クラウドサーバーのセキュリティ設計

0x00 製品のポジショニング

現在、Alibaba Cloud、Ucloud、Qingyun、Huawei Cloud、AWS などのパブリック クラウド上にビジネス システムをセットアップするスタートアップ企業が増えています。インターネット企業のビジネス システムは常に反復されており、その反復サイクルは少なくとも 3 日であり、アーキテクチャは常に変化しているため、クラウド上でセキュリティをどのように確保するかが現在直面している最大の課題です。頻繁に変更が加えられるこのプロセスにおいて、クラウドのセキュリティはどのように確保されるべきでしょうか? , Cloud security as a Serviceは、マルチテナント向けクラウドホストセキュリティサービスを提供する製品で、ユーザーのビジネスシステムの攻撃対象領域を減らし、悪意のある標的型攻撃（APT）を防ぎます。企業機密情報等の漏洩を引き起こし、企業業務に影響を与えるセキュリティインシデントの発生を回避します。

0x01外国の競争力のある製品の分析

クラウドホストセキュリティトブの外国メーカーは次のように要約されています。

クラウドホストセキュリティ製品プライベートクラウドサーバーセキュリティTrendMicro、Symantec、McAfeeメーカーIllumioFortyCloud

CloudPassage、Illumio、vArmour、FortyCloud
説明
以来セキュリティへの適応

サービスとしてのクラウド ネットワーク ファイアウォール ビッグデータ分析テクノロジーを利用して、ネットワークに入るすべてのデータをスキャンしてマークを付け、追跡することで違法の疑いのあるデータを選別します。 サーバーセキュリティ構成管理、マネージドファイアウォール管理、侵入検知、サーバーアカウント監査、イベントレポートとアラーム 大量のマシンデータから貴重な情報を抽出し、リアルタイム分析を実行して表示 は、顧客に SIEM ソリューションを提供します。同時に、AlienVault は、クラウドソースの脅威インテリジェンス プラットフォームと組み合わせたハイブリッド脅威管理ソリューションを提供します。 VMware、Hyper-v、Linux KVM プライベート クラウド仮想マシン セキュリティ ソリューション

0x02 製品ターゲット

インターネット金融の中小企業ユーザーを対象としています。製品改善のためのユーザー獲得のため、インターネット金融対象ユーザーの業界分析は以下の通りです:

	vArmour
	CloudPassage
	Splunk
	AlienVault
	TrendMicro、McAfee、Symantec

ビジネスモデル名	ビジネスモデルの詳細説明	代表的な企業: セキュリティ ビジネス ニーズ
第三者決済企業モデル	第三者決済企業インデックス オンライン決済、プリペイドカード発行の事前受付、銀行カード取得等の決済サービスを提供する、受取人と支払者の仲介役となる非金融機関	Alipay、Yipay に代表されるインターネット決済、LakalaとTenpay Enterprisesは、KuaiqianとHuifu Tianxiaに代表される金融決済会社です。
P2P ネットワーク マイクロファイナンス モデル	P2P ネットワーク ファイナンス プラットフォームを通じて、借り手は融資情報を直接公開し、貸し手は相手の身元情報と信用情報を理解した後、借り手と直接ローン契約を締結し、少額の融資を提供できます。 、借り手の返済状況をすぐに把握し、投資収益率を得ることができます。	代表的な企業：米国のP2P企業Prosperおよびlendingclub、国内のRenrendai、Paipaidai、Hongling Venture Capitalおよびその他のLufax企業
クラウドファンディング資金調達モデル	いわゆるクラウドファンディングプラットフォームとは、クリエイティブな人を指します。一般の人々が少額の資金やその他の支援を集め、創造的な実施の結果を投資家にフィードバックします。このウェブサイトは、ネチズンが資金調達のアイデアを開始し、投資家情報を整理し、創造的な実装の結果を開示するためのプラットフォームを提供しており、主な収益モデルは資金調達者との共有です	代表的な企業: 最も初期の最も有名な海外プラットフォームは Kickstarter です。
仮想電子通貨モデル	仮想通貨は、コンピューターの計算によって生成されたり、オンラインコミュニティによって発行および管理されたりするオンライン仮想通貨であり、衣服などの一部の仮想アイテムを購入するために使用されます。 、オンラインゲームの帽子、装備など、誰かがそれを受け入れる限り、ビットコインのような仮想通貨は現実世界でのアイテムの購入にも使用できます。	代表企業：海外ビットコイン、Amazonコイン、Facebookコイン、国内Qコインなど
ビッグデータに基づく金融サービス プラットフォーム モデル	Qunar のような金融商品向けの垂直検索エンジンを作成することで、借り入れニーズのある個人と、融資ニーズのある中小規模の銀行や小規模金融機関を 1 つのプラットフォームにまとめることができます接続を確立し、広告料や取引手数料を通じて収入を得る。	代表的な企業: 外国銀行レート、国内 Rong360、Haodai.com、金融業界ウェルスマネジメントなど
インターネット銀行または電子銀行	現代のデジタル通信、インターネット、モバイル通信、およびインターネットの助けを借りてクラウド コンピューティング、ビッグ データ、その他の方法を通じて、顧客に預金、ローン、支払い、決済、送金、電子チケット、電子クレジット、口座管理、通貨スワップ、P2P ファイナンス、投資および財務管理、財務情報をオンラインで提供するモノのテクノロジー。およびその他の包括的なシームレス、高速、安全、効率的なインターネット金融サービス機関。インターネットバンキングの利便性と効率性は、従来の銀行に大きな課題をもたらすでしょう
インターネット金融管理	インターネットを通じてより効率的で便利な金儲けビジネスを実行します	通板街、格上金融管理、幸運宝 - Ant Financial、Building Block Box、Fireball

0x03 市場機会

3.1 私たちのチャンスはどこにありますか

国内のクラウドホストセキュリティサービスプラットフォームは次のとおりです:

メーカー名	製品紹介
暗いクラウド唐王朝クルーズ	公開テストなどのコミュニティ運用モデルによって生成されたクラウドホストセキュリティソリューションは、主にサーバーセキュリティの脆弱性にタイムリーに対応することを目的としています。
Alibaba Cloud Shield	DDoS保護、ホスト侵入保護、脆弱性検出やトロイの木馬検出などのセキュリティサービスの完全なセット
Security Dog	ホストWAFおよびアンチDDoS機能に基づく
Chuangyuを知る	アクセラレータ、クラウドセキュリティ監視プラットフォーム、ZoomEyeビッグデータセキュリティスキャンプラットフォーム
Baiduセキュリティ	クラウドWAFエンタープライズエディション、DDoSクラウド保護、緊急対応
Qingtengクラウドセキュリティ	広告アプティブセキュリティのコンセプト国内メーカー初商品化

これらの企業との競争に直面している私たちの競争力は、シードユーザーの獲得と完全なオープンソース戦略にあります。セキュリティ運用保守サービスを提供します。二次開発およびその他のサービス。

3.2 成功するにはどうすればよいですか?

ユーザーを迅速に獲得するためのクラウド展開方法をサポートします。無料インストールモード。

ユーザーが当社のソリューションを使用する予定がある場合は、独自に展開することも、オープンソースで展開することもできます。

KPI評価

インストールユーザー数、維持率、月額課金ユーザーのコンバージョン率に関する統計。無料ユーザー

3.3 プロジェクトのマイルストーン

0x04 製品機能の詳細なアーキテクチャ設計（製品提案）

4.1 製品のポジショニング

上記の国内外のクラウドセキュリティ企業の製品分析を通じて、私はクラウドホストセキュリティプラットフォームがは、次の 4 つの主要な機能を備えた機能モジュールが必要です。

開発の優先順位は次のとおりです:

1. ログビッグデータ収集および分析プラットフォームに基づく (P1)
2. クラウドホストに関連する正確なセキュリティ情報のエージェントベースの収集に基づく (P2) このモジュールには大規模な完了する開発者数が得られれば、エンジェルラウンドの資金調達後に開発することができます。
3. 脅威インテリジェンス モジュール (P2) 脅威インテリジェンスのこの部分は、Weibu などの国内の脅威インテリジェンス システムに接続できます。
4. SDN ネットワーク セキュリティ ファイアウォール モジュール (P2) ファイアウォール モジュールを統合するには、現在さらに研究が必要です。Linux ホストで iptable ビルトインを使用することをお勧めします。

4.2. 製品機能の詳細設計

P1 が完了する必要がある機能に基づいて、APT 攻撃を防ぐためのビッグデータ分析プラットフォームを確立します。製品コンセプト設計は次のとおりです。 ログベースの状況認識機能。

Web ログ データの処理構造は次のとおりです:

選択された実装テクノロジ:

初期段階のデータ量は一定の桁に達していないため、従来のリレーショナル データは利用される。もちろん、このシステムが大企業に適用される場合、技術的なアーキテクチャ、Hadoop またはストームを反復して問題を解決できます。

ビジネス プロセス図:

コア インターフェイス設計: visio プロトタイプ図を通じて表現。

コアインターフェイス まずプロトタイプを描く必要があります。次に、Web フロントエンドはユーザーと最も接触する部分であるため、デザインは精緻でなければなりません。

(1) Webフロントエンド

Webフロントエンドは4つの機能モジュールに分かれています

1. ダッシュボード: 攻撃の種類と攻撃元を表示
2. 分析: 詳細な攻撃手法をグラフィカルに分析
3. レポート: 攻撃の種類を表示
データの形式、攻撃元と詳細な攻撃方法
設定: パラメータ設定 (非コアモジュールは表示されません)

(2) Web 管理の背景

インタラクションプロセス設計: 通常これは Axure アニメーションで表現する必要があります。この設計は特に複雑ではなく、いくつかの機能モジュールを切り替えるだけなので、切り替えフローチャートを描く必要はありません。

0x05 製品の技術アーキテクチャ設計

現在の製品設計では高い拡張性を考慮する必要があるため、技術の選択は大まかに次のとおりです:

0x06 デモ構築

技術の選択後、デモ環境を構築する必要があります。技術的な問題はサーバーエンドと Web バックエンドに集中しています。それでは、これら 2 つの部分の構造を説明しましょう:

6.1 サーバーサイド コンポーネント名詳細な説明オペレーティングシステムCentos 6.7 FinalWeb フロント-エンドサーバーNginx/1.8 .1Web サーバーDjango/1.7Python パーサーuwsgiPython 言語Python 2.7.10Restful API アーキテクチャTastypie 🎜

看到这个架构其实很多小朋友会问为啥要这么设计，太繁琐了？其实设计原则主要是为了将来的扩展性。Web前端服务器：本系统是一个公有云安全平台，用户量将来要不断的增加，使用Nginx可以做到横向扩展。

6.1.1 Nginx安装部署

Nginx部署过程：

1. rpm -ivh http://nginx.org/packages/centos/6/noarch/RPMS/nginx-release-centos-6-0.el6.ngx.noarch.rpm
2. yum -y install nginx
3. service nginx restart
4. chkconfig nginx on

配置nginx在/etc/nginx/conf.d/中增加MyPythonServer.conf，内容如下：

#!bashhttp {    #负载均衡    upstream production_site{        server web1.xxx.com:8080 weight=6 max_fails=3 fail_timeout=20s;        server web2.xxx.com:8080 weight=3 max_fails=3 fail_timeout=20s;        server web3.xxx.com:8080 weight=7 max_fails=3 fail_timeout=20s;        server web4.xxx.com:8080 weight=8 max_fails=3 fail_timeout=20s;    }    server {    listen      8090;    server_name web1.xxx.com,web2.xxx.com,web3.xxx.com,web4.xxx.com;    charset     utf-8;    client_max_body_size 75M;    location / {        uwsgi_pass  django;        include     uwsgi_params;    }}

6.1.2 Django&uwsgi安装配置

#!bash[root@localhost venv]# pip install Django安装uWSGI[root@localhost venv]# pip install uwsgi[uwsgi]home=/data/Mydata/envchdir=/data/Mydata/uid=rootgid=rootwsgi-file=/data/Mydata/wsgi.pysocket=127.0.0.1:8001master=trueworkers=8pidfile=/data/Mydata/uwsgi.pidvacuum=truethunder-lock=trueenable-threads=trueharakiri=30post-buffering=4096daemonize=/data/Mydata/uwsgi.loglogger=file:/data/Mydata/uwsgi.log

6.2 Web后端

6.2.1 Php-fpm安装

nginx 安装忽略

#!bashcd /usr/local/src/ wget http://php.net/distributions/php-5.6.8.tar.gztar --zxvf  php-5.6.8.tar.gzyum install -y libxml2 libxml2-devel openssl-devel libjpeg libjpeg-devel libpng libpng-devel freetype freetype-devel libmcrypt libmcrypt-devel mcrypt mhash./configure --prefix=/usr/local/php5 --with-config-file-path=/usr/local/php5/etc --enable-fpm --disable-ipv6 --enable-pdo --with-pdo-mysql --with-openssl --with-mcrypt --with-mhash --enable-json --enable-mbstring --with-gd --with-openssl-dir --with-jpeg-dir --with-png-dir --with-zlib-dir --with-freetype-dir --enable-gd-native-ttf --enable-gd-jis-conv --enable-zipmake make installcp /usr/local/php5/etc/php-fpm.conf.default   /usr/local/php5/etc/php-fpm.confcp /usr/local/src/php-5.6.8/sapi/fpm/init.d.php-fpm /usr/local/php5/sbin/ cd /usr/local/php5/sbin/ chmod 755 init.d.php-fpm ./init.d.php-fpm start Starting php-fpm done

配置Nginx来支持PHP

#!bashcd /etc/nginx/vi nginx.conf#打开gzipgzip    on;

配置vhost，假设域名为www.xxx.com

#!bashcd /etc/nginx/conf.d/vi www.xxx.com.conf#内容如下server {        listen 80;        server_name www.xxx.com xxx.com;        location / {                #开启ssi支持shtml                ssi on;                ssi_silent_errors on;                ssi_types text/shtml;                index index.shtml index.php index.htm index.html;                root /data/www/www.xxx.com;                #框架路由设置                if ( !-e $request_filename ) {                        rewrite ^(.*)$ /index.php?url=$1 last;                }        }        location ~.php$ {                root /data/www/www.xxx.com;                fastcgi_pass 127.0.0.1:9000;                fastcgi_index index.php;                fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;                include fastcgi_params;        }        location ~.(jpg|jpeg|png|js|css) {                root /data/www/www.xxx.com;                expires 30d;        }}

测试一下 配置文件是否有错误

#!bash/etc/init.d/nginx configtestnginx: the configuration file /etc/nginx/nginx.conf syntax is oknginx: configuration file /etc/nginx/nginx.conf test is successful

新建info.php测试文件，内容为

#!php<?phpphpinfo();?>

然后:

#!bashvim /etc/hosts127.0.0.1  www.xxx.comcd /usr/local/src/php-5.6.8cp php.ini-production /usr/local/php5/etc/php.ini

至此nginx+php-fpm设置完成。

6.2.2 Mysql扩展安装

#!bashyum install mysql-devel

由于之前没有安装mysql服务,也没有安装php的mysql扩展，用是PDO方式，为适应老版本的joomla程序，再添加mysql.so扩展

方法如下：

1、进入php源代码目录：

#!bashcd /usr/local/src/php-5.6.8/extcd mysqlyum install autoconf

调用已经编译好的php可执行程序phpize,phpize是用来扩展php扩展模块的，通过phpize可以建立php的外挂模块

phpize的规则：去哪个目录下运行phpize文件，那么就会在该目录下生成一个configure文件。

#!bash/usr/local/php5/bin/phpize./configure --with-php-config=/usr/local/php5/bin/php-config --with-mysql --with-zlib-dir=/usr/local/php5/lib/php/extensions/no-debug-non-zts-20131226/make && make install

完成后，可以看到no-debug-non-zts-20131226目录下生成了mysql.so文件

修改php.ini,去掉 ;extension=php_mysql.so 前面的分号。将 php_mysql.so 改成我们生成的 mysql.so 。

重启 php-fpm 后可以从phpinfo看到mysql扩展已经生效。

6.2.3 Yaf扩展安装

#!bashwget https://github.com/laruence/yaf/archive/master.zipunzip master.zip./configure --with-php-config=/usr/local/php5/bin/php-configmake && make installvim /usr/local/php5/etc/php.iniextension=yaf.so