雲安全解決方案|讓企業用上安全的雲

一，背景介紹

企事業在IT上雲建設過程中，往往只關注架構、功能、效能等指標，對安全方面的意識相對薄弱，導致業務系統或應用上線後存在多處漏洞，很容易被駭客攻擊利用，而企業往往被攻擊造成損失後才開始進行補救措施。

本案例為企業在雲上IT建設之初即從安全的方方面面加以保障，確保雲上架構在業務環境上線時，處於安全、穩定的階段。

雲安全引起的安全事件和風險相對傳統應用要高出非常多，其原因是使用者及資訊資源的高度集中化。IT企業雲端計算伺服器發生重大安全事故使眾多客戶的資訊服務遭受影響，這都讓業界對於雲端計算應用安全的憂慮與日俱增。

滴滴雲的安全資質認證：

1. 等保三級認證

2. 可信雲認證

3. CSA-STAR認證

4. ISO27001認證

5. ISO27018認證

二，關於雲安全的技術挑戰：

1. 生產業務系統的保護。大多數企業開發過程中，安全方面意識比較薄弱，導致業務系統或應用上線後存在多處漏洞，很容易被駭客攻擊利用，給企業帶來損失。

2. 大量的DDOS攻擊。DDoS攻擊對企業系統或應用危害巨大，幾分鐘系統無法訪問帶來的後果很可能是上百萬收入損失以及大量的業務客戶流失，DDoS攻擊已經成為企業關注的安全痛點問題。

3. 企業資料的安全性。資料是企業的根本，一旦資料洩露，對企業的損失不可估量；而資料往往也是駭客垂涎的目標，針對資料庫攻擊具有多樣性和複雜性，如何保障資料安全已經成為各個企業面臨的一項難題。

4. 缺乏專業的安全團隊。由於安全專業門檻較高，從安全解決方案設計，安全評估，安全運維，以及安全響應等都需要人力支出，打造一支專業維護系統安全團隊成本投入非常巨大，對於大多數企業來說這是難以負擔的。

滴滴云為客戶打造了多款安全產品，對客戶的生產業務由內到外進行了全方位的防護。

三，主機安全

主機安全產品是滴滴雲推出的一款全面防護主機終端安全的產品，以滴滴安全積累的大量資料及規則為基礎，透過在主機上安裝輕量級的客戶端，依靠強大的後臺運算模型對各種駭客攻擊、主機弱點、主機漏洞進行風險預警，實時的保護主機的安全執行。

其 核心功能包括:

- 系統和應用漏洞檢測：包括各種作業系統漏洞和應用軟體漏洞；

- 安全配置基線檢測：包括各種不安全或者錯誤的配置資訊；

- Webshell檢測和防護：包括各種網站後門、網頁掛馬的檢測；

- 暴力口令破解檢測和防護：基於高效的檢測規則，實時的發現賬號暴力破解攻擊；

- 異地登入檢測和防護：對於非常用地的登陸資訊實時採集並告警；

- 主機異常檢測：實時發現主機上執行的惡意程式、外鏈、反彈shell等異常行為。

主機安全產品以細粒度的檢測方式實時的保護主機安全，輕量級的客戶端嚴格控制對主機資源的佔用（CPU正常佔用低於1%、記憶體佔用低於80M），對使用者的業務透明化，影響極微小。支援滴滴雲DC2雲主機所有作業系統，基礎防護版免費，專業防護版僅0.05 元/小時。

產品提供詳細的主機安全資訊，彙總展現威脅與風險的資訊，以及針對主機的風險發現和入侵檢測；同時，還提供詳細的資產管理資訊，讓使用者可以對自己的賬戶、埠和程式等資訊透過控制檯大屏一覽無餘。

四，WAF

WAF（Web Application Firewall）即Web應用防火牆，是針對Web應用進行業務保護的應用層防火牆。WAF透過接管Web伺服器請求和回應流量，對其中的資料進行實時的攻擊檢測和安全保護。

滴滴雲WAF是一款雲環境下的WAF產品，不僅支援源站在滴滴雲上的Web業務，而且還能保護在其它雲平臺或IDC機房執行的網站，同時支援HTTP和HTTPS協議。

主要功能包含：

1. SQL隱碼攻擊、XSS攻擊、CSRF攻擊、SSRF攻擊、Webshell後門、弱口令探測、反序列化攻擊；

2. 命令／程式碼執行、命令／程式碼注入、本地／遠端檔案包含攻擊；

3. 檔案上傳攻擊、敏感資訊洩露、XML實體注入、XPATH注入、LDAP注入。

五，DDOS高防

DDOS（分散式拒絕服務） 攻擊是網際網路上一種常見的攻擊方式，它是利用大量的網路資料包，惡意的去訪問某一個網際網路服務，導致訪問量遠遠超出服務的承載能力，造成服務癱瘓。該攻擊方式發起的成本較低，但對業務的危害很大，輕者造成服務不穩定，影響使用體驗，重則造成服務完全不可用，導致業務下線。

滴滴雲 DDOS 高防產品分為兩個版本： 基礎防護版（免費提供）、 高防例項版。基礎防護版會實時檢測所有 EIP 的流量情況，如果發現有 DDOS 攻擊發生，會將被攻擊EIP 的入口流量（免費版提供預設1GB的防護）牽引到清洗中心，只有被確認安全的流量才會由清洗中心重新回源到EIP 上。

攻擊發生後流量的清洗圖示：

高防實力版提供的最高畫質洗能力可達每秒100GB，使用者購買該產品後，滴滴雲會分配一個獨立的 CName 域名供使用者接入，只有經過高防確認乾淨的流量才會轉發到源站上，其技術架構圖如下：

以滴滴安全積累的大量資料及規則為基礎，依靠強大的後臺運算模型對各種駭客攻擊、主機弱點、主機漏洞進行險預警，實時的保護主機的安全執行。透過滴滴雲全方面的安全保障，降低了客戶業務被攻擊入侵的可能性，提高了客戶業務的可用性，為客戶帶來了實際利益的提升。