近日,2022 CCS 成都网络安全大会顺利结束,由字节跳动安全中心承办的云安全实战论坛也圆满落幕。作为信息安全行业盛会,大会深度聚焦“云上安全新形态,拥抱数字新未来”,突破圈层、打破壁垒,联合众多专家、学者聚焦新形势下网络安全领域,展开新对话、新探讨与新碰撞。
火山引擎长期关注并重视用户的信息安全,通过结合字节跳动多年积累的网络安全建设经验,为企业用户提供全面的网络安全解决方案。火山引擎云安全参与本次2022 CCS 成都网络安全大会的云安全实战论坛,打造极具特色的云展厅,并发表2个精彩纷呈的议题演讲,全方位展示了火山引擎云安全在保障用户信息安全方面的优势能力。
云上安全防御体系建设分享
云上业务遭受DDoS攻击威胁
近几年数字技术与实体经济的加速融合,泛互联网、金融、游戏等行业繁荣发展,引来黑产团伙觊觎。在各大企业中,随着自身业务规模不断扩大、客户群体不断增加,面临的网络安全威胁也不断增多,其中DDoS攻击和应用层CC攻击较多,这些攻击往往会导致公司业务出现中断、瘫痪,不仅严重影响公司业务的正常运营,更会损害公司的口碑与收入。
来自火山引擎的云安全工程师欧阳鹏,在大会上进行了《云上业务网络安全防御体系建设和应用案例》的议题分享。他通过火山引擎云安全团队的实践案例,讲述火山引擎网络防护系统如何帮助企业构建起纵深DDoS/CC防御体系,并结合业务实际场景给出最佳防护方案。
在欧阳鹏分享的实践案例中,某网络科技公司的业务主要基于云上开展,业务长期遭受DDoS和应用层CC攻击。该公司在面临此类网络攻击时主要存在两大痛点:1. 该公司虽已有防护策略,但有效防护率低,如果接入外部防护方案,需要在防护策略、防护算法上进行适配兼容,避免造成误伤;2. 该公司业务受攻击的频率极高,同时业务场景复杂,对时延、丢包等问题容忍度低。这就需要防护方案易兼容适配,同时实现高效防护。
DDoS攻击现状分析
协助企业构建纵深防御体系
火山引擎网络防护系统结合业务的痛点、难点,通过使用T级防护能力的高防IP,让攻击流量被系统检测识别后能被清洗、过滤,保障正常流量回注到源站,最终完成整个DDoS防护过程;火山引擎解决方案通过采用DDoS、WAF等防护产品组成多层防御系统,对3至7层攻击流量分层而治,并结合端侧特征实现攻击流量的精准识别;同时火山引擎通过向客户提供完备的数据可视化与安全事件告警能力,帮助用户构成防护DDoS、应用层CC攻击的纵深防御体系。
在接入火山引擎网络防护系统后,该公司已能有效抵御TCP四层CC攻击、TCP反射攻击、TCP中间盒攻击等多种手法攻击,成功保障客户业务的高效防护和稳定运行。
火山引擎网络防护系统之所以能够有效解决DDoS、应用层CC攻击等问题,是因为自身的三大优势:
1. 具备先进全面的防护架构;
2. 提供灵活兼容易部署的防护方案;
3. 能够实现感知、防护、管理一体化。
这些优势能力,具有很好的可复制性与兼容性,同样可以为更多客户的云上业务保驾护航。
字节跳动应用运行时如何防护?
生产环境的主机威胁
生产环境攻击来源可以归类为外部、内部和供应链。对于一台linux主机,这三种来源会实施在不同的作用域:对于linux 内核与用户态包含常见的恶意软件或是 linux 漏洞,对于容器层会有更难以约束的镜像问题或是集群配置问题。应用层作为一台主机最主要的攻击入口,这里集合了这三种攻击来源的各类威胁。
来自火山引擎的信息安全工程师潘玺廷,做了《字节跳动应用运行时如何防护》的主题分享。火山引擎研发了针对不用作用域的 Elkeid-RASP 解决方案,应对在应用层不同作用域、不同来源、不同方式的威胁,实现对应用层的全面防御,并解决 RASP 需要避免的问题。RASP 是一种应用安全防御技术,通过对应用运行时植入探针来采集运行时的关键信息,进而分析行为产生告警。
生产防护没有银弹,需要按不同作用域协同防护
Elkeid-RASP 防护思路
针对业务应用作用域的安全防护,火山引擎 Elkeid-RASP 支持运行时关键行为采集、入侵风险检测、攻击路径阻断等基础功能。同时,火山引擎 Elkeid-RASP 支持旁路注入,无需更改代码或启动命令,即可实现适配多种语言的快速部署。
火山引擎 Elkeid-RASP 对于 NodeJS/JVM/PHP 的探针实现,均可利用语言特性/相关接口来完成旁路部署;对于 CPython/Golang 可利用 Linux 进程调试能力植入探针。在整个过程中,火山引擎 Elkeid-RASP能够让部署指令与上报信息都能通过 Elkeid 技术栈与 Server 实现交互。
各探针均可远程控制植入,阻断/过滤/降级均可远程配置
火山引擎 Elkeid-RASP 的数据采集功能会覆盖目标应用运行时的进程、网络与文件,同时基于最小Hook原则,节省占用资源,通过强大的流式编排计算能力,快速让 RASP 上报数据完成策略计算。Elkeid-RASP 可以将探针原始上报的数据,经过 Elkeid-HUB 进行实时计算,一旦生成告警便可直接推送到安全工程师的通讯工具或 CWPP 工作台中。潘玺廷介绍,CWPP是为物理机、虚拟机、容器和无服务器工作负载提供一致的保护和可见性的安全产品。
火山引擎 CWPP脱胎于字节跳动主机安全团队,在字节跳动内部解决了千万级容器的反入侵与溯源需求。目前火山引擎已将Elkeid的完整采集能力对外开源(GitHub:https://github.com/bytedance/Elkeid)。
在未来,火山引擎云安全将持续结合字节跳动内部安全防护体系、最佳实践和技术创新,为企业用户提供更为全面的网络安全解决方案。
