文章目录
安全与监控
1 云计算安全威胁
- 数据丢失泄露
- 服务商意外删除,地震火灾等不可控因素导致客户数据永久丢失
- 系统和技术漏洞
- 操作系统组件存在漏洞使服务和数据安全面临风险
- 账号与身份管理不善
- 犯罪分子伪装成合法用户,运营开发人员读取修改删除数据
- 免费背后的欺诈隐患
- 滥用、恶意使用云服务,通过支付工具欺诈性登录将云计算模式暴露在恶意攻击下
- API安全存疑,DoS攻击泛滥
2 云安全产品
职责分工
2.1 安骑士
2.1.1 优势
经受百万级主机稳定性考验的主机安全加固产品
支持自动化实时入侵威胁检测、病毒查杀、漏洞智能修复、基线一键检查、网页防篡改等功能
优势在于其轻量级只占不到10%的CPU,一键开通没有操作界面
2.1.2 功能
2.1.3 安装
以下情况不支持一键自动安装,必须手动安装
服务器非阿里云服务器
网络类型为经典网络
ECS不在支持一键安装功能的地域内
操作系统为Windows2008、Redhat、FreeBSD、Coreos
未安装云助手
服务器未开启
非阿里云服务器输入安装验证Key,可在云盾安装安骑士页面找到安装验证Key
2.2 风险识别
快速解决业务安全风险,降低损失
应用场景
注册/登录/营销/设备/业务风险识别
邮箱画像 地址评分
2.3 先知(安全众测)
帮助企业建立私有应急响应中心的平台
企业加入后,可自主发布奖励计划,激励安全专家测试提交系统漏洞
适合缺少安全团队的企业
应用场景
- 企业需要建立一个漏洞收集渠道
- 避免漏洞被提交到其他平台
- 先知平台不公开任何漏洞细节
2.4 云安全中心
实时识别、分析、预警安全威胁的统一安全管理系统
2.4.1 产品优势
- 安全事件告警和检索
- 漏洞和基线配置检测
- 安全风险量化和预测
- 安全可视化界面
- 支持病毒云查杀
2.4.2 应用场景
- 统一管控所有资产并实时监控云上业务
- 定期对云上服务进行漏洞扫描
- 对多种网络和主机日志进行检索
- 对ECS开放的端口进行实时监控
- 对ECS中发生的入侵时间进行回溯
2.4.3 功能详情
- 安全事件告警及告警自动关联分析
- 漏洞扫描
- 基线配置检查
- 资产指纹
- 日志检索及分析
- 攻击、访问、威胁分析
- Accesskey、账号和密码泄露检测
- 可视化大屏
2.5 DDoS
2.5.1 定义
分布式拒绝服务Distributed Denial of Service
借助于客户机/服务器模式,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DDoS攻击,从而成倍地提高拒绝服务攻击的能力
阿里云为用户免费提高5G的默认DDoS防护能力
在此基础上,用户可基于安全信誉分进一步提升防护能力
最高获得100G以上的免费DDoS防护流量
2.5.2 特性
-
覆盖常见DDoS防护类型包括不限于以下类型:ICMP Flood、UDP Flood 、TCP Flood、SYN Flood、ACK Flood、DNS Flood
-
缩短黑洞时长根据安全信誉,缩短极端攻击下黑洞默认时长
2.5.3 防护原理
启用防护后,云盾会实时监控进入ECS实例的流量
监测到超大流量或异常流量,在不影响正常业务的前提下
云盾会将可疑流量从原始网络路径中重定向到净化产品上,识别并剥离恶意流量,并将还原的合法流量回注到原始网络中转发给目标ECS实例
这就是流量清洗
过滤攻击报文,限制流量速度,限制数据包速度等
BPS清洗阈值:当入方向流量超过BPS清洗阈值时,会触发流量清洗
PPS清洗阈值:当入方向数据包超过PPS清洗阈值时,会触发流量清洗
适用于阿里云ECS SLB EIP NAT WAF等云产品的免费防护
但是不能适用于不超过5G的DDoS攻击防护场景
2.5.4 产品优势
- 优质的防护线路
- 受到攻击不会影响访问速度
- 带宽充足
- 优质带宽保证业务稳定
- 精准防护
- 精准识别攻击,秒级开启防护
- 自研清洗设备和算法,保证极低误杀
- 单点多点清洗不会相互影响
- 免安装免维护
- 无需采购昂贵清洗设备
- 自动为云上客户开通,免安装
- 智能业务学习和配置防护规则
- 免费
- 基础DDoS防护免费
- 阿里云用户免费加入安全信誉防护联盟
2.6 黑洞
- 黑洞:服务器受到攻击流量超过本机房黑洞阈值时,阿里云会屏蔽服务器的外网访问,如果系统监控到攻击流量停止,黑洞会自动解封
- 黑洞时长:默认是2.5小时,期间不支持解封
- 黑洞触发阈值:根据地域和CPU配置的不同而变化
2.7 DDoS高防IP
针对互联网服务器在遭受大流量的DDoS攻击后导致服务不可用的情况
可以通过配置DDoS高防IP,将攻击流量引流到高防IP
产品优势
优势 | 详细 |
---|---|
防护海量DDoS攻击 | 成功防御大于1Tbps的DDoS攻击 |
精准防护 | 针对交易类、加密类、七层应用、智能终端、在线业务攻击等实时精准防护 |
隐藏用户服务 | 服务对站点进行更换并隐藏 |
高可靠、高可用的服务 | 全自动检测和攻击策略匹配,实时防护,清洗服务可用性99.99% |
使用场景
金融 娱乐 媒资 电商 政府等网络安全攻击防护
实时对战游戏、页游、在线金融、电商、在线教育等
2.8 安全管家
适用场景
- 需要从产品到服务的完整安全解决方案
- 缺少熟悉云安全的专业技术人员
- 希望通过外包服务降低安全运营成本
服务内容 | 应急版 | 护航版 | 企业版 |
---|---|---|---|
安全事件 | 15分钟内响应,5个自然日内解决 | 紧急事件:15分钟内响应 非紧急事件:1小时内响应 | 紧急事件:15分钟内响应 非紧急事件:1小时内响应 |
安全检查 | 事件相关业务的安全检查 | 重点业务每天巡检 | 指定云上每天巡检 |
安全策略 | 针对本次事件提供安全策略改进建议 | 针对重点业务指定安全策略方案并协助策略配置 | 针对所有业务的发展指定安全策略 |
漏洞管理 | 高危漏洞:15分钟内 中危漏洞:1小时内 低危漏洞:4小时内 | 高危漏洞:15分钟内 中危漏洞:1小时内 低危漏洞:4小时内 | |
安全架构咨询 | 1小时内响应 | 1小时内响应 |
2.9 云监控
优势
- 天然集成
- 无需特意购买和开通
- 数据可视化
- 云监控支持全屏展示和数据自动刷新
- 监控数据处理
- 通过Dashboard对监控数据进行时间维度和空间维度的聚合处理
- 灵活报警
- 提供了监控项的报警服务,提高用户产品的可用性
2.10 防火墙
防御内容
- XSS跨站脚本
- SQL注入
- 常见web服务器插件漏洞
- 木马上传
- 非授权核心资源访问
- 过滤海量恶意CC攻击
- 禁止恶意的接口滥刷
- 数据爬取
应用场景
- 网站变卡,打不开
- 账号数据,资金损失
- 网站数据被恶意爬取短信流量被滥刷
- 获取服务器管理员权限篡改网站数据页面