阿里云云安全助理工程师ACA复习资料

第一章云平台使用安全

主要介绍当前信息安全的现状和形势，如何利用云平台的优势降低风险，以及如何做好云上资产的安全管理等。

Part 1 典型IT系统架构介绍

基础架构演进的趋势：大型机、PC机和小型机、互联网数据中心、云计算。

2.云计算的三种服务：

SAAS（软件即服务）（行业应用如CRM、OA、ERP等）

PAAS（平台即服务）（云扩展服务，中间件、安全、大数据等）

IAAS（基础设施即服务）（虚拟服务器、存储、网络等）

3.企业上云常见架构：

ALL in one：ECS（云服务器）

应用与数据分离：ECS——RDS（数据库）

应用集群部署：SLB（负载均衡）——ECS应用部署集群——RDS

动静资源分离：SLB——ECS应用部署集群——OSS（文件存储，图片音视频等非结构化） RDS

Part 2信息安全现状及形式

对于云上攻击，一下三点会以安全检测报告形式列出来：

Ddos攻击：大量请求造成拥塞

口令暴力破解：SSH、RDP协议为主，针对端口攻击。

Web应用攻击：SQL注入攻击为主，针对数据库。

（注：SSH secure shell安全外壳协议，建立在应用层基础上的安全协议；

RDP remote desktop protocol 远程桌面协议

SQL 结构化查询语言，数据库查询和程序设计语言。）

2014年1月21日，互联网DNS大劫难，DNS被劫持；

2014年4月，Heartbleed漏洞，涉及网银、门户网站，，可被用于窃取服务器敏感信息，实时抓取用户信息。

Part 3 IT系统风险构成

1.按照等保划分维度：

物理和环境安全：机房环境等；

网络和通信安全：网络架构、边界保护、访问控制、入侵防范、通信加密等；

设备和计算安全：入侵防范、恶意代码防范、访问控制、身份鉴别、集中管控和安

全审计等；

应用和数据安全：安全审计、数据完整性和保密性；

2.云上安全的服务方式：责任分担，共建安全

用户负责“云中内容”的安全性：客户数据；平台、应用程序、身份和访问管理；操作系统、网络和防火墙配置安全。

云平台负责云的安全性：计算、存储、数据库、网络、全球基础设施、边缘节点。

Part 4 云上安全防护的关键点

1.各类架构注意事项

ALL in one部署：注意1.登陆安全；

2.账号授权管理；

3.服务器安全漏洞；

4.应用访问攻击；

5.数据备份和加密；

6.网络攻击风险；

应用与数据分离：新增注意1.数据通信安全；

2.网络通信安全；

3.数据库访问白名单授权；

4.数据库的备份和容灾；

应用集群部署：新增注意1.服务器访问授权；（授权SLB）

2.服务器安全区域隔离；(防止ECS之间被攻击)

3.负载均衡加密访问；（证书上传SLB,实现RDS访问）

动静资源分离部署：新增注意1.云存储数据备份加密

2.云存储数据容灾

2.云计算面临的安全威胁

可用性：大规模分布式拒绝服务攻击（DDos）、僵尸网络（botnet）

影响：网站业务不可用

完整性：网站入侵、服务器口令暴力破解

影响：网站页面被篡改和植入后门。

保密性：网站后门、数据库非法访问（拖库）

影响：用户的账户信息和敏感数据泄露。

2.产生安全风险的主要原因

云平台：安全体系；技术实力；安全工具；管理平台；是否易用。

ISV:开发规范；测试规范；部署规范；运维规范。

用户：安全意识；安全习惯；加入黑产；管理流程；缺乏经验。

Part 5阿里云解决方案

1.阿里云的服务器安全防护

安骑士是一款主机安全软件，通过安装在云服务器上轻量级的软件和云端安全中心的联动，为您提供漏洞管理，基线检查和入侵告警功能。

主要防护功能：木马查杀；防密码暴力破解；异地登陆提醒；漏洞检测修复。

2.阿里云的网络安全防护

免费：安全组、专有网络vpc、基础DDOS防护

收费：DDOS高防IP。

3.阿里云的数据安全防护

数据备份和容灾——相关服务：云服务器快照；云数据库的备份实例和灾备实例；云存储多副本和异地备份。

数据加密——相关服务：云数据库加密存储；云存储加密存储；加密机；

数据传输安全——相关证书：云盾证书；HTTPDNS。

4.阿里云应用安全防护

1）Web防火墙（web application firewall，简称waf）是一款网站必备安全产品。

2）云盾web应用防火墙：基于云安全大数据能力实现运营+数据+攻防体系、综合打造网站应用安全。

3）通过防御sql注入、xss跨站脚本、常见web服务器插件漏洞、木马上传、非授权核心资源访问等owasp常见攻击；过滤海量恶意cc攻击；禁止恶意的接口滥刷，数据爬取；

4）避免您的网站资产数据泄露，保障网站的安全与可用性。

5.阿里云的监控管理

云监控：是一项针对阿里云资源和互联网应用进行监控的服务，云监控服务可用于收集获取阿里云资源的监控指标，探测互联网服务的可用性，以及针对指标设置警报。

态势感知：是一个大数据安全分析平台，能对您云上所有资源产进行安全告警，并用机器学习来发现潜在的入侵和高隐蔽性攻击，回溯攻击历史，预测即将发生的安全事件。

Part 6 网络安全法

2017年6月1日网络安全法正式实施。

宏观层面：网络安全同国土安全、经济安全等一样成为国家安全的一个重要组成部分。

微观层面：网络运营者（网络所有者、管理者和网络服务者）必须担负起网络安全的责任。

Part 7 云平台使用的账号安全

1.云上账号安全的指导原则

账号安全：

1）登录验证：配置强密码策略；定期轮转用户登录密码。

2）账号授权：遵循最小授权原则；及时撤销不再需要的权限。

3）权限分配：不要为根帐号创建访问密钥；将用户管理、权限管理与资源管理分离。

2.阿里云账号安全策略

阿里云对租户账号提供账号登录双因素验证机制（MFA）、密码安全策略、审计功能，以确保云服务账号的安全性。

3.阿里云的账号权限管理

访问控制（RAM）是阿里云为客户提供的用户身份管理与访问控制服务。使用RAM，可以创建、管理用户账号，并可以控制这些用户账号对名下资源具有的操作权限。包括：密钥、范围权限、资源访问方式。

RAM应用场景：

企业子账号管理与分权；不同企业之间的资源操作与授权管理；针对不可信客户端app的临时授权管理。