《阿里云云安全助理工程师ACA复习资料(完结).pdf》由会员分享,可在线阅读,更多相关《阿里云云安全助理工程师ACA复习资料(完结).pdf(24页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、阿里云云安全助理工程师复习资料第一章第一章 云平台使用安全云平台使用安全主要介绍当前信息安全的现状和形势,如何利用云平台的优势降低风险,以及如何做好云上资产的安全管理等。Part 1Part 1 典型典型 ITIT 系统架构介绍系统架构介绍基础架构演进的趋势:大型机、PC 机和小型机、互联网数据中心、云计算。2.云计算的三种服务:SAAS(软件即服务)(行业应用如CRM、OA、ERP 等)PAAS(平台即服务)(云扩展服务,中间件、安全、大数据等)IAAS(基础设施即服务)(虚拟服务器、存储、网络等)3.企业上云常见架构:ALL in one:ECS(云服务器)应用与数据分离:ECSRDS(数
2、据库)应用集群部署:SLB(负载均衡)ECS 应用部署集群RDS动静资源分离:SLBECS 应用部署集群OSS(文件存储,图片音视频等非结构化)RDSPart 2Part 2 信息安全现状及形式信息安全现状及形式对于云上攻击,一下三点会以安全检测报告形式列出来:Ddos 攻击:大量请求造成拥塞口令暴力破解:SSH、RDP 协议为主,针对端口攻击。Web 应用攻击:SQL 注入攻击为主,针对数据库。1(注:SSH secure shell 安全外壳协议,建立在应用层基础上的安全协议;RDP remote desktop protocol远程桌面协议SQL 结构化查询语言,数据库查询和程序设计语言
3、。)2014 年 1 月 21 日,互联网 DNS 大劫难,DNS 被劫持;2014 年 4 月,Heartbleed 漏洞,涉及网银、门户网站,可被用于窃取服务器敏感信息,实时抓取用户信息。Part 3 ITPart 3 IT 系统风险构成系统风险构成1.按照等保划分维度:物理和环境安全:机房环境等;网络和通信安全:网络架构、边界保护、访问控制、入侵防范、通信加密等;设备和计算安全:入侵防范、恶意代码防范、访问控制、身份鉴别、集中管控和安全审计等;应用和数据安全:安全审计、数据完整性和保密性;2.云上安全的服务方式:责任分担,共建安全用户负责“云中内容”的安全性:客户数据;平台、应用程序、身
4、份和访问管理;操作系统、网络和防火墙配置安全。云平台负责云的安全性:计算、存储、数据库、网络、全球基础设施、边缘节点。Part 4Part 4 云上安全防护的关键点云上安全防护的关键点1.各类架构注意事项ALL in one 部署:注意 1.登陆安全;2.账号授权管理;2 3.服务器安全漏洞;4.应用访问攻击;5.数据备份和加密;6.网络攻击风险;应用与数据分离:新增注意 1.数据通信安全;2.网络通信安全;3.数据库访问白名单授权;4.数据库的备份和容灾;应用集群部署:新增注意 1.服务器访问授权;(授权 SLB)2.服务器安全区域隔离;(防止 ECS 之间被攻击)3.负载均衡加密访问;(证
5、书上传SLB,实现 RDS 访问)动静资源分离部署:新增注意 1.云存储数据备份加密 2.云存储数据容灾2.云计算面临的安全威胁可用性:大规模分布式拒绝服务攻击(DDos)、僵尸网络(botnet)影响:网站业务不可用完整性:网站入侵、服务器口令暴力破解影响:网站页面被篡改和植入后门。保密性:网站后门、数据库非法访问(拖库)影响:用户的账户信息和敏感数据泄露。2.产生安全风险的主要原因云平台:安全体系;技术实力;安全工具;管理平台;是否易用。ISV:开发规范;测试规范;部署规范;运维规范。用户:安全意识;安全习惯;加入黑产;管理流程;缺乏经验。3Part 5Part 5 阿里云解决方案阿里云解
6、决方案1.阿里云的服务器安全防护安骑士是一款主机安全软件,通过安装在云服务器上轻量级的软件和云端安全中心的联动,为您提供漏洞管理,基线检查和入侵告警功能。主要防护功能:木马查杀;防密码暴力破解;异地登陆提醒;漏洞检测修复。2.阿里云的网络安全防护免费:安全组、专有网络 vpc、基础 DDOS 防护收费:DDOS 高防 IP。3.阿里云的数据安全防护数据备份和容灾相关服务:云服务器快照;云数据库的备份实例和灾备实例;云存储多副本和异地备份。数据加密相关服务:云数据库加密存储;云存储加密存储;加密机;数据传输安全相关证书:云盾证书;HTTPDNS。4.阿里云应用安全防护1)Web 防火墙(web
7、application firewall,简称 waf)是一款网站必备安全产品。2)云盾 web 应用防火墙:基于云安全大数据能力实现运营+数据+攻防体系、综合打造网站应用安全。3)通过防御 sql 注入、xss 跨站脚本、常见 web 服务器插件漏洞、木马上传、非授权核心资源访问等 owasp 常见攻击;过滤海量恶意 cc 攻击;禁止恶意的接口滥刷,数据爬取;4)避免您的网站资产数据泄露,保障网站的安全与可用性。5.阿里云的监控管理云监控:是一项针对阿里云资源和互联网应用进行监控的服务,云监控服务可用于收集获取阿里云资源的监控指标,探测互联网服务的可用性,以及针对指标设置警报。4态势感知:是
8、一个大数据安全分析平台,能对您云上所有资源产进行安全告警,并用机器学习来发现潜在的入侵和高隐蔽性攻击,回溯攻击历史,预测即将发生的安全事件。Part 6Part 6 网络安全法网络安全法2017 年 6 月 1 日网络安全法正式实施。宏观层面:网络安全同国土安全、经济安全等一样成为国家安全的一个重要组成部分。微观层面:网络运营者(网络所有者、管理者和网络服务者)必须担负起网络安全的责任。Part 7Part 7 云平台使用的账号安全云平台使用的账号安全1.云上账号安全的指导原则账号安全:1)登录验证:配置强密码策略;定期轮转用户登录密码。2)账号授权:遵循最小授权原则;及时撤销不再需要的权限。
9、3)权限分配:不要为根帐号创建访问密钥;将用户管理、权限管理与资源管理分离。2.阿里云账号安全策略阿里云对租户账号提供账号登录双因素验证机制(MFA)、密码安全策略、审计功能,以确保云服务账号的安全性。3.阿里云的账号权限管理访问控制(RAM)是阿里云为客户提供的用户身份管理与访问控制服务。使用RAM,可以创建、管理用户账号,并可以控制这些用户账号对名下资源具有的操作权限。包括:密钥、范围权限、资源访问方式。RAM 应用场景:企业子账号管理与分权;不同企业之间的资源操作与授权管理;针对不可信客户端 app 的临时授权管理。5Part 8Part 8 云资源管理云资源管理1.云资源的管理方式:w
10、eb 管理控制台;客户端工具;api2.云资源的监控服务:云监控是一项针对阿里云云资源进行监控的服务,可用于手机获取阿里云资源的监控指标,并针对指标设置报警的阀值。第二章第二章 云上服务器安全云上服务器安全主要介绍云服务器主要面临的安全风险,并针对这些风险提供了切实可行的、免费的防护方案。Part 1Part 1 服务器面临的安全挑战服务器面临的安全挑战自身脆弱性:漏洞、错误的配置、账号权限、不该开放的端口等。外部威胁:后门、木马、暴力破解攻击等。Part 2Part 2 服务器安全管理服务器安全管理1.服务器安全管理的五种方式:及时对服务器安装系统补丁;修改服务器默认的账号和密码;在服务器上
11、启动及配置防火墙;关闭服务器不必要的服务及端口;检测服务器系统日志。Part 3 Part 3 通过安骑士发现登录风险通过安骑士发现登录风险安骑士是一款主机安全软件,通过安装在云服务器上轻量级的软件和云端安全中心的联动,为您提供漏洞管理、基线检查和入侵告警等功能。漏洞管理:系统软件漏洞;CMS 漏洞。基线检查:账户安全检测;弱口令检测;配置风险检测。入侵检测:异地登录提醒;暴力破解联动;网站后门查杀;异常进程检测。6Part 4Part 4 通过安骑士修复常见漏洞通过安骑士修复常见漏洞1.常见漏洞:系统漏洞;应用漏洞(应用程序的漏洞,主要由于编写代码留下的漏洞,常见的有 sql 注入、xss
12、漏洞、上传漏洞等)。2.漏洞管理流程:漏洞预警(获取权威漏洞信息)-漏洞检测(检测资产存在的漏洞)-风险管理(结合资产定位风险)-漏洞修复(补丁系统联动)-漏洞审计(确认漏洞风险)。3.安骑士系统软件漏洞支持并检测服务器上的三大类软件漏洞:系统软件漏洞、Windows 系统漏洞、web 应用漏洞。4.安骑士对于 cms 漏洞可通过及时获取最新的漏洞预警和相关补丁,并通过云端下发补丁更新,实现漏洞快速发现、快速修复的功能。第三章第三章云上网络安全云上网络安全主要介绍网络风险产生的原理并学会使用阿里云的防护方案,最大限度避免或减少网络层攻击的危害。Part 1Part 1 网络安全概述网络安全概述
13、 TCP/IP 协议,温顿 瑟夫:tcp/ip 协议和互联网架构的联合设计者之一,互联网之父。网络通信的五元组:源 IP、源端口、协议、目标端口、目标IP各种网络攻击:大流量 DDos 攻击、CC/慢速攻击、sql 注入、xss 攻击、暴力破解攻击、安装木马后门、网络钓鱼攻击安全责任分担模型:7v1.0 可编辑可修改Part 2Part 2 网络防火墙的使用网络防火墙的使用1.安全组介绍:安全组指定了一个或多个防火墙规则,规则包含容许访问的网络协议、端口、源 ip 等。2.安全组功能不同用户网络隔离;系统默认安全组;安全组限制方向;安全组限制数量。Part 3Part 3 安全专有网络安全专有
14、网络 vpcvpcVpc(virtual private cloud)虚拟私有云Vpc 功能:自主可控的网络、公网出入、私网互联。自主可同的网络:1)网络规划:ip 地址规划、自定义路由、公网访问。2)安全隔离:租户隔离、生产测试、访问控制公网出入三种形式:1)弹性公网 ip,简称 EIP,是可以独立购买和持有的公网IP 地址资源,能动态绑定到不同的 ecs 实例上。2)负载均衡83)Nat 网关(公网 ip 共享带宽、一个公网 ip 的不同端口可映射到不同的 vpcecs、避免 ecs 被外界主动连接)私网互联:支持同 region 间、跨 region、不同账户下 vpc 私网互通,支持客
15、户 IDC 到阿里云间的私网互通。Part 4 DDos Part 4 DDos 攻击介绍及防护措施攻击介绍及防护措施1.DDos 攻击介绍DDos(distributed denial of service)分布式拒绝服务攻击2.DDos 攻击原理对客户端的第三次响应(握手)不反馈,导致tcp 资源耗尽。3.DDos 常见防护措施:隐藏服务器 IP;多节点加速;异常流量清洗;分布式集群防御;防火墙合理配置;专有抗D 设备Part 5Part 5 如何使用阿里基础如何使用阿里基础 DDosDDos 防护防护1.基础 DDos 防护的主要功能1)攻击流量的发现、牵引和自动处理;2)能有效防御所有
16、各类基于网络层的各种DDos 攻击,包括 dns query flood,ntp reply flood。3)大数据分析技术实现全自动检测。9v1.0 可编辑可修改加入安全信誉防护联盟可以增加防御阀值,最高可到20GPart 6Part 6通过高防通过高防 IPIP 抵御大规模抵御大规模 DDosDDos 攻击攻击高防 IP 的原理:ISP四层清洗、七层清洗负载均衡云服务器高防 IP 的功能:1)防护海量 DDos 攻击:3 个高防中心,电信、联通、BGP 线路,总带宽超过1000Gbps。2)专业团队运营3)源站 IP 隐藏:高防服务可散列化业务 IP,随时更换防护的 IP,隐藏源站网络4)
17、弹性防护:DDos 防护阈值弹性调整,可以随时升级更高级别的防护,整个过程服务无中断。5)高可靠,高可用服务:全自动检测和攻击策略匹配,试试防护,清洗服务可用性%,低时延,低网络抖动。高防 IP 的接入:1)DNS 服务器更换对外服务 IP(把原域名进行更换);2)流量完成切换(客户端向源站的方位流量直接流向高防ip,安全防护由高防接管)103)回源正常用户(回注方式与传统方式不同,传统要打上vpn 标签回注隔离主机路由,阿里采用协议栈更换技术,把处理完成的流量再送给源站,实现回注)。不光为用户实现了攻击防护,同时作为业务前置,把源站网络完全对外隐藏,降低安全风险。第四章云上数据安全主要介绍数
18、据安全的防护原理,教会大家在阿里云上如何完美地解决数据安全问题,包括数据的安全存储、备份恢复、安全传输等。Part 1Part 1 数据安全概述数据安全概述1.数据本身及数据防护的安全数据本身的安全:保密性;加密、证书。完整性;完整性验证。可用性;主备实例,异地实例。数据防护的安全:物理安全;及时备份和恢复安全防护。数据访问授权和审批2.阿里云的数据安全防护1)数据备份和容灾云服务器快照;云数据库的主备实例和灾备实例;云数据库导入导出;云存储多副本和异地备份。2)数据加密云数据库加密存储;云存储加密存储;加密机。3)数据传输安全11云盾证书;HTTPDNS。Part 2Part 2数据备份、恢
19、复和容灾数据备份、恢复和容灾1.常见不同级别的备份方法按地理位置:本地备份;同城备份;异地备份。(理想状态:两地三中心)按备份模式:物理备份(数据块级);逻辑备份(文件级)。按时效性:热备;冷备。2.云服务器 ECS 快照快照:某一时间点上某一磁盘的数据备份。阿里云提供了快照机制,通过为云盘创建快照,您可以保留某一个或者多个时间点的磁盘数据拷贝,有计划地对磁盘创建快照,从而保证您的业务可持续运行。3.云数据库 RDS 备份与恢复可以通过设置备份策略调整 RDS 数据备份和日志备份的周期来实现自动备份。4.云数据库 RDS 数据导入、导出。数据备份、日志备份。5.云数据库 RDS 主备实例、灾备
20、实例。主备实例:RDS 采用热备架构,物理服务器出现故障后服务秒级完成切换。灾备实例:主节点和呗节点均无法连接时,可将异地灾备实例切换为主实例。6.云存储 OSS 多备本、异地备份Part 3Part 3 数据加密数据加密1.常见的加密算法:对称加密算法;非对称加密算法;哈希(HASH、摘要)算法1)对称加密算法指加密和解密使用相同密钥加密。特点:算法公开、计算量小、加密速度快、加密效率高。不足:交易双方都使用同样的密钥,安全性得不到保证。12常见对称算法:DES AES IDEA RC42)非对称加密算法至加密和解密使用两个不同的密钥:公开密钥(publickey)和私有密钥(private
21、key)。特点:算法强度复杂、保密性比较好、它消除了最终用户传输密钥的需要。常见的非对称加密算法:RSA、elgamal、背包算法、ECC(椭圆曲线加密算法)3)哈希算法将任意长度的二进制值映射为较短的固定长度的二进制值,这个小的二进制值成为哈希值。特点:计算快速,常用在不可还原的密码存储、信息完整性校验。常用的哈希加密算法:MD2/MD4/MD5;CRC 16/CRC32/CRC64;SHA/SHA-12.如何选择加密算法和密钥如何选择加密算法:数据量、速度:量大速度快对称加密;量小速度慢非对称加密;签名:非对称加密不可还原的密码存储、信息完整性校验哈希算法3.如何选择密钥密钥越长,运行的速
22、度就越慢,但安全等级越高。Rsa 建议采用 1024 位,ecc建议采用 160 位,aes 建议采用 128 位。4.云数据库加密存储TDE 透明数据加密对实例数据文件执行实时 I/O 加密和解密,数据在写入磁盘前加密,从磁盘读入内存时解密;不会增加数据文件大小,开发人员无需更改任何应用程序;会增加 CPU 使用率。5.云存储 OSS 加密存储客户端加密保护数据13v1.0 可编辑可修改用户数据在发送给远端服务器之前就完成加密;加密所用的密钥和明文只保留在本地。6.云存储 OSS 数据完整性验证数据在客户端和服务器之间传输有可能会出现数据丢失,OSS 可对各种方式上传的 object 返回其
23、 CRC64 值,客户端可以和本地计算的CRC64 值做对比。7.阿里云加密服务1)云上的数据安全加密方案;2)服务底层使用经国家密码管理局检测认证的硬件密码机;3)密码算法:全面支持国产算法以及部分国际通用密码算法(对称、非对称、摘要)4)金融支付领域的加解密支持5)权限认证:设备与敏感信息管理分离6)高可用性保障Part 4Part 4 数据传输安全方案数据传输安全方案1.数据传输安全风险认识流量劫持是目前最典型的数据传输安全风险。142.HTTPS 协议HTTP 协议+SSL 协议=HTTPS 协议1)HTTP 的安全版,基于 SSL 协议的网站加密传输协议。2)SSL 安全套阶层协议,
24、采用公开密钥技术,为网络连接提供数据加密、服务器认证、消息完整性以及可选的客户机认证。3)遵循 SSL 安全套阶层协议的服务器数字证书,具有身份验证功能。网站安装 SSL 证书后,使用 HTTPS 加密协议访问,可激活客户端到服务器之间的“SSL 加密通道”(SSL 协议),实现高强度双向加密传输,识别网站真实身份,防止传输数据被泄露或篡改。3.云盾证书服务,是和有资质的 CA 中心或代理商共同在阿里云为客户提供直接申请购买管理 SSL 证书的产品。在云上签发 symantec、gobalsign、Geotrust 证书,实现网站 HTTPS 化,使网站可信、防劫持、防篡改、防监听。并对云上证
25、书进行统一生命周期管理,简化证书部署,一键分发到云上产品。原理,使用 HTTP 协议进行域名解析,代替现有基于UDP 的 DNS 协议,域名解析请求直接发送到阿里云的 HTTPDNS 服务器,从而绕过运营商的 Local DNS,能够避免 Local DNS 造成的域名劫持问题和调度不精准问题。概念及特点:HTTPDNS 是阿里云面向移动开发者推出的一款域名解析产品,具有域名防劫持、精准调度的特性。Part 5Part 5 阿里云的数据传输安全实践阿里云的数据传输安全实践1.负载均衡 SLB HTTPS 支持负载均衡提供了 HTTPS 单向和双向认证;支持 http 回源。2.WAF HTTP
26、S 支持WAF 提供了 HTTPS 支持。3.云数据库 RDS 的传输安全SSL 加密在传输层对网络连接加密,提升数据传输的安全性和完整性。15第五章云上应用安全主要介绍 Web 应用和 APP 面临的主要安全风险,以及防御方案、原理和最佳防护实践。Part 1 webPart 1 web 应用安全概述应用安全概述1.web 应用安全问题:网站变卡、打不开;网站数据被恶意爬取,短信流量被滥刷;账号数据、资金损失;获取服务器管理员权限,篡改网站数据、页面。2.owasp(open web application security project)开放式 web 应用程序安全项目组织3.web 组
27、成及 web 安全分类web 服务器端通过通信协议 http(s)与 web 客户端通信。Web 服务端安全问题:sql 注入、文件上传、系统命令执行漏洞、权限漏洞。Web 客户端安全问题:xss 漏洞、csrf 漏洞、其他浏览器或插件漏洞4.应用安全防护工具:web 应用防火墙(WAF),通过执行一系列针对 HTTP/HTTPS的安全策略来专门为 web 应用提供保护的一款产品。Part 2Part 2 通过阿里云通过阿里云 WAFWAF 保护应用安全保护应用安全1.阿里云 WAF 基于云安全大数据能力实现运营+数据+攻防体系,综合打造网站应用安全。通过方旭 SQL 注入、网页防篡改、xss
28、 跨站脚本、常见 web 服务器插件漏洞、木马上传、非授权核心资源方位等owasp 常见攻击;过滤海量恶意 cc攻击;禁止恶意的接口滥刷、数据爬取;避免网站数据泄露。2.WAF 核心能力:0day 漏洞防护、放数据泄密、防cc 攻击、业务风控。3.WAF 竞争优势资源能力:弹性扩容、天然容灾、攻击阈值大。数据模型:海量 IP 信誉库、网站正常模型164.阿里云 WAF 应用防火墙安全检测流程:流量经过web 应用防火墙时,首先依次匹配精准访问控制中的规则、再进行CC 攻击的检测、最后进行 web 应用攻击防护。5.云盾 WAF 包括高级版、企业版、旗舰版三个版本。Part 3 SQLPart
29、3 SQL 注入及防护注入及防护1.什么是 SQL 注入攻击通过把 SQL 命令插入到 web 表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL 命令。2.SQL 注入攻击的现象:数据泄露猜测并非授权获得数据库信息;数据篡改破坏数据库信息;数据删除数据库信息丢失;修改系统访问授权私自添加、修改系统或数据库账号,甚至对数据库服务器的完全控制4.SQL 注入的过程:黑客对网站进行扫描,发现页面存在注入风险,通过手工构造SQL 注入语句,渗透入侵数据库,获取网站相关核心数据。5.SQL 注入产生的原因:注入攻击的原因是web 应用程序中存在漏洞,开发人员编写的应用程序缺乏
30、对数据库相关的输入数据进行合法性检查,导致应用程序按照攻击者的意图执行。6.SQL 注入防护手段:SQL 语句预编译和绑定变量;严格进行输入校验,检查参数的数据类型;使用安全函数;应用的异常信息应该给出尽可能少的提示;不要使用管理员权限的数据库连接;不要把机密信息直接存放;采用一些工具或网络平台检测是否存在SQL 注入。177.通过阿里云 WAF 防护 SQL 注入web 应用攻击防护,防护 SQL 注入、XSS 跨站等常见 web 应用攻击、实时生效。模式:防护模式,预警模式。防护规则策略:正常、宽松、严格。Part 4Part 4 网站防篡改网站防篡改1.网站篡改攻击者利用网站漏洞恶意修改
31、web 页面内容的攻击事件。2.网站篡改的动机:纯粹炫耀黑客技术;增加自己网站点击率;加入木马的病毒程序;发布虚假信息获利;骗取用户资料;政治性宣传。3.网站篡改的特点及危害:特点:被篡改的网站页面阅读人群多;传播速度快;影响深远且事后难以消除;无法预先检查,难以防范;难以追查攻击源;攻击工具简单且趋向智能化发展。危害:企事业单位公信力及形象受影响;经济损失;成为不法分子利用的工具;在社会上进行不当信息的传播。4.网站篡改的原因主观:密码管理不严格;未定期修改;多人共用同一密码;补丁不及时更新;不同人员参与到应用开发。客观:系统复杂、漏洞频出、各种应用漏洞(注入、CSRF、身份认证失效、安全配
32、置错误、页面代码泄露等)都有可能造成网站被篡改;漏洞发现、补丁公布的时间均过长;钓鱼、木马、间谍软件。5.网站篡改的过程:黑客对网站进行渗透注入,获取管理员权限留下的木马后门,在网站页面中留下暗链或者篡改网站页面内容,损害企业对外的公众形象或是造成经济损失。6.网页防篡改基本原理:对 web 服务器上的页面文件进行监控,发现更改行为时及时组织或者恢复。7.阿里云 WAF 防网页篡改:WAF 在高级版及以上版本上支持页面防篡改功能,可以对制定的敏感页面进行缓存。18缓存后,即使源站页面内容被恶意篡改,WAF 也会返回预先缓存号的页面内容,从而确保正常用户看到正确的页面。开启网页防篡改配置规则手动
33、打开防护开关手动更新缓存Part 5 CCPart 5 CC 攻击防护攻击防护1.CC 攻击CC 攻击是 DDos 攻击的一种,主要用来攻击页面,分为:单主机虚拟多IP 地址、代理服务器攻击、僵尸网络攻击特点:CC 攻击来的 IP 都是真实的、分散的;CC 攻击的数据包都是正常的数据包;CC 攻击的请求,全都是有效的请求,无法拒绝的请求;CC 攻击的网页,服务器什么都可以连接,ping 也没问题,但是网页就是访问不了。2.CC 攻击的原理及危害网站被竞争对手攻击或者是黑客敲诈勒索,发起大量的恶意CC 请求,长时间占用消耗服务器的核心资源,造成服务器性能瓶颈,如CPU、内存、贷款,导致网站业务响
34、应缓慢或是无法正常提供服务。3.防御 CC 攻击的方法:禁止网站代理访问;尽量将网站做成静态页面;限制连接数量;修改最大超时时间;域名欺骗解析;更改web 端口;工具:web 应用防火墙。4.通过阿里云 WAF 防止 CC 攻击WAF 在企业版及以上版本支持防止CC 攻击。独家算法防护引擎、结合大数据、秒级拦截机器恶意CC 攻击。模式选择:正常模式;攻击紧急模式;针对性防护算法。CC 自定义防护规则:支持在控制台自定义对于特定路径(URL)的访问频率限制Part 6Part 6 阿里云阿里云 WAFWAF 的业务风控安全实践的业务风控安全实践191.关键业务欺诈场景:垃圾注册;垃圾内容;暴力破
35、解;盗卡支付;暴力破解;撞库;营销作弊。垃圾注册:平台推广拉新客户活动时,常常吸引网络上的“羊毛党”,通过注册机和虚拟手机号码、人工打码等方式注册一批账号,进入平台批量套取优惠。登录撞库:登录网络的欺诈分子利用互联网中大量泄露的用户名密码进行尝试,如果账户、密码不幸在泄露库中,可能导致关联平台上的账号被不发分子盗用。营销作弊:平台推广活动时,欺诈分子会通过模拟器、虚假手机号码、人工打码等方式绕过平台验证,批量套取优惠,给平台造成不必要的资金损失。2.通过阿里云 WAF 进行数据风控数据风控为 WAF 基于阿里云的大数据能力,通过业内领先的风险决策引擎,结合人机识别技术,防止关键业务欺诈行为。数
36、据风控在 WAF 高级版及以上提供。接入数据风控,不需要服务器或客户端做任何改造,只需要接入WAF,即可轻松获取风控能力。3.通过阿里云 WAF 进行数据风控原理20v1.0 可编辑可修改第六章云上安全管理主要介绍云上安全管理的措施,提升云上资产管理的综合技能,应用阿里云及生态体系提供的安全服务设计并落实云上安全管理方案。Part 1Part 1 云上安全管理概述云上安全管理概述1.云上安全管理的六大措施:数据备份和恢复;强化网络访问控制;定期安全测试,发现安全漏洞;建立全局的外部威胁和情报感知能力;建立应急响应和预案;持续化的安全运营。2.阿里云安全管理三字经21v1.0 可编辑可修改3.云
37、上安全远程管理的最佳实践:VPN+堡垒机安全价值:1)2)3)4)VPN+堡垒机成为唯一的运维通道,ECS 运维端口不必对外。堡垒机实现运维实名制,所有操作可定位到人;远程运维过程全审计,可实现实时监控、事后回放;满足等级保护等法律法规要求。4.阿里云的堡垒机服务云盾堡垒机集中了运维身份鉴别、账号管控、系统操作审计等多种功能。基于协议正向代理实现,通过正向代理可实现对 SSH,Windows 远程桌面、SFTP 等常见运维协议的数据流进行全程记录,再通过协议数据流重组的方式进行录像回放,达到运维审计的目的。操作审计:追溯的保障和事故分析的依据。职权管控:人员和资产的职权关系管理。安全认证:防止
38、身份冒用和复用。高效运维:支持多种协议和工具。22v1.0 可编辑可修改Part 2Part 2 案例云上的监控服务案例云上的监控服务1.阿里云上的两种监控服务1)云监控:是一项针对阿里云资源和互联网应用进行监控的服务。云监控服务可用于收集获取阿里云资源的监控指标,探测互联网服务的可用性,以及针对指标设置警报。2)态势感知:是一个大数据安全分析平台,能对云上所有资源进行安全告警,并用机器学习来发现潜在的入侵和高隐蔽性攻击,回溯攻击历时,预测即将发生的安全事件。2.云监控的使用场景3.云监控的价值借助云监控服务,可以全面了解在阿里云上的资源使用情况、性能和运行状况。借助报警服务,可以及时做出反应,保证应用程序顺畅运行。4.态势感知的使用场景23v1.0 可编辑可修改5.态势感知的价值利用态势感知搭建全面的安全防护体系:事前+事中+事后1)事前预防:弱点分析,资产态势监控,资产依赖关系梳理,定时漏洞扫描,安全配置监控。预防:漏洞补丁,资产弱点告警。2)事中阻断:入侵检测,攻击识别,异常检测,实时发现 web 层,主机层攻击。阻断:攻击阻断,入侵防御。3)事后回溯:回溯:对安全事件进行回溯和调查,并提供全量原始日志的检索功能,对攻击事件的影响和系统防御效果态势进行调查。24