七、安全(雲盾、雲安全):10%
全國首個等級保護三級認證雲平臺。
全球首個CSA-STAR金牌認證雲平臺。
雲安全體系:雲盾+雲產品安全
雲盾:資料庫防火牆、資料庫審計、web應用防火牆、web弱點分析、主機入侵防護、DDOS防護
雲產品安全:3副本、快照、備份、加密。SDL、自動當機遷移、安全映象、安全組。
責任分擔、共建安全(客戶負責上層業務系統,阿里雲負責資料中心基礎設施)。
雲盾+大資料:惡意IP庫、惡意行為庫、惡意樣本庫、安全漏洞庫(大資料)--》DDOS防禦能力、入侵防禦能力、弱點分析能力。
TCP/IP、廣域網、通訊五元組、IP/PORT
TCP三次握手及DDOS攻擊(不只有DDOS攻擊,CC,SQL隱碼攻擊,XSS攻擊,暴力破解,安裝木馬後門,網路釣魚)。
1、 雲盾的網路級防護
a) 基礎DDOS防護
- DDos是分散式拒絕服務攻擊,讓指定目標無法提供正常服務,是最強大、最難防禦額攻擊之一。
- 防護流程:
組成:DDOS攻擊預警模組,DDOS攻擊清理叢集,DDOS防護管理中心。
防護:流量映象進入預警模組,攻擊流量牽引至清理叢集,乾淨流量回注至業務伺服器。
- 防護功能:攻擊流量的發現,牽引和自動處理;有效抵禦DNS Query Flood、NTP reply Flood攻擊;總體響應時間<2秒
- 開通方法:自動開通,其中CC防護開關需要手動開啟。
b) Ddos高防IP
- 適用於大流量攻擊(大於5G);強大雲端高防;
- 功能:遊戲空連線;防禦CC攻擊;防禦殭屍網路;防禦WEB攻擊;
- 接入步驟:DNS伺服器更換對外服務IP(隱蔽伺服器IP),實現這一步就可以了,流量會自動完成切換,使用者會訪問回源內容。
- 原理:四層攻擊直接被黑洞;正常使用者訪問高防VIP1;
- 組成:流量監測;DDOS清洗;CC攻擊防禦;WAF;後臺管理。
- 特點:極低的網路抖動,實現無阻塞實時網路(考題);3秒處理完成,實時高防業務體驗;
- WAF保護七層應用。防禦全球最大DDOS攻擊453G.
c) WAF
基於雲安全大資料能力實現,透過防禦SQL隱碼攻擊、XSS跨站指令碼、常見Web伺服器外掛漏洞、木馬上傳、非授權核心資源訪問等OWASP常見攻擊,過濾海量惡意CC攻擊,避免您的網站資產資料洩露,保障網站的安全與可用性。
- Web應用防火牆目前支援HTTP、HTTPS(高階版及以上)的Web安全防護。目前僅支援80和443埠的流量。
- 安全配置主要分為三種,第一是關於Web應用攻擊防護,可以進行功能開關及工作模式的調整;第二是關於CC防護,同樣也支援功能開關及工作模式的調整;第三是精準訪問控制,可以對業務進行規則的定製防護。
- Web應用防火牆或高防IP生產的cname域名,用於DNS解析的,不能直接訪問,直接訪問原域名。
- 跨站攻擊(XSS): 發生在客戶端,可被用於進行竊取隱私、釣魚欺騙、偷取密碼、傳播惡意程式碼等攻擊行為。
- CRLF攻擊: HTTP響應拆分漏洞,也叫CRLF注入攻擊。CR、LF分別對應回車、換行字元。攻擊者可能注入自定義HTTP頭。
- SQL隱碼攻擊: 被廣泛用於非法獲取網站控制權,是發生在應用程式的資料庫層上的安全漏洞。從而使資料庫受到攻擊,可能導致資料被竊取、更改、刪除,以及進一步導致網站被嵌入惡意程式碼、被植入後門程式等危害。
- 寫入webshell攻擊: 是指WAF檢測到攻擊者正在往使用者網站寫入網頁木馬,企圖控制伺服器。攻擊者可以在使用者網站上寫入一個web木馬後門,用於操作使用者網站上的檔案,執行命令等等。
- 本地檔案包含: 是指程式程式碼在處理包含檔案的時候沒有嚴格控制。攻擊著可以利用該漏洞,在伺服器上執行命令。
- 遠端檔案包含: 是指程式程式碼在處理包含檔案的時候沒有嚴格控制。導致使用者可以構造引數包含遠端程式碼在伺服器上執行,進而獲取到伺服器許可權,造成網站被惡意刪除,使用者和交易資料被篡改等一系列惡性後果。
- 遠端程式碼執行: 是指由於服務端程式碼漏洞導致惡意使用者輸入在服務端被執行的一種高危安全漏洞。利用該漏洞,可以在伺服器上執行攻擊者拼裝的程式碼。
- FastCGI攻擊: nginx中存在一個較為嚴重的安全問題,FastCGI模組預設情況下可能導致伺服器錯誤的將任何型別的檔案以PHP的方式進行解析。這將導致嚴重的安全問題,使得惡意的攻擊者可能攻陷支援php的nginx伺服器。
- WAF專注於應用層的攻擊,包括CC和web攻擊。和高防IP的主要差別在於:WAF會在第一時間最快更新最新的Web 0day漏洞防護規則。比如大面積爆發的strust2和imagemagick漏洞。Web防護上具備預警模式和防護模式,幫助使用者業務初次上線時啟用,瞭解業務誤報狀況。CC防護具備寬鬆、嚴格的防護策略,使用者可以自定義調整適應業務實際情況。企業版支援使用者關於web攻擊規則的自定義調整以及CC策略的定製調整,避免誤報。針對諸如wordpress的pingback以及掛鏈導致的CC攻擊,只有Web應用防火牆具備。支援使用者對管理員登陸頁面等特定URL做重點訪問控制。實時解決垃圾註冊、刷庫撞庫、活動作弊、論壇灌水等嚴重業務風險,最佳使用者體驗、無需網站修改原始碼/呼叫API介面等繁瑣操作即可實現快速上線防護。
d) 網路安全專家防護
- 基於雲盾DDOS高防ip,推出的安全代維託管服務,由阿里云云盾專家團隊,提供私家定製的策略最佳化、重大活動保障,攻防專家分析報告、真是攻擊源分析、人工值守等服務。
2、 雲盾的主機級防護
a) 安騎士:支援解除安裝、安裝
- 基於雲端聯動防禦,可以為雲伺服器提供防駭客入侵。
- 木馬查殺;防密碼暴力破解;異動登陸提醒;漏洞檢測修復---補丁管理。
- 木馬查殺:網站類後門、二進位制程式、惡意指令碼;精準查殺(實時更新基於阿里雲的惡意檔案庫);實時查殺(第一時間通知,主動隔離,實時通知使用者)
- 賬戶安全保護:暴力破解攔截;駭客賬戶檢測;異常登入報警;
- 特點:輕量化Agent(CPU使用率1%、10M記憶體、無第三方依賴);安全狀況實時掌控(控制檯、簡訊郵件告警);發現風險快速阻斷;雲平臺全鏈路聯動防禦;適應各種雲平臺環境(支援公有云、私有云、混合雲、傳統IDC);
b) 補丁管理:基於安騎士
- 解決客戶漏網發現不及時、不會修漏洞、無法批次進行補丁更新等問題,可一鍵下發補丁更新、漏洞快速修復。
- 發現漏洞(在漏洞曝光之前)-》獲取修復方案(快於官方釋出)-》執行修復(批次修復、異常回滾)
- 工作原理:執行漏洞掃描、並將漏洞資訊上報到雲盾,同時給使用者推送漏洞預警資訊。
- 特點:多渠道漏洞獲取、專家團隊自研補丁、6小時修復、支援批次修復和回滾。
c) 伺服器安全託管
- 管家式的服務
- 定製化的安全防護策略、木馬檔案檢測和高危漏洞監測與修復
- 發生安全事件,提供安全事件分析、響應,並最佳化防護策略。
- 成果:安全事件分析報告
3、 雲盾的業務防護
a) 阿里綠網(考題:阿里綠網只提供網站內容檢測?)
- 違規資訊管控政策背景(國家法律法規要求、違規事件頻發,處罰成本巨大,資訊保安問題持續升溫,新法不斷出臺);違規形式多樣化,提前發現成難題;
- 阿里綠網基於深度學習技術及阿里巴巴多年的海里資料支撐,提供多樣化的內容識別服務,能有效幫助使用者降低違規風險。
- 網站內容檢測(違規網頁檢測、掛馬檢測)和圖片鑑黃服務,後續推出垃圾廣告過濾、圖片識別和影片識別等服務。
- 核心能力:文字演算法(可準確高效的檢測各類違規違法文字);色情圖片檢測(基於鑑黃模型,自動發現圖片特徵,準確率高達99.6%);多媒體指紋技術(影片特徵提取、特徵量化,由於佔用空間小,可大規模索引和檢索);OCR(圖片文字檢測、識別服務,有極高的準確率和很好的泛化能力,快速迭代更新)
- 特點:大資料;強大的識別能力;靈活的服務方式;海量資料快速檢測;
b) 反欺詐服務
- 常見:垃圾註冊、刷庫、撞庫、營銷作弊、垃圾內容
- 概念:基於阿里大資料風控服務能力,透過領先的行為收集技術和機器學習模型,解決企業賬號、活動、支付等關鍵業務環節存在的欺詐威脅。
- 特點:精準識別風險;實時防禦風險;基於海量資料分析;
- 核心:防垃圾註冊;風險使用者核實;防營銷作弊;防惡意登入;支付保護;飯垃圾服務。
c) 加密服務
- 加密的重要性:有效阻止非授權的人獲取資料;資料即便丟失也沒有關係;金鑰的管理是一個嚴謹的過程;企業的敏感資料都應該加密保護;海量資料的加密是核心的問題;
- 概念:透過在阿里雲使用經國家密碼管理局檢測認證的硬體加密機,幫助客戶滿足資料安全的監管合規要求,確保雲上業務資料的隱私性和機密性。客戶可以藉助雲加密服務實現對加密金鑰的完全控制和加解密操作。
- 演算法支援:對稱加密演算法;非對稱加密演算法;摘要演算法;全面支援國家和國際通用演算法;
- 特點:安全的金鑰管理;雲上合規;彈性擴充套件;雲端計算帶來的可靠性。
- 適合場景:企業合同、核心專利、重要客戶資訊、董事會紀要;
4、 雲盾的安全管理
a) 態勢感知(網路層、主機層、業務層)
- 專為企業安全運維團隊打造,結合雲主機和全網的威脅情報,利用機器學習,進行安全大資料分析的威脅檢測平臺;全面、快速、準確感知過去、現在、未來的安全威脅。
- 還原事件、分析原因、著眼未來
- 特點:免安裝、Saas服務,無需任務部署,在瀏覽器上即可使用;大資料+專業團隊
- 態勢感知,讓安全決策變得簡單。
b) 雲監控(設定報警規則、獲取監控資訊)
- 是一項針對阿里雲資源和網際網路應用進行監控的服務。可用於收集獲取阿里雲資源的監控指標,探測網際網路服務可用性,以及針對指標設定警報。
- 模組:站點監控、雲服務監控、自定義監控、報警聯絡人、事件訂閱。
- 站點監控:支援8種協議的探測,探測頻率1、5、15分鐘。HTTP/HTTPS,PING,TCP,UDP,DNS,POP3,SMTP,FTP
- 雲服務監控:可檢視11種雲產品的監控資料並設定報警,每個產品提供了不同的監控指標和統計週期。ECS/RDS/SLB/OSS/EIP/CDN/MQ/LOG/。。。
- 自定義監控:提供給使用者自由定義監控項及報警規則的一項功能。可以針對自己關心的業務進行監控,上報監控資料,由雲監控進行資料處理,並形成報警資料。
- 報警服務:監控項、統計週期、統計方法、聯絡人通知組等資訊。
c) RAM
- 穩定可靠的集中式訪問控制服務,可授權第三方合作。
- 特點:集中式身份管理;集中式許可權管理;統一訪問控制(STS);集中記錄使用者行為;統一賬單(主賬號買單);
- 身份管理:RAM-user,獨立的身份管理,實體身份,擁有獨立的登陸密碼和AK,支援多因素認證;RAM-Role,與各種身份管理系統結合,是虛擬身份,沒有獨立的登入密碼和AK,可以與外部實體身份聯結。
- 許可權管理:授權策略管理;STS訪問令牌管理;
- 應用場景:企業子賬號管理與分權;不同企業之間的資源操作與授權管理; 雲服務之間的資源代理操作與授權管理;身份聯盟與授權管理;針對不可信客戶端APP的臨時授權管理;
d) 滲透測試—提交工單,申請開通
- 是透過模擬惡意駭客的攻擊方法,來評估計算機網路系統安全的一種評估方法,進行安全性評估。
- 測試手段:以駭客的視角,用駭客的工具和方法進行測試,只進行安全評估,不進行破壞;
- 測試範圍:作業系統漏洞、網路漏洞、web應用漏洞、常見服務漏洞、安全管理漏洞、員工安全意思漏洞。
- 服務報告:服務範圍描述;滲透過程詳細描述;發現的漏洞列表、漏洞驗證方法;漏洞修復建議;滲透總結。
- 特點:滲透測試專家團隊;雲盾技術與大資料支撐。
e) 先知計劃
- 幫助企業建立私有安全應急響應中心(漏洞收集平臺)
- 加入先知計劃,企業可自主釋出獎勵計劃,激勵先知平臺的安全專家來測試和提交企業自身網站或業務系統的漏洞,保證安全風險可以快速進行響應和修復,防止造成更大的安全損失。
- 功能:私有的安全中心;可靠的安全專家;完整的漏洞閉環。
- 可覆蓋的風險:敏感資訊洩露;業務邏輯設計缺陷;越權敏感操作;弱口令;
f) 資料安全險
- 是眾安保險針對阿里雲使用者推出的資訊保安綜合保險,若因駭客攻擊導致使用者雲伺服器上的資料洩露並造成經濟損失,眾安保險將為使用者提供最高100萬的現金賠償,降低投保使用者因駭客攻擊意外事件帶來的經濟損失。
- 典型場景:資料被駭客竊取,企業收到駭客敲詐;網站使用者收到欺詐資訊,企業被索賠;媒體公佈企業資料被駭客竊取,企業聲譽損失。
5、 安全防護建議
a) 安全責任
- 阿里雲上安全管理責任不變;資料歸屬關係不變;安全管理標準不變;
- 提高風險意識,完善管理流程,建立(考題)--安全習慣(強密碼、安全驗證、密碼檔案單獨加密,不在網路上傳輸、不連線不安全AP,不下載、不安裝未知軟體。)
b) 架構+網路最佳化建議
- 架構最佳化:存放關鍵內容的ECS,不開通公網IP;使用SLB,增加一層防護;RDS不開通外網IP;遠端管理採用堡壘機中轉;開通“態勢感知”,並定期檢視報告。
- 網路層最佳化:關注雲盾報表關於DDos的基礎防護;開啟CC開關,配置DDOS清洗閾值;超過5G攻擊,開啟高防IP;重大活動保障,啟用網路安全專家服務。
c) 主機+應用最佳化建議
- 主機最佳化:啟用作業系統自帶防火牆功能;開放埠時,採用最小化原則;管理埠增加白名單IP;關閉ECS的無用埠;開啟安騎士、阿里綠網;可選擇伺服器安全託管;
- 應用最佳化:遵循軟體安全開發生命週期(SDL);進行安全評估和安全測試;定期檢視安騎士、態勢感知、雲監控報告;對業務系統進行分組,啟用RAM賬號,最小化許可權。
d) 報警測錄配置
- 態勢感知模組報警
- 阿里綠網模組報警
- 雲監控報警
這四張也很重要,可以結合以上產品進行綜合理解,考題演變的基礎: