從安裝、管理到防禦，阿裡雲安騎士全向測評

摘要： 安騎士測評

對於駭客而言，伺服器是最理想的肉雞。而本期雲端運算系統中的海量雲主機資源，更是駭客面前的美味大餐。開源系統，本身就存在著比較嚴重的系統安全性漏洞問題，容易使駭客趁虛而入。而虛擬系統安全管理手段匱乏，又進一步助長了駭客們的囂張氣焰。

近期，又有安全研究人員發現，數萬WordPress網站被利用於實施第7層DDos惡意探索。大多數實施惡意探索的源網站託管在知名VPS/雲端服務供應商：亞馬遜的AWS、DigitalOcean、穀歌雲、微軟的Azure、HETZNER、OVH和Linode之上……

雲主機任駭客宰割的三宗罪

提到網路威脅，首先讓人聯想到的就是僵（僵屍）、木（木馬）、蠕（蠕蟲）。蠕蟲的危害雖然巨大，但是其不可控制性過強，隱蔽性差、易於被查殺，目前已經接近被淘汰的階段。但是通過木馬控制主機，組織成龐大的殭屍網路來發起DDoS惡意探索的情況，目前卻愈演愈烈。

雲主機被駭客肆意宰割，無外乎以下三種原因。

一、開源軟體弱點

和傳統的商務軟體不同，開放源碼軟體可以被散佈在世界各地的程式設計者、隊伍開發。同時，開放的原始程式碼也很容易被一些別有用心者利用。這就為開源系統留下了不可控制的安全隱患。於是開源軟體的系統弱點問題，自然也就開始顯著增長了。

這是在網路上收集到的一個元件弱點排名，從這個裡可以看到，在WordPress元件中，居然存在著100個以上的安全性漏洞。由此可知數萬WordPress網站淪為駭客肉雞也是一個理所當然的事情了。

這還只是已知弱點所造成的威脅，在駭客手中還有很多尚未公開的“0 day”弱點，以及雲端運算系統中所存在的弱點等等，這些弱點所能造成的危害，就不是將用戶的雲主機變成“肉雞”這麼簡單了。

二、木馬、駭客程式

除了軟體弱點之外，木馬、駭客程式對雲主機的危害也不容小覷。

駭客在通過軟體弱點，獲得雲主機的控制限後，會通過上傳木馬程式的方式，來達到對主機長期佔有的目的。

另外，在雲主機的使用程序中，必然要安裝很多協力廠商的工具軟體。然而一些免費工具的下載網站，往往為了達到其盈利的目的，會在這些下載程式中夾雜一些後門、木馬之類的駭客程式。

此類後門、木馬之類的駭客程式，具有很強的多變性與隱蔽性，還會模仿成系統或服務流程，讓使用者無法分辨，更難以及時進行處理。

三、撞庫、暴力破解、弱口令

除了弱點和木馬之外，如果駭客撐握了用戶的登入資訊，一樣也可以對雲主機為所欲為。因此，撞庫、暴力破解、弱口令等一系列安全問題，也在無時無刻對雲主機的安全造成著威脅。

當每一次網路洩密活動發生後，均伴隨著海量用戶知識洩露。通過對這些登入資訊的收集，駭客可以打造出更加精准的“萬能鑰匙”，從而更加精確的，在不觸及登入警示機制的情況下，通過撞庫的形式，進行雲主機的非法登入。除了撞庫，還可以通過組織大量肉雞，在不同時間通過強行計算的方式，對使用者登入資訊進行暴力破解。

此外，還有很多用戶並不注意自身等錄知識安全，使用一些非常常用的、易於記憶的使用者名稱、密碼進行雲主機登入，而這同樣也給予駭客可乘之機。

安騎士——無微不至的安防衛士

在傳統資料中心中，遇到上述問題，通常採用安裝企業級的防毒軟體來進行處理。可是在雲主機上，這樣的處理方式就力不從心了。

首先，是資源佔用的問題：傳統企業級防毒軟體的即時防護程式，需要佔用較多的CPU和記憶體資源。當進行查殺病毒動作時，還需要通過龐大的病毒庫對系統和檔案進行剖析。對於處理效能充裕的傳統伺服器而言，這些資源的佔用無傷大雅。而對於按資源使用付費的雲主機來說，這種資源佔用行為就是極大的浪費。

其次，是統一管理的問題：雲端運算按需部署的屬性，導致雲主機數量會隨商務增減而不斷變化，而傳統企業級防毒軟體對這種推測擴充的套用特點往往難以調整，無法統一進行管理，從而給駭客以可乘之機。

而且，傳統企業級防護軟體對於撞庫、暴力破解、弱口令等騙取系統管理權限的駭客行為，通常缺乏有效防護手段進行防禦。

那麼，雲主機安全應當如何進行應對？針對這個問題，阿裡雲推出了全新形態的雲主機安全防護產品——安騎士。

安騎士雲主機防護產品，由Agent、雲端防護中心、主控台與安騎士APP四大主要組成部分構成。

Agent，是一個常駐在雲端服務器作業系統中的輕量化流程，可以根據使用者設定的安全性原則上報伺服器上存在的安全風險資料和新增的安全事件數目據，同時回應用戶和安騎士雲端防護中心的指令，實現對雲端服務器上的安全威脅清除和惡意惡意探索攔截。

雲端防護中心，接收全網Agent上報雲端服務器安全活動和威脅資料，通過雲端的多個威脅辨識型號，對每一條上報的安全活動進行剖析，根據剖析結果給Agent下發相關攔截和處理指示。

主控台，主要功能包括雲端服務器資產管理、安全威脅資料處理、安全性原則設定、安全報表查看等全部可供使用者使用的功能。

APP，可以隨時隨地掌握雲端服務器安全狀態，以及迅速處理雲端服務器面臨的安全威脅。

下面，至頂網根據目前雲主機所遇到的主要威脅形式，對安騎士的安全防護功能，進行了一次體驗性的評定。

統一高效輕量運維

和阿裡雲的大部分安全功能一樣，安騎士的主控台也已經整合在了阿裡雲的主控台之中。通過伺服器安全（安騎士）直接進行叫用。並可以直觀的對各台雲主機安全狀態進行查詢。

安騎士的Agent不但可以在阿裡雲的雲主機上進行安裝，在非阿裡雲的伺服器上也同樣可以進行部署。並且可以不同組建的Windows與Linux系統進行支援。

在一台單核1G記憶體的Linux雲主機上安裝安騎士，並進行弱點檢測時發現，其AliYunDun與AliHids流程的CPU佔用率僅為0.3%、記憶體佔用率分別為0.6%與0.9%。基本不會對雲主機上商務套用產生過多影響。

主控台的統一管理，極大減輕了用戶對大量雲主機進行維修時的工作強度。羽量級的Agent避免了雲主機大量資源浪費的產生。

查疑補缺即時修復

Agent羽量級化後，是否會對檢測效果產生不利的影響？為此我們同樣也對安騎士Agent的檢測能力進行了瞭解。

在通過安騎士主控台，進行核心設定檢測時，發現本期雲主機所使用的鏡像源，已經有新鏡像可供升級，於是安騎士向我們做出了風險通知。

當我們按照通知將系統核心進行升級後，風險通知消失。

源頭布控清僵除木

僅僅通過被動的補丁修復，很明顯是無法滿足雲主機安全防護需求的。要想保障雲主機的安全，還要從威脅的源頭查起，去主動追詢。安騎士同樣也具備著溯本清源木馬追查能力。憑藉安騎士Agent與雲端防護中心聯動，可以及時剖析雲主機中的木馬行為，對木馬檔案及時尋找、即時清理。

在本次測試中，我們在被測雲主機上，上傳了一個可以用於遠端指令執行的Webshell指令檔，當檔案上傳後，即時被安騎士Agent查覺，並在主控台心中進行警示，WebShell指令檔也即時被加以隔離，從而無法對雲主機進行更進一步控制。

登入安全查無巨細

雲主機的安全，重要的還是系統管理權限的問題，一但用戶登入名稱稱與密碼洩露，或遭到暴力破解，雲主機同樣也將被易手，安全更加無從保障。

在阿裡雲安騎士的主控台上，可以查詢每次用戶登入的記錄資訊和登入的源IP位址，一但發現異常登入資訊，用戶可以及時進行處理。

同時阿裡雲安騎士還具備出色的防暴力破解能力，可以有效對爆力破解行為進行阻斷，並將爆力破解行為進行記錄。

套用剖析串連管理未來雲安全的新趨勢

有記錄、有阻斷、有警示、有尋找，阿裡雲安騎士憑藉具備多種威脅辨識能力的雲端防護中心，高效輕量的Agent管理流程，直觀即時的管理主控台套用，高性能全方位的為雲主機提供了周全的安全防護能力。從而使得雲主機，再也不會淪為任駭客肆意宰割的羔羊。並且，通過對駭客已連結有效尋找，還可以順藤摸瓜，最終斬斷駭客伸向雲主機的幕後黑手，使其曝露在光天化日之下。從而還雲端運算網路世界一片清靜藍天。相信隨著阿裡雲安騎士部署數量的增長，雲端運算的安全也將逐步得以實現。

瞭解其他阿裡雲安騎士資訊請參見：http://click.aliyun.com/m/10712/

相關產品：

1. 伺服器安全(安騎士)
2. 阿裡聚安全
3. 雲端服務器ECS