阿里云安全

1.云上安全形势

云计算面临的安全威胁

  1. 可用性安全威胁:大规模分布式拒绝服务攻击(DDoS)、僵尸网络(Botnet)。影响:网站业务不可用
  2. 完整性安全威胁:网站入侵、服务器口令暴力破解。影响:网站页面被篡改和植入后门
  3. 保密性安全威胁:网站后门、数据库非法访问(拖库)。影响:用户帐户信息和敏感数据泄露。

安全是动态的攻防对抗过程!

黑色产业

  1. 专业的应用攻防能力
  2. 100%的精力投入
  3. 完整的产业链结构与分工
  4. 各种先进的检测工具

应用开发者

  1. 没有应用安全攻防经验
  2. 没有精力和时间投入到应用安全防护中
  3. 缺乏相应的防护工具

2.阿里云安全体系

阿里云云安全体系

阿里云安全产品体系

3.云盾主要产品

3.1 云安全中心

云环境面临新的安全问题

  1. 边界和责任越来越模糊
  2. 资产业务的多元化
  3. 安全威胁的预谋化

云安全中心应用场景及功能

  1. 安全预防:实现云产品联动,形成安全闭环
    1. 云平台最佳安全实践:基于云平台最佳实践能力,联动云产品能力形成安全闭环
    2. 漏洞管理与修复:主流系统、软件漏洞识别,并支持漏洞一键修复
    3. 基线检查:基于阿里云最佳配置核查清单,降低配置不当引起的风险
  2. 主动防御:基于系统内核分析技术实现防勒索、防病毒、防篡改
    1. 防勒索、防病毒:实时拦截已知勒索病毒、挖矿、蠕虫、DDoS等七类病毒
    2. 防篡改:防止网站被植入涉恐涉政、暗链、后门等,保障网页正常
    3. 应用白名单:防止未经授权的应用异常启动,影响业务正常运行
  3. 威胁检测:海量告警可自动关联分析,人工分析复杂告警成过去时,提升效率
    1. 告警自动化分析关联:自动关联告警、识别低危异常形成的入侵,提升运营效率
    2. 自定义告警:第三方数据上云实时分析关联聚合,自定义告警规则
    3. 可视化态势:安全大屏知己、知彼、知威胁多维度展现网络安全态势
  4. 调查响应
    1. 自动化攻击溯源:自动溯源攻击源和原因,帮用户了解入侵威胁,快速响应
    2. 日志分析&审计:提供日志审计、分析能力,提供攻击追溯、合规的平台
3.2 Web应用防火墙

Web应用防火墙(Web Application Firewall, 简称 WAF):是一款网站必备的安全产品。
传统Web应用防火墙用户的痛点:

  1. 用不上:无法应用复杂业务、误报机率大
  2. 无专人后续运维:产品升级慢、流程复杂、不能及时防护最新漏洞
  3. 紧急问题响应慢:不能第一时间定位问题原因、影响业务

阿里云.云盾Web应用防火墙:是阿里云提供的一款新型WAF产品,它基于云安全大数据能力实现运营+数据+攻防体系,综合打造网站应用安全。

云盾WAF的应用场景

  1. 网站变卡、打不开:恶意海量肉鸡访问网站资源被耗尽
  2. 网站数据被恶意爬取短信流量被滥刷:数据接口被刷,如:短信流量滥刷、用户数据信息被恶意爬取
  3. 账号数据、资金损失:官网充值、商品交易、恶意免费/低价成交、盗取用户账户数据
  4. 获取服务器管理员权限篡改网站数据、页面:利用最新0day漏洞、命令执行注入、获取服务器管理权限、获取数据、篡改页面等各种危害

云盾WAF的产品功能

  1. 0DAY漏洞防护:推出最新曝出的Web 0day漏洞自动防御补丁规则、防护黑客的定向攻击
  2. Web应用防护:防御OWASP常见威胁、避免注入类攻击导致的数据泄露
  3. CC防护:针对恶意肉鸡发起的消耗网站资源海量请求进行拦截,并对IP进行封禁处罚
  4. 业务风控:
    1. 防刷:针对用户注册及登录页面、避免网站的手机用户数据泄露、短信流量恶意消耗
    2. 防爬:避免恶意爬虫抓取网站数据
    3. 防撞库: 缓解对登录页面的Web暴力破解

云盾WAF的工作原理
以用户访问 www.taobao.com 站点为例:

  1. 浏览器输入www.taobao.com访问
  2. DNS服务器解析域名到WAF集群地址
  3. 开始请求访问WAF的IP地址,网站的访问流量到达WAF防护集群,进行安全防护清洗
  4. 防护集群将清洗后的安全、干净的流量根据域名www.taobao.com回源到网站真实服务器
  5. 服务器响应内容回到WAF集群

云盾WAF的产品特性

  1. 一键接入:无需部署软、硬件;无需修改配置;DNS切换、五分钟实现网站安全
  2. 网站隐身:隐藏源站地址、避免攻击者直接攻击服务器
  3. 协同防御:共享国内近一半网站的防护策略、最新0day漏洞攻击第一时间防护
  4. 精准防护:针对黑客发起的定向攻击、根据攻击特征(IP/URL/UA/Referer)一键过滤

云盾WAF的服务优势

  1. 应用防护规则只针对有攻击性行为阻拦,避免过度规则的滥用、降低业务误报
  2. 每日及时更新Web 0day漏洞防护规则避免服务器遭受黑客全网扫描、中招
  3. 特定接口防护规则专家级定制、让WAF真正被用起来
  4. 针对高端企业用户提供VIP服务迅速响应、及时处理网站问题

云盾WAF的配置方法

  1. 添加域名及服务器公网IP
  2. 获取域名对应的Cname地址
  3. 针对域名添加对应的Cname记录,将流量牵引到WAF防护集群
3.3 DDoS防护

DDoS(Distributed Denial of Service)即分布式拒绝服务攻击。
攻击主要目的是让指定目标无法提供正常服务,是最强大、最难防御的攻击之一。
近年出现的DRDoS(分布式反射攻击)让DDoS攻击水平迅速提升,互联网安全被网络暴力所威胁。

基础DDoS防护的实现流程

为什么要使用DDoS高防?

为了获得更高DDoS防护能力,唯有补上“木桶”的“短板”

  1. 更强的服务能力
  2. 突破设备性能
  3. 突破机房带宽瓶颈

DDoS高防IP架构

DDoS高防IP的功能

  1. 游戏空连接:防御空连接、 防御慢连接、针对游戏的恶意连接、对报文合法性检查
  2. 防御CC攻击:1000万QPS、IP+cookie的频率、 IP+key的认证、 黑名单处罚、验证码、防爬
  3. 防御僵尸网络:全球僵尸网络库、与淘宝共享资源、神盾局攻击溯源
  4. 防御WEB攻击:防御SQL注入、防御XSS、防御跨站攻击

高防IP特点

  1. 防护海量DDoS攻击
    1. 多个高防中心,电信、联通、BGP、海外线路,新节点持续建设
    2. 有效抵御所有各类基于网络层、传输层及应用层的DDoS攻击
    3. 超大DDoS防护经验丰富,平均每天防护2次200G以上攻击
  2. 专业团队运营:7x24专业团队随时应对
  3. 源站IP隐藏:高防服务可散列化业务IP,随时更换防护的IP,隐藏源站网络
  4. 弹性防护:DDoS防护阈值弹性调整,可以随时升级更高级别的防护,整个过程服务无中断
  5. 高可靠、高可用的服务:全自动检测和攻击策略匹配,实时防护,清洗服务可用性99.99%,低时延、低网络抖动

高防IP接入流程

  1. DNS服务器更换对外服务IP
  2. 流量完成切换
  3. 回源正常用户

4.阿里云云监控

传统监控的不足

  1. 每套监控系统的监控对象单一,多套监控系统难以统一管理。出现故障时,无法快速准确定位问题。
  2. 大都采用手动操作,当系统达到一定规模后,IT管理和运维成本也随之增长,对运维人员来说是噩梦。
  3. 监控数据和IT管理系统未打通,监控数据无法用于改善IT管理,价值无法体现。

云计算环境下监控的特点

  1. 监控对象多,监控规模大
  2. 集中监控
  3. 技术自动化程度高,降低运维成本和IT管理成本
  4. 监控数据整合,为业务系统服务
  5. 可扩展性

云监控基本概念

云监控(CloudMonitor)是一项针对阿里云资源和互联网应用进行监控的服务。
云监控服务可用于收集获取阿里云资源的监控指标,探测互联网服务可用性,以及针对指标设置警报。

云监控的优势

  1. 天然集成:无需特意开通,使用阿里云产品后直接到云监控查看产品运行状态并设置报警规则。
  2. 灵活报警:设置报警规则和通知方式后,一旦发生异常便立刻报警,方便用户及时知晓并处理异常,提高用户产品的可用性。
  3. 数据处理:云监控支持您通过 Dashboard对监控数据进行时间维度和空间维度的聚合处理。
  4. 可视化:通过Dashboard提供丰富的图表,满足各种场景下的监控数据可视化需求。

5.小结

1、DDoS高防、WAF的功能和应用场景分别是什么?

DDoS高防IP的功能

  1. 游戏空连接:防御空连接、 防御慢连接、针对游戏的恶意连接、对报文合法性检查
  2. 防御CC攻击:1000万QPS、IP+cookie的频率、 IP+key的认证、 黑名单处罚、验证码、防爬
  3. 防御僵尸网络:全球僵尸网络库、与淘宝共享资源、神盾局攻击溯源
  4. 防御WEB攻击:防御SQL注入、防御XSS、防御跨站攻击

高防IP特点

  1. 防护海量DDoS攻击
    1. 多个高防中心,电信、联通、BGP、海外线路,新节点持续建设
    2. 有效抵御所有各类基于网络层、传输层及应用层的DDoS攻击
    3. 超大DDoS防护经验丰富,平均每天防护2次200G以上攻击
  2. 专业团队运营:7x24专业团队随时应对
  3. 源站IP隐藏:高防服务可散列化业务IP,随时更换防护的IP,隐藏源站网络
  4. 弹性防护:DDoS防护阈值弹性调整,可以随时升级更高级别的防护,整个过程服务无中断
  5. 高可靠、高可用的服务:全自动检测和攻击策略匹配,实时防护,清洗服务可用性99.99%,低时延、低网络抖动

云盾WAF的产品特性

  1. 一键接入:无需部署软、硬件;无需修改配置;DNS切换、五分钟实现网站安全
  2. 网站隐身:隐藏源站地址、避免攻击者直接攻击服务器
  3. 协同防御:共享国内近一半网站的防护策略、最新0day漏洞攻击第一时间防护
  4. 精准防护:针对黑客发起的定向攻击、根据攻击特征(IP/URL/UA/Referer)一键过滤

云盾WAF的服务优势

  1. 应用防护规则只针对有攻击性行为阻拦,避免过度规则的滥用、降低业务误报
  2. 每日及时更新Web 0day漏洞防护规则避免服务器遭受黑客全网扫描、中招
  3. 特定接口防护规则专家级定制、让WAF真正被用起来
  4. 针对高端企业用户提供VIP服务迅速响应、及时处理网站问题

2、阿里云云监控的功能和优点有哪些?

云监控的功能

云监控的优势

  1. 天然集成:无需特意开通,使用阿里云产品后直接到云监控查看产品运行状态并设置报警规则。
  2. 灵活报警:设置报警规则和通知方式后,一旦发生异常便立刻报警,方便用户及时知晓并处理异常,提高用户产品的可用性。
  3. 数据处理:云监控支持您通过 Dashboard对监控数据进行时间维度和空间维度的聚合处理。
  4. 可视化:通过Dashboard提供丰富的图表,满足各种场景下的监控数据可视化需求。

更多详情见阿里云安全官方文档

阿里云云计算ACP学习(九)---阿里云安全相关推荐

  1. 阿里云云计算ACP学习---汇总

    阿里云云计算ACP 1. 阿里云整体架构 1.1 阿里云技术架构 1.2 阿里云产品架构 1.3 阿里云解决方案架构 2.ACP课程内容范围 3.ACP课程内容详解 1.弹性计算–云服务器ECS 2. ...

  2. 阿里云云计算ACP学习(七)---弹性伸缩服务AS

    弹性伸缩服务AS 1.AS介绍 1.1 AS的概念 弹性伸缩(AutoScaling)是一种服务,可以自动调整弹性计算资源(ECS),以满足业务需求的变化. 应用场景:弹性扩张.弹性收缩.弹性自愈 1 ...

  3. 阿里云云计算ACP学习(四)---内容与网络分发CDN

    内容与网络分发CDN 1. CDN介绍 阿里云内容分发网络(Content Delivery Network,简称CDN)是建立并覆盖在承载网之上.由分布在不同区域的边缘节点服务器群组成的分布式网络. ...

  4. 阿里云云计算ACP学习(三)---对象存储OSS

    对象存储OSS 1. OSS概述 阿里云对象存储服务(Object Storage Service,简称OSS),是阿里云提供的海量.安全.低成本.高可靠的云存储服务. 它具有与平台无关的RESTfu ...

  5. 阿里云云计算ACP学习(五)---云数据库RDS

    云数据库RDS 1.RDS概述 阿里云关系型数据库(Relational Database Service,简称RDS)是一种稳定可靠.可弹性伸缩的在线数据库服务.基于阿里云分布式文件系统和SSD盘高 ...

  6. 阿里云云计算acp认证考试是什么?阿里云认证体系

    现在人们越来越注意自我素质的提升了,大家也知道在竞争激烈的现在不能再躺平,只有不断加强自我学习才能被这个社会接纳,而参加阿里云acp考试就是一种努力的方式,也是跟现下最火的云服务接洽,现在各个公司都在 ...

  7. 阿里云云计算ACP考试知识点(标红为重点)

    阿里云云计算专业认证考试(ACP)(ECS) 什么是云服务器 ECS 云服务器 Elastic Compute Service(ECS)是阿里云提供的一种基础云计算服务.使用云服务器 ECS 就像使用 ...

  8. 【赵渝强老师】阿里云大数据ACP认证之阿里大数据产品体系

    阿里大数据产品体系是基于阿里云飞天平台上的数据处理服务.主要分为阿里云大数据基础产品和阿里云数加平台,其产品架构图如下所示: 一.阿里云大数据基础产品 1.云数据库--RDS(ApsaraDB for ...

  9. 阿里云云计算ACP实验考试之使用OSS对图片进行基本处理

    精选30+云产品,助力企业轻松上云!>>> 实验概述 本实验以图片分享网站为原型.该网站拥有大量静态文件,作为一个图片分享平台,需要根据用户请求,实时地将用户的原图在线转换成需要的图 ...

最新文章

  1. 转,大佬关于虚拟内存与物理内存关系讲解。
  2. 继承SectionIndexer,实现联系人侧边栏
  3. java day01第一课java简介
  4. tomcat架构分析(connector BIO 实现)【转】
  5. 一次打包,无限复用!教你用 PyCharm 搭建一劳永逸的开发环境
  6. 正弦定理和余弦定理_苏州市高一数学(正弦定理与余弦定理)线上教育学案
  7. 今日头条加密参数的识别
  8. Mysql存储过程(四)——异常处理
  9. 常见的并发模型_两个常见的并发错误
  10. matlab计算16 1 3近似值,8. 科学计算软件Matlab中默认情况下π为近似值3.1416,该近似值与π真值的( )...
  11. 安卓手机刷软路由_华为路由AX3 Pro上手测评:用过最方便的路由器,没有之一...
  12. python 爬虫 包_Python爬虫包BeautifulSoup实例(三)
  13. SQL Server - THROW字句对比RAISERROR子句
  14. 计算机控制系统感受,计算机控制系统实验报告一.doc
  15. Wi-Fi:802.11ac new feature Beamforming
  16. getcwd()函数的用法
  17. android studio项目中将普通文件夹变成moudle
  18. 物流matlab,物流配送线路优化Matlab算法研究
  19. order by 、sort by、distribute by、group by、cluster by的区别
  20. 【问题】不能加载 MSCOMCTL.OCX(机房问题)

热门文章

  1. Dahua Lin recommended math book
  2. 如何检验有调节的中介作用?
  3. 从特斯拉到爱因斯坦,物理学家为何钟情于猫
  4. 获取Android设备的唯一识别码|设备号|序号|UUI
  5. 关于阿里云视频点播出现的问题
  6. java的自省机制_JAVA内省(自省)机制 ( Introspector , BeanInfo, PropertyDescriptor )
  7. markdown及IDEA快捷键
  8. cuda必须装在c盘吗_软件安装到C盘会影响计算机运行速度吗?一个问题引发的思考...
  9. 小弟为共享软件作者制作的管理软件注册的动态链接库 (转)
  10. 挑战用五行代码轻松集成登录系统,实现单点登录