概述
不同的应用场景需要选择合适的安全产品来保证系统的安全性。我们将根据主机安全、网络安全、Web应用安全来进行分析。主机安全
场景描述
所有的黑客攻击最终都会落在主机上,我们的数据、程序都是运行在主机上,只有主机才能最近感知到黑客的动作,安全讲究纵深防御,主机侧安全是必不可少的。 云服务器跟传统PC不同,PC会主动去访问互联网,一不小心上了挂马网站和运行了恶意软件,所以需要的是防病毒产品。而云服务器ECS不同,它主要是用于“被”互联网来访问,相当于一个黑盒子,那么黑客要入侵,必须要找到“漏洞”才行,所以在服务器主机层面做好漏洞检测和修复工作就显得由为重要。云主机的安全防护可参考 如何提高ECS实例的安全性。安骑士的主要应用场景:
1.安全预防:- 基线检查:安骑士基线检查功能自动检测您服务器上的系统、数据库、账号配置存在的风险点,并且能够针对检测结果提供修复建议,具体操作可参考:基线检查
- 漏洞管理
- 异常登陆:安骑士异常登录功能检测您服务器上的登录行为,对于在非常用登录地的登录行为进行告警;企业版中可以设置合法登录IP、合法登录时间、合法登录账号,在上述合法登录IP、合法登录事件、合法登录账号之外的登录行为均提供告警。具体操作可参考:异常登陆
- 安骑士病毒云查杀:云盾安骑士病毒查杀(以下简称“云查杀”)集成了国内外多个主流的病毒查杀引擎,并利用阿里云海量威胁情报数据和自主研发的基于机器学习、深度学习异常检测模型,提供全面和实时的病毒检测和防护服务。具体操作可参考:安骑士病毒云查杀
- 暴力破解:防暴力破解能力,可以有效对暴力破解行为进行阻断,并将暴力破解行为进行记录。云盾服务器安全(安骑士)管理控制台中的暴力破解拦截页面展示您的服务器上近三天内的暴力破解拦截记录。具体操作可参考:暴力破解
- 网站后门:安骑士通过检测您服务器上的 Web 目录中的文件,判断是否为 Webshell 网站后门文件。如果发现您的服务器存在网站后门文件,安骑士将会触发告警信息。具体操作可参考:网站后门
- 端口清点:定期收集服务器的对外端口监听信息,并对变动信息进行记录,便于端口清点和历史端口变动查看。具体操作可参考:端口清点
- 进程管理:定期收集服务器的进程信息,并对变动情况进行记录,便于进程清点和历史进程变动查看。具体操作可参考:进程管理
- 软件版本管理:定期收集服务器的软件版本信息,并对变动情况进行记录,便于清点软件资产。具体操作可参考:软件版本管理
- 账号管理:定期收集服务器的账号信息,并对变动情况进行记录,便于账号清点和历史账号变动查看。具体操作可参考:账号管理
网络安全
场景描述
对于企业来说,DDoS防御工程往往要投入大量的网络设备、购买大的网络带宽,而且还需要把网站做相应的修改,还要配备相关人员去维护,这个工程过完成后,能不能够抵挡住外部攻击可能还是未知数。 而且针对企业不同的业务场景,选择的高防策略也会有所不同。产品选型
DDoS高防分为五个类别:1.基础防护服务:
阿里云免费为用户提供最高 5G 的默认 DDoS 防护能力。 在此基础上,阿里云推出了安全信誉防护联盟计划,将基于安全信誉分进一步提升 DDoS 防护能力,用户最高可获得 100G 以上的免费 DDoS 防护资源。2.DDoS防护包:
DDoS防护包是一款针对云上ECS、SLB、Web应用防火墙、EIP等云产品直接提升防御能力的安全产品。 相比于DDoS高防IP来说,DDoS防护包主要的好处是可以直接把防御能力加载到云产品上,不需要更换IP,也没有四层端口、七层域名数等限制。同时,DDoS防护包的购买和部署过程也非常的简单,只需要绑定需要防护的云产品的IP地址即可使用,只需几分钟即可生效。3.DDoS高防ip:
云盾DDoS高防IP产品是针对解决互联网服务器(包括非阿里云主机)在遭受大流量的DDoS攻击后导致服务不可用的情况,推出的付费增值服务。您可以通过配置DDoS高防IP,将攻击流量引流到高防IP,确保源站的稳定可靠。4.高防IP(国际):
针对用户业务服务器部署在中国大陆以外地域的场景,通过全球级分布式近源清洗的方式清洗攻击流量,并将过滤后的正常流量返回至源站服务器,从而保障用户的业务稳定运行。5.新BGP高防:
新BGP高防IP服务采用国内独有的T级八线BGP带宽资源,可解决超大流量DDoS攻击。相比静态IDC高防IP服务,新BGP高防IP天然具有灾备能力、线路更稳定、访问速度更快。 关于DDoS攻击防护可参考 DDoS攻击缓解最佳实践 和 DDoS防护解决方案。场景选型
1.基础防护服务:
使用场景为为阿里云内ECS、SLB、EIP、NAT、WAF等云产品的免费防护,不超过5G的DDoS攻击防护场景。推荐选用阿里云基础防护服务;2.DDoS防护包:
针对三层四层流量型攻击的防护。当流量超出DDoS防护包的默认清洗阈值后,自动触发流量清洗,实现DDoS攻击防护,同时以下场景及攻击类型的时候,推荐使用DDOS防护包 适合防御的攻击类型| 攻击类型 | 是否合适 | 最佳防御配置 |
|---|---|---|
| SSDP、NTP、Memcached等反射型攻击 | 是 | 推荐使用DDoS防护包>SLB>ECS的部署方式,通过负载均衡(SLB) 丢弃未监听协议和端口的流量,获得更好的防护效果。 |
| UDP Flood攻击 | 是 | 推荐使用DDoS防护包>SLB>ECS的部署方式,通过负载均衡(SLB) 丢弃未监听协议和端口的流量,获得更好的防护效果。 |
| SYN Flood攻击(大包攻击) | 是 | |
| SYN Flood攻击(小包攻击) | 效果一般 | 推荐使用高防IP服务 进行防护。 |
| 连接数攻击 | 否 | 推荐使用高防IP服务 或游戏盾服务 进行防护。 |
| CC攻击 | 否 | 推荐使用DDoS防护包+WAF的部署方式,由Web应用防火墙(WAF) 防御CC攻击、DDoS防护包防御流量攻击,获得更好的防护效果。 |
| Web攻击 | 否 | 推荐使用DDoS防护包+WAF的部署方式,由Web应用防火墙(WAF) 防御诸如SQL注入等Web应用攻击、DDoS防护包防御流量攻击,获得更好的防护效果。 |
| 业务类型 | 是否适合 | 最佳防御配置 |
|---|---|---|
| 网站类业务 | 是 | 推荐使用DDoS防护包>SLB>ECS的部署方式,通过负载均衡(SLB) 丢弃未监听协议和端口的流量,获得更好的防护效果。 注意:如果网站需要防护CC攻击和Web攻击,推荐使用DDoS防护包+WAF的部署方式,由Web应用防火墙(WAF) 防御CC攻击和Web攻击、DDoS防护包防御流量攻击。 |
| 游戏类业务 | 否 | 推荐使用游戏盾服务 进行防护。 |
| UDP服务类业务 | 否 | 推荐使用高防IP服务 或游戏盾服务 进行防护。 |
| App应用类业务 | 是 | 推荐使用DDoS防护包>SLB>ECS的部署方式,通过负载均衡(SLB) 丢弃未监听协议和端口的流量,获得更好的防护效果。 |
3.高防IP:
对用户业务体验实时性要求较高的业务,实时对战游戏、页游、在线金融、电商、政府、在线教育、O2O等,推荐接入高防IP进行防护。4.高防ip(国际)
应用场景: 对于服务器部署在非中国大陆地区的业务,主要可分为以下三个场景: 场景一: 业务服务器部署在非中国大陆地区,且主要服务于非中国大陆地区的用户 推荐方案: 购买DDoS高防(国际)服务,根据DDoS高防(国际)快速入门将业务接入高防进行防护。 场景二: 业务服务器部署在非中国大陆地区,主要服务于中国大陆地区的用户 推荐方案:- 方案一: 如果业务对网络延迟要求比较高(例如游戏业务服务器),建议用户将服务器迁移至主要用户所在的中国大陆地区,并且购买DDoS高防IP服务或新BGP高防IP服务来缓解DDoS攻击。
- 方案二: 如果用户的业务服务器暂时无法迁移到中国大陆地区,联系销售或通过工单申请购买开通DDoS高防(国际)加速线路。开通后,阿里云技术支持人员将协助用户完成DDoS高防智能切换方案配置,实现在无DDoS攻击时通过加速线路保障中国大陆地区用户访问顺畅的需求。关于DDoS高防(国际)加速线路配置,参考配置DDoS高防(国际)加速线路。
- 方案一: 建议分区域部署业务服务器,用部署在中国大陆地区的服务器服务中国大陆地区用户,部署在非中国大陆地区的服务器服务非中国大陆地区用户。同时,通过购买DDoS高防IP服务或新BGP高防IP服务和DDoS高防(国际)服务分别保护中国大陆地区和非中国大陆地区的业务,缓解DDoS攻击。
- 方案二: 如果暂时无法在中国大陆地区部署业务服务器,联系销售或通过工单申请购买开通DDoS高防(国际)加速线路。开通后,阿里云技术支持人员将协助用户完成DDoS高防智能切换方案配置,实现在无DDoS攻击时通过加速线路保障中国大陆地区用户访问顺畅的需求。关于DDoS高防(国际)加速线路配置,参考配置DDoS高防(国际)加速线路。
5.新bgp高防:
新BGP高防IP服务,主要适用于以下DDos防护需求:- 对线路质量有较高要求,包括访问时延、灾备能力、覆盖运营商线路范围等要求。
- 需要20G以上保底防护带宽的BGP线路高防IP服务
- 具有大流量攻击防护需求(300G以上)
| 静态IDC高防IP服务 (电信、联通、移动线路) | 静态IDC高防IP服务 (BGP线路) | 新BGP高防IP服务 | |
|---|---|---|---|
| 运营商覆盖 | 仅覆盖电信、联通和移动线路。 | 除了覆盖电信、联通和移动线路外,还能覆盖众多中小运营商。 | 除了覆盖电信、联通和移动线路外,还能覆盖众多中小运营商。 |
| 线路质量 | 国内平均访问时延在30ms左右,且对于小运营商可能存在跨网访问。 | 国内平均访问时延在20ms左右,且不存在运营商跨网访问。 | 国内平均访问时延在20ms左右,且不存在运营商跨网访问。 |
| 专线回源 | 不支持。通过互联网回源,存在回源时延。 | 对于阿里云上的业务,提供专线回源,回源延时可忽略;对于非阿里云内业务,仍通过互联网回源。 | 对于阿里云上的业务,提供专线回源,回源延时可忽略;对于非阿里云内业务,仍通过互联网回源。 |
| 灾备能力 | 机房故障时,四层流量无法进行自动调度;七层流量自动调度受限于DNS解析生效时间,无法立即生效。 | 通过BGP路由实现全部流量自动调度,故障响应切换时间可达秒级左右。 | 通过BGP路由实现全部流量自动调度,故障响应切换时间可达秒级左右。 |
| IP数量 | 包含2个以上IP,配置工作量相对繁琐。 | 仅1个IP,配置工作量较少。 | 仅1个IP,配置工作量较少。 |
| 最高防护能力 | 提供最高1T的防护能力(仅支持电信和联通线路)。 | 提供最高100G的防护能力。 | 提供最高1.5T的防护能力。 |
| 四层防护能力 | 支持防御SYN Flood、ACK Flood、ICMP Flood、畸形包等流量攻击;防御空链接、真实肉鸡连接等攻击。 | 与静态IDC高防IP服务的防护能力一致。 | 与静态IDC高防IP服务的防护能力一致。 |
| 七层防护能力 | 支持防御CC攻击。 | 支持防御CC攻击。 | 支持防御CC攻击。 |
Web应用安全
场景描述
不管在什么行业,只要是基于Web应用对第三方用户提供服务时都会面临各种各样的安全隐患,如:- 数据泄密,因黑客的注入入侵攻击,导致网站核心数据被拖库泄露。
- 恶意CC攻击
- 木马上传网页篡改
产品说明
云盾Web应用防火墙(Web Application Firewall, 简称 WAF)基于云安全大数据能力,用于防御SQL注入、XSS跨站脚本、常见Web服务器插件漏洞、木马上传、非授权核心资源访问等OWASP常见攻击,并过滤海量恶意CC攻击,避免您的网站资产数据泄露,保障网站的安全与可用性。关于WAF的使用可参考 Web防护功能最佳实践。场景选型
常见Web应用攻击防护
- 防御OWASP常见威胁,包括:SQL注入、XSS跨站、Webshell上传、后门隔离保护、命令注入、非法HTTP协议请求、常见Web服务器漏洞攻击、核心文件非授权访问、路径穿越、扫描防护等。
- 网站隐身:不对攻击者暴露站点地址、避免其绕过Web应用防火墙直接攻击。
- 0day补丁定期及时更新:防护规则与淘宝同步,及时更新最新漏洞补丁,第一时间全球同步下发最新补丁,对网站进行安全防护。
- 友好的观察模式:针对网站新上线的业务开启观察模式,对于匹配中防护规则的疑似攻击只告警不阻断,方便统计业务误报状况。
CC恶意攻击防护
- 对单一源IP的访问频率进行控制,基于重定向跳转验证,人机识别等。
- 针对海量慢速请求攻击,根据统计响应码及URL请求分布、异常Referer及User-Agent特征识别,结合网站精准防护规则进行综合防护。
- 充分利用阿里云大数据安全优势,建立威胁情报与可信访问分析模型,快速识别恶意流量。
精准访问控制
- 提供友好的配置控制台界面,支持IP、URL、Referer、User-Agent等HTTP常见字段的条件组合,配置强大的精准访问控制策略;支持盗链防护、网站后台保护等防护场景。
- 与Web常见攻击防护、CC防护等安全模块结和,搭建多层综合保护机制;依据需求,轻松识别可信与恶意流量。
虚拟补丁
- 在Web应用漏洞补丁发布和修复之前,通过调整Web防护策略实现快速防护。可参考 云盾WAF实现虚拟补丁——记一起Web漏洞应急响应
攻击事件管理
- 支持对攻击事件、攻击流量、攻击规模的集中管理统计。
若有收获,就点个赞吧
0 人点赞
