某区块链交易平台在成立之初,公司曾以华尔街交易员和专业投资者为业务团队的核心创始人,但对于数字货币的在线交易,该行业的特点用户网站平台的运行确实是整个过程中的巨大挑战。作为一家创业公司,用户不仅需要考虑公司云上的实际运营成本,还需要一套成熟、可用的云安全处理机制。随着业务量的增长,主要面临了以下几大挑战:
1. 用户环境都在 Amazon Web Services中,其内部用户开发人员、财务人员、审计人员和第三方外部服务提供者分别需要不同的权限。在人员变动频繁的情况下,没有系统的具体账户控制方案。
2. 用户业务是一个覆盖全球的区块链交易平台,始终面临着大量的DDOS攻击威胁,来自网络攻击的威胁也变得更加多样化。在高峰期,用户经常遇到多目标DDOS攻击。为了满足业务安全稳定的需求,用户需要一种全自动高效的解决方案来应对网络DDOS攻击。
3.用户网站需要处理大量基于Web的业务问题:SQL注入、核心API的接口令牌认证、Web链接合规检测。
4. 用户没有有效的方案来回溯攻击的发生以及进行攻击分析的方案。
5. 对于用户的环境,需要一个定期的审计帐户环境,并生成报告来帮助审计部门的审计人员遵守操作流程和内容。
使用的第三方应用程序或解决方案
伊克罗德(eCloudrover)结合AWS原生的数据采集、存储、清理、分析和表示服务,帮助WAF实现DDOS的自动化保护。此外,伊克罗德通过第三方Web扫描工具Acunetix Web漏洞扫描器,规划并构建了一套适合用户业务的安全解决方案。
Acunetix
Acunetix是一款商用收费、成熟、快速、健壮的网络漏洞扫描检测软件。
借助Acunetix SQL注入和跨站点脚本测试,强大的可视化功能可以很容易地测试web表单和密码更改广泛报告设施,包括visa PCI合规报告多线程快速扫描,刮的成千上万的网页,非常方便的智能扫描仪检测网络服务器类型和应用语言。可以生成报告,供运维人员评估需要修改的网站漏洞条目。
SkyEye system
SkyEye系统以攻防渗透和数据分析为核心竞争力,专注于威胁检测和响应,为客户提供安全服务和产品解决方案。基于网络流量数据,SkyEye system使用大数据分析和机器学习技术建立网络异常行为检测模型,内置非常规服务分析,登录行为分析,邮件行为分析,数据行为分析和其他场景,实现检测和发现新的攻击和内部违规。SkyEye系统支持全包取证分析,提供线索可视化图谱延伸线分析能力(威胁搜索),为企业用户呈现一次攻击的完成过程,帮助用户对网络攻击进行回溯和分析。
解决方案和架构
1.伊克罗德(eCloudrover)根据用户需求,为IAM用户和角色设计一套完整的管理解决方案。按部门划分用户组的内部人员,定期轮换和更新用户密码;对于外部服务提供者,通过使用switch-role提供授信的外部帐户控制。
2.伊克罗德为客户设计一套基于Amazon WAF,通过结合Amazon Kinesis,S3,Glue,Lambda服务实现WAF日志的分析处理,及时动态更新的列表WAF屏蔽规则,结合WAF AWS通过规则和自定义规则,实现整个网络架构的DDOS攻击的保护,提高整体能力的安全保护:
Kinesis:在此服务的基础上,用户实现WAF日志的流式采集,保证WAF日志的快速采集。
S3:基于此服务,存储大量的日志文件并按时间进行备份,同时也存储分析过的WAFlog。
Glue:在此服务的基础上,用户收集大量的WAF日志并汇总到Glue上,使用爬虫进行日志清理。
Quicksight:在此服务的基础上,用户在查询后实现数据的图形表示,确保分析的数据能够可视化地显示出来。
3.在Acunetix的帮助下,伊克罗德为用户解决了SQL注入问题、Web链接合规检测等一系列Web业务问题,并定期生成由系统完成的网站漏洞扫描分析报告。
4. SkyEye系统的帮助下,伊克罗德构建一个网络异常行为检测模型通过其内置的大数据分析和机器学习技术,并结合Amazon Cloudtrail日志来分析用户的API调用行为,账户登录行为,电子邮件行为和数据的行为,从而实现检测和发现新的攻击和内部违规。定期审核账务环境并生成报告,协助审核部门按照审核人员的操作程序和内容进行审核。
项目成果
1. Amazon CloudFront IP地址如此之多,用户无法轻易地将大量IP来源添加到Alb的安全组中。伊克罗德结合Lambda服务和SNS来获取并更新Cloudfront地址到特定的安全组,以确保ALB的访问源是Amazon Cloudfront。通过在架构伊始时设置该方案,提高了Cloudfront到ELB的用户网络的安全性,避免了对公共网络的访问暴露。
2. 用户无法通过设置基于请求速率的WAF规则来处理大量且缓慢的攻击。伊克罗德通过将Amazon与托管WAF规则组、第三方市场规则组和自定义规则的解决方案相结合,为用户设置WAF规则。根据用户需求和实际成本,提出有效的安全防护规则建议。
3.用户希望有一种能够快速分析和演示WAF拦截效果的实时方案。伊克罗德通过WAF保护应用层,并结合Kinesis快速将Waflog导入S3。Glue清除日志文件并在Quicksight中显示结果。
4. 用户缺乏实际网站安全漏洞保护经验。伊克罗德建议用户可以使用Acunetix Web漏洞扫描器作为第三方工具,对用户的Web漏洞和网站漏洞进行扫描和分析,并生成分析报告供用户参考。
5.使用Config确保Amazon资源的配置的一致性,避免意外的操作导致核心资源配置被篡改,影响生产业务。
6.使用第三方统计工具,与Amazon cloudtrail日志文件结合对比进行用户行为审计。
使用的 AWS 服务
S3
WAF
Shield
Glue
Athena
Kinesis
Quicksight
Lambda
CloudWatch
Cloudtrail
Guard duty
SNS