一、典型案例回顧
(一)變更操作不當
20XX年12月1日,某系統的專案組發現其雲上系統歷史資料丟失,經查,由於另一專案組人員於11月25日執行資料刪除操作時誤刪除了該系統的歷史資料所致。由於該系統曾將資料備份到雲硬碟,並做了定期快照,通過快照資料恢復找回了歷史資料。
(二)未與關聯絡統有效協同應急
20XX年12月4日,聯通網際網路線路故障導致公有云聯通線路異常,某系統在應急處置過程中,將網際網路出訪通道從聯通地址切換至其他運營商地址,由於未進行關聯絡統協同應急,切換後的地址不在對端應用白名單範圍內,導致應用報“IP地址白名單校驗失敗”錯誤,經再次調整出訪地址後恢復。
(三)租戶端網路容量不足和配置缺陷
20XX年8月30日,某系統的使用者通過網際網路辦理業務緩慢,經查,由於當天為學校新學期報到日,當天業務量約為平時的3.5倍,其申請的公有云頻寬被佔滿,導致交易緩慢。
20XX年12月6日,某租戶連線私有云的PLA線路故障,導致業務受到影響,經查,由於該租戶專線通道未配置BFD探測(雙向轉發檢測),無法實現故障通道的自動切換。
(四)安全風險意識不夠導致安全事件頻發。
20XX年9月11日,安全團隊在日常監控中發現某租戶賬號下的三臺虛機命中木馬。經查,因租戶未經WAF防護將關鍵業務介面直接暴露在網際網路上,且缺失相應的許可權校驗,導致黑客可直接利用該介面進行木馬植入。事後通過銷燬該叢集,徹底根除該木馬的威脅。
20XX年9月16日,安全團隊在日常監控中發現某租戶賬號下的一臺虛機命中木馬,經查,租戶將3389埠經過對映後直接暴露在網際網路上,且登入密碼為弱密碼,導致虛機被暴力破解成功後植入木馬,事後通過銷燬該虛機,徹底根除該木馬的威脅。
20XX年12月10日,安全團隊在日常監控中發現某租戶賬號下的一臺虛機命中木馬,經查,該事件為租戶擅自對外開放非標埠服務,未經WAF防護,導致風險敞口直接對網際網路暴露。事後通過銷燬該虛機,徹底根除該木馬的威脅。
20XX年12月27日,某租戶私自將未備案的域名通過外部DNS解析到公有云的網際網路地址,導致其地址所在的整條線路被運營商封禁。
二、風險提示及改進要求
針對上述典型案例,公有云運管中心組織了專題討論研究,在《關於進一步加強公有云上部署應用系統運維規範的函》(公有云運管中心〔20XX〕14號)基礎上,進一步明確了以下改進要求:
(一)加強配置和變更管理
專案組應加強配置管理,雲上系統應嚴格按照《建行雲產品設計指引及使用約束》(附件2)規範落實系統配置,應制定相應流程對配置進行增刪改等全流程管理,保證運維人員熟悉瞭解所轄系統配置。公有云租戶控制檯、運維堡壘機的賬號許可權按照最小必需原則配置。加強變更管理,系統變更內容要經過變更管理部門稽核,變更操作要雙人複核,歷史變更要有記錄可供查詢。
(二)落實系統資料備份
專案組制定所轄系統的資料備份策略並落實資料備份實施工作,要求備份範圍涵蓋業務資料、配置資料、軟體介質等,能夠涵蓋系統恢復所需要的所有資料,保證備份完整;根據根據業務要求制定合理備份週期,滿足恢復需要;定期對備份資料進行恢復驗證,保證備份有效。可使用雲硬碟快照、物件儲存等產品對資料進行備份,如果在雲伺服器自行安裝部署資料庫,注意做好資料庫備份工作。
(三)推進應用監控
專案組應建立並完善應用層面資料、交易、日誌等監控體系,對資料完整性、交易成功率、日誌關鍵字等重要指標異常實現主動告警。
公有云已上線應用監控系統,可為租戶提供應用監控、日誌監控及相關管理功能,使用者手冊請見附件3,介面規範請見附件4,請專案組積極完成相關介面改造,制定應用監控納管計劃,儘快納入公有云應用監控系統。
(四)加強應急協同
專案組應定期重檢應急預案,重點檢查並演練與關聯應用系統及公有云運管中心的協同場景,如涉及IP地址白名單等場景,需保證應急場景下本系統地址切換與關聯應用系統的白名單同步更新。
(五)優化公網及專線網路配置
專案組完善租戶端監控指標和告警策略配置,定期檢查包括租戶端頻寬等資源使用情況,確保資源容量滿足執行要求。
1.對於公有云網路產品如負載均衡、彈性公網IP等,注意設定流量下限、上限監控告警。
2.對端連線為私有云的專線通道
(1)對於29位掩碼的專線通道,應開啟BFD探測,保證故障通道自動切換,並將專線通道的冗餘模式設定為負載均衡模式。
(2)對於30位掩碼的專線通道,應儘快確定時間視窗,將專線通道改造為29位掩碼,開啟BFD探測,並將專線通道的冗餘模式設定為負載均衡模式。
2.對端連線為其他外聯單位的專線通道
(1)對於29位掩碼的專線通道,應儘快與外聯單位明確是否開啟BFD以及專線通道的冗餘模式,並約定切換策略。
(2)對於30位掩碼的專線通道,如確定不開啟BFD,則通道不具有故障自動切換能力,需將通道冗餘模式設定為主備模式,保證通道的手動切換能力。
(六)強化安全意識和安全管控
1. 除通過WAF開放的業務通道以及通過龍堡壘開放的管理通道外,禁止租戶私自對網際網路開放埠和服務,如確有特殊需求,一事一批;
2.彈性公網IP(EIP)禁止直接和雲主機繫結用於業務或管理入口,如確有特殊需求,一事一批;
3.暴力破解是目前網際網路上最常見也最有效的攻擊手段,務必提高口令安全強度,規避此類攻擊風險;
4.實時關注建行雲安全產品傳送的告警資訊和漏洞資訊,並實時進行跟蹤和處置;
5. 禁止使用NAT閘道器新建埠轉發規則的方式實現網際網路入訪;
6.嚴禁將未備案的域名指向公有云IP地址。