阿里云云计算ACP学习（九）---阿里云安全

最新推荐文章于 2023-04-13 22:38:46 发布

朱一橘

最新推荐文章于 2023-04-13 22:38:46 发布

阅读量1.2k

点赞数

分类专栏：阿里云ACP 文章标签：阿里云云计算

本文链接：https://blog.csdn.net/qq_41289023/article/details/120394469

版权

阿里云ACP 专栏收录该内容

10 篇文章 19 订阅

订阅专栏

阿里云安全

1.云上安全形势

云计算面临的安全威胁

可用性：安全威胁：大规模分布式拒绝服务攻击（DDoS）、僵尸网络（Botnet）。影响：网站业务不可用
完整性：安全威胁：网站入侵、服务器口令暴力破解。影响：网站页面被篡改和植入后门
保密性：安全威胁：网站后门、数据库非法访问（拖库）。影响：用户帐户信息和敏感数据泄露。

安全是动态的攻防对抗过程！

黑色产业

专业的应用攻防能力
100%的精力投入
完整的产业链结构与分工
各种先进的检测工具

应用开发者

没有应用安全攻防经验
没有精力和时间投入到应用安全防护中
缺乏相应的防护工具

2.阿里云安全体系

阿里云云安全体系
在这里插入图片描述
阿里云安全产品体系

在这里插入图片描述

3.云盾主要产品

3.1 云安全中心

云环境面临新的安全问题

边界和责任越来越模糊
资产业务的多元化
安全威胁的预谋化

云安全中心应用场景及功能

安全预防：实现云产品联动，形成安全闭环
1. 云平台最佳安全实践：基于云平台最佳实践能力，联动云产品能力形成安全闭环
2. 漏洞管理与修复：主流系统、软件漏洞识别，并支持漏洞一键修复
3. 基线检查：基于阿里云最佳配置核查清单，降低配置不当引起的风险
主动防御：基于系统内核分析技术实现防勒索、防病毒、防篡改
1. 防勒索、防病毒：实时拦截已知勒索病毒、挖矿、蠕虫、DDoS等七类病毒
2. 防篡改：防止网站被植入涉恐涉政、暗链、后门等，保障网页正常
3. 应用白名单：防止未经授权的应用异常启动，影响业务正常运行
威胁检测：海量告警可自动关联分析，人工分析复杂告警成过去时，提升效率
1. 告警自动化分析关联：自动关联告警、识别低危异常形成的入侵，提升运营效率
2. 自定义告警：第三方数据上云实时分析关联聚合，自定义告警规则
3. 可视化态势：安全大屏知己、知彼、知威胁多维度展现网络安全态势
调查响应：
1. 自动化攻击溯源：自动溯源攻击源和原因，帮用户了解入侵威胁，快速响应
2. 日志分析&审计：提供日志审计、分析能力，提供攻击追溯、合规的平台

3.2 Web应用防火墙

Web应用防火墙(Web Application Firewall, 简称 WAF)：是一款网站必备的安全产品。
传统Web应用防火墙用户的痛点：

用不上：无法应用复杂业务、误报机率大
无专人后续运维：产品升级慢、流程复杂、不能及时防护最新漏洞
紧急问题响应慢：不能第一时间定位问题原因、影响业务

阿里云.云盾Web应用防火墙：是阿里云提供的一款新型WAF产品，它基于云安全大数据能力实现运营+数据+攻防体系，综合打造网站应用安全。

云盾WAF的应用场景

网站变卡、打不开：恶意海量肉鸡访问网站资源被耗尽
网站数据被恶意爬取短信流量被滥刷：数据接口被刷，如：短信流量滥刷、用户数据信息被恶意爬取
账号数据、资金损失：官网充值、商品交易、恶意免费/低价成交、盗取用户账户数据
获取服务器管理员权限篡改网站数据、页面：利用最新0day漏洞、命令执行注入、获取服务器管理权限、获取数据、篡改页面等各种危害

云盾WAF的产品功能

0DAY漏洞防护：推出最新曝出的Web 0day漏洞自动防御补丁规则、防护黑客的定向攻击
Web应用防护：防御OWASP常见威胁、避免注入类攻击导致的数据泄露
CC防护：针对恶意肉鸡发起的消耗网站资源海量请求进行拦截，并对IP进行封禁处罚
业务风控：
1. 防刷：针对用户注册及登录页面、避免网站的手机用户数据泄露、短信流量恶意消耗
2. 防爬：避免恶意爬虫抓取网站数据
3. 防撞库: 缓解对登录页面的Web暴力破解

云盾WAF的工作原理
以用户访问 www.taobao.com 站点为例：

浏览器输入www.taobao.com访问
DNS服务器解析域名到WAF集群地址
开始请求访问WAF的IP地址，网站的访问流量到达WAF防护集群，进行安全防护清洗
防护集群将清洗后的安全、干净的流量根据域名www.taobao.com回源到网站真实服务器
服务器响应内容回到WAF集群

云盾WAF的产品特性

一键接入：无需部署软、硬件；无需修改配置；DNS切换、五分钟实现网站安全
网站隐身：隐藏源站地址、避免攻击者直接攻击服务器
协同防御：共享国内近一半网站的防护策略、最新0day漏洞攻击第一时间防护
精准防护：针对黑客发起的定向攻击、根据攻击特征(IP/URL/UA/Referer）一键过滤

云盾WAF的服务优势

应用防护规则只针对有攻击性行为阻拦，避免过度规则的滥用、降低业务误报
每日及时更新Web 0day漏洞防护规则避免服务器遭受黑客全网扫描、中招
特定接口防护规则专家级定制、让WAF真正被用起来
针对高端企业用户提供VIP服务迅速响应、及时处理网站问题

云盾WAF的配置方法

添加域名及服务器公网IP
获取域名对应的Cname地址
针对域名添加对应的Cname记录，将流量牵引到WAF防护集群

3.3 DDoS防护

DDoS（Distributed Denial of Service）即分布式拒绝服务攻击。
攻击主要目的是让指定目标无法提供正常服务，是最强大、最难防御的攻击之一。
近年出现的DRDoS（分布式反射攻击）让DDoS攻击水平迅速提升，互联网安全被网络暴力所威胁。

基础DDoS防护的实现流程
在这里插入图片描述
为什么要使用DDoS高防？

为了获得更高DDoS防护能力，唯有补上“木桶”的“短板”

更强的服务能力
突破设备性能
突破机房带宽瓶颈

DDoS高防IP架构
在这里插入图片描述
DDoS高防IP的功能

游戏空连接：防御空连接、防御慢连接、针对游戏的恶意连接、对报文合法性检查
防御CC攻击：1000万QPS、IP+cookie的频率、 IP+key的认证、黑名单处罚、验证码、防爬
防御僵尸网络：全球僵尸网络库、与淘宝共享资源、神盾局攻击溯源
防御WEB攻击：防御SQL注入、防御XSS、防御跨站攻击

高防IP特点

防护海量DDoS攻击：
1. 多个高防中心，电信、联通、BGP、海外线路，新节点持续建设
2. 有效抵御所有各类基于网络层、传输层及应用层的DDoS攻击
3. 超大DDoS防护经验丰富，平均每天防护2次200G以上攻击
专业团队运营：7x24专业团队随时应对
源站IP隐藏：高防服务可散列化业务IP，随时更换防护的IP，隐藏源站网络
弹性防护：DDoS防护阈值弹性调整，可以随时升级更高级别的防护，整个过程服务无中断
高可靠、高可用的服务：全自动检测和攻击策略匹配，实时防护，清洗服务可用性99.99%，低时延、低网络抖动

高防IP接入流程

DNS服务器更换对外服务IP
流量完成切换
回源正常用户

4.阿里云云监控

传统监控的不足

每套监控系统的监控对象单一，多套监控系统难以统一管理。出现故障时，无法快速准确定位问题。
大都采用手动操作，当系统达到一定规模后，IT管理和运维成本也随之增长，对运维人员来说是噩梦。
监控数据和IT管理系统未打通，监控数据无法用于改善IT管理，价值无法体现。

云计算环境下监控的特点

监控对象多，监控规模大
集中监控
技术自动化程度高，降低运维成本和IT管理成本
监控数据整合，为业务系统服务
可扩展性

云监控基本概念

云监控(CloudMonitor)是一项针对阿里云资源和互联网应用进行监控的服务。
云监控服务可用于收集获取阿里云资源的监控指标，探测互联网服务可用性，以及针对指标设置警报。
在这里插入图片描述

云监控的优势

天然集成：无需特意开通，使用阿里云产品后直接到云监控查看产品运行状态并设置报警规则。
灵活报警：设置报警规则和通知方式后，一旦发生异常便立刻报警，方便用户及时知晓并处理异常，提高用户产品的可用性。
数据处理：云监控支持您通过 Dashboard对监控数据进行时间维度和空间维度的聚合处理。
可视化：通过Dashboard提供丰富的图表，满足各种场景下的监控数据可视化需求。

5.小结

1、DDoS高防、WAF的功能和应用场景分别是什么？

DDoS高防IP的功能

游戏空连接：防御空连接、防御慢连接、针对游戏的恶意连接、对报文合法性检查
防御CC攻击：1000万QPS、IP+cookie的频率、 IP+key的认证、黑名单处罚、验证码、防爬
防御僵尸网络：全球僵尸网络库、与淘宝共享资源、神盾局攻击溯源
防御WEB攻击：防御SQL注入、防御XSS、防御跨站攻击

高防IP特点

防护海量DDoS攻击：
1. 多个高防中心，电信、联通、BGP、海外线路，新节点持续建设
2. 有效抵御所有各类基于网络层、传输层及应用层的DDoS攻击
3. 超大DDoS防护经验丰富，平均每天防护2次200G以上攻击
专业团队运营：7x24专业团队随时应对
源站IP隐藏：高防服务可散列化业务IP，随时更换防护的IP，隐藏源站网络
弹性防护：DDoS防护阈值弹性调整，可以随时升级更高级别的防护，整个过程服务无中断
高可靠、高可用的服务：全自动检测和攻击策略匹配，实时防护，清洗服务可用性99.99%，低时延、低网络抖动

云盾WAF的产品特性