數(shù)字經(jīng)濟時代,SaaS(Software-as-a-Service,軟件即服務(wù))模式憑借開箱即用、彈性可擴展、成本相對較低等優(yōu)勢,逐漸成為數(shù)字中國建設(shè)的重要載體,日益受到各類型企業(yè)數(shù)字化轉(zhuǎn)型的青睞。其中,SaaS模式的安全性備受關(guān)注。
企業(yè)協(xié)同領(lǐng)軍企業(yè)—云礪的企業(yè)協(xié)同服務(wù)平臺,遵循分層規(guī)劃、全面覆蓋的安全設(shè)計原則,分為線上安全和線下安全兩部分,即應(yīng)用系統(tǒng)上線前的線下開發(fā)安全設(shè)計和應(yīng)用系統(tǒng)上線后的線上安全運營設(shè)計,驅(qū)動復雜的事情簡單化、安全建設(shè)體系化,全方位最大程度保證平臺的安全性,構(gòu)建企業(yè)連接最牢固的安全防護底座。
本文將深度解析云礪企業(yè)協(xié)同SaaS平臺的線上安全運營、線下開發(fā)安全與整體安全設(shè)計思路,以便您更全面的了解。
01
線上安全運營
按照從互聯(lián)網(wǎng)側(cè)到內(nèi)網(wǎng)的順序區(qū)分,云礪企業(yè)協(xié)同SaaS平臺線上的安全運營依次分為網(wǎng)絡(luò)安全、主機安全、應(yīng)用安全、數(shù)據(jù)安全、權(quán)限控制與安全審計五大環(huán)節(jié)。
1.1 網(wǎng)絡(luò)安全
DDOS攻擊方面,云礪研發(fā)團隊分情況進行針對性的重點建設(shè)。在流量型攻擊上,互聯(lián)網(wǎng)側(cè)最外層直接采用云服務(wù)商提供的云抗DDOS服務(wù)用于流量攻擊防護,無需流量牽引和硬件部署。在CC攻擊上,采用云WAF進行防御,CC攻擊通過代理設(shè)備可以識別分析HTTPS攻擊流量,防御效果最佳。
SSH暴力破解、組件漏洞攻擊等其他網(wǎng)絡(luò)攻擊方面,部署云防火墻進行防御。以“最小化開放原則”對網(wǎng)絡(luò)出入口進行黑白名單的訪問控制,減小互聯(lián)網(wǎng)暴露面。云防火墻的虛擬補丁能夠在新型漏洞出現(xiàn)后,以網(wǎng)絡(luò)補丁的方式、在進行補丁修復前提前對服務(wù)進行防護。
內(nèi)網(wǎng)安全方面,云礪研發(fā)團隊通過不同的云VPC隔離生產(chǎn)網(wǎng)和非生產(chǎn)網(wǎng)。云礪企業(yè)協(xié)同SaaS平臺通過安全組對服務(wù)器和數(shù)據(jù)庫開啟白名單訪問控制,以“最小化開放原則”對內(nèi)網(wǎng)訪問進行嚴格控制,實現(xiàn)安全策略的精細化配置和管理。
1.2 主機安全
云礪研發(fā)團隊為生產(chǎn)主機均部署主機安全客戶端,實時檢測網(wǎng)絡(luò)入侵、攻擊探測、異常主機、內(nèi)存馬和病毒文件等異常情況,定期對主機漏洞和應(yīng)用漏洞發(fā)起檢查,以便安全人員及時觀測系統(tǒng)異常行為和漏洞并進行處理。服務(wù)器實例的管控方面,詳見下述“安全審計”部分。
1.3 應(yīng)用安全
在web攻擊防護方面,云礪企業(yè)協(xié)同SaaS平臺采用云WAF對web攻擊進行自動防護,方便安全人員進行web攻擊防護策略的優(yōu)化。除了日常進行漏洞掃描,安全人員定期對應(yīng)用系統(tǒng)進行線上人工滲透測試,針對漏掃系統(tǒng)無法發(fā)現(xiàn)的邏輯漏洞等進行檢查,并提交給對應(yīng)部門進行修復。
1.4 數(shù)據(jù)安全
在數(shù)據(jù)安全方面,根據(jù)個人信息保護法和數(shù)據(jù)安全法,經(jīng)云礪研發(fā)團隊前后端共同探討,形成 “數(shù)據(jù)全生命周期安全管理制度”,對數(shù)據(jù)進行分類分級,確定需要保護的數(shù)據(jù)對象,對數(shù)據(jù)進行加密處理和使用管控,數(shù)據(jù)使用經(jīng)數(shù)據(jù)歸屬用戶書面授權(quán)和管理層審批通過后,直接發(fā)送至歸屬用戶側(cè),確保數(shù)據(jù)不經(jīng)過內(nèi)部員工。
1.5 權(quán)限控制與安全審計
云礪研發(fā)團隊采用堡壘機和數(shù)據(jù)庫管理系統(tǒng),對服務(wù)器和數(shù)據(jù)庫訪問操作行為進行分類限制和管控。
通過堡壘機以證書登錄的方式,保證服務(wù)器無法被暴力破解、未授權(quán)員工無法訪問。所有的服務(wù)器訪問行為和操作命令均被記錄且錄屏,限制關(guān)機、重啟、新建賬號密碼或?qū)胱约旱牡卿涀C書等某些高危命令,避免服務(wù)器的高危操作。
與堡壘機類似,通過數(shù)據(jù)庫管理系統(tǒng)對數(shù)據(jù)庫進行安全管控,比如權(quán)限控制,記錄訪問及操作行為等等。
02
線下開發(fā)安全
針對線下開發(fā)安全,云礪研發(fā)團隊參照SDL安全開發(fā)流程,在需求分析和框架設(shè)計階段采用威脅建模的方式,針對不同的功能場景可能面對的安全威脅進行對應(yīng)的安全功能設(shè)計,如登錄模塊有被暴破的風險,則可通過雙因素認證并限制登錄失敗次數(shù)進行多重防御。
開發(fā)階段使用白盒進行代碼審計,發(fā)現(xiàn)缺陷代碼并進行修復。測試階段由安全人員介入,以人工結(jié)合漏掃工具的方式進行滲透測試,確保上線前沒有發(fā)現(xiàn)安全漏洞。開發(fā)和測試階段若發(fā)現(xiàn)新漏洞,將迭代到威脅建模中形成閉環(huán),減少重復漏洞出現(xiàn),達到漏洞越來越少的目的,減少返工,降低漏洞修復成本。
03
總體建設(shè)思路
云礪企業(yè)協(xié)同SaaS平臺的整體安全建設(shè)圍繞攻擊過程進行規(guī)劃,安全防護技術(shù)不盡相同,主要依賴自動化安全設(shè)備做策略防護,同時由安全人員日常做策略優(yōu)化運營及安全檢查,隔絕大部分攻擊,提前修復安全問題,提高入侵門檻。
針對攻擊的各個環(huán)節(jié):信息收集、漏洞探測及利用、木馬病毒植入、系統(tǒng)提權(quán)、內(nèi)網(wǎng)橫向移動,云礪企業(yè)協(xié)同SaaS平臺的總體安全建設(shè)思路歸納如下:
信息收集:收斂公網(wǎng)入口(暴露面),減少可被探測的信息收集渠道,日常做github、gitee等外網(wǎng)平臺信息泄露的檢查工作。
漏洞探測及利用:做好日常的漏洞檢測和修復工作,運用防火墻、WAF等各類安全設(shè)備攔截具有攻擊特征的數(shù)據(jù)包。
木馬病毒:通過維護安全鏡像,盡可能減少上線系統(tǒng)漏洞;部署主機安全設(shè)備,幫助安全人員監(jiān)控主機安全問題和防護;管理好NAT網(wǎng)關(guān)出網(wǎng)權(quán)限,以最小化開放原則通過白名單進行控制,讓木馬機器因無法上網(wǎng)而無法建立外部通道。
系統(tǒng)提權(quán):做好主機提權(quán)漏洞的修復工作和主機權(quán)限管理工作。
內(nèi)網(wǎng)橫向移動:做好基礎(chǔ)網(wǎng)絡(luò)隔離,盡可能以最小化開放原則控制內(nèi)網(wǎng)的訪問關(guān)系。
關(guān)于云礪
成立于2015年,專注于“企業(yè)連接”,是專業(yè)的供應(yīng)鏈信息協(xié)同及增值稅發(fā)票管理云平臺解決方案提供商,致力于企業(yè)SaaS領(lǐng)域行業(yè)解決方案的研發(fā)及應(yīng)用,為眾多大型企業(yè)提供了基于互聯(lián)網(wǎng)和云創(chuàng)新的軟件服務(wù)。同時布局供應(yīng)鏈上下游協(xié)同,向數(shù)據(jù)增值服務(wù)延伸,是全球企業(yè)服務(wù)SaaS獨角獸。
