搜索
阿里云云安全助理工程师复习资料第一章云平台使用安全主要介绍当前信息安全的现状和形势,如何利用云平台的优势降低风险,以及如何做好云上资产的安全管理等。Part1典型IT系统架构介绍1.IT基础架构演进的趋势:大型机、PC机和小型机、互联网数据中心、云计算。2.云计算的三种服务:SAAS(软件即服务)(行业应用如CRM、OA、ERP等)PAAS(平台即服务)(云扩展服务,中间件、安全、大数据等)IAAS(基础设施即服务)(虚拟服务器、存储、网络等)3.企业上云常见架构:ALLinone:ECS(云服务器)应用与数据分离:ECS——RDS(数据库)应用集群部署:SLB(负载均衡)——ECS应用部署集群——RDS动静资源分离:SLB——ECS应用部署集群——OSS(文件存储,图片音视频等非结构化)RDSPart2信息安全现状及形式对于云上攻击,一下三点会以安全检测报告形式列出来:Ddos攻击:大量请求造成拥塞口令暴力破解:SSH、RDP协议为主,针对端口攻击。Web应用攻击:SQL注入攻击为主,针对数据库。(注:SSHsecureshell安全外壳协议,建立在应用层基础上的安全协议;RDPremotedesktopprotocol远程桌面协议SQL结构化查询语言,数据库查询和程序设计语言。)2014年1月21日,互联网DNS大劫难,DNS被劫持;2014年4月,Heartbleed漏洞,涉及网银、门户网站,,可被用于窃取服务器敏感信息,实时抓取用户信息。Part3IT系统风险构成1.按照等保划分维度:物理和环境安全:机房环境等;网络和通信安全:网络架构、边界保护、访问控制、入侵防范、通信加密等;设备和计算安全:入侵防范、恶意代码防范、访问控制、身份鉴别、集中管控和安全审计等;应用和数据安全:安全审计、数据完整性和保密性;2.云上安全的服务方式:责任分担,共建安全用户负责“云中内容”的安全性:客户数据;平台、应用程序、身份和访问管理;操作系统、网络和防火墙配置安全。云平台负责云的安全性:计算、存储、数据库、网络、全球基础设施、边缘节点。Part4云上安全防护的关键点1.各类架构注意事项ALLinone部署:注意1.登陆安全;2.账号授权管理;3.服务器安全漏洞;4.应用访问攻击;5.数据备份和加密;6.网络攻击风险;应用与数据分离:新增注意1.数据通信安全;2.网络通信安全;3.数据库访问白名单授权;4.数据库的备份和容灾;应用集群部署:新增注意1.服务器访问授权;(授权SLB)2.服务器安全区域隔离;(防止ECS之间被攻击)3.负载均衡加密访问;(证书上传SLB,实现RDS访问)动静资源分离部署:新增注意1.云存储数据备份加密2.云存储数据容灾2.云计算面临的安全威胁可用性:大规模分布式拒绝服务攻击(DDos)、僵尸网络(botnet)影响:网站业务不可用完整性:网站入侵、服务器口令暴力破解影响:网站页面被篡改和植入后门。保密性:网站后门、数据库非法访问(拖库)影响:用户的账户信息和敏感数据泄露。2.产生安全风险的主要原因云平台:安全体系;技术实力;安全工具;管理平台;是否易用。ISV:开发规范;测试规范;部署规范;运维规范。用户:安全意识;安全习惯;加入黑产;管理流程;缺乏经验。Part5阿里云解决方案1.阿里云的服务器安全防护安骑士是一款主机安全软件,通过安装在云服务器上轻量级的软件和云端安全中心的联动,为您提供漏洞管理,基线检查和入侵告警功能。主要防护功能:木马查杀;防密码暴力破解;异地登陆提醒;漏洞检测修复。2.阿里云的网络安全防护免费:安全组、专有网络vpc、基础DDOS防护收费:DDOS高防IP。3.阿里云的数据安全防护数据备份和容灾——相关服务:云服务器快照;云数据库的备份实例和灾备实例;云存储多副本和异地备份。数据加密——相关服务:云数据库加密存储;云存储加密存储;加密机;数据传输安全——相关证书:云盾证书;HTTPDNS。4.阿里云应用安全防护1)Web防火墙(webapplicationfirewall,简称waf)是一款网站必备安全产品。2)云盾web应用防火墙:基于云安全大数据能力实现运营+数据+攻防体系、综合打造网站应用安全。3)通过防御sql注入、xss跨站脚本、常见web服务器插件漏洞、木马上传、非授权核心资源访问等owasp常见攻击;过滤海量恶意cc攻击;禁止恶意的接口滥刷,数据爬取;4)避免您的网站资产数据泄露,保障网站的安全与可用性。5.阿里云的监控管理云监控:是一项针对阿里云资源和互联网应用进行监控的服务,云监控服务可用于收集获取阿里云资源的监控指标,探测互联网服务的可用性,以及针对指标设置警报。态势感知:是一个大数据安全分析平台,能对您云上所有资源产进行安全告警,并用机器学习来发现潜在的入侵和高隐蔽性攻击,回溯攻击历史,预测即将发生的安全事件。Part6网络安全法2017年6月1日网络安全法正式实施。宏观层面:网络安全同国土安全、经济安全等一样成为国家安全的一个重要组成部分。微观层面:网络运营者(网络所有者、管理者和网络服务者)必须担负起网络安全的责任。Part7云平台使用的账号安全1.云上账号安全的指导原则账号安全:1)登录验证:配置强密码策略;定期轮转用户登录密码。2)账号授权:遵循最小授权原则;及时撤销不再需要的权限。3)权限分配:不要为根帐号创建访问密钥;将用户管理、权限管理与资源管理分离。2.阿里云账号安全策略阿里云对租户账号提供账号登录双因素验证机制(MFA)、密码安全策略、审计功能,以确保云服务账号的安全性。3.阿里云的账号权限管理访问控制(RAM)是阿里云为客户提供的用户身份管理与访问控制服务。使用RAM,可以创建、管理用户账号,并可以控制这些用户账号对名下资源具有的操作权限。包括:密钥、范围权限、资源访问方式。RAM应用场景:企业子账号管理与分权;不同企业之间的资源操作与授权管理;针对不可信客户端app的临时授权管理。Part8云资源管理1.云资源的管理方式:web管理控制台;客户端工具;api2.云资源的监控服务:云监控是一项针对阿里云云资源进行监控的服务,可用于手机获取阿里云资源的监控指标,并针对指标设置报警的阀值。第二章云上服务器安全主要介绍云服务器主要面临的安全风险,并针对这些风险提供了切实可行的、免费的防护方案。Part1服务器面临的安全挑战自身脆弱性:漏洞、错误的配置、账号权限、不该开放的端口等。外部威胁:后门、木马、暴力破解攻击等。Part2服务器安全管理1.服务器安全管理的五种方式:及时对服务器安装系统补丁;修改服务器默认的账号和密码;在服务器上启动及配置防火墙;关闭服务器不必要的服务及端口;检测服务器系统日志。Part3通过安骑士发现登录风险安骑士是一款主机安全软件,通过安装在云服务器上轻量级的软件和云端安全中心的联动,为您提供漏洞管理、基线检查和入侵告警等功能。漏洞管理:系统软件漏洞;CMS漏洞。基线检查:账户安全检测;弱口令检测;配置风险检测。入侵检测:异地登录提醒;暴力破解联动;网站后门查杀;异常进程检测。Part4通过安骑士修复常见漏洞1.常见漏洞:系统漏洞;应用漏洞(应用程序的漏洞,主要由于编写代码留下的漏洞,常见的有sql注入、xss漏洞、上传漏洞等)。2.漏洞管理流程:漏洞预警(获取权威漏洞信息)-漏洞检测(检测资产存在的漏洞)-风险管理(结合资产定位风险)-漏洞修复(补丁系统联动)-漏洞审计(确认漏洞风险)。3.安骑士系统软件漏洞支持并检测服务器上的三大类软件漏洞:系统软件漏洞、Windows系统漏洞、web应用漏洞。4.安骑士对于cms漏洞可通过及时获取最新的漏洞预警和相关补丁,并通过云端下发补丁更新,实现漏洞快速发现、快速修复的功能。第三章云上网络安全主要介绍网络风险产生的原理并学会使用阿里云的防护方案,最大限度避免或减少网络层攻击的危害。Part1网络安全概述TCP/IP协议,温顿瑟夫:tcp/ip协议和互联网架构的联合设计者之一,互联网之父。网络通信的五元组:源IP、源端口、协议、目标端口、目标IP各种网络攻击:大流量DDos攻击、CC/慢速攻击、sql注入、xss攻击、暴力破解攻击、安装木马后门、网络钓鱼攻击安全责任分担模型:Part2网络防火墙的使用1.安全组介绍:安全组指定了一个或多个防火墙规则,规则包含容许访问的网络协议、端口、源ip等。2.安全组功能不同用户网络隔离;系统默认安全组;安全组限制方向;安全组限制数量。Part3安全专有网络vpcVpc(virtualprivatecloud)虚拟私有云Vpc功能:自主可控的网络、公网出入、私网互联。自主可同的网络:1)网络规划:ip地址规划、自定义路由、公网访问。2)安全隔离:租户隔离、生产测试、访问控制公网出入三种形式:1)弹性公网ip,简称EIP,是可以独立购买和持有的公网IP地址资源,能动态绑定到不同的ecs实例上。2)负载均衡3)Nat网关(公网ip共享带宽、一个公网ip的不同端口可映射到不同的vpcecs、避免ecs被外界主动连接)私网互联:支持同region间、跨region、不同账户下vpc私网互通,支持客户IDC到阿里云间的私网互通。Part4DDos攻击介绍及防护措施1.DDos攻击介绍DDos(distributeddenialofservice)分布式拒绝服务攻击2.DDos攻击原理对客户端的第三次响应(握手)不反馈,导致tcp资源耗尽。3.DDos常见防护措施:隐藏服务器IP;多节点加速;异常流量清洗;分布式集群防御;防火墙合理配置;专有抗D设备Part5如何使用阿里基础DDos防护1.基础DDos防护的主要功能1)攻击流量的发现、牵引和自动处理;2)能有效防御所有各类基于网络层的各种DDos攻击,包括dnsqueryflood,ntpreplyflood。3)大数据分析技术实现全自动检测。加入安全信誉防护联盟可以增加防御阀值,最高可到20GPart6通过高防IP抵御大规模DDos攻击高防IP的原理:ISP——四层清洗、七层清洗——负载均衡——云服务器高防IP的功能:1)防护海量DDos攻击:3个高防中心,电信、联通、BGP线路,总带宽超过1000Gbps。2)专业团队运营3)源站IP隐藏:高防服务可散列化业务IP,随时更换防护的IP,隐藏源站网络4)弹性防护:DDos防护阈值弹性调整,可以随时升级更高级别的防护,整个过程服务无中断。5)高可靠,高可用服务:全自动检测和攻击策略匹配,试试防护,清洗服务可用性99.99%,低时延,低网络抖动。高防IP的接入:1)DNS服务器更换对外服务IP(把原域名进行更换);2)流量完成切换(客户端向源站的方位流量直接流向高防ip,安全防护由高防接管)3)回源正常用户(回注方式与传统方式不同,传统要打上vpn标签回注隔离主机路由,阿里采用协议栈更换技术,把处理完成的流量再送给源站,实现回注)。不光为用户实现了攻击防护,同时作为业务前置,把源站网络完全对外隐藏,降低安全风险。第四章云上数据安全主要介绍数据安全的防护原理,教会大家在阿里云上如何完美地解决数据安全问题,包括数据的安全存储、备份恢复、安全传输等。Part1数据安全概述1.数据本身及数据防护的安全数据本身的安全:保密性;——加密、证书。完整性;——完整性验证。可用性;——主备实例,异地实例。数据防护的安全:物理安全;——及时备份和恢复安全防护。——数据访问授权和审批2.阿里云的数据安全防护1)数据备份和容灾云服务器快照;云数据库的主备实例和灾备实例;云数据库导入导出;云存储多副本和异地备份。2)数据加密云数据库加密存储;云存储加密存储;加密机。3)数据传输安全云盾证书;HTTPDNS。Part2数据备份、恢复和容灾1.常见不同级别的备份方法按地理位置:本地备份;同城备份;异地备份。(理想状态:两地三中心)按备份模式:物理备份(数据块级);逻辑备份(文件级)。按时效性:热备;冷备。2.云服务器ECS快照快照:某一时间点上某一磁盘的数据备份。阿里云提供