阿里云云安全助理工程师ACA复习资料(完结)演示教学

里云云安全助理工
师ACA复习资料
完结)

云平台使用安全

典型IT系统架构介绍
基础架构演进的趋势：大型机 、PC机和小型机、互联网数据中心、云计

云计算的三种服务：
（软件即服务）（行业应用如CRM、OA、ERP等）
（平台即服务）（云扩展服务，中间件、安全、大数据等）
（基础设施即服务）（虚拟服务器、存储、网络等）
企业上云常见架构：
：ECS（云服务器）
ECS——RDS（数据库）
SLB（负载均衡）——ECS应用部署集群——RDS
SLB——ECS应用部署集群——OSS（文件存储，图片音视频
RDS
信息安全现状及形式

攻击：大量请求造成拥塞
SSH、RDP协议为主，针对端口攻击。
应用攻击：SQL注入攻击为主，针对数据库。
SSH secure shell安全外壳协议，建立在应用层基础上的安全协议；
远程桌面协议
结构化查询语言，数据库查询和程序设计语言。）
年1月21日，互联网DNS大劫难，DNS被劫持；
年4月，Heartbleed漏洞，涉及网银、门户网站，，可被用于窃取服务器

系统风险构成
按照等保划分维度：




云上安全的服务方式：责任分担，共建安全
用户负责“云中内容”的安全性：客户数据；平台、应用程序、身份和访问管

云平台负责云的安全性：计算、存储、数据库、网络、全球基础设施、边缘

云上安全防护的关键点
各类架构注意事项
部署：注意1.登陆安全；
账号授权管理；
3.服务器安全漏洞；
4.应用访问攻击；
5.数据备份和加密；
6.网络攻击风险；
1.数据通信安全；
2.网络通信安全；
3.数据库访问白名单授权；
4.数据库的备份和容灾；
1.服务器访问授权；（授权SLB）
2.服务器安全区域隔离；(防止ECS之间被攻击)
3.负载均衡加密访问；（证书上传SLB,实现RDS访问）
1.云存储数据备份加密
云存储数据容灾
云计算面临的安全威胁
DDos）、僵尸网络（botnet）
影响：网站业务不可用

影响：网站页面被篡改和植入后门。

影响：用户的账户信息和敏感数据泄露。
产生安全风险的主要原因

开发规范；测试规范；部署规范；运维规范。

阿里云解决方案
阿里云的服务器安全防护


阿里云的网络安全防护
vpc、基础DDOS防护
DDOS高防IP。
阿里云的数据安全防护
数据备份和容灾——相关服务：云服务器快照；云数据库的备份实例和灾

数据加密——相关服务：云数据库加密存储；云存储加密存储；加密机；
数据传输安全——相关证书：云盾证书；HTTPDNS。
阿里云应用安全防护
）Web防火墙（web application firewall，

简称waf）是一款网站必备安全产品。
）云盾web应用防火墙：基于云安全大数据能力实现运营+数据+攻防体系、综

）通过防御sql注入、xss跨站脚本、常见web服务器插件漏洞、木马上传、非
owasp常见攻击；过滤海量恶意cc攻击；禁止恶意的接口滥

）避免您的网站资产数据泄露，保障网站的安全与可用性。
阿里云的监控管理
云监控：是一项针对阿里云资源和互联网应用进行监控的服务，云监控服务

态势感知：是一个大数据安全分析平台，能对您云上所有资源产进行安全告

网络安全法
年6月1日网络安全法正式实施。


云平台使用的账号安全
云上账号安全的指导原则

） 登录验证：配置强密码策略；定期轮转用户登录密码。
） 账号授权：遵循最小授权原则；及时撤销不再需要的权限。
） 权限分配：不要为根帐号创建访问密钥；将用户管理、权限管理与资源管理分

阿里云账号安全策略
MFA）、密码安全策略、审计功

阿里云的账号权限管理
RAM）是阿里云为客户提供的用户身份管理与访问控制服务。使用
，可以创建、管理用户账号，并可以控制这些用户账号对名下资源具有的操作

应用场景：
app的临时授权管理。
云资源管理
云资源的管理方式：web管理控制台；客户端工具；api
云资源的监控服务：云监控是一项针对阿里云云资源进行监控的服务，可用于手机

云上服务器安全

服务器面临的安全挑战


服务器安全管理
服务器安全管理的五种方式：





Part 3 通过安骑士发现登录风险
安骑士是一款主机安全软件，通过安装在云服务器上轻量级的软件和云端

漏洞管理：系统软件漏洞；CMS漏洞。
基线检查：账户安全检测；弱口令检测；配置风险检测。
入侵检测：异地登录提醒；暴力破解联动；网站后门查杀；异常进程检测。
通过安骑士修复常见漏洞
常见漏洞：系统漏洞；应用漏洞（应用程序的漏洞，主要由于编写代码留
sql注入、xss漏洞、上传漏洞等）。
漏洞管理流程：漏洞预警（获取权威漏洞信息）-漏洞检测（检测资产存
-风险管理（结合资产定位风险）-漏洞修复（补丁系统联动）-漏洞

安骑士系统软件漏洞支持并检测服务器上的三大类软件漏洞：系统软件漏
Windows系统漏洞、web应用漏洞。
安骑士对于cms漏洞可通过及时获取最新的漏洞预警和相关补丁，并通过

云上网络安全

网络安全概述
协议， 温顿 瑟夫：tcp/ip协议和互联网架构的联合设计者之一，互

网络通信的五元组：源IP、源端口、协议、目标端口、目标IP
DDos攻击、CC/慢速攻击、sql注入、xss攻击、暴力


网络防火墙

的使用
安全组介绍：安全组指定了一个或多个防火墙规则，规则包含容许访问的网络
ip等。
安全组功能

安全专有网络vpc
（virtual private cloud）虚拟私有云
功能：自主可控的网络、公网出入、私网互联。

） 网络规划：ip地址规划、自定义路由、公网访问。
） 安全隔离：租户隔离、生产测试、访问控制

） 弹性公网ip，简称EIP，是可以独立购买和持有的公网IP地址资源，能动态绑
ecs实例上。
） 负载均衡
） Nat网关（公网ip共享带宽、一个公网ip的不同端口可映射到不同的vpc
、避免ecs被外界主动连接）

region间、跨region、不同账户下vpc私网互通，支持客户IDC到阿

Part 4 DDos攻击介绍及防护措施
DDos攻击介绍
（distributed denial of service）分布式拒绝服务攻击
DDos攻击原理
tcp资源耗尽。
DDos常见防护措施：隐藏服务器IP；多节点加速；异常流量清洗；分布式集
D设备
如何使用阿里基础DDos防护
基础DDos防护的主要功能
） 攻击流量的发现、牵引和自动处理；
） 能有效防御所有各类基于网络层的各种DDos攻击，包括dns query flood，ntp
。
） 大数据分析技术实现全自动检测。
20G
通过高防IP抵御大规模DDos攻击
IP的原理：ISP——四层清洗、七层清洗——负载均衡——云服务器
IP的功能：
） 防护海量DDos攻击：3个高防中心，电信、联通、BGP线路，总带宽超过
。
） 专业团队运营
） 源站IP隐藏：高防服务可散列化业务IP，随时更换防护的IP，隐藏源站网络
） 弹性防护：DDos防护阈值弹性调整，可以随时升级更高级别的防护，整个过

） 高可靠，高可用服务：全自动检测和攻击策略匹配，试试防护，清洗服务可用
99.99%，低时延，低网络抖动。
IP的接入：
） DNS服务器更换对外服务IP（把原域名进行更换）；
） 流量完成切换（客户端向源站的方位流量直接流向高防ip，安全防护由高防接

） 回源正常用户（回注方式与传统方式不同，传统要打上vpn标签回注隔离主机


云上数据安全

数据安全概述
数据本身及数据防护的安全


——完整性验证。




阿里云的数据安全防护
） 数据备份和容灾

） 数据加密

） 数据传输安全
HTTPDNS。
数据备份、恢复和容灾
常见不同级别的备份方法



云服务器ECS快照


云数据库RDS备份与恢复
RDS数据备份和日志备份的周期来实现自动备

云数据库RDS数据导入、导出。

云数据库RDS主备实例、灾备实例。
RDS采用热备架构，物理服务器出现故障后服务秒级完成切换。

云存储OSS多备本、异地备份
数据加密
常见的加密算法：对称加密算法；非对称加密算法；哈希（

HASH、摘要）算

）对称加密算法指加密和解密使用相同密钥加密。


DES AES IDEA RC4
非对称加密算法至加密和解密使用两个不同的密钥：公开密钥
publickey）和私有密钥（privatekey）。

RSA、elgamal、背包算法、ECC（椭圆曲线

）哈希算法将任意长度的二进制值映射为较短的固定长度的二进制


MD2/ MD4/ MD5; CRC
如何选择加密算法和密钥


量小速度慢——非对称加密；


如何选择密钥
Rsa建议采用1024位，ecc
160位，aes建议采用128位。
云数据库加密存储——TDE透明数据加密
I/O加密和解密，数据在写入磁盘前加密，从磁盘读
CPU使用率。
云存储OSS加密存储——客户端加密保护数据

云存储OSS数据完整性验证
OSS可对各种方式
object返回其CRC64值，客户端可以和本地计算的CRC64值做对比。
阿里云加密服务
）云上的数据安全加密方案；
）服务底层使用经国家密码管理局检测认证的硬件密码机；
）密码算法：全面支持国产算法以及部分国际通用密码算法（对称、非对

）金融支付领域的加解密支持
）权限认证：设备与敏感信息管理分离
）高可用性保障
数据传输安全方案
数据传输安全风险认识

HTTPS协议
协议+SSL协议=HTTPS协议
）HTTP的安全版，基于SSL协议的网站加密传输协议。
）SSL安全套阶层协议，采用公开密钥技术，为网络连接提供数据加

）遵循SSL安全套阶层协议的服务器数字证书，具有身份验证功能。
SSL证书后，使用HTTPS加密协议访问，可激活客户端到服
SSL加密通道”（SSL协议），实现高强度双向加密传输，

云盾证书服务，是和有资质的CA中心或代理商共同在阿里云为客户
SSL证书的产品。在云上签发symantec、
、Geotrust证书，实现网站HTTPS化，使网站可信、防劫持、

原理，使用HTTP协议进行域名解析，代替现有基于UDP
DNS协议，域名解析请求直接发送到阿里云的HTTPDNS服务器，
Local DNS，能够避免Local DNS造成的域名劫持问

概念及特点：HTTPDNS是阿里云面向移动开发者推出的一

阿里云的数据传输安全实践
负载均衡SLB HTTPS支持
HTTPS单向和双向认证；支持http回源。
WAF HTTPS支持
提供了 HTTPS支持。
云数据库RDS的传输安全——SSL加密

云上应用安全
Web应用和APP面临的主要安全风险，以及防御方案、原理和

应用安全概述
web应用安全问题：




owasp（open web application security project）开放式web应用程序安全项目

web组成及web安全分类
服务器端通过通信协议http（s）与web客户端通信。
服务端安全问题：sql注入、文件上传、系统命令执行漏洞、权限漏洞。
客户端安全问题：xss漏洞、csrf漏洞、其他浏览器或插件

漏洞
应用安全防护工具：web应用防火墙（WAF），通过执行一系列针对
的安全策略来专门为web应用提供保护的一款产品。
通过阿里云WAF保护应用安全
阿里云WAF基于云安全大数据能力实现运营+数据+攻防体系，综合打造网站
SQL注入、网页防篡改、xss跨站脚本、常见web服务器
owasp常见攻击；过滤海量恶意
攻击；禁止恶意的接口滥刷、数据爬取；避免网站数据泄露。
WAF核心能力：0day漏洞防护、放数据泄密、防cc攻击、业务风控。
WAF竞争优势——资源能力：弹性扩容、天然容灾、攻击阈值大。
——数据模型：海量IP信誉库、网站正常模型
阿里云WAF应用防火墙安全检测流程：流量经过web应用防火墙时，首先依
CC攻击的检测、最后进行web应用攻

云盾WAF包括高级版、企业版、旗舰版三个版本。
注入及防护
什么是SQL注入攻击？通过把SQL命令插入到web表单递交或输入域
SQL命令。
注入攻击的现象：数据泄露——猜测并非授权获得数据库信息；
数据篡改——破坏数据库信息；
数据删除——数据库信息丢失；
修改系统访问授权——私自添加、修改系统或数据库

SQL注入的过程：黑客对网站进行扫描，发现页面存在注入风险，通过手工构
SQL注入语句，渗透入侵数据库，获取网站相关核心数据。
SQL注入产生的原因：注入攻击的原因是web应用程序中存在漏洞，开发人员

SQL注入防护手段：SQL语句预编译和绑定变量；
严格进行输入校验，检查参数的数据类型；
使用安全函数；
应用的异常信息应该给出尽可能少的提示；
不要使用管理员权限的数据库连接；
不要把机密信息直接存放；
采用一些工具或网络平台检测是否存在SQL注入。
通过阿里云WAF防护SQL注入——web应用攻击防护，防护SQL注入、XSS
web应用攻击、实时生效。


网站防篡改
网站篡改——攻击者利用网站漏洞恶意修改web页面内容的攻击事件。
网站篡改的动机：纯粹炫耀黑客技术；增加自己网站点击率；加入木马的病毒程

网站篡改的特点及危害：


网站篡改的原因

CSRF、身份认证失效、安

网站篡改的过程：黑客对网站进行渗透注入，获取管理员权限留下的木马后门，

网页防篡改基本原理：对web服务器上的页面文件进行监控，发现更改行为时

阿里云WAF防网页篡改：WAF在高级版及以上版本上支持页面防篡改功能，可

WAF也会返回预先缓存号的页面内

配置规则 手动打开防护开关 手动更新缓存
攻击防护
CC攻击
攻击是DDos攻击的一种，主要用来攻击页面，分为：单主机虚拟多IP地

CC攻击来的IP都是真实的、分散的；CC攻击的数据包

都是正常的数据
CC攻击的请求，全都是有效的请求，无法拒绝的请求； CC攻击的网页，
ping也没问题，但是网页就是访问不了。
CC攻击的原理及危害
网站被竞争对手攻击或者是黑客敲诈勒索，发起大量的恶意CC请求，
CPU、内

防御CC攻击的方法：禁止网站代理访问；尽量将网站做成静态页面；限制连
web端口；工具：web应用

通过阿里云WAF防止CC攻击
在企业版及以上版本支持防止CC攻击。
CC攻击。

自定义防护规则：支持在控制台自定义对于特定路径（URL）的访问频率限

阿里云WAF的业务风控安全实践
关键业务欺诈场景：垃圾注册；垃圾内容；暴力破解；盗卡支付；暴力破解；




通过阿里云WAF进行数据风控
WAF基于阿里云的大数据能力，通过业内领先的风险决策引擎，

WAF高级版及以上提供。
WAF，即可轻

通过阿里云WAF进行数据风控原理
云上安全管理

Part 1 云上安全管理概述
云上安全管理的六大措施：数据备份和恢复；强化网络访问控制；定期安全测

阿里云安全管理三字经
云上安全远程管理的最佳实践：VPN+堡垒机

） VPN+堡垒机成为唯一的运维通道，ECS运维端口不必对外。
） 堡垒机实现运维实名制，所有操作可定位到人；
） 远程运维过程全审计，可实现实时监控、事后回放；
） 满足等级保护等法律法规要求。
阿里云的堡垒机服务
SSH，Windows远程桌面、SFTP





案例云上的监控服务
阿里云上的两种监控服务
） 云监控：是一项针对阿里云资源和互联网应用进行监控的服务。云监控

） 态势感知：是一个大数据安全分析平台，能对云上所有资源进行安全告

云监控的使用场景
云监控的价值


态势感知的使用场景
态势感知的价值
+事中+事后
） 事前预防：弱点分析，资产态势监控，资产依赖关系梳理，定时漏洞扫

） 事中阻断：入侵检测，攻击识别，异常检测，实时发现web层，主机

） 事后回溯：回溯：对安全事件进行回溯和调查，并提供全量原始日志的