能力進行了瞭解。

在經過安騎士控制檯，進行內核配置檢測時，發現當前雲主機所使用的鏡像源，已經有新鏡像可供升級，因而安騎士向咱們作出了風險提示。

當咱們按照提示將系統內核進行升級後，風險提示消失。

源頭布控清僵除木

僅僅經過被動的補丁修復，很明顯是沒法知足雲主機安全防禦需求的。要想保障雲主機的安全，還要從威脅的源頭查起，去主動追詢。安騎士一樣也具有着溯本清源木馬追查能力。憑藉安騎士Agent與雲端防禦中心聯動，能夠及時分析雲主機中的木馬行爲，對木馬文件及時定位、即時清理。

在本次測試中，咱們在被測雲主機上，上傳了一個能夠用於遠程命令執行的Webshell腳本文件，當文件上傳後，即時被安騎士Agent查覺，並在控制中心中進行告警，WebShell腳本文件也即時被加以隔離，從而沒法對雲主機進行更進一步控制。

登陸安全查無鉅細

雲主機的安全，重要的仍是管理權限的問題，一但用戶登陸名稱與密碼泄露，或遭到暴力破解，雲主機一樣也將被易手，安全更加無從保障。

在阿里雲安騎士的控制檯上，能夠查詢每次用戶登陸的記錄信息和登陸的源IP地址，一但發現異常登陸信息，用戶能夠及時進行處理。

同時阿里雲安騎士還具有出色的防暴力破解能力，能夠有效對爆力破解行爲進行阻斷，並將爆力破解行爲進行記錄。

應用分析鏈接管理 將來雲安全的新趨勢

有記錄、有阻斷、有告警、有定位，阿里雲安騎士憑藉具有多種威脅識別能力的雲端防禦中心，高效輕量的Agent管理進程，直觀即時的管理控制檯應用，高性能全方位的爲雲主機提供了周全的安全防禦能力。從而使得雲主機，不再會淪爲任黑客肆意宰割的羔羊。而且，經過對黑客鏈接的有效定位，還能夠順藤摸瓜，最終斬斷黑客伸向雲主機的幕後黑手，使其曝露在光天化日之下。從而還雲計算網絡世界一片清靜藍天。相信隨着阿里雲安騎士部署數量的增加，雲計算的安全也將逐步得以實現。

原文地址：http://click.aliyun.com/m/20491/