關聯筆記:Google Cybersecurity Certificate > C3 課程總覽 > W3 網路攻擊
C3W4 — 安全強化(Security hardening)
Module 4: 從密碼到雲端的縱深防禦全景圖
目錄
- 一、什麼是安全強化
- 二、暴力破解攻擊與密碼防禦
- 三、OS hardening(作業系統加固)
- 四、網路 hardening(網路層加固)
- 五、四大網路安全工具比較
- 六、雲端安全考量
- 七、共同責任模型(Shared Responsibility)
- 八、雲端加密與金鑰管理
- 九、術語速查表
- 十、考核易混淆觀念
一、什麼是安全強化
Security hardening 定義
強化系統、降低漏洞與攻擊面(attack surface)的過程。核心思想是 defense in depth(縱深防禦):一層擋不住還有下一層。
從最基本到最強的強化順序:
- 只有防火牆(基本)
- 防火牆 + IDS(偵測)
- 防火牆 + IDS + IPS(偵測 + 阻擋)
- 再加 SIEM(跨系統監控與集中分析)
┌──────────────────────────────────────────┐
│ SIEM(跨源 log 匯整 · 戰情室儀表板) │ ← 第 4 層
├──────────────────────────────────────────┤
│ IPS(入侵防禦 · 主動丟包封 IP) │ ← 第 3 層
├──────────────────────────────────────────┤
│ IDS(入侵偵測 · 告警通知管理員) │ ← 第 2 層
├──────────────────────────────────────────┤
│ Firewall(依 port/IP 規則過濾封包) │ ← 第 1 層(基礎)
└──────────────────────────────────────────┘
Internet ↑ 流量方向二、暴力破解攻擊與密碼防禦
暴力破解(Brute force)分類
| 類型 | 手法 |
|---|---|
| Simple brute force | 亂試各種帳密組合 |
| Dictionary attack | 用常見密碼字典 + 外洩資料試 |
用 VM 和沙盒評估漏洞
| 工具 | 用途 |
|---|---|
| Virtual machine(VM) | 在隔離環境跑可疑程式,可還原初始映像 |
| Sandbox(沙盒) | 測試修補、跑可疑檔案、模擬攻擊情境 |
惡意軟體會反制
部分 malware 會偵測自己是不是在 VM 或 sandbox 內,是的話就假裝人畜無害。偵測與反偵測永遠在打仗。
防禦暴力破解的五招
| 手段 | 原理 |
|---|---|
| Salting + Hashing | 密碼加鹽再 hash,hash 是單向函數無法反解 |
| MFA / 2FA | 多因子驗證(知道的 + 擁有的 + 生物特徵) |
| CAPTCHA / reCAPTCHA | 圖靈測試阻擋機器人 |
| Password policy | 強制密碼複雜度、定期更換、鎖定次數 |
| Account lockout | 連錯 N 次就鎖住 |
三、OS hardening(作業系統加固)
常見做法:
- 定期套 patch(修補已知漏洞)
- 關閉不必要的服務與 port(減少攻擊面)
- 移除 world-writable 檔案(任何人都能改 = 災難)
- 最小權限原則:帳號只給必要權限
- 建立 baseline image:記錄正常狀態供比對
- 啟用系統日誌與稽核
Baseline 的威力
baseline image 是「系統正常時長怎樣」的快照。之後有任何奇怪設定改動,比對 baseline 就看得出來。
四、網路 hardening(網路層加固)
常見做法:
- 關閉不用的 port
- 套用最嚴格的防火牆規則
- 網路日誌分析(network log analysis)
- 端對端加密
- 定期做滲透測試(penetration testing / pen test)
五、四大網路安全工具比較
| 工具 | 做什麼 | 優點 | 缺點 |
|---|---|---|---|
| Firewall | 依 port/IP 規則擋封包 | 基本防線、便宜 | 只看表頭(NGFW 才看 payload) |
| IDS(偵測系統) | 比對特徵與異常、通知管理員 | 多一層偵測 | 不主動擋、只抓已知攻擊 |
| IPS(防禦系統) | 偵測 + 主動擋(丟包、封 IP) | 自動阻止 | inline 一掛全斷、可能誤殺合法流量 |
| SIEM | 匯整多來源日誌、集中儀表板 | single pane of glass、跨源分析 | 只報告不阻擋,要人看 |
部署位置
Internet ──→ [Firewall] ──→ [IDS / IPS] ──→ LANIDS/IPS 放在防火牆後面,先過濾掉防火牆擋得掉的流量,IDS 才不會一直被無效 alert 噪音淹沒(false positive 降低)。
全封包擷取裝置(Full packet capture)
記錄並分析所有經過網路的封包,方便調查 IDS 發出的告警。
常見 SIEM 工具
- Google Chronicle(雲端原生)
- Splunk Enterprise / Splunk Cloud
SIEM 常和 SOC(Security Operations Center) 搭配:分析師在 SOC 用 SIEM 儀表板監控整個網路。
六、雲端安全考量
雲端為什麼安全更難
雲端部署快、便宜、彈性,但服務越多 → 進入點越多 → 攻擊面越大。
主要考量點:
| 考量 | 重點 |
|---|---|
| IAM(身分存取管理) | 角色設定太鬆就會讓非授權使用者存取關鍵資源 |
| Configuration(配置) | 雲服務錯誤設定是資安事件最大宗來源 |
| Attack surface | 每加一個服務就多一個進入點 |
| Zero-day 攻擊 | CSP 通常比一般企業更早偵測並修補 |
| Visibility | CSP 自家基礎建設的流量客戶看不到,必須靠第三方稽核 |
| 變化快 | CSP 更新可能影響客戶連線設定,IT 流程要跟著調整 |
七、共同責任模型(Shared Responsibility)
誰負責什麼
CSP 負責:雲基礎架構(實體資料中心、hypervisor、host OS)的安全 客戶負責:自己放在雲上的資料、應用程式、使用者權限、設定
│ On-prem │ IaaS │ PaaS │ SaaS
資料 │ 客戶 │ 客戶 │ 客戶 │ 客戶
應用 │ 客戶 │ 客戶 │ 客戶 │ CSP
OS │ 客戶 │ 客戶 │ CSP │ CSP
實體 │ 客戶 │ CSP │ CSP │ CSP越靠右(SaaS)CSP 管得越多,客戶越輕鬆;但資料永遠是客戶自己的責任。
最常見的悲劇
組織以為「放雲端就安全了」→ 結果 S3 bucket 公開、IAM 角色開太大、預設密碼沒改 → 出事。CSP 幫你蓋了保險櫃,鑰匙怎麼管還是你家的事。
八、雲端加密與金鑰管理
Hypervisor 兩種類型
| 類型 | 特徵 | 範例 |
|---|---|---|
| Type 1(裸機) | 直接跑在硬體上 | VMware ESXi(CSP 常用) |
| Type 2(託管) | 跑在 host OS 上 | VirtualBox(個人測試用) |
VM escape
攻擊者利用 hypervisor 漏洞跳出 VM,存取 host 或同台的其他 VM。這就是為什麼 CSP 要拚命修 hypervisor。
Baseline 配置
雲端環境的「標準設定」:
- 限制 admin portal 存取
- 啟用密碼管理
- 啟用檔案加密
- 啟用 SQL DB 威脅偵測
加密與金鑰管理
| 概念 | 說明 |
|---|---|
| Encryption | 把明文變 ciphertext,沒 key 看不懂 |
| Cryptographic erasure(crypto-shredding) | 刪資料太慢?刪掉金鑰讓資料永遠解不開(所有金鑰副本都要砍) |
| TPM(Trusted Platform Module) | 主機板上的晶片,安全存密碼、憑證、金鑰 |
| CloudHSM | 雲上的硬體安全模組,存金鑰與做加解密運算 |
金鑰誰管
多數 CSP 會用自己的金鑰加密你的資料,但也允許你自帶金鑰(BYOK)。自帶金鑰 = 自負保管責任,金鑰掉了 CSP 幫不了你。
FedRAMP
美國聯邦政府認證過的 CSP 清單。政府合約商選雲端服務會先看這個。
九、術語速查表
| 術語 | 英文 | 定義 |
|---|---|---|
| 安全強化 | Security hardening | 減少漏洞與攻擊面的過程 |
| 縱深防禦 | Defense in depth | 多層防禦疊加 |
| 暴力破解 | Brute force attack | 嘗試所有可能破解密碼 |
| 字典攻擊 | Dictionary attack | 用常見密碼清單破解 |
| Salting | — | 密碼加隨機字元再 hash |
| MFA | Multi-factor authentication | 多因子驗證 |
| IDS | Intrusion Detection System | 入侵偵測系統(只告警) |
| IPS | Intrusion Prevention System | 入侵防禦系統(主動擋) |
| SIEM | Security Information and Event Management | 資安資訊與事件管理 |
| SOC | Security Operations Center | 資安監控中心 |
| Baseline | — | 正常狀態的參考快照 |
| Patch update | — | 修補漏洞的更新 |
| Pen test | Penetration testing | 模擬攻擊找漏洞 |
| World-writable file | — | 任何人都能改的檔案 |
| IAM | Identity Access Management | 身分存取管理 |
| Hypervisor | — | 虛擬化層,兩種類型(bare-metal/hosted) |
| VM escape | — | 從 VM 跳出存取 host 的攻擊 |
| Crypto-shredding | Cryptographic erasure | 刪金鑰讓資料永遠解不開 |
| TPM | Trusted Platform Module | 存密鑰的硬體晶片 |
| CloudHSM | — | 雲上的硬體安全模組 |
| Shared responsibility model | — | 雲端共同責任模型 |
十、考核易混淆觀念
IDS vs. IPS
關鍵差異:會不會主動擋。
- IDS:偵測到 → 通知管理員(人工處理)
- IPS:偵測到 → 自動丟包/封 IP(可能誤殺)
- 口訣:IDS 會叫、IPS 會動手。
SIEM 不等於 IDS/IPS
- IDS/IPS 抓即時流量
- SIEM 分析多來源 log(防火牆、IDS、IPS、VPN、代理、DNS 全丟進去)
- SIEM 是戰情室,IDS/IPS 是前線哨兵。
Encryption vs. Hashing
- Encryption:可逆,有 key 就能還原
- Hashing:單向,不可還原(用來驗完整性、存密碼)
- 密碼儲存絕對不能用 encryption,要用 hash + salt。
共同責任模型陷阱
- IaaS / PaaS / SaaS 責任分界不同
- 資料與使用者權限永遠是客戶責任
- 面試常考:「S3 bucket 資料外洩是 AWS 還是客戶的錯?」答案是客戶(設錯權限)。
Type 1 vs. Type 2 Hypervisor
- Type 1(bare-metal):直接跑在硬體 → 效能好、CSP 在用
- Type 2(hosted):跑在 OS 上 → 方便、個人開發用
- 考題:「生產環境雲端用哪種?」→ Type 1。
Crypto-shredding 的必要條件
要讓資料永遠解不開,所有金鑰副本都要砍掉。如果備份、HSM、雲端還留一份就無效。
填空自測
| 問題 | 答案 |
|---|---|
| 暴力破解最有效的單一防禦? | MFA(多因子驗證) |
| 密碼存資料庫要怎麼處理? | hash + salt,不能 encrypt |
| IDS 和 IPS 差在哪? | IPS 會主動擋,IDS 只告警 |
| SIEM 的核心價值? | Single pane of glass — 集中所有 log 方便分析 |
| IDS/IPS 要放在防火牆前還是後? | 後面(減少噪音) |
| 雲端資料外洩誰要負責? | 設定錯誤 → 客戶;基礎設施漏洞 → CSP |
| CSP 用哪種 hypervisor? | Type 1(bare-metal) |
| 不用一個一個刪檔的雲端資料銷毀法? | Crypto-shredding(刪金鑰) |
結語:C3 回顧
完成 C3 你已經可以:
- 用 TCP/IP / OSI 模型拆解任何網路問題(W1)
- 認識 20+ 常見協定、防火牆、VPN、代理(W2)
- 辨識 DoS/DDoS/MitM/IP spoofing 等攻擊手法(W3)
- 設計從作業系統到雲端的縱深防禦(W4)
下一步:C4 Tools of the Trade — Linux 與 SQL。