2017年巡風系統在同程運維安全的實踐.pdf

1、巡風系統在同程運維 安全的實踐 運維經理 同程旅游 目 目 錄 錄 CONCENTS 同程運維安全發展 同程運維安全發展 巡風g機安全 巡風g機安全 巡風應用安全 巡風應用安全?巡風漏洞掃描巡風漏洞掃描?巡風開源巡風開源?u的系統安全h？“開發開發 運維運維 SQ3SQ3注入注入、XSSXSS、越權 越權 網絡邊界網絡邊界、系統漏洞系統漏洞、應用配置不當 應用配置不當 道高一尺Y魔高一丈 同程運維安全初期 同程運維安全初期 n 數十/數百臺g機 n 應用簡單 n 純手工兼職運維 n 安全一般在開發的手上 n 沒有防火墻YFLPa?He/FLsec n 服務器間沒有隔離 n 不健壯密碼/密碼沒有

2、及時變更 n We?安全問題高發 n 變更無記錄、無法追溯 n 安全上沒有規劃、依賴少數n的n品?!?!?!DB!同程運維安全e期 同程運維安全e期 n 數千臺g機 n 有一定的自動化運維系統 n 劃分不同的RHaJ n bc防火墻 n 有b門的運維n員及安全 n 特殊配置W成本、時間X n 變更有一定記錄 n 開放i不應該開放的服務!VLAN!?!?!?!DB!VLAN!?!?!?!DB!同程運維安全進行時同程運維安全進行時 n 數萬臺實v n 成熟自動化運維系統 n bc的安全團隊WYSR+X n 安全系統 n 系統的復雜性 n 歷史的包袱 運維a安全 自動化運維能解決自動化運維能解決 q

3、上問題hq上問題h？未授權訪問 未授權訪問 系統漏洞系統漏洞 違背最小化原則 違背最小化原則 可寫文r夾執行 可寫文r夾執行 應用配置不當 應用配置不當 異常帳戶 異常帳戶 異常端口 異常端口 異常連接 異常連接 異常進程 異常進程 異常流量 異常流量 可疑文r 可疑文r 巡風g機安全 巡風g機安全ADeJPU設計 A C B D 跨系統跨系統支持 支持 資源消資源消耗可控耗可控3%3%插r化插r化設計 設計 RFJDRFJD0 0層 層 E 自我自我 監控 監控 F 不yx息預不yx息預判判YY足夠輕足夠輕 巡風g機安全ADeJPU功能 n We?SEeHH檢測W支持AS5X、505、2sL

4、X n 異常網絡行f檢測 n 進程/命p監控 n 文r操t監控 n 安全基線核查 n 安全事r阻斷 n 系統日志收集 系統日志收集 n 系統x息W開機啟動系統x息W開機啟動、服務列表服務列表、計劃s務計劃s務、開放端口開放端口、用戶列表用戶列表XX收集 收集 n 執行s務推送 執行s務推送 n 漏洞補丁升級 漏洞補丁升級?Agent!?Agent!?Agent!?Agent!Collector!Collector!Collector!?!?!?!message!?!?!CMDB!?!?!?!?!?!巡風g機安全ADeJP-架構 各種規則各種規則YY配的累h配的累h？新上一d服務新上一d服務YY

5、能整的清楚h能整的清楚h？巡風g機安全ADeJP-數據驅動?!?!?!?!3?!?!?!安全ADeJP 安全ADeJP 安全ADeJP 安全ADeJP +oHHecPoN +oHHecPoN +oHHecPoN 管理e樞 消息隊列 安全引擎 IessaDe 更新模更新模塊塊、命p命p 報表 模型識別 規則庫 安全n員維護 發送命p發送命p 數據模型 巡風g機安全ADeJP-數據驅動 巡風g機安全ADeJP 目前安全g機ADeJPl線已全覆蓋Y每天收集的x息量在千萬量級Y其en工干預約半d工t日。巡風應用安全模塊?!?!?!DB!Waf!DB!DB!Fireware!DBProxy!SQ3注入

6、XSS攻擊 越權問題)We?SEeHH?!異常SQL 異常請求 異常訪問?!?!?!DB!DB!?!?!?!?!?!?!?!?/?!?!?劫持關鍵方法點 劫持關鍵方法點 獲取 獲取 p We?0aJAHeN.DoReqQesP p 0PPL+HFeJP.5osP)p 0PPL+HFeJP./eP)p SqH+oIIaJA.-ScQPe)p SocGeP.+NeaPe)p .FHe.+NeaPe :NH+5aNa :NH+5aNa SqH+DaPa?ase 15+5oNP .FHeNaIe 對k異常SQ3、請求可q進行實時阻斷。目前每天處理百o量級的數據Y異常在百萬級?巡風漏洞掃描模塊?目前巡風

7、掃描模塊漏洞檢測插r150+每天掃描s務量級在數十萬q上?網絡資l識別網絡資l識別：漏洞檢測引擎漏洞檢測引擎(端口探測 指紋識別W服務類型、組r容器、腳本語言X 定期或者一次性的漏洞檢測%種插r類型、標識符a腳本 巡風g機aDeJPg動觸發 DFPEQ?DFPEQ?地址如下地址如下：EPPLs(/DFPEQ?.coI/TsNc/SQJCeJD!同程安全開源 UU巡風系統 同程巡風系統UUN-XT n 應用安全模塊支持更多語言應用安全模塊支持更多語言、數據庫 數據庫 n g機安全模塊g機安全模塊YY多環境策略支持 多環境策略支持 n 各模塊風險策略統一分級各模塊風險策略統一分級、評分 評分 n ac界共m安全x息ac界共m安全x息、進一步開源 進一步開源