阿里云安全白皮书基础安全

1云安全服务(云盾)
(1)云盾——防DDoS清洗服务 DDoS(Distributed Denial of Service)分布式拒绝服务俗称洪水攻击,而在云端该攻击表现为,通过仿冒大量的正常服务请求来阻止用户访问其在云端数据、应用程序或网站。对云端用户而言该攻击就像在出行高峰时段遇上了交通瘫痪,除了坐在交通工具中愤怒的等待别无他法;而对云服务商而言如果无法从大量的仿冒请求中鉴别出恶意访问流量并完成清洗,则不但会影响云服务的稳定性更会动摇用户将数据和应用迁移上云端的信心。DDoS攻击在2011年、2012年连续被CSA(Cloud Security Alliance)收录为《云端十大安全威胁》。 作为中国领先的云计算服务商,阿里云基于自主开发大型分布式操作系统和十余年安全攻防的经验,为广大云平台用户推出基于云计算架构设计和开发的云盾海量防DDoS清洗服务,该服务具有以下优势: 全覆盖: 云盾的防DDoS清洗服务可帮助云用户抵御各类基于网络层、传输层及应用层的各种DDoS攻击(包括CC、SYN Flood、UDP Flood、UDP DNS Query Flood、(M)Stream Flood、ICMP Flood、HTTP Get Flood等所有DDoS攻击方式),并实时短信通知用户网站防御状态。 云盾的防DDoS清洗服务由恶意流量检测中心、安全策略调度中心和恶意流量清洗中心组成,三个中心均采用分布式结构、全网状互联的形式覆盖阿里云所有提供云服务的数据中心节点。 全天候: 依托云计算架构的高弹性和大冗余特点,云盾防DDoS清洗服务实现了服务稳定、防御精准。 稳定:云盾防DDoS清洗服务可用性99.99%
精准:恶意流量检测中心的检测成功率99.99%,单个数据中心流量检测能力达到60G bit/s或6000万 PPS以上; 恶意流量清洗中心的清洗成功率99.99%; 全清洗: 对于阿里云云服务器用户提供单个IP,3G以内的所有类型的DDoS攻击流量清洗服务。 (2)云盾—安全体检 您了解自身网站的安全现状吗?那您了解它是否有漏洞、是否被入侵、是否已被偷偷植入木马导致数据丢失? ——现在您觉得您真的了解它吗? 绝大多数的网站入侵事件总是由黑客扫描网站开放的端口和服务,并由此寻找相关的安全漏洞并加以利用来实现入侵,最后通过在网站内植入木马来达到篡改网页内容或者窃取重要内部数据的违法目的。 云盾的安全体检从网站最常见的入侵行为入手,对构建在云服务器上的网站提供网站端口安全检测、网站WEB漏洞检测、网站木马检测三大功能。 网站端口安全检测: 该功能通过服务器集群对构建在云服务器上的网站进行快速、完整的端口扫描,使用最新的指纹识别技术判断运行在开放端口上的服务、软件以及版本,一旦发现未经允许开放的端口和服务会第一时间提醒用户予以关闭,降低系统被入侵的风险。 网站WEB漏洞检测: 该功能聚焦在对构建在云服务器上网站的WEB漏洞发现,检测的漏洞类型覆盖OWASP、WASC、CNVD分类,系统支持恶意篡改检测,支持Web2.0、AJAX、各种脚本语言、PHP、ASP、.NET 和 Java 等环境,支持复杂字符编码、chunk,gzip,deflate等压缩方式、多种认证方式(Basic、NTLM、Cookie、SSL 等),支持代理、HTTPS 、DNS绑定扫描等,支持流行的百余种第三方建站系统独有漏洞扫描、同时,通过规则组对最新Web漏洞的持续跟踪和分析,进一步保障了产品检测能力的及时性和全面性。
网站木马检测 在检测技术上通过对HTML和javascript引擎解密恶意代码,同特征库匹配识别,同时支持通过模拟浏览器访问页面分析恶意行为,发现未知木马,实现木马检测的“0”误报。
2漏洞管理
阿里云在漏洞发现和管理方面具备专职团队,在漏洞发现方面除却自主开发的漏洞检测工具外更拥有一批具备发现“0day”漏洞的安全专家,通过自动和手动的渗透测试、质量保证(QA)流程、软件的安全性审查、审计和外部审计工具进行安全威胁检查。
阿里云漏洞管理团队的主要责任就是发现、跟踪、追查和修复安全漏洞。通过数字化的“漏洞分”运营,对每个真实的漏洞进行分类、严重程度排序和跟踪修复。阿里云与各安全研究社区的成员保持联系,受理外部漏洞举报。
3安全事件管理
阿里云建立了安全事件管理平台来实现影响系统或数据的机密性、完整性或可用性的安全事件管理流程,这个流程包含安全事件的受理渠道、处理进度、事后通告过程,安全事件的类别不但覆盖安全攻击和入侵事件,更将重大云服务故障纳入安全事件管理范围予以关注。
阿里云安全团队人员实行7*24小时工作制。当安全事件发生时,阿里云安全人员将记录和根据严重程度进行优先级处理。直接影响客户的安全事件将被赋予最高优先级对待。在安全事件事后分析阶段通过追查安全事件根本成因来更新相关安全策略,以防止类似事件再次发生。
4网络安全
阿里云采用了多层防御,以帮助保护网络边界面临的外部攻击。在公司网络中,只允许被授权的服务和协议传输,未经授权的数据包将被自动丢弃,阿里云网络安全策略由以下组件组成:
(1) 控制网络流量和边界,使用行业标准的防火墙和ACL技术对网络进行强制隔离;
(2) 网络防火墙和ACL策略的管理包括变更管理、同行业审计和自动测试;
(3) 使用个人授权限制设备对网络的访问;
(4) 通过自定义的前端服务器定向所有外部流量的路由,可帮助检测和禁止恶意的请求;
(5) 建立内部流量汇聚点,帮助更好的监控;
5传输层安全
阿里云提供的很多服务都采用了更安全的HTTPS浏览连接协议,例如用户使用阿里云账号登陆aliyun的默认情况为HTTPS。通过HTTPS协议,信息在阿里云端到接受者计算机实现加密传输。
6操作系统安全
基于特殊的设计,阿里云生产服务器都是基于一个包括运行阿里云“飞天”必要的组件而定制的linux系统版本。该系统专为阿里云能够保持控制在整个硬件和软件栈,并支持安全应用程序环境。阿里云生产服务器安装标准的操作系统,公司所有的基础设施均需要安装安全补丁。

阿里云安全白皮书基础安全:等您发表观点呢!

发表评论


快捷键:Ctrl+Enter