项目实例分享|关键七步构建最后一道防线

主机安全任重道远

随着5G、物联网、工业互联网的大发展，越来越多的企业将业务和数据逐步往云上迁移，业务会以数字化的形态运转在主机上。从日益新增的现代攻击威胁来看，安全的核心战场逐渐从网络侧南北向边界向内转移到东西向的主机侧。然而，主机安全作为信息安全最重要的最后一道防线，其建设难度仍在加剧，主要原因在于国内大多数用户没有重视存储和处理数据的主机环境安全建设工作。与此同时，新型现代攻击威胁，如无恶意文件攻击和无视合法系统工具的权限索取（PowerShell）等攻击手段的应用，使得主机侧的安全防护工作变得难上加难。

主机自身面临的安全风险主要来自三个方面：

主机安全解决方案

针对主机侧安全建设难点，安全狗（云）工作负载（CWPP）安全解决方案能够有效解决企业（云）主机安全面临的问题。

安全狗（云）工作负载（CWPP）安全解决方案通过事前、事中、事后三个阶段，从资产采集梳理、安全监控告警、安全防护、加固、安全事件处理的安全闭环等维度解决主机安全问题。同时安全狗也在主机层面提供了可以实现流量可视化、东西向流量控制等核心功能的微隔离产品。在主机安全的全生命周期过程中不仅保障了服务器主机的安全问题，同时也保证了安全问题处理的及时性、时效性及便捷性。

集采集、监测、响应、加固防护于一体

CWPP平台采用一个轻量级agent，使用插件式动态加载的模式，它和传统的agent主要有两点不同：

Agent占用系统资源管控机制

Agent自适应调节机制

作为最后一道安全防线的主机安全产品，如果要达到整体项目所要求的安全标准及安全可靠性，就必须要围绕整体安全运营的角度开展工作，只有拥有完整的安全运营体系才能保证所有主机类资产具备安全性、稳定性。

下面将围绕在某央企集团实际生产环境中，如何结合主机安全产品、微隔离产品开展了关键的七步，为其构建最后一道安全防线。

为了保证集团在大型攻防演练以及日常工作中所有服务器能安全运行，首先要求企业能够对其自身所有服务器主机资产进行综合管理，其次是为保证在主机发生异常事件能快速定位和溯源，还要能够对自建云及公有云所有服务器主机间的访问能做更好的管理与控制。该央企客户使用了安全狗的云眼及云隙产品，满足了集团要求，下面将围绕该产品如何发挥作用，为该企业用户带来无限安全价值进行阐述。

通过前期调研结果分析，发现该集团公司的资产涉及系统繁多，覆盖服务器总数超过2W+。为了保障了该集团能具备快速处理主机发生安全事件能力，我们建议客户使用主机安全云眼平台。云眼主要通过两个维度执行：1.静态资产采集；2.动态资产采集。

从最基本的硬件信息、内核模块、操作系统信息、端口、应用、进程、容器、软件、web站点、账号、web框架、jar包、计划任务、环境变量等资产进行采集，而且也支持采集时间自定义。

通过对主机的进程变化、文件操作变化、网络行为变化进行实时或定时采集。

除了资产梳理外，我们还给集团所有的服务器进行了漏洞检查以及账号风险检查，配置缺陷检查等任务，云眼平台提供批量安全体检任务，同时可以对成千上万台主机进行安全体检工作，能够快速发现主机当前存在的漏洞及风险问题，并对发现的风险给出合理的风险说明议及具体修复操作等，如系统漏洞、应用漏洞、弱口令、风险账号、配置缺陷等。体检结果发现高危漏洞数量超过上万，弱口令发现1000余多个，风险账号发现500+，配置缺陷上千个。发现这些问题后我司协助客户一起快速处理风险。

经过风险处理之后，还对集团所有服务器进行了安全监控配置。通过多维度监控实现对主机的全方面动态进行实时或定时监控，其中配置了登录监控、操作审计、资源监控、性能监控、外链行为监控等。安全监控配置完成后发现有多台资源异常的情况发生，以及境外ip登陆的行为，其中一些服务器还有恶意访问国外的风险域名地址等。当发现这些异常行为、异常进程、异常外联行为后及时定位问题并立即上报客户集团服务器管理者尽快核实并处理，避免了服务器信息的外泄及的风险。

在发现安全风险后，立即启动针对现阶段集团内服务器存在的风险进行研讨，并协助客户制定相关安全防护策略。

首先在安全防护模版中制定了防暴力破解、恶意扫描的安全配置，为了避免在进行安全防护策略配置后对实际生产业务造成不必要的误拦截，前期配置为记录不拦截的模式（没有直接开阻断模式）。在策略配置期间处理产生的误报信息，运行两周后对不是非核心业务建议开启拦截模式。

由于有不同的业务系统在同时运行，为了能够实时发现病毒木马以及webshell文件恶意上传，第二步建议客户整体开启自动实时发现病毒木马及webshell功能，与上述策略的模式一致，前期设定策略为只记录不拦截模式，运行两周后处理完误报信息再开启记录并拦截模式，保证了业务的连续性稳定运行，误删除的文件也可在删除区自行恢复。

由于在主机安全平台的入侵威胁中发现境外不明IP访问客户的服务器主机，所以建议所有服务器开启ip黑白名单，将恶意访问的ip进行拉黑操作，确保服务器安全。同时告知客户，如出现内部ip互相访问出现的告警信息（如集群间访问、业务往来访问等），经安全运营人员确认无误后互相加白即可。

此外，面对客户内部运行的一些服务器需要更强大的防护能力，我司专业安全技术人员也在分析实际情况后提供了具有高级防护功能的产品及配置方案。高级防护包括注册表保护、进程白名单、文件目录保护、提权检测、内存马检测，这些都属于驱动防护层、内核级防护功能。在使用这些高级防护功能时需要安全运营人员能明确该主机中运行的所有业务及对外开放的端口详细情况，通过与厂家资深技术人员进行实时沟通然后进行配置操作，确保了服务器及相关运行业务的深度安全。

以上功能的实现，足以确保集团服务器整体的自身安全，但还需能解决私有云整体网络内部横向入侵问题的安全能力。我司为该用户实施了微隔离-云隙产品，又名主机界的（“林更新”）零信任，同时我们安全团队人员配合集团安全运营人员根据云眼产品梳理的资产，对整个集团的所有业务服务器在云隙产品中做了分组，并对所有的服务器负载进行了角色、位置、环境等维度的打标签操作，结合微隔离可视化功能对流量访问关系进行分析。最终对分出的几十上百个组进行了微隔离策略配置、优化操作，确保了东西向流量访问关系的可视化及可控制。由于网络流量南北向也存在风险，我们又在微隔离产品上对南北向ip访问的流量进行了管控，确保整个集团的网络及服务器主机安全运行。

同时跟集团安全运营人员定制好策略后向相关领导进行了汇报，得到领导的一致认可。所有的安全策略以及安全监控操作均提供策略模板，通过模板的方式进行批量、分组、主机等不同维度灵活的防护策略配置及下发操作，使得集团安全运营人员可以根据自己的实际业务需求实时进行模板定制、策略下发等操作。

安全运营人员也在后续的大型攻防演练以及其他节日重保中对防护等级的管理更加得心应手，由于每个下属单位及系统的业务量不同，所以在防护等级上我们建议运营人员在业务量很大的主机上开启初级防护或者中级防护，如果是属于比较重要且数据量不大的业务则可以开启严格防护模式，但是也要在开启防护后实时关注生产业务的运行状态，保障业务影响最小化。

通过对整个集团的资产采集、安全监控、风险处理、安全防护、攻击阻断、恶意攻击发现、流量微隔离及管控，提升了集团内部服务器自身以及东西向流量的整体安全水平，同时也对南北向流量的访问控制做了更好的管理，完善了整体“纵”与“横”两个方向的安全，最终实现了私有云、公有云所有服务器之间的闭环安全管理。

本文主要针对当前互联网中最后一道防线的主机安全所面临的众多风险进行剖析，并围绕以CWPP技术为基础模型的产品与能力构建主机安全。结合上述内容，可以了解到主机安全的轻量化agent对被防护主机的资源消耗很少，其次是具有易用性、扩展性特点的管理平台有利于大型项目扩容，整体更便捷。在央企集团、国企、大型银行机构、大型攻防演练等活动及项目中，安全狗的主机安全产品能从细致的安全配置、深度防护、防御阻断、风险规避、业务影响等多个层面构建集防御、检测、响应和预测于一体的事前、事中、事后安全运营闭环体系，铸就不可逾越的最后一道防线。