本文讨论 Azure 与阿里云安全服务之间的主要区别和相似之处。具体涵盖如下产品:
Feature | Azure | 阿里云 |
---|---|---|
Web Application Firewall (WAF) | Application Gateway (Web Application Firewall) | 阿里云 WAF |
DDoS防护 | Azure DDos Protection(Azure Marketplace) | DDoS防护 |
证书服务 | Application service certificate available on the Por | 阿里云SSL证书服务 |
移动安全 | N/A | 移动安全 |
服务器安全 | N/A | 安骑士 (服务器安全) |
1. WAF
阿里云 WAF 是可以保护 Web 应用使其免遭漏洞攻击的 Web 应用防火墙,此类漏洞攻击包括 SQL 注入、XSS 和恶意僵尸主机攻击等。阿里云 WAF 具有许多与 Azure WAF 类似的功能和技术,但它在防御功能方面拥有独特的优势。
1.1 服务模式比较
Azure Web 应用程序防火墙 (WAF) 是集成在应用程序网关提供服务的,阿里云 WAF 通过配置域名解析服务来部署。
1.2 访问控制
Auzre WAF 用户可以在创建应用程序网关后,在访问控制(标识和访问管理)添加对应的规则。同样阿里云 WAF 允许在配置域名后进行 ACL 规则配置,并且支持组合不同 HTTP 字段(如 IP、URL、Referer 和用户代理)来实现精准的访问控制。访问控制策略可应用于诸如防盗链和网站管理后台保护等场景。
1.3 Web 攻击防御
Azure WAF 提供了常见的 Web 攻击保护,如: SQL 攻击,跨站脚本攻击,HTTP响应拆分和远程文件包攻击等。阿里云 WAF 可针对 OWASP 等 10 种最常见的威胁提供保护,可根据不同网站业务针对 GET、POST 和其他常见 HTTP 请求提供高/中/低策略,包括避免向攻击者公开网站地址网站的隐藏功能,以及实施针对零时差漏洞的常规补丁更新和全局补丁更新。
1.4 业务风险控制
数据风险控制是基于阿里云的 WAF 的大数据功能,使用行业领先的风险引擎和人/机识别技术来为特定业务场景实现风险控制。阿里云 WAF 的大数据功能是运用我们向客户提供一流安全性的经验开发出来的。这些经验包括托管 37% 的基于中国的网站、维护在中国最常被访问的 IP 数据库、每天化解 8 亿次攻击。
通常,数据风险控制可以针对欺骗行为有效保护关键业务,其中包括但不限于垃圾邮件注册、短信验证码泛洪攻击、库命中和密码暴力破解、恶意购买、机器人购票和垃圾邮件。
1.5 控制台配置
Azure WAF 设置可以在应用程序网关控制台里面进行配置。阿里云 WAF 控制台支持域名配置以及组合不同策略来实现访问控制。
应用程序网关将集成到 Azure 安全中心。 Azure 安全中心会扫描环境以检测未受保护的 Web 应用程序。 它现在可以建议应用程序网关 WAF 保护这些易受攻击的资源。 这些 WAF 实例与 Azure 安全中心集成,并将警报和运行状况信息发送回 Azure 安全中心,以便进行报告。
阿里云 WAF 还提供强大而友好的可视化控制台,用于分析和监控攻击,包括业务分析和安全概况。业务分析会查看最近对不同域名的访问。安全概况会提供一个总体分数,该分数是根据最近攻击的严重性、攻击者威胁以及保护规则和策略得出的。最新的 Web 攻击和 CC 攻击以图形方式显示,常见攻击风险则提前发出警告并报告。
1.6 定价
Azure Web 应用程序防火墙在新的 WAF SKU 中提供,定价基于每小时网关实例费和数据处理费。 WAF SKU 的每小时网关定价不同于标准 SKU 费用,具体请参阅应用程序网关定价详细信息。
阿里云 WAF 定价基于包月购买,提供具有不同特性规格的不同套餐。了解有关 阿里云 WAF 定价的更多信息。
1.7 特征比较
Azure和阿里云 WAF 服务的比较可以总结如下:
Feature | Azure WAF | 阿里云 WAF |
---|---|---|
部署模式 | 部署集成在应用程序网关中 | 部署在客户端 CDN 和负载均衡器之间,并配置域名解析服务来建立连接 |
配置 Web ACL 策略 | 支持 | 支持 |
自定义规则 | 支持 | 支持 |
Web 攻击类型 | SQL 注入、跨站脚本 (XSS) ,HTTP协议异常行为,防止自动程序、爬网程序和扫描程序和其他常见攻击 | 常见 OWASP 漏洞,包括 SQL 注入、XSS、网站后门上传、后门隔离、命令注入、非法 HTTP 协议请求、常见 Web 服务器漏洞攻击、未授权访问核心文件、路径遍历和扫描保护 |
HTTP 泛洪防护 | 支持 | 支持 |
风险警告 | 支持 | 支持 |
规则配置 | 支持 | 支持 |
攻击监控 | 支持 | 支持 |
安全报告 | 支持 | 支持 |
业务分析 | 不支持 | 支持 |
2. DDoS 防护服务
为了保护数据和应用使其免受 DDoS 攻击,阿里云和 Azure 都提供了基于云的 DDoS 防护服务,以确保应用可用性和云中资产的性能。在本节中,我们将讨论 Azure DDos 保护和阿里云 DDoS 防护安全服务。
2.1 服务模式比较
与 Azure DDos保护和Azure Marketplace类似,阿里云提供了免费的和企业级的 DDoS 防护服务,它们分别属于两个级别:DDoS 基础防护和 DDoS 专业防护。
级别 | Azure DDos | 阿里云安全 |
---|---|---|
级别 | Azure DDos Basic | 阿里云 DDoS 基础防护 |
高级 | N/A 依赖生态市场 | 阿里云 DDoS 专业防护 |
Azure DDos 基础防护和阿里云 DDoS 基础防护均不会产生附加费用,可针对网络层(第 3 层)和传输层(第 4 层)DDoS 攻击提供保护。对于 Web 应用保护,Azure用户可通过 Azure 应用程序网关 Web 应用程序防火墙来添加应用程序层保护。 阿里云用户可以订阅阿里云 WAF 服务,以尽量减少 HTTP/HTTPS 泛洪和 DDoS 攻击等 Web 攻击。
Azure专业防护主要依赖Azure的生态市场,当前没有类似阿里云高防IP的专业防攻击产品。阿里云 DDoS 专业防护可针对第 3 层/第 4 层/第 7 层 DDoS 攻击提供保护。
Azure DDoS 基础防护会阻止攻击流量并将剩余流转至预期目的地,阿里云 DDoS 基础防护支持重定向技术。主要保护方法是自动清理,并以主动缓解作为补充。该服务代表用户托管整个攻击防护操作。
阿里云 DDoS 专业防护用户需要将非 Web 服务的域名解析为 DDoS 专业防护 IP 地址。然后,DDoS 专业防护会将所有公共网络流量定向至 DDoS 防护服务器机房。基于协议的端口转发会将用户访问流量转发至源站 IP。同时,DDoS 专业防护服务会清除并过滤掉恶意攻击流量,而将正常流量返回至源站 IP。
2.2 黑洞策略
Azure 和阿里云DDOS防护都有黑洞的概念,黑洞是指在到服务器的攻击流量超出指定阈值时限制服务器访问。用户可以配置服务器的黑洞阈值,阻止对服务器的外部网络访问。
Azure DDos黑洞后不予解除,也不通知用户。阿里云黑洞解除时间为25分钟—30天,其中99.9%是40分钟解除。
对于阿里云 DDoS 基础防护,默认阈值设置 适用于 ECS、负载均衡器和 EIP。除默认黑洞阈值外,DDoS 专业防护还可为 DDoS 缓解提供更高容量。
2.3 大型 DDoS 防御
阿里云 DDoS 专业防护可缓解大型 DDoS 攻击。阿里云安全最多可提供 300 Gbps(中国大陆)和 100 Gbps(中国香港特别行政区和新加坡)的 DDoS 缓解,可缓解 SYN 泛洪、ACK 泛洪、ICMP 泛洪、UDP 泛洪、NTP 泛洪、SSDP 泛洪、DNS 泛洪、HTTP 泛洪和 CC 攻击。
2.4 监控&报告
监控和报告是安全服务的重要部分。Azure DDos防护 和阿里云 DDoS 防护均提供网络流量监控,用于自动检查异常的流量包。
在阿里云 DDoS 专业防护中,网络流量会得到实时监控。它还提供过去攻击的详细安全报告。
2.5 产品架构
Azure DDoS 保护标准监控实际流量利用率,并不断将其与 DDoS 策略中定义的阈值进行比较。 当超过流量阈值时,将自动启动 DDoS 缓解。 当流量回到阈值以下时,缓解将移除。
阿里云DDoS基础防护在引流技术上支持BGP与DNS两种方案。防护采用被动清洗方式为主、主动压制为辅的方式。对DDoS攻击进行综合运营托管,可让您在攻击下高枕无忧。
阿里云DDos 专业防护是把域名解析到高防IP上(Web业务只要把域名指向高防IP即可。非Web业务,把业务IP换成高防IP即可)同时在高防上设置转发规则;所有公网流量都会走高防机房,通过端口协议转发的方式将用户的访问通过高防IP转发到源站IP,同时将恶意攻击流量在高防IP上进行清洗过滤后将正常流量返回给源站IP,从而确保源站IP稳定访问的防护服务。
2.6 定价
与 Azure DDos保护类似,DDoS 基础防护针对 DDoS 攻击提供保护时不会产生任何附加费用。
阿里云DDoS 专业防护是付费服务,基于保护容量和运营商网络收取使用费。它提供两种付费方式:预付费、后付费。了解有关 DDoS 防护 计算方法的更多信息。
2.7 特征比较
Azure DDos 保护 与阿里云 DDoS 防护的特性和术语对应关系如下:
特性 | Azure DDos 保护 | 阿里云 DDoS 防护 |
---|---|---|
DDoS 攻击类型 | UDP 反射攻击、SYN 泛洪、DNS 查询泛洪、HTTP 泛洪/缓存中断(第 7 层)攻击 | UDP 反射攻击、SYN 泛洪、DNS 查询泛洪、HTTP 泛洪/缓存中断(第 7 层)攻击 |
应用层保护 | 支持 | 支持 |
大型 DDoS 缓解功能 | N/A (依赖生态市场) | 支持(DDoS 专业防护) |
防护容量 | 容量未披露 | DDoS 基础防护可为不同区域提供 500 Mbps ~ 5 Gbps 容量,DDoS 专业防护最多可提供 1000 Gbps 容量的防护 |
技术架构 | 路由技术 (DDos保护) | Defense room (DDoS 专业防护) |
服务集成 | Vm,ELB, Azure DNS Traffic Manager等 | 支持云内外的服务 |
3. 证书服务
与 Azure Application service certificate类似,阿里云 SSL 证书服务允许用户在阿里云购买、配置和管理 SSL/TSL 证书。
3.1 服务模式
阿里云 SSL 证书服务提供证书购买、部署和吊销。发放证书后,用户可以通过一次单击将数字证书部署到其他阿里云服务。
Azure Application service certificate证书在 Azure 中用于云服务(服务证书)以及用于通过管理 API 进行身份验证(管理证书)。
3.2 服务集成
Azure App Service 证书可用于任何 Azure 或非 Azure 服务,且不限于应用服务。
如果您已购买阿里云的 CDN、DDoS 专业防护 IP、WAF 或负载均衡等,则需提前启用对这些云产品的 HTTPS 安全访问。然后,使用阿里云 SSL 证书服务通过一键式部署将购买的数字证书部署到这些产品中。
3.3 续费
Azure App Service 证书可以设置自动续订和手动续订证书,无论是手动续订还是自动续订,续订的证书都不会自动绑定到应用。
您需要在阿里云证书服务中手动续订证书。在完成续费和审核后,将发放新证书。您可以在服务器上安装这一新证书,以替代即将过期的证书。
3.4 定价
Auzre 应用服务证书S1标准版为USD/69.99(估计),W1 通配符证书 USD/299.99(估计)。
阿里云证书服务不仅提供免费、可信的证书,而且允许从阿里云平台直接购买高度安全的证书。
3.5 特征比较
Azure 应用服务证书与阿里云 SSL 证书服务的特性和术语对应关系如下:
特性 | Azure Application service certificate | 阿里云 SSL 证书 |
---|---|---|
使用现有证书 | 支持 | 支持 |
导入第三方证书 | 支持 | 支持 |
免费证书 | 支持 | 支持 |
付费证书 | 支持 | 支持 |
续费 | 支持 | 支持 |
集成的服务 | 证书可用于任何 Azure 或非 Azure 服务,且不限于应用服务 | 内容分发网络、DDoS 专业防护、WAF 和负载均衡 |
自动部署 | 支持 | 支持 |
管理 | 管理控制台、API、CLI,Azure PowerShell | 控制台 |
4. 移动安全
Azure 不提供专用于移动应用的安全服务。阿里云的移动安全为移动应用交付的整个生命周期提供安全服务,包括风险检测、安全防护和威胁情报。
4.1 风险检测
通过上传 APK 资源包来扫描恶意代码和漏洞,实现风险检测。扫描结果包括漏洞的详细信息,如漏洞数量、名称、类型和修复建议。
4.2 安全防护
安全防护旨在加固应用和连接安全组件。加固应用以提供 SO 加壳,对 DEX 文件加壳以针对不同类型的分析工具提供防护。此特性可添加安全组件并将正在使用的组件应用于新上传的应用,以防范攻击、客户端信息泄露和伪造的请求。
4.3 威胁情报
威胁情报可基于大数据检测网络范围的应用的伪造和风险,并关注论坛的网络磁盘,以实现多维伪造检测。
4.4 定价
阿里云移动安全服务提供两个版本:基本版(免费试用)和专业版(付费版本)。对于专业版,移动安全服务费用基于两种服务类型:漏洞扫描和应用加固。
5. 安骑士
目前,Azure 尚未发布涵盖主机安全的安全产品。阿里云的安骑士是在服务器上安装的轻型代理。安骑士与云威胁情报关联,以实现漏洞管理、基线检测、异常检测和资产管理,从而形成深度防御系统。
5.1 漏洞管理
检测系统软件 CVE 漏洞、Windows 漏洞、Web-CMS 漏洞和其他高风险漏洞。
5.2 基线检测
5.3 入侵检测
通过分析用户行为,入侵检测可检测异地登录和交易信息、密码暴力破解以及网站后门。
5.4 定价
安骑士的基本版本现在可以免费使用。购买 ECS 实例后,您只需在登录服务器安全管理控制台之前同意我们的许可协议即可。安骑士的高级版本是付费服务,可为企业提供附加功能,将于 2018 年年中推出。