1、巡风系统在同程运维 安全的实践 运维经理 同程旅游 目 目 录 录 CONCENTS 同程运维安全发展 同程运维安全发展 巡风g机安全 巡风g机安全 巡风应用安全 巡风应用安全?巡风漏洞扫描巡风漏洞扫描?巡风开源巡风开源?u的系统安全h?“开发开发 运维运维 SQ3SQ3注入注入、XSSXSS、越权 越权 网络边界网络边界、系统漏洞系统漏洞、应用配置不当�������� 应用配置不当 道高一尺Y魔高一丈 同程运维安全初期 同程运维安全初期 n 数十/数百台g机 n 应用简单 n 纯手工兼职运维 n���� 安全一般在开发的手上 n 没有防火墙YFLPa?He/FLsec n 服务器间没有隔离 n 不健壮密码/密码没有
2、及时变更 n We?安全问题高�����发 n 变更无记录、无法追溯 n 安全上没有规划、依赖少数n的n品?!?!?!DB!同程运维安������全e期 同程运维安全e期 n 数千台g机 n 有一定的自动化运维系统 n 划分不同的RHaJ n bc防火墙 n 有b门的运维n员及安全 n 特殊配置W成本、时间X n 变更有一定记录 n 开放i不应该开放的服务!VLAN!?!?!?!DB!VLAN!?!?!?!DB!同程运维安全进行时同程运维安全进行时 n 数万台实v n 成熟自动化运维系统 n bc的安全团队WYSR+X n 安全系统 n 系统的复杂性 n 历史的包袱 运维a安全 自动化运维能解决自动化运维能解决 q
3、上问题hq上问题h?未授权访问 未授权访问 系统漏洞系统漏洞 违背最小化原则 违背最小化原则 可写文r夹执行 可写文r夹执行 应用配置不当 应用�������配置不当 异常帐户 异常帐户 异常端口 异常端口 异常连接 异常连接 异常进程 异常进程 异常流量 异常流量 可疑文r 可疑文r 巡风g机安全 巡风g机安全ADeJPU设计 ������A C B D 跨系统跨系统支持 支持 资源消资源消耗可控耗可控3%3%插r化插r化设计 设计 RFJDRFJD0 0层 层 E 自我自我 监控 监控 F 不yx息预不yx息预判判YY足够轻足够轻 巡风g机安全ADeJPU功能 n We?SEeHH检测W支持AS5X、505、2sL
4、X n 异常网络行f检测 n 进程/命p监控 n 文r操t监控 n 安全基线核查 n 安全事r阻断 n 系统日志收集 系统日志收集 n 系统x息W开机启动系统x息W开机启动、服务列表服务列表、计划s务计划s务、开放端口开放端口、用户列表用户列表XX收集 收集 n 执行s务推送 执行s务推送 n 漏洞补丁升级 漏洞补丁升级?Agent!?Agent!?Agent!?Agent!Collector!Collector!Collector!?!?!?!message!?!?!CMDB!?!����?!?!?!?!巡风g机安全ADeJP-架构 各种规则各种规则YY配的累h配的累h?新上一d服务新上一d服务YY
5、能整的清楚h能整的清楚h?巡风g机安全ADeJP-数据驱动?!?!?!?!3?!?!?!安全ADeJP 安全ADeJP 安全ADeJP 安全ADeJ������P +oHHecPoN +oHHecPoN +oHHecPoN 管理e枢������� 消息队列 安全引擎 IessaDe 更新模更新模块块、命p命p 报表 模型识别 规则库 安全n员维护 发送命p发送命p 数据模型 巡风g机安全ADeJP-数据驱动 巡风g机安全ADeJP 目前安全g机ADeJPl线已全覆盖Y每天收集的x息量在千万量级Y其en工干预约半d工t日。巡风应用安全模块?!?!?!DB!Waf!DB!DB!Fireware!DBProxy!SQ3注入
6、XSS攻击 越权问题)We?SEeHH?!����异常SQL 异常请求 异常访问?!?!?!DB!DB!?!?!?!?!?!?!?!?/?!?!?劫持关键方法点 劫持关键方法点 获取 获取 p We?0aJAHeN.DoReqQesP p 0PPL+HFeJP.5osP)p 0PPL+HFeJP./eP)p SqH+oIIaJA.-ScQPe)p SocGeP.+NeaPe)p .FHe.+NeaPe :NH+5aNa :NH+5aNa SqH+DaPa?ase 15+5oNP .FHeNaIe 对k异常SQ3、请求可q进行实时阻断。目前每天处理百o量级的数据Y异常��������在百万级?巡风漏洞扫描模块?目前巡风
7、扫描模块漏洞检测插r150+每天扫描s务量级在数十万q上?网络资l识别网络资l识别:漏洞检测引擎漏洞检测引擎(端口探测 指纹识别W服务类型、组r容器、脚本语言X 定期或者一次性的漏洞检测%种插r类型、标识符a脚本 巡风g机aDeJPg动触发 DFPEQ?DFPEQ?地址如下地址如下:EPPLs(/DFPEQ?.coI/TsNc/SQJCeJD!同程安全开源 UU巡风系统 同程巡风系统UUN-XT n 应用安全模块支持更多语言应用安全模块支持更多语言、数据库 数据库 n g机安全模块g机安全模块YY多环境策略支持 多环境策略支持 n 各模块风险策略统一分级各������������模块风险策略统一分级、评分 评分 n ac界共m安全x息ac界共m安全x息、进一步开源 进一步开源
sgpjbg002
工作日 8:30 - 17:30
报告分类
