阿里云云计算ACP学习(九)---阿里云安全
阿里云安全
1.云上安全形势
云计算面临的安全威胁
- 可用性:安全威胁:大规模分布式拒绝服务攻击(DDoS)、僵尸网络(Botnet)。影响:网站业务不可用
- 完整性:安全威胁:网站入侵、服务器口令暴力破解。影响:网站页面被篡改和植入后门
- 保密性:安全威胁:网站后门、数据库非法访问(拖库)。影响:用户帐户信息和敏感数据泄露。
安全是动态的攻防对抗过程!
黑色产业
- 专业的应用攻防能力
- 100%的精力投入
- 完整的产业链结构与分工
- 各种先进的检测工具
应用开发者
- 没有应用安全攻防经验
- 没有精力和时间投入到应用安全防护中
- 缺乏相应的防护工具
2.阿里云安全体系
阿里云云安全体系
阿里云安全产品体系
3.云盾主要产品
3.1 云安全中心
云环境面临新的安全问题
- 边界和责任越来越模糊
- 资产业务的多元化
- 安全威胁的预谋化
云安全中心应用场景及功能
- 安全预防:实现云产品联动,形成安全闭环
1. 云平台最佳安全实践:基于云平台最佳实践能力,联动云产品能力形成安全闭环
2. 漏洞管理与修复:主流系统、软件漏洞识别,并支持漏洞一键修复
3. 基线检查:基于阿里云最佳配置核查清单,降低配置不当引起的风险 - 主动防御:基于系统内核分析技术实现防勒索、防病毒、防篡改
1. 防勒索、防病毒:实时拦截已知勒索病毒、挖矿、蠕虫、DDoS等七类病毒
2. 防篡改:防止网站被植入涉恐涉政、暗链、后门等,保障网页正常
3. 应用白名单:防止未经授权的应用异常启动,影响业务正常运行 - 威胁检测:海量告警可自动关联分析,人工分析复杂告警成过去时,提升效率
1. 告警自动化分析关联:自动关联告警、识别低危异常形成的入侵,提升运营效率
2. 自定义告警:第三方数据上云实时分析关联聚合,自定义告警规则
3. 可视化态势:安全大屏知己、知彼、知威胁多维度展现网络安全态势 - 调查响应:
1. 自动化攻击溯源:自动溯源攻击源和原因,帮用户了解入侵威胁,快速响应
2. 日志分析&审计:提供日志审计、分析能力,提供攻击追溯、合规的平台
3.2 Web应用防火墙
Web应用防火墙(Web Application Firewall, 简称 WAF):是一款网站必备的安全产品。
传统Web应用防火墙用户的痛点:
- 用不上:无法应用复杂业务、误报机率大
- 无专人后续运维:产品升级慢、流程复杂、不能及时防护最新漏洞
- 紧急问题响应慢:不能第一时间定位问题原因、影响业务
阿里云.云盾Web应用防火墙:是阿里云提供的一款新型WAF产品,它基于云安全大数据能力实现运营+数据+攻防体系,综合打造网站应用安全。
云盾WAF的应用场景
- 网站变卡、打不开:恶意海量肉鸡访问网站资源被耗尽
- 网站数据被恶意爬取短信流量被滥刷:数据接口被刷,如:短信流量滥刷、用户数据信息被恶意爬取
- 账号数据、资金损失:官网充值、商品交易、恶意免费/低价成交、盗取用户账户数据
- 获取服务器管理员权限篡改网站数据、页面:利用最新0day漏洞、命令执行注入、获取服务器管理权限、获取数据、篡改页面等各种危害
云盾WAF的产品功能
- 0DAY漏洞防护:推出最新曝出的Web 0day漏洞自动防御补丁规则、防护黑客的定向攻击
- Web应用防护:防御OWASP常见威胁、避免注入类攻击导致的数据泄露
- CC防护:针对恶意肉鸡发起的消耗网站资源海量请求进行拦截,并对IP进行封禁处罚
- 业务风控:
1. 防刷:针对用户注册及登录页面、避免网站的手机用户数据泄露、短信流量恶意消耗
2. 防爬:避免恶意爬虫抓取网站数据
3. 防撞库: 缓解对登录页面的Web暴力破解
云盾WAF的工作原理
以用户访问 www.taobao.com 站点为例:
- 浏览器输入www.taobao.com访问
- DNS服务器解析域名到WAF集群地址
- 开始请求访问WAF的IP地址,网站的访问流量到达WAF防护集群,进行安全防护清洗
- 防护集群将清洗后的安全、干净的流量根据域名www.taobao.com回源到网站真实服务器
- 服务器响应内容回到WAF集群
云盾WAF的产品特性
- 一键接入:无需部署软、硬件;无需修改配置;DNS切换、五分钟实现网站安全
- 网站隐身:隐藏源站地址、避免攻击者直接攻击服务器
- 协同防御:共享国内近一半网站的防护策略、最新0day漏洞攻击第一时间防护
- 精准防护:针对黑客发起的定向攻击、根据攻击特征(IP/URL/UA/Referer)一键过滤
云盾WAF的服务优势
- 应用防护规则只针对有攻击性行为阻拦,避免过度规则的滥用、降低业务误报
- 每日及时更新Web 0day漏洞防护规则避免服务器遭受黑客全网扫描、中招
- 特定接口防护规则专家级定制、让WAF真正被用起来
- 针对高端企业用户提供VIP服务迅速响应、及时处理网站问题
云盾WAF的配置方法
- 添加域名及服务器公网IP
- 获取域名对应的Cname地址
- 针对域名添加对应的Cname记录,将流量牵引到WAF防护集群
3.3 DDoS防护
DDoS(Distributed Denial of Service)即分布式拒绝服务攻击。
攻击主要目的是让指定目标无法提供正常服务,是最强大、最难防御的攻击之一。
近年出现的DRDoS(分布式反射攻击)让DDoS攻击水平迅速提升,互联网安全被网络暴力所威胁。
基础DDoS防护的实现流程
为什么要使用DDoS高防?
为了获得更高DDoS防护能力,唯有补上“木桶”的“短板”
- 更强的服务能力
- 突破设备性能
- 突破机房带宽瓶颈
DDoS高防IP架构
DDoS高防IP的功能
- 游戏空连接:防御空连接、 防御慢连接、针对游戏的恶意连接、对报文合法性检查
- 防御CC攻击:1000万QPS、IP+cookie的频率、 IP+key的认证、 黑名单处罚、验证码、防爬
- 防御僵尸网络:全球僵尸网络库、与淘宝共享资源、神盾局攻击溯源
- 防御WEB攻击:防御SQL注入、防御XSS、防御跨站攻击
高防IP特点
- 防护海量DDoS攻击:
1. 多个高防中心,电信、联通、BGP、海外线路,新节点持续建设
2. 有效抵御所有各类基于网络层、传输层及应用层的DDoS攻击
3. 超大DDoS防护经验丰富,平均每天防护2次200G以上攻击 - 专业团队运营:7x24专业团队随时应对
- 源站IP隐藏:高防服务可散列化业务IP,随时更换防护的IP,隐藏源站网络
- 弹性防护:DDoS防护阈值弹性调整,可以随时升级更高级别的防护,整个过程服务无中断
- 高可靠、高可用的服务:全自动检测和攻击策略匹配,实时防护,清洗服务可用性99.99%,低时延、低网络抖动
高防IP接入流程
- DNS服务器更换对外服务IP
- 流量完成切换
- 回源正常用户
4.阿里云云监控
传统监控的不足
- 每套监控系统的监控对象单一,多套监控系统难以统一管理。出现故障时,无法快速准确定位问题。
- 大都采用手动操作,当系统达到一定规模后,IT管理和运维成本也随之增长,对运维人员来说是噩梦。
- 监控数据和IT管理系统未打通,监控数据无法用于改善IT管理,价值无法体现。
云计算环境下监控的特点
- 监控对象多,监控规模大
- 集中监控
- 技术自动化程度高,降低运维成本和IT管理成本
- 监控数据整合,为业务系统服务
- 可扩展性
云监控基本概念
云监控(CloudMonitor)是一项针对阿里云资源和互联网应用进行监控的服务。
云监控服务可用于收集获取阿里云资源的监控指标,探测互联网服务可用性,以及针对指标设置警报。
云监控的优势
- 天然集成:无需特意开通,使用阿里云产品后直接到云监控查看产品运行状态并设置报警规则。
- 灵活报警:设置报警规则和通知方式后,一旦发生异常便立刻报警,方便用户及时知晓并处理异常,提高用户产品的可用性。
- 数据处理:云监控支持您通过 Dashboard对监控数据进行时间维度和空间维度的聚合处理。
- 可视化:通过Dashboard提供丰富的图表,满足各种场景下的监控数据可视化需求。
5.小结
1、DDoS高防、WAF的功能和应用场景分别是什么?
DDoS高防IP的功能
- 游戏空连接:防御空连接、 防御慢连接、针对游戏的恶意连接、对报文合法性检查
- 防御CC攻击:1000万QPS、IP+cookie的频率、 IP+key的认证、 黑名单处罚、验证码、防爬
- 防御僵尸网络:全球僵尸网络库、与淘宝共享资源、神盾局攻击溯源
- 防御WEB攻击:防御SQL注入、防御XSS、防御跨站攻击
高防IP特点
- 防护海量DDoS攻击:
1. 多个高防中心,电信、联通、BGP、海外线路,新节点持续建设
2. 有效抵御所有各类基于网络层、传输层及应用层的DDoS攻击
3. 超大DDoS防护经验丰富,平均每天防护2次200G以上攻击 - 专业团队运营:7x24专业团队随时应对
- 源站IP隐藏:高防服务可散列化业务IP,随时更换防护的IP,隐藏源站网络
- 弹性防护:DDoS防护阈值弹性调整,可以随时升级更高级别的防护,整个过程服务无中断
- 高可靠、高可用的服务:全自动检测和攻击策略匹配,实时防护,清洗服务可用性99.99%,低时延、低网络抖动
云盾WAF的产品特性
- 一键接入:无需部署软、硬件;无需修改配置;DNS切换、五分钟实现网站安全
- 网站隐身:隐藏源站地址、避免攻击者直接攻击服务器
- 协同防御:共享国内近一半网站的防护策略、最新0day漏洞攻击第一时间防护
- 精准防护:针对黑客发起的定向攻击、根据攻击特征(IP/URL/UA/Referer)一键过滤
云盾WAF的服务优势
- 应用防护规则只针对有攻击性行为阻拦,避免过度规则的滥用、降低业务误报
- 每日及时更新Web 0day漏洞防护规则避免服务器遭受黑客全网扫描、中招
- 特定接口防护规则专家级定制、让WAF真正被用起来
- 针对高端企业用户提供VIP服务迅速响应、及时处理网站问题
2、阿里云云监控的功能和优点有哪些?
云监控的功能
云监控的优势
- 天然集成:无需特意开通,使用阿里云产品后直接到云监控查看产品运行状态并设置报警规则。
- 灵活报警:设置报警规则和通知方式后,一旦发生异常便立刻报警,方便用户及时知晓并处理异常,提高用户产品的可用性。
- 数据处理:云监控支持您通过 Dashboard对监控数据进行时间维度和空间维度的聚合处理。
- 可视化:通过Dashboard提供丰富的图表,满足各种场景下的监控数据可视化需求。
更多详情见阿里云安全官方文档
阿里云云计算ACP学习(九)---阿里云安全相关推荐
- 阿里云云计算ACP学习---汇总
阿里云云计算ACP 1. 阿里云整体架构 1.1 阿里云技术架构 1.2 阿里云产品架构 1.3 阿里云解决方案架构 2.ACP课程内容范围 3.ACP课程内容详解 1.弹性计算–云服务器ECS 2. ...
- 阿里云云计算ACP学习(七)---弹性伸缩服务AS
弹性伸缩服务AS 1.AS介绍 1.1 AS的概念 弹性伸缩(AutoScaling)是一种服务,可以自动调整弹性计算资源(ECS),以满足业务需求的变化. 应用场景:弹性扩张.弹性收缩.弹性自愈 1 ...
- 阿里云云计算ACP学习(四)---内容与网络分发CDN
内容与网络分发CDN 1. CDN介绍 阿里云内容分发网络(Content Delivery Network,简称CDN)是建立并覆盖在承载网之上.由分布在不同区域的边缘节点服务器群组成的分布式网络. ...
- 阿里云云计算ACP学习(三)---对象存储OSS
对象存储OSS 1. OSS概述 阿里云对象存储服务(Object Storage Service,简称OSS),是阿里云提供的海量.安全.低成本.高可靠的云存储服务. 它具有与平台无关的RESTfu ...
- 阿里云云计算ACP学习(五)---云数据库RDS
云数据库RDS 1.RDS概述 阿里云关系型数据库(Relational Database Service,简称RDS)是一种稳定可靠.可弹性伸缩的在线数据库服务.基于阿里云分布式文件系统和SSD盘高 ...
- 阿里云云计算acp认证考试是什么?阿里云认证体系
现在人们越来越注意自我素质的提升了,大家也知道在竞争激烈的现在不能再躺平,只有不断加强自我学习才能被这个社会接纳,而参加阿里云acp考试就是一种努力的方式,也是跟现下最火的云服务接洽,现在各个公司都在 ...
- 阿里云云计算ACP考试知识点(标红为重点)
阿里云云计算专业认证考试(ACP)(ECS) 什么是云服务器 ECS 云服务器 Elastic Compute Service(ECS)是阿里云提供的一种基础云计算服务.使用云服务器 ECS 就像使用 ...
- 【赵渝强老师】阿里云大数据ACP认证之阿里大数据产品体系
阿里大数据产品体系是基于阿里云飞天平台上的数据处理服务.主要分为阿里云大数据基础产品和阿里云数加平台,其产品架构图如下所示: 一.阿里云大数据基础产品 1.云数据库--RDS(ApsaraDB for ...
- 阿里云云计算ACP实验考试之使用OSS对图片进行基本处理
精选30+云产品,助力企业轻松上云!>>> 实验概述 本实验以图片分享网站为原型.该网站拥有大量静态文件,作为一个图片分享平台,需要根据用户请求,实时地将用户的原图在线转换成需要的图 ...
最新文章
- 转,大佬关于虚拟内存与物理内存关系讲解。
- 继承SectionIndexer,实现联系人侧边栏
- java day01第一课java简介
- tomcat架构分析(connector BIO 实现)【转】
- 一次打包,无限复用!教你用 PyCharm 搭建一劳永逸的开发环境
- 正弦定理和余弦定理_苏州市高一数学(正弦定理与余弦定理)线上教育学案
- 今日头条加密参数的识别
- Mysql存储过程(四)——异常处理
- 常见的并发模型_两个常见的并发错误
- matlab计算16 1 3近似值,8. 科学计算软件Matlab中默认情况下π为近似值3.1416,该近似值与π真值的( )...
- 安卓手机刷软路由_华为路由AX3 Pro上手测评:用过最方便的路由器,没有之一...
- python 爬虫 包_Python爬虫包BeautifulSoup实例(三)
- SQL Server - THROW字句对比RAISERROR子句
- 计算机控制系统感受,计算机控制系统实验报告一.doc
- Wi-Fi:802.11ac new feature Beamforming
- getcwd()函数的用法
- android studio项目中将普通文件夹变成moudle
- 物流matlab,物流配送线路优化Matlab算法研究
- order by 、sort by、distribute by、group by、cluster by的区别
- 【问题】不能加载 MSCOMCTL.OCX(机房问题)
热门文章
- Dahua Lin recommended math book
- 如何检验有调节的中介作用?
- 从特斯拉到爱因斯坦,物理学家为何钟情于猫
- 获取Android设备的唯一识别码|设备号|序号|UUI
- 关于阿里云视频点播出现的问题
- java的自省机制_JAVA内省(自省)机制 ( Introspector , BeanInfo, PropertyDescriptor )
- markdown及IDEA快捷键
- cuda必须装在c盘吗_软件安装到C盘会影响计算机运行速度吗?一个问题引发的思考...
- 小弟为共享软件作者制作的管理软件注册的动态链接库 (转)
- 挑战用五行代码轻松集成登录系统,实现单点登录