云安全解决方案(三个阶段) - v2.0 20160826

云安全解决方案

for 渠道

阿里云计算有限公司

2016年08月

目录

第1章安全威胁分析 (3)

第2章安全解决方案描述 (4)

2.1Web应用防火墙 (4)

2.2 DDOS高防服务 (5)

2.3主机入侵防御 (6)

2.4威胁态势感知服务 (7)

服务内容 (8)

2.5方案总结 (9)

第1章安全威胁分析

近几年关于网站被篡改、网络钓鱼、SQL注入和跨站脚本等带来严重后果的攻击事件频频发生，严重影响了人们对企业业务公信力的认可，更严重的情况是对用户造成隐私数据泄露和资金损失。

根据Gartner的数据分析，80%基于Web的应用都存在安全问题，其中很大一部分是相当严重的问题。随着web应用中间件和应用平台的新漏洞被发现，针对性的病毒、木马、蠕虫及自动化的攻击工具往往会很快出现，进而出现一波又一波Web攻击浪潮，导致服务器被控制、Web服务中断、客户信息被窃取、业务欺诈的事件的发生。同时，由于XSS、CSRF、Cookie窃取等攻击导致合法用户的客户端被控制、信息被窃取、被欺诈、被敲诈等事件发生，造成巨大的政治风险、名誉损失、公信力下降等不良社会影响。

阿里云经过近10年的安全对抗实战，总结了一套基于云环境下，从防御–感知–渗透的安全红蓝对抗体系。

XXX当前业务架构主要为B/S架构，由于Web应用的开放性、用户的大众性，使其成为最佳的攻击和威胁目标，网站面临的安全威胁较大。

根据云上用户对安全防护的特殊性，推荐按照如下阶段进行安全防御体系的建设，根据和XXX客户的沟通，此次建议推荐下图第I阶段的基础防御体系和第二阶段安全感知体系，。

第2章安全解决方案描述

2.1Web应用防火墙

服务场景

针对WEB业务系统可以选用第Web应用防火墙（Web Application Firewall,以下简称“WAF”），加强网站应用层的防护能力。

服务内容

云应用防火墙包括以下功能：

云WAF的工作方式是将WEB流量映射到云WAF上，由云WAF将流量清洗后再代理转发到应用服务器，完成整个WEB应用防护。模拟部署图如下：

云租户可自行登陆到云WAF提供的WEB界面进行管理，可查看应用系统的防护日志和多维度安全报表。

客户收益

防止网络Web入侵，保证网站业务的连续性。

2.2 DDOS高防服务

服务场景

云盾DDoS高防IP是针对互联网服务器（包括非阿里云主机）在遭受大流量的DDoS攻击后导致服务不可用的情况下，推出的付费增值服务，用户可以通过

配置高防IP，将攻击流量引流到高防IP，确保源站的稳定可靠。

服务内容

DDOS高防服务可以提供包括但不限于以下攻击类型 ICMP Flood、UDP Flood、TCP Flood、SYN Flood、ACK Flood、CC攻击等攻击防御

DDoS防护服务可随时更换防护的IP，自由配置高级别防护IP

DDoS防护阈值弹性调整，随时升级更高级别的防护，整个过程服务无中断提供实时精准的流量报表及攻击详情，及时准确获得当前服务详情

服务标准如下：

1、清洗防护效果的可用性：95%

2、故障排查速度：工单响应

3、技术支持：7*24小时

4、报表提供：详细报表

5、防御策略托管：自主可配

6、日志留存：一年

7、攻击取证：系统提醒

客户收益

享受高服务水平的防御能力，保障租户网站的高可用性；

无需部署应用防火墙，零运维成本，实现应用层攻击防护。

2.3主机入侵防御

服务场景

主机入侵防护系统针对网络安全最大威胁之一的密码暴力破解、黑客恶意上传的木马文件、恶意脚本提供有效检测防护。

服务内容

主机入侵防护系统提供以下功能：

●密码暴力破解防护：支持Windows和Linux，针对SSH、RDP、Telnet、

Ftp、MySQL、MS SQL Server等等常见程序进行监控；

●网站后门检测：检测PHP、ASP、JSP、.NET、JAVA等代码写的webshell，

对检测出来的后门进行访问控制和隔离操作，防止后门的再次利用；

●异地登录检测：在服务器异常登录事件中，有超过半数事件是入侵或者

攻击行为。根据登录情况，识别常用的登录区域，精确到地市级。一旦

出现其他地域尝试登录，通过手机短信预警，减少不必要的损失。

●漏洞修复:

✓通用Web软件漏洞：实时监控和收集全网通用Web软件漏洞，共享云盾漏洞应急能力，自研漏洞补丁，快于官方，在漏洞爆发和官

方未发布补丁的窗口期，帮助客户一键修复漏洞，拦截黑客攻击✓Windows系统漏洞：订阅微软官方补丁消息，在官方补丁发布的同时，专家同步分析漏洞的危害和更新补丁的必要性，对于高危漏洞

第一时间更新扫描规则，对受影响的客户进行通知和引导一键修复✓灰度更新和一键回滚：支持批量或单台服务器进行灰度更新，确保业务稳定后可全部更新。同时支持一键回滚和卸载所有补丁，对业

务稳定性影响降到最低，安全地打补丁

客户收益

安全防护的最后一道防线，降低主机被入侵的概率，保障业务连续性。2.4威胁态势感知服务

服务场景

为业务系统提供实时的多维度的威胁态势感知，有效捕捉高级攻击者使用的0day漏洞攻击、新型病毒攻击事件、和正在发生的安全攻击行为有效的展示，

帮助云上租户实现云上业务安全可视和可感知。

服务内容

威胁态势感知是阿里云安全利用大数据，通过威胁态势感知系统从攻击者的角度，有效捕捉高级攻击者使用的0day漏洞攻击、新型病毒攻击事件、和正在发生的安全攻击行为有效的展示，帮助云上租户实现云上业务安全可视和可感知。

威胁态势功能具有以下功能：

●入侵检测

基于行为特征的webshell检测，恶意病毒的沙箱检测，精确查杀，在大规模云计算环境中，对入侵行为进行分析，从流量行为，主机行为中获取恶意特征对那些能够引发网络安全态势发生变化的要素进行全面、快速和准确地捕获和分析。

●弱点分析

全方位的发现云上租户业务应用的web漏洞，主机漏洞，配置漏洞，弱口令扫描SQL注入，XSS等各种web漏洞和第三方开源程序漏洞，并对主机ECS 漏洞、配置项漏洞做到实时监控和发现，同时可以实现对漏洞进行实时回扫，提升漏洞修复周期和漏洞解决时间。

●威胁分析

阿里安全专家对数据建模，进行实时安全分析，所有的威胁分析，均由阿里安全专家进行离线分析，数据模型来自大数据分析后结果。

服务收益

为网站提供全方位、全天候的可视、可感知的安全监测和预警服务，客户可以实时了解业务系统的安全现状，防患于未然。