在针对云上主机的安全事件中,有近一半的比例是关于主机账号的攻击行为,即俗称的弱口令攻击和暴力破解,每年由这类攻击引发的勒索行为、挖矿行为给云上租户带来巨大的损失。
据部分行业媒体报导,近年来由弱口令引发的安全事件占到总数的一半以上,并且有逐年上升的趋势。而研究机构预测在2021年在全球范围由勒索病毒和挖矿病毒引发的经济损失预估将超过300亿美元。
这两类问题本质上都是由不安全的身份认证凭据引起的。
这篇文章将提供三种简单有效的解决方案帮助您解决弱口令和操作系统账号暴力破解的风险。
方案一 加固操作系统账号
增强凭据强度
将操作系统的登录口令修改为强度足够的口令
使用RSA密钥对作为登录凭据
首先确保您已获取新密钥对的公钥信息
如果使用新的私钥能够登录ECS实例,表示添加或者替换密钥对成功。
这种方式不但大大增强了凭据的强度,还能简化登录步骤,从而提升云主机的运维体验。
收敛网络边界
云主机的运维端口如果暴露在互联网上,则存在被攻击者发现和破解口令的风险。
通常云主机的运维源头分布在有限的网络端点中,运维IP源地址是有限并确定的。针对这种情况,应当通过安全组或云防火墙收敛运维端口的暴露面。
方案二 配置云安全中心
云安全中心提供防暴力破解功能,支持配置自定义暴力破解防御规则。
您可以在云安全中心>安全告警处理>安全告警>安全告警设置>防暴力破解选项下配置相应的规则。
云安全中心提供默认防御规则:防暴力破解攻击阿里云最佳实践,该防御规则具体为10分钟内登录失败次数超过80次,禁止登录6小时。同时也可以选择自定义防御规则。
在策略配置的阈值被触发时,恶意登录行为将会被制止。
更多详细信息请点击链接https://help.aliyun.com/document_detail/96317.html?spm=5176.2020520154.0.dexternal.54fe5245Tb5gZc。
开启弱口令检查
云安全中心提供弱口令检测功能,可根据需要开启相应的检查基线,您可以在开启后设置自定义的弱口令检测规则。
云安全中心基于阿里云威胁情报,已默认提供276263条内置弱口令检测规则,您可以基于业务需要,自定义基线弱口令规则。
完成基线检查策略制定后,根据已制定的策略,您可以检查服务器是否存在安全风险。
️该项功能面向云安全中心高级版和企业版用户,因此升级产品功能会产生相应费用。
方案三 使用特权访问管理(推荐)
特权访问管理服务PAM(Privileged Access Management)是阿里云为云平台用户提供的一款用于统一运维的安全产品,通过PAM进行运维登录可以有效降低云主机账号被暴力破解的风险。
PAM提供5个云主机实例的免费额度,公测期间可以提交工单(产品类别选择堡垒机)将配额进行免费提升。
PAM可以通过以下链接访问:https://yundun.console.aliyun.com/?p=pam#/overview/cn-hangzhou。
托管云主机资产
首次使用PAM服务需要通过授权,在确认用户协议后点击开通即可进入PAM的资产运维页面。PAM会自动同步当前云账号下的ECS资产,目前支持国内六大region:杭州、张家口、北京、上海、深圳、呼和浩特。运维云主机之前,需要对其进行托管,点击资产托管页面,选择要托管的资产即可。
配置登录凭据
完成托管的云主机需要进行凭据录入后方可登录,所谓凭据即操作系统账号的用户名和口令或密钥对。点击资产卡片的“添加凭据”,输入对应的用户名和口令,或用户名和私钥即可,PAM会对凭据进行加密存储。
一键安全运维
完成凭据录入后,点击云主机卡片上的远程连接,在弹出的选项中选择要登录的账户凭据,点击运维,即可登录云主机。
收敛网络边界
同方案一一样,使用PAM进行运维需要收敛运维端口的网络暴露面,与方案一不同的是,由于PAM连接云主机的运维端口使用的是云内网络,因此可以通过安全组或云防火墙禁止掉所有来自互利网的运维端口(22、3389)访问,完全杜绝被入侵的风险。
PAM服务还提供用户分组、资产分组等功能,同时可以支持非云账号登录运维,解决企业内部无云账号职工运维登录的问题。更多功能请参考产品文档。
