云产品的应急思路
1. 明确责任边界
你需要清楚地知道哪些安全责任由云服务提供商(如 AWS、Azure、GCP)承担,哪些由你承担
- 云厂商(如阿里云、腾讯云):负责底层基础设施(物理服务器、网络、数据中心)的安全
- 客户(你):负责云上租户内的安全,包括云服务器(ECS/CVM)、云数据库、应用系统、数据安全以及身份与访问管理(IAM)
在接到告警或发现异常时,第一步是判断问题是否属于你的责任范畴。例如,如果你的 ECS 实例被挖矿病毒入侵,这是你的责任;但如果云厂商的控制台出现大面积无法访问,那通常是云厂商的责任
2. 身份与访问管理(IAM)优先
在云环境中,API 密钥泄露是导致大规模入侵事件的常见原因。一个高权限的 AccessKey 被盗,攻击者可以利用它来创建新的云主机、删除数据、修改安全组规则,甚至进行横向移动
- 应急响应操作(以阿里云为例):
- 立即禁用或删除可疑的 RAM 用户或 AccessKey
- 排查操作日志:在云审计(CloudTrail)中,通过日志分析攻击者执行了哪些操作,例如
RunInstances、DeleteObject等 - 强制 MFA:对所有高权限用户强制开启多因素认证