云上运维及应用第10章安全架构之云安全.pdf

资源描述

1、云盾的使用目录CONTENTS一 01云盾概要介绍02 云盾网络级防护03 云盾主机级防护04 云盾数据库防护05 云盾web应用防护06 云盾安全管理云盾概要介绍云计算安全介绍讨论为什么云计算的安全问题一直备受争议？（网友）：云计算的技术方面没有什么问题，就是安全问题是关键。就像大家把东西都放在一个菱筐里，如果没人看管就会被人偷走.所以安全问题非常重要，要是泄露个人信息就不好了。-百度知道7云计算到底是更安全了还是更不安全了？您如何看待?2014年重要的安全事 2014年全球14大网络安全事件5个在中国事件一、L21中国互联网DNS大劫难几乎每一次上网都需要D N S2014年1月21

2、日下午3点10分左右，国内.Cn域名根服务器出现异常，超过85%的用户遭遇了DNS 故障，引发网速变慢和打不开网站的情况，持续数小时。事件二、中国快递1400万信息泄露没有快递，我们的生活会很无趣2014年4月，国内某黑客对国内两个大型物流公司的内部系统发起网络攻击，非法获取快递用户个人信息1400多万条。2014年重要的安全事件事件三、12306用户数据泄露12306和我们每个人都有关2014年12月25日，乌云漏洞报告平台报告称，大量12306用户数据在互联网疯传，内容包括用户帐号、明文密码、身份证号码、手机号码和电子邮箱等。网银、电商、金融、保险事件四、OpenSSL心脏出血漏洞20

3、14年4月爆出了Heartbleed漏洞,该漏洞是近年来影响范围最广的高危漏洞，涉及各大网银、门户网站等。该漏洞可被用于窃取服务器敏感信息，实时抓取用户的账号密码。网络安全的形势境内感染网络病毒的主机数量境内被篡改网站总数其中政府网站总数境内被植入后门网站总数其中政府网站总数针对境内网站的仿冒页面数量新增信息安全漏洞数量其中高危漏洞数量 83.8 万 5351 86 4013 136 3323 92 40这些主机在被黑客控制广东省浙江省江苏省约7.7万个（约占中国大陆总感染量的12.9%）约7.4万个（约占中国大陆总感染量的12.4%）约5.4万个（约占中国大陆总感染量的9.1%）数据

4、来源：国家互联网应急中心安全周报，2015年第36期黑客产业链的工作流程-传播和控制利用和变现-f游戏、网银密码被盗，QQ、电商帐号被盗X在网上拍卖，赚钱中毒机器被远程控制，成为僵尸-A当作肉鸡发动攻击，进行敲诈_)_浏览器首页被篡改，乱弹广告做商业广告黑客与我们的关系云安全联盟：2016年的十二大云安全威胁威胁No.l:数据泄露威胁No.7:APT(高级持续性威胁)寄生虫威胁No.2:凭证被盗和身份验证如同虚设威胁No.8:永久的数据去失威胁No.3:界面和API被黑威胁No.9:调查不足威胁No.4:系统漏洞利用威胁No.10:云服务滥用威胁No.5:账户劫持威胁No.ll:拒绝服务(Do

5、S)攻击威胁No.6:恶意内部人士威胁No.12:共享技术，共享危险2018年最严重的网络安全攻击事件1.俄罗斯电网攻击国家支持的黑客攻击行为正日趋复杂激进，电网也成为最薄弱的环节之一，未来的网络场景势必将更为复杂危险。2.美国大学黑客窃取了31TB的数据，以及预估价值30亿美元的知识产权信息。这些攻击使用了精心设计的鱼叉式钓鱼电子邮件，诱骗教授和其他大学附属机构点击恶意链接并输入他们的网络登录凭据3.猖獗的数据暴露*知有$公司泄露了大约3.4亿条记录，而造成此次信息泄露的原因并不是黑客撞库或者其它恶意攻击所致,而是他们自己的服务器没有防火墙加密，直接暴露在公共的数据库查找范围内4.安德玛

6、(Under Armour)国体育运动装备品牌Under Armour发现，其健康和健身追踪应用MyFitnessPal遭到黑客攻击，大约有1.5 亿用户受到影响，泄露的信息包括用户名、电子邮件地址以及密码等5.一个值得关注的恶意软件：VPNFilter可以感染来自Netgear、TP-Link.Linksys、ASUS、D-Link以及华为等公司的数十种主流路由器型号。联邦调查局一直致力于削弱该僵尸网络，但新的研究发现表明，VPNFilter还在不断增长，其范围已经扩大与传统安全的区别传统IT环境云计算环境特点：组织独享计算存储资源，几乎完全掌握控制权威胁来源：外部黑客、内部人员威

7、胁手段：弱口令/暴力破解/撞库/web应用漏洞，社工:钓鱼、购买。特点：租户和云服务商各掌握部分控制权威胁来源：外部黑客、租户内部人员、云服务商内部人员、其它租户突破隔离机制威胁手段：传统威胁依然存在，云产品漏洞（如虚拟化），云服务商特权账号、多租户隔离漏洞与传统安全的区别分散DDoS攻击影响单一客户只拥有自己的安全数据安全完全靠自己传统安全威胁部署硬件安全设备无安全运营或运营能力差集中D DoS攻击影响大量客户拥有全平台海量客户数据责任共担，共建云安全云计算带来新的安全威胁云安全服务云服务商专业安全团队与传统安全的区别租户安全网络（虚拟网络）应用数据安全主机（虚拟机

8、）应用数据安全数据安全平台安资源抽象和控制云计算产品云操作系统Linux|Windows|网络物理资源服务器|网络设备|安全设备基础设施数据中心云盾的介绍知己知彼、方能百战百胜阿里巴巴、淘宝、支付宝多年的攻防经验十年攻防一朝成盾汇聚了国内最优秀的攻防实战人才形成了快速有效的响应保障机制形成了完善的安全运营体系自主研发品牌网络、数据库、web服务等全方位纵深防护云盾简介云盾是阿里巴巴集团多年来安全技术研究积累的成果。结合阿里云云计算平台强大的数据分析能力，为中小网站提供安全防护。主要包括：4层防御体系结构30 数据库安全防御.数据层数据库安全防火墙云盾是如何工作的安全是阿里云的核

9、心竞争力高效的安全运营体系云安全管理优秀的安全团队基于云计算的可扩展架构大数据Plan技术纵深防御|O自动化检测、响应、恢复防护能力快速升级阿里云的安全体系云盾体系I云服务安全体系云安全运维体系Web应用防火墙云安全运营主机入侵防护安全组防火墙DDoS攻击防护大数据安全分析集群网站漏洞检测及修复数据库防火墙合作伙伴数据加密合作伙伴SaaS安全异常协议检测Linux集君羊ECS安全RDS 安全OSS 安全飞天定象加密碎片访问传输存储软件安全开发生命周期VPC?门禁识别主机安全镜像容灾和备份隔离清零销毁数据安全I云监控应用安全I系统安全I云平台访问控制及运维安全双路供电介质管理网

10、络安全 DDS高防IPWeb应用防火墙云防火墙安全管理态势感知堡垒机安全管家混合云服务器安全安骑士应用安全-SSL证书移动安全数据安全数据库审计加密服务业务安全内容安全先知（服务）先知云盾网络级防护DDoS基础防护DDoS攻击是什么 DDoS(Distributed Denial of Service)即分布式拒绝服务攻击。-攻击主要目的是让指定目标无法提供正常服务，是最强大、最难防御的攻击之一。-近年出现的DRDoS（分布式反射攻击）让DDoS攻击水平迅速提升，互联网安全被网络暴力所威胁。常见的攻击类型SYN floodUDP floodICMP floodDDos攻击ARP欺骗AR

11、P欺骗 DNS欺骗 Oday漏洞 SQL注入 CC攻击TCP三次握手及DDOS攻击示意图TCP三次握手DDoS攻击示意图客户端服务端客户端服务端客户端发送syn 报文，并置发送序号为X客户端发送ack 报文，并置发送序号为Z,在确认序号为Y+1SYNSYN二1 A吧上兰Q服务端发送 syn+ack 报文，并置发送序号为 Y,在确认序号为X+1SYN/ACKSYNSYN/ACKSYNSYN/ACKTCP资源耗尽DDos防护功能Q络入通流量镜像 J|核心路由器|攻击流量牵引DDoS攻击预警模块三路由器.干净流量回注DDoS攻击清理集群清洗路由器BGP互联业务服务器91DDoS防护

12、管理中心什么是DDoS基础防护-免费为阿里云用户提供最高5G的默认DDoS防护能力。-阿里云在此基础上，推出了安全信誉防护联盟计划，将基于安全信誉分进一步提升DDoS防护能力，用户最高可获得100G以上的免费DDoS防护资源。保障ECSSLB业务安全上图左侧是高防IP防护DDoS攻击，右侧是主站提供的免差DDoS防护.产品优势优质防护线路-受到DDoS攻击不会影响访问速度，带宽充足不会被其他用户连带影响，优质带宽保证业务可用和稳定精准防护-精准识别攻击，秒级开启防护，自研清洗设备和算法保证极低误杀，单点多点清洗不会相互影响免安装免维护-无需采购昂贵清洗设备，自动为云上客户开通免安装，智能

13、业务学习和配置防护规则免费-基础DDoS防护免费，阿云用户免费自愿加入安全信誉防护联盟，安全信誉联盟公测期间限量开放控制台操作演示 DDOS基础防护总览实例列表常见问题 Q：怎样启动DDoS基础防护服务？A:目前，每台云服务器都是默认启动DDoS基础防护服务。单台云服务器流量超过一定流量时将自动启动DDoS清洗设备进行流量清洗。Q:DDoS基础防护端口白名单的作用 A:DDoS基础防护会协助您检测开启的端口。如果该端口是您授权开启，您可以将端口添加到端口白名单中，之后DDoS基础防护不再对该端口报警。-Q:DDoS基础防护可以防syn攻击吗？A:DDoS基础防护服务可以防御syn洪水攻击

14、。-Q：查看DDoS防护情况的周期可以选择吗？A云盾DDoS基础防护控制台支持24小时内的DDoS攻击事件查询，需要更长周期请查看态势感知。常见问题-Q：我的ECS服务器被20Mb的流量攻击了，云盾DDoS基础防护怎么不防护？-A:云盾DDoS基础防护是公共的DDoS防护服务，不对很小的流量攻击（小于100Mb）进行防护。建议您优化服务器性能，或者安装云锁等主机防火墙应对小于100Mb的流量攻击。-Q：ECS服务器中AliVulfix进程是什么?A:AliVulfix进程是云盾进行漏洞检测的程序，用于扫描服务器是否有漏洞。Q：为什么黑洞不能立即取消?A绝大多数用户的黑洞时间在30分钟到24小

15、时之间。如果一个用户的攻击很频繁，阿里云可能通过增加黑洞事件采取惩罚措施。黑洞是阿里云向运营商购买的服务，运营商有明确的黑洞解除时间限制，所以一般情况下黑洞不能立即取消。DDoS高防IP案例-20万家庭5万服务器50个IDC机房一边是全球历史上最大的DDOS攻击一边是正常娱乐的游戏玩家南太平洋北大西洋mu印度洋南大西洋西米比亚马达加斯加岛北太平洋新西兰2014年双11来自全球的攻击统计：双十一当天，云盾自动防御200多次DDoS攻击，单IP（阿里云）最大攻击流量超过lOOGbps，0故障。什么是DDOS高防IP云盾DDoS高防IP是针对互联网服务器（包括非阿里云主机）在遭受大流量的DDoS

16、攻击后导致服务不可用的情况下，推出的付费增值服务，用户可以通过配置高防IP,将攻击流量引流到高防IP,确保源站的稳定可靠。更强的服务能力突破设备性能突破机房带宽瓶颈上图左侧是高防IP防护DDoS攻击，右侧是主站提供的免麦DDoS防护.DDOS高防架构示意ISP sISPSYN Flood ACK flood UDP flood ICMP flood 连接攻击 CC攻击云盾高防节点09层清流二I Ufa层清流二J1/y负载均衡r云服务器云盾高防节点 u四层清洗二v Ut层清洗二 JSYN Flood ACK flood UDP flood ICMP flood 连接攻击 CC攻击阿里云机房

17、、高防IP接入流程 1,DNS服务器更换对外服务IPVIP1阿里巴巴云盾高防=IP1 I=VIP1DNSDNS服务目目目目目目源站被防护服务器-根据高防提供VIP1,在DNS服务器中把原域名IP1更换为VIP1 2,流量完成切换-客户端向源站的访问流量直接流向 VIP1,安全防护由高防接管 3,回源正常用户。回注方式与传统方式不同，传统是要打上VPN标签进行回注隔离主机路由，我们采用协议栈更换技术，把处理完成的流量再送回给源站IP1实现回注。不仅仅为用户实现了攻击防护，同时，做为业务前置，把源站网络完全对外隐藏，降低安全风险WEB应用防火墙（WAF）什么是WEB应用防火墙 Web应用

18、防火墙(Web Application Firewall,简称WAF)Z是阿里基于10余年攻防经验完*全自主研发的安全产品。其基于云安全大数据能力实现，通过防御SQL注入、XSS跨站曾脚本、常见Web服务器插件漏洞、木马上传、非授权核心资源访问等0WASP常见攻击,过滤海量恶意访问，避免您的网站资产数据泄露，保障网站的安全与可用性。入侵者WAF工作原理以用户访问/为。13208171站点为例1,浏览器输入/DNS 域名到WAF集群地址3,开始请求访问WAF的IP地址，网站的访问访问4,防护集群将清洗后的安全、干净的流量根据域名回源到网WWW流量到达WAF防护集群，进行安全防护清洗6,W

19、AF进行响应内容的防护清洗，实现请求/响应双向检测站真实服务器A目目目5,服务器响应内容回到WAF 集群WAF的配置方法配置控制台云盾主机级防护服务器安全（安骑士）什么是安骑士0-服务器安全（安骑士）是云盾推出的一款服务器安全运维管理产品。通过安装在服务器上的轻量级Agent插件与云端防护中心的规则联动，实时感知和防御入侵事件，保障服务器的安全。Agent Agent Agent Agent服务器安全（安骑士）的架构安骑士的特点轻量化Aent-正常状态下只占用1%的CPU、10MB内存，无依赖第三方组件。安全状况实时掌控-通过网页控制台进行安全事件处理，短信/邮箱进行告警。跨平台支持-支持所

20、有Linux和Windows主流操作系统、支持阿里云经典网络环境、阿里云VPC环境、混合云环境、传统IDC环境。大数据防御-全网最大恶意攻击源、恶意文件库、漏洞补丁库，每天共拦截数亿次攻击，防御模型精准快速。安骑士的工作原理令主机密码防爆破令异地登录报警令网站后门检测令高危漏洞修复令木马文件查杀ABTN安骑士检测范围说明序号类别概述1 可疑文件信息为提供恶意文件检测功能，系统在检测到可疑文件后，会上传该文件的相关信息（包括但不限于文件的路径、MD5值、创建时间等）到云端安骑士防护中心，以便进行最终核查。确认为恶意文件后，给您发送安全告警通知。2 可疑进程信息为提供恶意进程检测功能

21、，系统在检测到可疑进程后，会上传该进程的相关信息（包括但不限于进程名、进程启动参数、进程对应文件的路径、进程启动时间等）到云端安骑士防护中心，以便进行最终核查。确认为恶意进程后，给您发送安全告警通知。3 账户信息为提供登录审计、疑似帐号提醒、暴力破解拦截等功能，系统会定期分析和上传服务器的帐号信息（包括但不限于用户名、用户权限等）和登录日志信息（包括但不限于登录名、登录 IP等）。若发生异常登录事件，将会给您发送安全告警通知。4 异常连接信息为提供异常网络连接检测功能，系统在检测到可疑网络连接后，会上传该网络连接的相关信息（包括但不限于访问源IP、源端口、访问目的IP、目的端口等）到

22、云端安骑士防护中心，以便进行最终核查。确认为异常连接后，给您发送安全告警通知。5 服务器资产信为提供资产管理功能，系统将定期收集服务器的相关资产信息（包括但不限于安装的软件信息息、监听的端口信息、运行的网站信息等）。功能及版本模块功能点功能详情基础版企业版安全预防漏洞管理Linux软件漏洞：对标CVE官方漏洞库，自动检测并提供修复方案只检测Windows漏洞：同步微软官网补丁，自动检测并支持一键修复只检测Web-CMS漏洞：自研漏洞补丁，支持一键修复Oday漏洞只检测V其他漏洞：如软件配置型漏洞、系统组件型漏洞，均支持自动检测基线检查账号安全检测：密码策略合规、系统及应用弱口令XV系统配

23、置检测：组策略、登录基线策略、注册表配置风险X)数据库风险检测：Redis数据库高危配置XV合规对标检测：CIS-Unux Centos7系统基线XV入侵检测异常登录异地登录提醒：对在非常用登录地的事件进行告警V非白名单IP登录提醒：配置白名单IP后，对非白名单IP的事件进行告警XV非法时间登录提醒：配置合法登录时间后，对非合法时间登录事件进行告警XV非法账号登录提醒：配置合法登录账号后，对非合法账号登录事件进行告警XV暴力破解登录拦截：对密码暴力破解的行为进行联动防御网站后门查杀Webshell查杀：本地+云端多引擎检测网站后门文件，并提供一键隔离能力只检测主机异常（含云查杀）进程异常行为：

24、反弹Shell、JAVA进程执行CMD命令、bash异常文件下载等XV异常网络连接：C&C肉鸡检测、恶意病毒源连接下载等XV病毒木马云查杀：常见DDoS木马、挖矿木马及病毒程序检测，支持云端一键隔离XV功能及版本模块功能点功能详情基础版企业版资产指纹主机管理分组和标签：支持四级资产分组和子分组、支持资产标签管理X7资产清点：端口、账号、进程、软件端口监听：对端口监听信息收集和呈现，对变动进行记录，便于清点端口开放X7账号管理：收集账户及对应权限信息，可清点特权账户，发现提权行为XV进程管理：进程快照信息收集及呈现，便于自主清点合法进程发现异常进程XV软件管理：清点软件安装信息，同时在高危漏洞爆

25、发可快速定位受影响资产X日志检索进程相关进程启动：进程一旦启动，则记录下该启动事件的详细信息X7进程快照：某一时刻的进程全量日志抓取并存储X网络连接主动外联：对外网络连接的五元组相关信息实时采集XV其他日志系统登录：SSH、RDP的系统登录流水日志X端口监听快照：某一时刻的所有对外监听端口的快照数据X账号快照：某一时刻的所有账号信息的快照数据XV控制台操作演示安骑士控制台概览资产列表安全预防入侵检测安骑士设置如何在非阿里云服务器上使用安骑士如何为金融zi平台x VPC环境用户安装安骊士?Windows 系统Windows 2012|8Windows 2008Windows 2003Linux系

26、统CentOS:Versions 5,6 and 7(32/64 bit)Ubuntu:9.10-14.4(32/64 bd)Debian:Versions 6,7(32/64 bit)RHEU Versions 5,6 and 7(32/64 bit)Gentoo:(32/64 bit)OpenSUSE:(32/64 bit)Aliyun Linux。下载并以管理员权限在您的云服务器上安装了举手多国点击下载o在您的服务器中以管理员权限执行以下命令进行容了解更多阿里云服务器 o非阿里云服务器非阿里云服务器需输入以下安装验证key32立 wget https: AliAqsInstall_32

27、.sh&./AliAqsInstall_32.sh.hWlJb 复制644c wget https:/ AliAqsInstall_64.sh&./AliAqsInstall_64.sh鱼制服务器代运维运维业务云市场右计算的AppStore在此斓入您需要的服务8或者手机网站建设企业网站建设PHP运行环境JAVAif行环境全能环境linux环境配置数据迁移清除木马-数据迁移环境配置故障排查安全代维培训与认证专线接入云市场分类必BUY软件网站建设安全企业应用 API服务开发者软件品牌馆全部分类眼务市场数据迁移价格蜜潮1-98 99-198199-19981999-29982

28、998以上默认序上架时间：价格：（云）数据迁移（含系统安装、环境配置、数据迁移）硬盘扩容交付方式：人工霰务质保时间：7天交付时间：3天上海玄华阿里云的合作伙伴，凭借多年的项目经验和强大的技术团队为您提供要娓迁移、萦统安装、服务商：上海玄华信息科技发展有限公司开发者环境配置站点设置安装与设置系统设置软件安装数据库迁移数据库设置百保潼：（g）产品:使用人数:594网站迁移数据迁移 FTP安装程序安装云盾数据库防护常用的数据库安全威胁云盾在数据库安全中的角色白名单限制访问源、IP I 内网访问模式防暴力破解 SQL注入防护 r FQL 审讦一一ii,可用区默认一主一备，用区多种数据库备份策略 7

29、天数据回滚DB实例2-j备DB实例2-二二;主一Proxy+DB.DB实例1-区DB实例1-RDS用户无OS权限数据库防护的细节基于数据库协议分析与控制技术的数据库安全防护系统基于主动防御机制，实现数据库的访问行为控制、危险操作阻断、可疑行为审计专为关系型数据库（RDS）产品设计，以中间件的形式存在于数据库使用者和数据库之间利用大数据分析技术，对云上数据库危险操作审计分析，进行全自动检测、攻击策略匹配更新控制台演示演示内容：L SQL注入报警2、SQL审计报警3、暴力破解密码报警云盾web应用防护内容安全（阿里绿网违规信息网站挂马为病毒传播主要途径网站暗链危害不容忽视机器灌水

30、、垃圾信息，小广告、恶意推广等问题层次不穷什么是阿里绿网-内容安全（阿里绿网）基于深度学习技术及阿里巴巴多年的海量数据支撑，提供图片、视频，文字等多媒体的内容风险智能识别服务，不仅能帮助用户降低色情、暴恐、涉政等违规风险，解决广告推广，谩骂等用户体验痛点，而且能大幅度降低人工审核成本。网站内容检测OSS图片鉴黄服务站点监测服务违规网页检测挂马检测文本、图片、视频等色情图片进行识别以及色情程度的打分提供违规网页地址及快照查看功能阿里绿网的功能检测种类、丰富多样消息订阅、灵活提醒操作简单、方便管理提供多种违规内容的检测，如赌博、色情、枪支、毒品等违规内容的实时监控和检测可选择分时段

31、、分方式进行消息提醒，可灵活配置接收邮箱或手机提供了疑似违规及违规记录模块，方便用户快速查阅及操作阿里绿网的核心能力文本算法-包括丰富的安全防控知识和智能的NLP算法，结合先进的机器学习技术，可准确高效的检测各类违规/违法文本色情图片检测-基于深度学习及阿里生态圈的海量样本数据，通过人工智能技术达到鉴别黄色图片目的，准确率高达99.6%以上多媒体指纹技术-基于全球领先的多媒体数字签名和识别技术，依托于阿里生态圈的海量样本数据，对不良内容实现了高效的管控。OCR图片文字检测/识别-基于人工智能以及阿里生态圈的海量样本数据进行研发出品，具极高的准确率和很好的泛化能力阿里绿网的应用一社区论

32、坛反垃圾鹿硼/正文发布会员互动I 搜索推荐平台活动S App端安全核心风险垃圾注册帐号被盗帐号资料存在不良内容或垃圾广告帖子（正文）内容违反监管要求帖子（正文）内容违反平儆则会员在评论/回复中发布不良信息、垃圾广告、恶意灌水会员聊天内容包含不良信息或垃圾广告等信息搜索推荐文章存在违规内容恶意同！I搜索推荐热帖排行作假活动作弊，刷取活动奖励恶意代码、漏洞等威胁应用被逆向破解应用被黑客或木马攻击客户端机密信息泄漏常户端请求伪造存在仿冒应用解决方案垃圾注册防控帐号被盗防控昵称、头像、签名检测验证码防护文政感文正测涉敏正测广等

33、检、告检、骂片图广脸本政谩图黄、人文涉、评论内容检测聊天/群发内容检测搜索推荐内帘佥测恶意刷榜检测活动反作弊人机识别羊毛党识SU 防刷验证码安全扫描应用加固安全组件仿冒App检测实时监测控制台操作演示 OSS违规检测数据风控业务欺诈之疯狂的羊毛党垃圾注册刷库撞库营销作弊垃圾内容什么是阿里云数据风控服务数据风控由阿里聚安全提供，凝聚了阿里多年业务风控经验，专业、实时对抗垃圾注册、刷库撞库、活动作弊、论坛灌水等严重威胁互联网业务安全的风险，同时保证正常用户体验顺畅无影响只用户注册场景登录场景。营销活动有价值用户可疑用户o论坛恶意用户一设备信誉风险信息库数据风控模型人机

34、识别盗卡盗刷活动作弊刷单炒信刷票/抢号垃圾消息阿里云数据风控核心功能活动防控注册防控在注册场景提供安全防护，防止机器注册、人工恶意注册、注册短信被攻击在活动场景提供安全防护，防止刷红包、抢优惠券、黄牛抢号、黄牛刷单登陆防控在登陆场景提供安全防护，防止刷库撞库、暴力破解、可疑登陆消息防控其他风险防控在发帖、评论场景提供安全防护，防止批量发帖、垃圾评论其他场景下的风险防控，防止如频繁查机票、机器点赞批量送礼物、虚假投票等阿里云数据风控的产品规格输入的内容输出的内容产品规格前端组件获取,浏览器名称、版本/操作系统/屏幕长、宽/鼠标点击、移动/键盘敲击/URL/Flash接入方发送/

35、IP/手机/邮箱风险评分(0999)风险等级(可信、可疑、恶意)风险异常详情/IP是否代理/浏览器是否异常/屏幕是否异常/鼠标操作是否异常/键盘操作是否异常,是否有模拟器,是否篡改JS输入获取方式/PC Web:JS/H5:JS/APP:SDK输出获取方式/TOP API:响应时间 200ms以内付费方式/免费使用一个月/API使用次数/套餐，使用次数越多价格越优惠阿里云数据风控案例一活动反作弊用户“合作伙伴活动处理数据查询活动祚薛风龄一/返回吊脸翁晏和凤睑报告-有风险反欺诈服务获取数据和行为信息y注：获取的数据和行为信息越丰富，得出的风险评估结果越精准加密服务加密的必要性 76%

36、的数据泄露事件是由于漏洞造成-内部人员的错误/违规操作-不正确的业务流程产生的漏洞被利用-使用的软件本身漏洞被利用多项条款要求企业保护机密信息，而数据泄露公司的81%没有遵守这些条款-信息的保护成为安全管理和风险控制的核心内容平均每次数据泄漏造成的损失为670万美元-数据泄漏事件发生以后，会给企业带来平均11%的客户流失加密的必要性重要性为什么要对敏感数据加密？无法保证每个人都不犯错有效阻止非授权的人获得数据数据即便丢失也没有关系（兜底）密钥的管理是一个严谨的过程企业的敏感数据/文件都应该加密保护海量数据/内容的加密是核心壁垒加密适用场景-企业自身市场报价渠道管理企业的客户信息机

37、密程度联系方式姓名生日身份证用户密码什么是阿里云加密服务加密服务(Alibaba Cloud Data Encryption Service)是云上的数据安全加密解决方案。服务底层使用经国家密码管理局检测认证的硬件密码机，通过虚拟化技术，帮助用户满足数据安全方面的监管合规要求,保护云上业务数据的隐私和机密。阿里云运维人员加密服务资源池阿里云阿里司口密便用方法创建加密服务实例，并分配私有IP地址（专有网络）I填写地址，接收身份卡USB keyI 安装实例管理端，使用身份卡USB key对实例进行管理I安装安全代理程序,并通过实例管理端对其授权通过代理程序调用加密服务实例,对业务数据

38、进行指定的加解密运算阿里云加密算法加密算法分类加密算法对称密码算法非对称密码算法摘要算法支持SMI、SM4、DES、3DES、AES支持SM2、RSA(1024-2048)支持SM3、SHAS、SHA256、SHA384云盾安全管理态势感知适用场景据说全国50%网站有高危漏洞，我的业务在ECS上运行还好，就是不知道有没有漏洞？网络攻击这么猖獗，我的网络流量波动起伏很大，我现在到底安不安全？如果你管理的服务器被DDoS攻击，老板问：今天哪台ECS被攻击了？影响多少订单？到底是谁在攻击我？是竞争对手？还是黑客？还是内部员工监守自盗？我只是个运维工程师，没有安全团队，安全要怎么运维？该看什

39、么报表？什么是基线检查?昨天的PHP漏洞跟我有关系吗？什么是云盾态势感知-态势感知是一个大数据安全分析平台，专为企业安全运维团队打造，能对云上所有资产进行安全告警，并用机器学习来发现潜在的入侵和高隐蔽性攻击，回溯攻击历史，预测即将发生的安全事件-全面、快速、准确的感知过去、现在、未来的安全威胁安全事件告警和检索包含了ECS,RDS等全部云上资产的告警，对安全事件进行实时监控和处理建议说明，并对告警事件进行分析和全文检索原始日志存储和检索针对不同版本，提供了7天180天内的原始日志检索功能，并提供逻辑表达式，满足自定义查询日志和分析的需求安全风险量化和预测通过机器学习，把全量的日志进行精

40、量化威胁分析，并通过资产依赖关系和攻击手段判断，预测潜在的安全风险全面,快速,准确的感知过去.现在.未来的安全威胁未来：预判会发生什么？风险？1,还原事件：描述或补全对全景描述的重要未知细节2,分析原因：分析攻击者意图、拥有的资源能力、防御者的弱点3,着眼未来：对威胁进行预测、评估长远趋势、风险、提出应对策略基础架构云端安全信誉库威胁情报 POC攻击点恶意域名库病毒行为规律恶意IP库 Oday漏洞恶意病毒样本僵尸网络情报基础数据源网络流量应用组件主机操作文件访问人员情报-1系统弱点分析|_I-1恶意文件检测|_I-1应用攻击防护|_I异常行为监控|_I-1变种病毒分析|_I

41、安全告警事件回溯.安全监控,入侵过程异常进程攻击分布系统弱点,资产评估可编程化的安全运营后台标准化安全事件威胁数据协议威胁情报黑客画像僵尸网络行为,入侵点定位安全管家企业面临的安全现状初创、小型发展、中型成熟、大型1,集中在业务，不重视安全2,突发事件“救火1，慢慢重视安全，无安全体系2,有心理准备的救火1,拒绝安全事件发生，有安全人员2,建设完善的安全体系-云端安全如何保证？与传统线下IDC安全有何区别？-安全产品堆叠防御下的安全管理方式仍然发生安全事件?-有限的人员和预算情况下，安全运营仍然存在问题和挑战？什么是安全管家阿里云安全管家服务是阿里云安全专家基于阿里云多年安全最佳实践经验为

42、云上用户提供的全方位安全技术和咨询服务，为云上用户建立和持续优化云安全防御体系，保障用户业务安全。咨询与方案设计安全应急响应安全漏洞管理云盾产品支持评估与加固指导安全威胁管理版本与功能服务项应急版护航版企业版安全事件管理15分钟内响应5个自然日内解决15天内保障安全紧急安全事件：15分钟内响应非紧急安全事件：1小时内响应（支持7*24小时服务响应）紧急安全事件：15分钟内响应非紧急安全事件：1小时内响应（支持7*24小时服务响应）安全检查事件相关业务的安全检查重点业务每天巡检指定云上业务每天巡检安全策略管理针对本次事件提供安全策略改进建议针对重点业务制定安全策略方案并协助策略配置针对云

43、上所有业务的发展需要制定安全策略方案并协助策略配置漏洞管理-高危漏洞一15分钟内响应-中危漏洞一1 小时内响应-低危漏洞一4小时内响应（以上均在7*24时间内响应）-高危漏洞一15分钟内响应-中危漏洞一1小时内响应-低危漏洞-4 小时内响应（以上均在7*24时间内响应）安全架构咨询1小时内响应1小时内响应先知计划什么是先知计划先知计划是一个帮助企业建立私有应急响应中心的平台（帮助企业收集漏洞信息）o企业加入先知计划后，可自主发布奖励计划，激励先知平台的安全专家来测试和提交企业自身网站或业务系统的漏洞，保证安全风险可以快速进行响应和修复，防止造成更大的安全损失。用社会化的方式帮助企业发

44、现安全问题，为企业提供及时.安全、私密的安全情报服务平台。先知计划优势传统测试先知计划对比测试人员1-2人20-60人多30倍人参与测试成本10万/漏洞10万/20个漏洞成本降彳瞳原来的 1/20测试效率1个漏洞/5天5-10个漏洞/I天效率提升40倍测试效果发现1个漏洞平均40-50个漏洞测试效果提升50倍先知计划漏洞平台漏洞收集流程先知计划漏洞平台漏洞收集范业务与安全的关系安全风险安骑士、基础DDOS防护、阿里绿网、态势感知安全技能安全工具识别风险安全团队中等风险较大风险髓业务规模安全意识安全人员学习使用云盾才艮表警3人团队团队前瞻性专业意识意识专业性时间时间业务与安全的关系A安全风险k数据保险先知计划、数据风控安全技能厂转-一I 工具风险一要茶-幡-量天-顿I团队风险风险风险管理安全意识安全人员云市场代维服务时间时间谢谢观看Thank All for wat ching

展开阅读全文

云上运维及应用 第10章 安全架构之云安全.pdf

云上运维及应用第10章安全架构之云安全.pdf