一、典型案例回顾
(一)变更操作不当
20XX年12月1日,某系统的项目组发现其云上系统历史数据丢失,经查,由于另一项目组人员于11月25日执行数据删除操作时误删除了该系统的历史数据所致。由于该系统曾将数据备份到云硬盘,并做了定期快照,通过快照数据恢复找回了历史数据。
(二)未与关联系统有效协同应急
20XX年12月4日,联通互联网线路故障导致公有云联通线路异常,某系统在应急处置过程中,将互联网出访通道从联通地址切换至其他运营商地址,由于未进行关联系统协同应急,切换后的地址不在对端应用白名单范围内,导致应用报“IP地址白名单校验失败”错误,经再次调整出访地址后恢复。
(三)租户端网络容量不足和配置缺陷
20XX年8月30日,某系统的用户通过互联网办理业务缓慢,经查,由于当天为学校新学期报到日,当天业务量约为平时的3.5倍,其申请的公有云带宽被占满,导致交易缓慢。
20XX年12月6日,某租户连接私有云的PLA线路故障,导致业务受到影响,经查,由于该租户专线通道未配置BFD探测(双向转发检测),无法实现故障通道的自动切换。
(四)安全风险意识不够导致安全事件频发。
20XX年9月11日,安全团队在日常监控中发现某租户账号下的三台虚机命中木马。经查,因租户未经WAF防护将关键业务接口直接暴露在互联网上,且缺失相应的权限校验,导致黑客可直接利用该接口进行木马植入。事后通过销毁该集群,彻底根除该木马的威胁 ……此处隐藏645个字……公网及专线网络配置
项目组完善租户端监控指标和告警策略配置,定期检查包括租户端带宽等资源使用情况,确保资源容量满足运行要求。
1.对于公有云网络产品如负载均衡、弹性公网IP等,注意设置流量下限、上限监控告警。
2.对端连接为私有云的专线通道
(1)对于29位掩码的专线通道,应开启BFD探测,保证故障通道自动切换,并将专线通道的冗余模式设置为负载均衡模式。
(2)对于30位掩码的专线通道,应尽快确定时间窗口,将专线通道改造为29位掩码,开启BFD探测,并将专线通道的冗余模式设置为负载均衡模式。
2.对端连接为其他外联单位的专线通道
(1)对于29位掩码的专线通道,应尽快与外联单位明确是否开启BFD以及专线通道的冗余模式,并约定切换策略。
(2)对于30位掩码的专线通道,如确定不开启BFD,则通道不具有故障自动切换能力,需将通道冗余模式设置为主备模式,保证通道的手动切换能力。
(六)强化安全意识和安全管控
1. 除通过WAF开放的业务通道以及通过龙堡垒开放的管理通道外,禁止租户私自对互联网开放端口和服务,如确有特殊需求,一事一批;
2.弹性公网IP(EIP)禁止直接和云主机绑定用于业务或管理入口,如确有特殊需求,一事一批;
3.暴力破解是目前互联网上最常见也最有效的攻击手段,务必提高口令安全强度,规避此类攻击风险;
4.实时关注建行云安全产品发送的告警信息和漏洞信息,并实时进行跟踪和处置;
5. 禁止使用NAT网关新建端口转发规则的方式实现互联网入访;
6.严禁将未备案的域名指向公有云IP地址。