阿里云云安全助理工程师ACA复习资料(完结)演示教学
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
里云云安全助理工
师ACA复习资料
完结)
云平台使用安全
典型IT系统架构介绍
基础架构演进的趋势:大型机 、PC机和小型机、互联网数据中心、云计
云计算的三种服务:
(软件即服务)(行业应用如CRM、OA、ERP等)
(平台即服务)(云扩展服务,中间件、安全、大数据等)
(基础设施即服务)(虚拟服务器、存储、网络等)
企业上云常见架构:
:ECS(云服务器)
ECS——RDS(数据库)
SLB(负载均衡)——ECS应用部署集群——RDS
SLB——ECS应用部署集群——OSS(文件存储,图片音视频
RDS
信息安全现状及形式
攻击:大量请求造成拥塞
SSH、RDP协议为主,针对端口攻击。
应用攻击:SQL注入攻击为主,针对数据库。
SSH secure shell安全外壳协议,建立在应用层基础上的安全协议;
远程桌面协议
结构化查询语言,数据库查询和程序设计语言。)
年1月21日,互联网DNS大劫难,DNS被劫持;
年4月,Heartbleed漏洞,涉及网银、门户网站,,可被用于窃取服务器
系统风险构成
按照等保划分维度:
云上安全的服务方式:责任分担,共建安全
用户负责“云中内容”的安全性:客户数据;平台、应用程序、身份和访问管
云平台负责云的安全性:计算、存储、数据库、网络、全球基础设施、边缘
云上安全防护的关键点
各类架构注意事项
部署:注意1.登陆安全;
账号授权管理;
3.服务器安全漏洞;
4.应用访问攻击;
5.数据备份和加密;
6.网络攻击风险;
1.数据通信安全;
2.网络通信安全;
3.数据库访问白名单授权;
4.数据库的备份和容灾;
1.服务器访问授权;(授权SLB)
2.服务器安全区域隔离;(防止ECS之间被攻击)
3.负载均衡加密访问;(证书上传SLB,实现RDS访问)
1.云存储数据备份加密
云存储数据容灾
云计算面临的安全威胁
DDos)、僵尸网络(botnet)
影响:网站业务不可用
影响:网站页面被篡改和植入后门。
影响:用户的账户信息和敏感数据泄露。
产生安全风险的主要原因
开发规范;测试规范;部署规范;运维规范。
阿里云解决方案
阿里云的服务器安全防护
阿里云的网络安全防护
vpc、基础DDOS防护
DDOS高防IP。
阿里云的数据安全防护
数据备份和容灾——相关服务:云服务器快照;云数据库的备份实例和灾
数据加密——相关服务:云数据库加密存储;云存储加密存储;加密机;
数据传输安全——相关证书:云盾证书;HTTPDNS。
阿里云应用安全防护
)Web防火墙(web application firewall,
简称waf)是一款网站必备安全产品。
)云盾web应用防火墙:基于云安全大数据能力实现运营+数据+攻防体系、综
)通过防御sql注入、xss跨站脚本、常见web服务器插件漏洞、木马上传、非
owasp常见攻击;过滤海量恶意cc攻击;禁止恶意的接口滥
)避免您的网站资产数据泄露,保障网站的安全与可用性。
阿里云的监控管理
云监控:是一项针对阿里云资源和互联网应用进行监控的服务,云监控服务
态势感知:是一个大数据安全分析平台,能对您云上所有资源产进行安全告
网络安全法
年6月1日网络安全法正式实施。
云平台使用的账号安全
云上账号安全的指导原则
) 登录验证:配置强密码策略;定期轮转用户登录密码。
) 账号授权:遵循最小授权原则;及时撤销不再需要的权限。
) 权限分配:不要为根帐号创建访问密钥;将用户管理、权限管理与资源管理分
阿里云账号安全策略
MFA)、密码安全策略、审计功
阿里云的账号权限管理
RAM)是阿里云为客户提供的用户身份管理与访问控制服务。使用
,可以创建、管理用户账号,并可以控制这些用户账号对名下资源具有的操作
应用场景:
app的临时授权管理。
云资源管理
云资源的管理方式:web管理控制台;客户端工具;api
云资源的监控服务:云监控是一项针对阿里云云资源进行监控的服务,可用于手机
云上服务器安全
服务器面临的安全挑战
服务器安全管理
服务器安全管理的五种方式:
Part 3 通过安骑士发现登录风险
安骑士是一款主机安全软件,通过安装在云服务器上轻量级的软件和云端
漏洞管理:系统软件漏洞;CMS漏洞。
基线检查:账户安全检测;弱口令检测;配置风险检测。
入侵检测:异地登录提醒;暴力破解联动;网站后门查杀;异常进程检测。
通过安骑士修复常见漏洞
常见漏洞:系统漏洞;应用漏洞(应用程序的漏洞,主要由于编写代码留
sql注入、xss漏洞、上传漏洞等)。
漏洞管理流程:漏洞预警(获取权威漏洞信息)-漏洞检测(检测资产存
-风险管理(结合资产定位风险)-漏洞修复(补丁系统联动)-漏洞
安骑士系统软件漏洞支持并检测服务器上的三大类软件漏洞:系统软件漏
Windows系统漏洞、web应用漏洞。
安骑士对于cms漏洞可通过及时获取最新的漏洞预警和相关补丁,并通过
云上网络安全
网络安全概述
协议, 温顿 瑟夫:tcp/ip协议和互联网架构的联合设计者之一,互
网络通信的五元组:源IP、源端口、协议、目标端口、目标IP
DDos攻击、CC/慢速攻击、sql注入、xss攻击、暴力
网络防火墙
的使用
安全组介绍:安全组指定了一个或多个防火墙规则,规则包含容许访问的网络
ip等。
安全组功能
安全专有网络vpc
(virtual private cloud)虚拟私有云
功能:自主可控的网络、公网出入、私网互联。
) 网络规划:ip地址规划、自定义路由、公网访问。
) 安全隔离:租户隔离、生产测试、访问控制
) 弹性公网ip,简称EIP,是可以独立购买和持有的公网IP地址资源,能动态绑
ecs实例上。
) 负载均衡
) Nat网关(公网ip共享带宽、一个公网ip的不同端口可映射到不同的vpc
、避免ecs被外界主动连接)
region间、跨region、不同账户下vpc私网互通,支持客户IDC到阿
Part 4 DDos攻击介绍及防护措施
DDos攻击介绍
(distributed denial of service)分布式拒绝服务攻击
DDos攻击原理
tcp资源耗尽。
DDos常见防护措施:隐藏服务器IP;多节点加速;异常流量清洗;分布式集
D设备
如何使用阿里基础DDos防护
基础DDos防护的主要功能
) 攻击流量的发现、牵引和自动处理;
) 能有效防御所有各类基于网络层的各种DDos攻击,包括dns query flood,ntp
。
) 大数据分析技术实现全自动检测。
20G
通过高防IP抵御大规模DDos攻击
IP的原理:ISP——四层清洗、七层清洗——负载均衡——云服务器
IP的功能:
) 防护海量DDos攻击:3个高防中心,电信、联通、BGP线路,总带宽超过
。
) 专业团队运营
) 源站IP隐藏:高防服务可散列化业务IP,随时更换防护的IP,隐藏源站网络
) 弹性防护:DDos防护阈值弹性调整,可以随时升级更高级别的防护,整个过
) 高可靠,高可用服务:全自动检测和攻击策略匹配,试试防护,清洗服务可用
99.99%,低时延,低网络抖动。
IP的接入:
) DNS服务器更换对外服务IP(把原域名进行更换);
) 流量完成切换(客户端向源站的方位流量直接流向高防ip,安全防护由高防接
) 回源正常用户(回注方式与传统方式不同,传统要打上vpn标签回注隔离主机
云上数据安全
数据安全概述
数据本身及数据防护的安全
——完整性验证。
阿里云的数据安全防护
) 数据备份和容灾
) 数据加密
) 数据传输安全
HTTPDNS。
数据备份、恢复和容灾
常见不同级别的备份方法
云服务器ECS快照
云数据库RDS备份与恢复
RDS数据备份和日志备份的周期来实现自动备
云数据库RDS数据导入、导出。
云数据库RDS主备实例、灾备实例。
RDS采用热备架构,物理服务器出现故障后服务秒级完成切换。
云存储OSS多备本、异地备份
数据加密
常见的加密算法:对称加密算法;非对称加密算法;哈希(
HASH、摘要)算
)对称加密算法指加密和解密使用相同密钥加密。
DES AES IDEA RC4
非对称加密算法至加密和解密使用两个不同的密钥:公开密钥
publickey)和私有密钥(privatekey)。
RSA、elgamal、背包算法、ECC(椭圆曲线
)哈希算法将任意长度的二进制值映射为较短的固定长度的二进制
MD2/ MD4/ MD5; CRC
如何选择加密算法和密钥
量小速度慢——非对称加密;
如何选择密钥
Rsa建议采用1024位,ecc
160位,aes建议采用128位。
云数据库加密存储——TDE透明数据加密
I/O加密和解密,数据在写入磁盘前加密,从磁盘读
CPU使用率。
云存储OSS加密存储——客户端加密保护数据
云存储OSS数据完整性验证
OSS可对各种方式
object返回其CRC64值,客户端可以和本地计算的CRC64值做对比。
阿里云加密服务
)云上的数据安全加密方案;
)服务底层使用经国家密码管理局检测认证的硬件密码机;
)密码算法:全面支持国产算法以及部分国际通用密码算法(对称、非对
)金融支付领域的加解密支持
)权限认证:设备与敏感信息管理分离
)高可用性保障
数据传输安全方案
数据传输安全风险认识
HTTPS协议
协议+SSL协议=HTTPS协议
)HTTP的安全版,基于SSL协议的网站加密传输协议。
)SSL安全套阶层协议,采用公开密钥技术,为网络连接提供数据加
)遵循SSL安全套阶层协议的服务器数字证书,具有身份验证功能。
SSL证书后,使用HTTPS加密协议访问,可激活客户端到服
SSL加密通道”(SSL协议),实现高强度双向加密传输,
云盾证书服务,是和有资质的CA中心或代理商共同在阿里云为客户
SSL证书的产品。在云上签发symantec、
、Geotrust证书,实现网站HTTPS化,使网站可信、防劫持、
原理,使用HTTP协议进行域名解析,代替现有基于UDP
DNS协议,域名解析请求直接发送到阿里云的HTTPDNS服务器,
Local DNS,能够避免Local DNS造成的域名劫持问
概念及特点:HTTPDNS是阿里云面向移动开发者推出的一
阿里云的数据传输安全实践
负载均衡SLB HTTPS支持
HTTPS单向和双向认证;支持http回源。
WAF HTTPS支持
提供了 HTTPS支持。
云数据库RDS的传输安全——SSL加密
云上应用安全
Web应用和APP面临的主要安全风险,以及防御方案、原理和
应用安全概述
web应用安全问题:
owasp(open web application security project)开放式web应用程序安全项目
web组成及web安全分类
服务器端通过通信协议http(s)与web客户端通信。
服务端安全问题:sql注入、文件上传、系统命令执行漏洞、权限漏洞。
客户端安全问题:xss漏洞、csrf漏洞、其他浏览器或插件
漏洞
应用安全防护工具:web应用防火墙(WAF),通过执行一系列针对
的安全策略来专门为web应用提供保护的一款产品。
通过阿里云WAF保护应用安全
阿里云WAF基于云安全大数据能力实现运营+数据+攻防体系,综合打造网站
SQL注入、网页防篡改、xss跨站脚本、常见web服务器
owasp常见攻击;过滤海量恶意
攻击;禁止恶意的接口滥刷、数据爬取;避免网站数据泄露。
WAF核心能力:0day漏洞防护、放数据泄密、防cc攻击、业务风控。
WAF竞争优势——资源能力:弹性扩容、天然容灾、攻击阈值大。
——数据模型:海量IP信誉库、网站正常模型
阿里云WAF应用防火墙安全检测流程:流量经过web应用防火墙时,首先依
CC攻击的检测、最后进行web应用攻
云盾WAF包括高级版、企业版、旗舰版三个版本。
注入及防护
什么是SQL注入攻击?通过把SQL命令插入到web表单递交或输入域
SQL命令。
注入攻击的现象:数据泄露——猜测并非授权获得数据库信息;
数据篡改——破坏数据库信息;
数据删除——数据库信息丢失;
修改系统访问授权——私自添加、修改系统或数据库
SQL注入的过程:黑客对网站进行扫描,发现页面存在注入风险,通过手工构
SQL注入语句,渗透入侵数据库,获取网站相关核心数据。
SQL注入产生的原因:注入攻击的原因是web应用程序中存在漏洞,开发人员
SQL注入防护手段:SQL语句预编译和绑定变量;
严格进行输入校验,检查参数的数据类型;
使用安全函数;
应用的异常信息应该给出尽可能少的提示;
不要使用管理员权限的数据库连接;
不要把机密信息直接存放;
采用一些工具或网络平台检测是否存在SQL注入。
通过阿里云WAF防护SQL注入——web应用攻击防护,防护SQL注入、XSS
web应用攻击、实时生效。
网站防篡改
网站篡改——攻击者利用网站漏洞恶意修改web页面内容的攻击事件。
网站篡改的动机:纯粹炫耀黑客技术;增加自己网站点击率;加入木马的病毒程
网站篡改的特点及危害:
网站篡改的原因
CSRF、身份认证失效、安
网站篡改的过程:黑客对网站进行渗透注入,获取管理员权限留下的木马后门,
网页防篡改基本原理:对web服务器上的页面文件进行监控,发现更改行为时
阿里云WAF防网页篡改:WAF在高级版及以上版本上支持页面防篡改功能,可
WAF也会返回预先缓存号的页面内
配置规则 手动打开防护开关 手动更新缓存
攻击防护
CC攻击
攻击是DDos攻击的一种,主要用来攻击页面,分为:单主机虚拟多IP地
CC攻击来的IP都是真实的、分散的;CC攻击的数据包
都是正常的数据
CC攻击的请求,全都是有效的请求,无法拒绝的请求; CC攻击的网页,
ping也没问题,但是网页就是访问不了。
CC攻击的原理及危害
网站被竞争对手攻击或者是黑客敲诈勒索,发起大量的恶意CC请求,
CPU、内
防御CC攻击的方法:禁止网站代理访问;尽量将网站做成静态页面;限制连
web端口;工具:web应用
通过阿里云WAF防止CC攻击
在企业版及以上版本支持防止CC攻击。
CC攻击。
自定义防护规则:支持在控制台自定义对于特定路径(URL)的访问频率限
阿里云WAF的业务风控安全实践
关键业务欺诈场景:垃圾注册;垃圾内容;暴力破解;盗卡支付;暴力破解;
通过阿里云WAF进行数据风控
WAF基于阿里云的大数据能力,通过业内领先的风险决策引擎,
WAF高级版及以上提供。
WAF,即可轻
通过阿里云WAF进行数据风控原理
云上安全管理
Part 1 云上安全管理概述
云上安全管理的六大措施:数据备份和恢复;强化网络访问控制;定期安全测
阿里云安全管理三字经
云上安全远程管理的最佳实践:VPN+堡垒机
) VPN+堡垒机成为唯一的运维通道,ECS运维端口不必对外。
) 堡垒机实现运维实名制,所有操作可定位到人;
) 远程运维过程全审计,可实现实时监控、事后回放;
) 满足等级保护等法律法规要求。
阿里云的堡垒机服务
SSH,Windows远程桌面、SFTP
案例云上的监控服务
阿里云上的两种监控服务
) 云监控:是一项针对阿里云资源和互联网应用进行监控的服务。云监控
) 态势感知:是一个大数据安全分析平台,能对云上所有资源进行安全告
云监控的使用场景
云监控的价值
态势感知的使用场景
态势感知的价值
+事中+事后
) 事前预防:弱点分析,资产态势监控,资产依赖关系梳理,定时漏洞扫
) 事中阻断:入侵检测,攻击识别,异常检测,实时发现web层,主机
) 事后回溯:回溯:对安全事件进行回溯和调查,并提供全量原始日志的