數(shù)棧是云原生—站式數(shù)據(jù)中臺(tái)PaaS，我們?cè)趃ithub和gitee上有一個(gè)有趣的開(kāi)源項(xiàng)目：FlinkX，記得給我們點(diǎn)個(gè)star！star！star！

gitee開(kāi)源項(xiàng)目：https://gitee.com/dtstack_dev_0/flinkx

github開(kāi)源項(xiàng)目：https://github.com/DTStack/flinkx

FlinkX是一個(gè)基于Flink的批流統(tǒng)一的數(shù)據(jù)同步工具，既可以采集靜態(tài)的數(shù)據(jù)，比如MySQL，HDFS等，也可以采集實(shí)時(shí)變化的數(shù)據(jù)，比如MySQL binlog，Kafka等，是全域、異構(gòu)、批流一體的數(shù)據(jù)同步引擎，大家如果有興趣，歡迎來(lái)github社區(qū)找我們玩~

客戶是負(fù)責(zé)國(guó)家級(jí)新媒體產(chǎn)品的設(shè)計(jì)、研發(fā)、維護(hù)等工作，重點(diǎn)打造APP、移動(dòng)報(bào)道指揮系統(tǒng)、全媒體聚合平臺(tái)、新媒體專線等融媒體產(chǎn)品。因公安部要求，需在“2020年兩會(huì)期間”做好系統(tǒng)的安全保障工作，我方重點(diǎn)保障客戶APP系統(tǒng)的安全性，并做好相關(guān)應(yīng)急預(yù)案，確保整個(gè)系統(tǒng)在兩會(huì)召開(kāi)期間能正常安全穩(wěn)定運(yùn)行。

袋鼠云運(yùn)維服務(wù)團(tuán)隊(duì)?wèi)?yīng)客戶需求，制定了安全護(hù)航專項(xiàng)方案，具體方案如下：

一、安全護(hù)航準(zhǔn)備

護(hù)航準(zhǔn)備期間主要目的是通過(guò)內(nèi)部自查的方式來(lái)了解自身安全現(xiàn)狀、主動(dòng)發(fā)現(xiàn)安全風(fēng)險(xiǎn)、提高安全防護(hù)能力、完善安全監(jiān)控、減少被攻擊面。袋鼠云采取了以下措施：

（一）網(wǎng)絡(luò)安全架構(gòu)梳理

發(fā)現(xiàn)未受安全保護(hù)的區(qū)域，然后對(duì)其進(jìn)行加固，加固后的網(wǎng)絡(luò)安全架構(gòu)示意圖如下：

• DNS解析：使用DNSPod提供解析服務(wù)，該解析平臺(tái)擁有200G的DNS攻擊防護(hù)能力，并開(kāi)通賬號(hào)雙因子認(rèn)證登錄功能，嚴(yán)防域名被惡意篡改。

• 互聯(lián)網(wǎng)區(qū)域：在公網(wǎng)入口增加DDOS高防和WAF產(chǎn)品提高防護(hù)能力。本次護(hù)航中我們使用可抵御300 Gbps 攻擊防護(hù)的DDoS高防IP，來(lái)抵御互聯(lián)網(wǎng)服務(wù)器遭受大流量的DDoS攻擊；使用Web應(yīng)用防火墻來(lái)防御SQL注入、XSS跨站腳本、常見(jiàn)Web服務(wù)器插件漏洞、木馬上傳、非授權(quán)核心資源訪問(wèn)等OWASP常見(jiàn)攻擊，并過(guò)濾惡意CC攻擊，避免網(wǎng)站資產(chǎn)數(shù)據(jù)泄露，保障網(wǎng)站的安全與可用性。同時(shí)在公網(wǎng)SLB上只授權(quán)允許WAF回源流量進(jìn)行訪問(wèn)。

（二）資產(chǎn)梳理

對(duì)直接暴露在互聯(lián)網(wǎng)下的資產(chǎn)進(jìn)行嚴(yán)格防護(hù)。梳理過(guò)程中發(fā)現(xiàn)有部分ECS服務(wù)器使用EIP方式直接訪問(wèn)公網(wǎng)，屬于高風(fēng)險(xiǎn)區(qū)域。我們提供的解決方案是取消這些服務(wù)器的EIP，使用NAT網(wǎng)關(guān)出公網(wǎng)，屏蔽服務(wù)器直接暴露于公網(wǎng)。

（三）全面基線自查

對(duì)服務(wù)器/數(shù)據(jù)庫(kù)賬號(hào)、口令、權(quán)限、策略、日志、漏洞、操作安全等項(xiàng)進(jìn)行核查加固。此次護(hù)航中我們通過(guò)堡壘機(jī)來(lái)進(jìn)行賬號(hào)的最小化授權(quán)管控與審計(jì)，通過(guò)云安全中心來(lái)實(shí)時(shí)監(jiān)測(cè)基線、漏洞，對(duì)異常告警及時(shí)修復(fù)。

（四） 安全策略優(yōu)化

對(duì)安全組、RDS白名單、RAM訪問(wèn)策略、OSS訪問(wèn)策略等進(jìn)行梳理。對(duì)無(wú)策略限制或者策略開(kāi)放范圍過(guò)大的ip進(jìn)行優(yōu)化，做到最小化授權(quán)。

（五） 數(shù)據(jù)保護(hù)

對(duì)數(shù)據(jù)庫(kù)數(shù)據(jù)配置自動(dòng)備份策略，每日定時(shí)備份數(shù)據(jù)。對(duì)ECS服務(wù)器設(shè)置好自動(dòng)快照策略，定時(shí)快照以防止勒索病毒帶來(lái)的巨大損失。

（六） 組建應(yīng)急小組

為了在面臨網(wǎng)絡(luò)攻擊時(shí)能快速響應(yīng)，啟動(dòng)應(yīng)急預(yù)案調(diào)度技術(shù)人員，在護(hù)航期間臨時(shí)成立應(yīng)急小組。

（七）全面的安全監(jiān)控

對(duì)互聯(lián)網(wǎng)出/入口網(wǎng)絡(luò)流量、業(yè)務(wù)訪問(wèn)、服務(wù)器漏洞基線、數(shù)據(jù)庫(kù)SQL等內(nèi)容進(jìn)行全面實(shí)時(shí)的監(jiān)控預(yù)警，及時(shí)發(fā)現(xiàn)異常。

二、護(hù)航保障

護(hù)航期間，袋鼠云組織安全團(tuán)隊(duì)為客戶提供全過(guò)程的安全護(hù)航工作，期間提供每日安全巡檢、應(yīng)急響應(yīng)以及攻擊阻斷與策略優(yōu)化相關(guān)工作。

每日安全巡檢主要查看互聯(lián)網(wǎng)出/入流量、DDOS高防、WAF、SLB、云安全中心等各個(gè)重要監(jiān)控指標(biāo)狀態(tài)有無(wú)異常，并對(duì)有異常的事件進(jìn)行上報(bào)處理。

對(duì)安全預(yù)警實(shí)時(shí)響應(yīng)通報(bào)并對(duì)攻擊事件進(jìn)行分析研判，期間我們對(duì)大量的CC攻擊進(jìn)行多次的策略優(yōu)化工作對(duì)異常訪問(wèn)進(jìn)行精準(zhǔn)訪問(wèn)控制，及時(shí)封堵攻擊減輕攻擊帶來(lái)的業(yè)務(wù)影響。

三、護(hù)航總結(jié)

護(hù)航結(jié)束后，我們對(duì)期間產(chǎn)生的CC攻擊、web入侵、異常掃描等攻擊進(jìn)行匯總統(tǒng)計(jì)：兩會(huì)期間客戶系統(tǒng)總共遭受到700000000+次網(wǎng)絡(luò)攻擊。通過(guò)實(shí)時(shí)的安全預(yù)警，及時(shí)地進(jìn)行防護(hù)策略優(yōu)化，所有攻擊均被成功攔截阻斷，未對(duì)業(yè)務(wù)造成損失，兩會(huì)安全護(hù)航圓滿結(jié)束。

隨著云計(jì)算行業(yè)的快速發(fā)展，云上企業(yè)遭受的網(wǎng)絡(luò)攻擊形式層出不窮，如果企業(yè)未建立全域的安全防護(hù)能力，沒(méi)有提升安全意識(shí)，遭受攻擊是在所難免的。袋鼠云可為企業(yè)提供安全加固、滲透測(cè)試、漏洞掃描、應(yīng)急響應(yīng)、等保、安全管家等一站式安全服務(wù)，為企業(yè)云上安全保駕護(hù)航！