阿里云 vs Azure-安全

最新推荐文章于 2024-03-18 15:17:22 发布

xo_zhang

最新推荐文章于 2024-03-18 15:17:22 发布

阅读量560

点赞数 1

分类专栏：大数据、云存储云计算文章标签：云

原文链接：https://help.aliyun.com/document_detail/84532.html?spm=a2c4g.11186623.6.556.718c7e453hxpM3

版权

大数据、云存储同时被 2 个专栏收录

14 篇文章 1 订阅

订阅专栏

云计算

13 篇文章 0 订阅

订阅专栏

本文讨论 Azure 与阿里云安全服务之间的主要区别和相似之处。具体涵盖如下产品：

Feature	Azure	阿里云
Web Application Firewall (WAF)	Application Gateway (Web Application Firewall)	阿里云 WAF
DDoS防护	Azure DDos Protection（Azure Marketplace）	DDoS防护
证书服务	Application service certificate available on the Por	阿里云SSL证书服务
移动安全	N/A	移动安全
服务器安全	N/A	安骑士 (服务器安全)

1. WAF

阿里云 WAF 是可以保护 Web 应用使其免遭漏洞攻击的 Web 应用防火墙，此类漏洞攻击包括 SQL 注入、XSS 和恶意僵尸主机攻击等。阿里云 WAF 具有许多与 Azure WAF 类似的功能和技术，但它在防御功能方面拥有独特的优势。

1.1 服务模式比较

Azure Web 应用程序防火墙 (WAF) 是集成在应用程序网关提供服务的，阿里云 WAF 通过配置域名解析服务来部署。

1.2 访问控制

Auzre WAF 用户可以在创建应用程序网关后，在访问控制(标识和访问管理)添加对应的规则。同样阿里云 WAF 允许在配置域名后进行 ACL 规则配置，并且支持组合不同 HTTP 字段（如 IP、URL、Referer 和用户代理）来实现精准的访问控制。访问控制策略可应用于诸如防盗链和网站管理后台保护等场景。

1.3 Web 攻击防御

Azure WAF 提供了常见的 Web 攻击保护，如： SQL 攻击，跨站脚本攻击，HTTP响应拆分和远程文件包攻击等。阿里云 WAF 可针对 OWASP 等 10 种最常见的威胁提供保护，可根据不同网站业务针对 GET、POST 和其他常见 HTTP 请求提供高/中/低策略，包括避免向攻击者公开网站地址网站的隐藏功能，以及实施针对零时差漏洞的常规补丁更新和全局补丁更新。

1.4 业务风险控制

数据风险控制是基于阿里云的 WAF 的大数据功能，使用行业领先的风险引擎和人/机识别技术来为特定业务场景实现风险控制。阿里云 WAF 的大数据功能是运用我们向客户提供一流安全性的经验开发出来的。这些经验包括托管 37% 的基于中国的网站、维护在中国最常被访问的 IP 数据库、每天化解 8 亿次攻击。

通常，数据风险控制可以针对欺骗行为有效保护关键业务，其中包括但不限于垃圾邮件注册、短信验证码泛洪攻击、库命中和密码暴力破解、恶意购买、机器人购票和垃圾邮件。

1.5 控制台配置

Azure WAF 设置可以在应用程序网关控制台里面进行配置。阿里云 WAF 控制台支持域名配置以及组合不同策略来实现访问控制。

应用程序网关将集成到 Azure 安全中心。 Azure 安全中心会扫描环境以检测未受保护的 Web 应用程序。它现在可以建议应用程序网关 WAF 保护这些易受攻击的资源。这些 WAF 实例与 Azure 安全中心集成，并将警报和运行状况信息发送回 Azure 安全中心，以便进行报告。

阿里云 WAF 还提供强大而友好的可视化控制台，用于分析和监控攻击，包括业务分析和安全概况。业务分析会查看最近对不同域名的访问。安全概况会提供一个总体分数，该分数是根据最近攻击的严重性、攻击者威胁以及保护规则和策略得出的。最新的 Web 攻击和 CC 攻击以图形方式显示，常见攻击风险则提前发出警告并报告。

1.6 定价

Azure Web 应用程序防火墙在新的 WAF SKU 中提供，定价基于每小时网关实例费和数据处理费。 WAF SKU 的每小时网关定价不同于标准 SKU 费用，具体请参阅应用程序网关定价详细信息。

阿里云 WAF 定价基于包月购买，提供具有不同特性规格的不同套餐。了解有关阿里云 WAF 定价的更多信息。

1.7 特征比较

Azure和阿里云 WAF 服务的比较可以总结如下：

Feature	Azure WAF	阿里云 WAF
部署模式	部署集成在应用程序网关中	部署在客户端 CDN 和负载均衡器之间，并配置域名解析服务来建立连接
配置 Web ACL 策略	支持	支持
自定义规则	支持	支持
Web 攻击类型	SQL 注入、跨站脚本 (XSS) ，HTTP协议异常行为，防止自动程序、爬网程序和扫描程序和其他常见攻击	常见 OWASP 漏洞，包括 SQL 注入、XSS、网站后门上传、后门隔离、命令注入、非法 HTTP 协议请求、常见 Web 服务器漏洞攻击、未授权访问核心文件、路径遍历和扫描保护
HTTP 泛洪防护	支持	支持
风险警告	支持	支持
规则配置	支持	支持
攻击监控	支持	支持
安全报告	支持	支持
业务分析	不支持	支持

2. DDoS 防护服务

为了保护数据和应用使其免受 DDoS 攻击，阿里云和 Azure 都提供了基于云的 DDoS 防护服务，以确保应用可用性和云中资产的性能。在本节中，我们将讨论 Azure DDos 保护和阿里云 DDoS 防护安全服务。

2.1 服务模式比较

与 Azure DDos保护和Azure Marketplace类似，阿里云提供了免费的和企业级的 DDoS 防护服务，它们分别属于两个级别：DDoS 基础防护和 DDoS 专业防护。

级别	Azure DDos	阿里云安全
级别	Azure DDos Basic	阿里云 DDoS 基础防护
高级	N/A 依赖生态市场	阿里云 DDoS 专业防护

Azure DDos 基础防护和阿里云 DDoS 基础防护均不会产生附加费用，可针对网络层（第 3 层）和传输层（第 4 层）DDoS 攻击提供保护。对于 Web 应用保护，Azure用户可通过 Azure 应用程序网关 Web 应用程序防火墙来添加应用程序层保护。阿里云用户可以订阅阿里云 WAF 服务，以尽量减少 HTTP/HTTPS 泛洪和 DDoS 攻击等 Web 攻击。

Azure专业防护主要依赖Azure的生态市场，当前没有类似阿里云高防IP的专业防攻击产品。阿里云 DDoS 专业防护可针对第 3 层/第 4 层/第 7 层 DDoS 攻击提供保护。

Azure DDoS 基础防护会阻止攻击流量并将剩余流转至预期目的地，阿里云 DDoS 基础防护支持重定向技术。主要保护方法是自动清理，并以主动缓解作为补充。该服务代表用户托管整个攻击防护操作。

阿里云 DDoS 专业防护用户需要将非 Web 服务的域名解析为 DDoS 专业防护 IP 地址。然后，DDoS 专业防护会将所有公共网络流量定向至 DDoS 防护服务器机房。基于协议的端口转发会将用户访问流量转发至源站 IP。同时，DDoS 专业防护服务会清除并过滤掉恶意攻击流量，而将正常流量返回至源站 IP。

2.2 黑洞策略

Azure 和阿里云DDOS防护都有黑洞的概念，黑洞是指在到服务器的攻击流量超出指定阈值时限制服务器访问。用户可以配置服务器的黑洞阈值，阻止对服务器的外部网络访问。

Azure DDos黑洞后不予解除，也不通知用户。阿里云黑洞解除时间为25分钟—30天，其中99.9%是40分钟解除。

对于阿里云 DDoS 基础防护，默认阈值设置适用于 ECS、负载均衡器和 EIP。除默认黑洞阈值外，DDoS 专业防护还可为 DDoS 缓解提供更高容量。

2.3 大型 DDoS 防御

阿里云 DDoS 专业防护可缓解大型 DDoS 攻击。阿里云安全最多可提供 300 Gbps（中国大陆）和 100 Gbps（中国香港特别行政区和新加坡）的 DDoS 缓解，可缓解 SYN 泛洪、ACK 泛洪、ICMP 泛洪、UDP 泛洪、NTP 泛洪、SSDP 泛洪、DNS 泛洪、HTTP 泛洪和 CC 攻击。

2.4 监控&报告

监控和报告是安全服务的重要部分。Azure DDos防护和阿里云 DDoS 防护均提供网络流量监控，用于自动检查异常的流量包。

在阿里云 DDoS 专业防护中，网络流量会得到实时监控。它还提供过去攻击的详细安全报告。

2.5 产品架构

Azure DDoS 保护标准监控实际流量利用率，并不断将其与 DDoS 策略中定义的阈值进行比较。当超过流量阈值时，将自动启动 DDoS 缓解。当流量回到阈值以下时，缓解将移除。

阿里云DDoS基础防护在引流技术上支持BGP与DNS两种方案。防护采用被动清洗方式为主、主动压制为辅的方式。对DDoS攻击进行综合运营托管，可让您在攻击下高枕无忧。

阿里云DDos 专业防护是把域名解析到高防IP上（Web业务只要把域名指向高防IP即可。非Web业务，把业务IP换成高防IP即可）同时在高防上设置转发规则；所有公网流量都会走高防机房，通过端口协议转发的方式将用户的访问通过高防IP转发到源站IP，同时将恶意攻击流量在高防IP上进行清洗过滤后将正常流量返回给源站IP，从而确保源站IP稳定访问的防护服务。

2.6 定价

与 Azure DDos保护类似，DDoS 基础防护针对 DDoS 攻击提供保护时不会产生任何附加费用。

阿里云DDoS 专业防护是付费服务，基于保护容量和运营商网络收取使用费。它提供两种付费方式：预付费、后付费。了解有关 DDoS 防护计算方法的更多信息。

2.7 特征比较

Azure DDos 保护与阿里云 DDoS 防护的特性和术语对应关系如下：

特性	Azure DDos 保护	阿里云 DDoS 防护
DDoS 攻击类型	UDP 反射攻击、SYN 泛洪、DNS 查询泛洪、HTTP 泛洪/缓存中断（第 7 层）攻击	UDP 反射攻击、SYN 泛洪、DNS 查询泛洪、HTTP 泛洪/缓存中断（第 7 层）攻击
应用层保护	支持	支持
大型 DDoS 缓解功能	N/A (依赖生态市场)	支持（DDoS 专业防护）
防护容量	容量未披露	DDoS 基础防护可为不同区域提供 500 Mbps ~ 5 Gbps 容量，DDoS 专业防护最多可提供 1000 Gbps 容量的防护
技术架构	路由技术 (DDos保护)	Defense room (DDoS 专业防护)
服务集成	Vm,ELB, Azure DNS Traffic Manager等	支持云内外的服务

3. 证书服务

与 Azure Application service certificate类似，阿里云 SSL 证书服务允许用户在阿里云购买、配置和管理 SSL/TSL 证书。

3.1 服务模式

阿里云 SSL 证书服务提供证书购买、部署和吊销。发放证书后，用户可以通过一次单击将数字证书部署到其他阿里云服务。

Azure Application service certificate证书在 Azure 中用于云服务（服务证书）以及用于通过管理 API 进行身份验证（管理证书）。

3.2 服务集成

Azure App Service 证书可用于任何 Azure 或非 Azure 服务，且不限于应用服务。

如果您已购买阿里云的 CDN、DDoS 专业防护 IP、WAF 或负载均衡等，则需提前启用对这些云产品的 HTTPS 安全访问。然后，使用阿里云 SSL 证书服务通过一键式部署将购买的数字证书部署到这些产品中。

3.3 续费

Azure App Service 证书可以设置自动续订和手动续订证书，无论是手动续订还是自动续订，续订的证书都不会自动绑定到应用。

您需要在阿里云证书服务中手动续订证书。在完成续费和审核后，将发放新证书。您可以在服务器上安装这一新证书，以替代即将过期的证书。

3.4 定价

Auzre 应用服务证书S1标准版为USD/69.99（估计），W1 通配符证书 USD/299.99(估计)。

阿里云证书服务不仅提供免费、可信的证书，而且允许从阿里云平台直接购买高度安全的证书。

3.5 特征比较

Azure 应用服务证书与阿里云 SSL 证书服务的特性和术语对应关系如下：

特性	Azure Application service certificate	阿里云 SSL 证书
使用现有证书	支持	支持
导入第三方证书	支持	支持
免费证书	支持	支持
付费证书	支持	支持
续费	支持	支持
集成的服务	证书可用于任何 Azure 或非 Azure 服务，且不限于应用服务	内容分发网络、DDoS 专业防护、WAF 和负载均衡
自动部署	支持	支持
管理	管理控制台、API、CLI，Azure PowerShell	控制台