世界上只有兩種人：知道自己被黑的，不知道自己被黑的。
—— 信息安全圈名言

被黑，其實和世界上的大多數(shù)事情一樣，也是灰度漸變的，黑客從獲取外圍的權(quán)限到拿下整個系統(tǒng)的控制權(quán)一般都要經(jīng)過多個步驟，包括：

• 偵查與信息收集：

  偵查目標，包括利用社會工程學了解目標。

• 制作與選擇攻擊工具：

  針對目標編寫或選擇現(xiàn)成的工具。

• 傳送工具：

  將攻擊工具傳輸?shù)侥繕讼到y(tǒng)上，包括利用站點的上傳漏洞等。

• 觸發(fā)工具：

  利用目標系統(tǒng)的漏洞觸發(fā)執(zhí)行攻擊工具。

• 控制目標：

  在目標上建立遠程控制通道。

• 執(zhí)行活動：

  執(zhí)行需要的攻擊行為，包括獲取信息、進一步擴大權(quán)限等。

• 保留據(jù)點：

  創(chuàng)建據(jù)點，為后續(xù)攻擊提供便利。

這個過程被稱為攻擊鏈，從傳送工具開始，被“黑”的進程就已經(jīng)開始了，后續(xù)的步驟環(huán)環(huán)相扣，假如在此過程中能夠及時的發(fā)現(xiàn)攻擊行為進行阻斷就能挫敗此次攻擊。云安全中心和云防火墻就是斬斷攻擊鏈的兩柄利器。今天就讓我們來聊聊它們的部署要點。

第一個要點，功能定位
阿里云官網(wǎng)，有關(guān)云安全中心的功能描述如下：

云安全中心是一個實時識別、分析、預(yù)警安全威脅的統(tǒng)一安全管理系統(tǒng)，通過防勒索、防病毒、防篡改、合規(guī)檢查等安全能力，
幫助用戶實現(xiàn)威脅檢測、響應(yīng)、溯源的自動化安全運營閉環(huán)，保護云上資產(chǎn)和本地主機并滿足監(jiān)管合規(guī)要求。

所以千萬不要把云安全中心只當成一個殺毒軟件來看待，云安全中心的威脅檢測、響應(yīng)、溯源自動化對于及時的發(fā)現(xiàn)并阻斷入侵鏈具有關(guān)鍵作用。云安全中心其實更像一個主機IDS而不是一個殺毒軟件。

云防火墻在阿里云官網(wǎng)的描述如下：

SAAS化云原生防火墻，全面梳理云上資產(chǎn)的互聯(lián)網(wǎng)暴露和風險情況，一鍵防護；IPS虛擬補丁可智能防御高危漏洞；集成威脅情報，支持阻斷主動外聯(lián)行為、業(yè)務(wù)間訪問關(guān)系可視，網(wǎng)絡(luò)流量審計，等保必備。

假如你只需要一個防火墻，其實免費的安全組已經(jīng)足夠了，云防火墻的價值主要體現(xiàn)在IPS虛擬補丁以及發(fā)現(xiàn)并阻斷主動外聯(lián)行為。攻擊者在控制目標階段，通常情況下都會發(fā)起主動外聯(lián)，因此相對于防火墻，我覺得云防火墻更適合作為一個網(wǎng)絡(luò)IPS來使用。

第二個要點，授權(quán)粒度
在購買安全中心時，有一個要點是購買的授權(quán)數(shù)必須大于當前賬號的保有ECS數(shù)量，假如ECS的數(shù)量要增加，要提前對云安全中心進行擴容，增加授權(quán)數(shù)量。
另外，云安全中心的附加功能包括日志存儲空間、防勒索存儲空間授權(quán)的對象都是整個阿里云賬號而不是單個ECS服務(wù)器，假如配置了30GB的日志存儲空間，而當前云賬號下的ECS數(shù)量為2，則兩臺ECS將共享這30GB的日志空間，鑒于阿里云建議為每臺ECS配置30G日志存儲空間，因此最好擴容日志存儲到60GB。云安全中心的授權(quán)范圍是整個阿里云賬號。

云防火墻的授權(quán)可細化到單個VPC，假如當前賬號下有兩個VPC，而只有一個互聯(lián)網(wǎng)防火墻授權(quán)可用，就可以在云防火墻控制臺選擇為哪一個VPC開通互聯(lián)網(wǎng)防火墻。在云防火墻的企業(yè)版、旗艦版中還有VPC防火墻的功能，也可以根據(jù)需要在不同的VPC之間進行開通。

第三個要點，默認安全
云安全中心和云防火墻都屬于“默認安全”服務(wù)，在阿里云上的所有ECS服務(wù)器無論是否購買云安全中心服務(wù)都會默認安裝阿里云的云安全中心客戶端，當然除非在購買ECS時明確的取消安裝安全加固服務(wù)。
云防火墻無需復(fù)雜的配置即可對服務(wù)器提供安全防護，只需要在防火墻開關(guān)界面“一鍵開通”即可對全部服務(wù)器提供安全防護服務(wù)。

第四個要點，運維建議
籬笆壞了就要趕緊補好，云安全中心上的報警信息要時刻關(guān)注，除了可以設(shè)置短信和郵件報警外還可以設(shè)置釘釘機器人自動發(fā)送信息到釘釘群。當收到云安全中心的預(yù)警時可以在第一時間登陸阿里云賬號使用云防火墻的主動外聯(lián)活動監(jiān)控功能對主動外聯(lián)行為進行監(jiān)控，并對可疑的主動外聯(lián)行為進行封禁，云防火墻支持按域名對外聯(lián)訪問進行開通或者封禁，可以通過外聯(lián)白名單的方式只對指定的系統(tǒng)更新，業(yè)務(wù)合作方的域名開通主動外聯(lián)。
假如云安全中心的版本是企業(yè)版還支持攻擊溯源的功能，對攻擊行為進行關(guān)聯(lián)分析，可以更快速的定位和修復(fù)漏洞。

以上就是我對云安全中心和云防火墻的一些建議，希望對大家有用。