BpFile(id=266, bpId=38, name=企业上云等保二级合规, author=null, keyword=等保,云安全,网络安全,主机安全, description=云原生高性价比的等保二级最佳实践,包括详细的解决方案和网络架构/涉及到云安全产品的开通配置及攻防演练, position=null, ossUrl=bp-3TFX4M7SQHZ5ECNX.pdf, tags=null, level=null, tagList=null, products=null, productList=null, hotspot=null, oneClick=0, createTime=null, modifiedTime=null, timeConsuming=null, status=1, pdfDescription=
场景描述
阿里云安全帮助您快速、省心地通过等保合规。
在阿里云,您可享受一站式等保测评,包括完备
的攻击防护、数据审计、数据备份、加密、安全
管理服务。充分利用云平台的免费管理软件,包
括RAM、ActionTrail、云监控等,满足等保2.0
需求。
解决问题
1.等保2.0合规要求
2.云上安全体系建设
产品列表
云安全中心
Web应用防火墙
云防火墙
SSL证书
数据库审计(如自建数据库)
日志服务LOG
, templateId=null, freetry=null, visitTime=null, visitCount=null, video_url=null, buttonName=立即咨询, buttonUrl=https://page.aliyun.com/form/act425441660/index.htm, targetId=null, partner=null, partnerUrl=null, partnerLogo=null)
1
企业上云等保二级 最佳实践
场景描述
阿里云安全帮助您快速、省心地通过等保合规。
在阿里云,您可享受一站式等保测评,包括完备
部署架构图
的攻击防护、数据审计、数据备份、加密、安全
管理服务。充分利用云平台的免费管理软件,包
括 RAM、ActionTrail、云监控等,满足等保 2.0
需求。
解决问题
如果有问题请钉钉扫码联系作者:
1. 等保 2.0合规要求
2. 云上安全体系建设
产品列表
云安全中心
Web应用防火墙
云防火墙
SSL证书
数据库审计(如自建数据库)
日志服务 LOG
2文档模板(手册名称)/Error! Use the Home tab to apply
云服务器 ECS(产品名称) 标题 to the text that you want to appear here.
文档版本:20150122(发布日期) II
3文档模板(手册名称)/Error! Use the Home tab to apply
云服务器 ECS(产品名称) 标题 to the text that you want to appear here.
文档版本:20191231(发布日期)
阿里云
企业上云实践
等级保护二级评测篇
文档版本:20150122(发布日期) III
4企业上云实践 等级保护二级评测篇 | 文档版本信息
文档版本信息
文本信息
属性 内容
文档名称 企业上云等保二级最佳实践
文档编号 038
文档版本 V1.7
版本日期 2019-12-31
文档状态 外部发布
制作人 云滴
审阅人 敬海
文档变更记录
版本编号 日期 作者 审核人 说明
V1.0 2019-05-05 云滴 - 创建
V1.1 2019-05-08 筱晖 - 文档工程师优化、验证
V1.2 2019-05-14 云滴 - 修改敬海验证后发现的问题
V1.3 2019-05-15 筱晖 - 更新产品入口,去掉超链接。
V1.4 2019-08-12 云滴 - 增加方案概述章节;隐式超链接
显式化。
V1.5 2019-10-29 筱晖 - 新版控制台迭代,文档优化
V1.6 2019-11-04 云滴 - 增加首页总体介绍
V1.7 2019-12-31 云滴 - 更新到等保 2.0,增加二维码
文档版本:20191104 I
5企业上云实践 等级保护二级评测篇 | 目录
目录
文档版本信息 ........................................................................................................................................................ I
法律声明 ............................................................................................................................................................... II
目录 ..................................................................................................................................................................... III
前言 ...................................................................................................................................................................... 1
前置条件 ............................................................................................................................................................... 3
演示环境说明 ....................................................................................................................................................... 4
1. 方案概述 ....................................................................................................................................................... 5
2. 搭建基础环境 ............................................................................................................................................... 7
2.1. 部署 VPC网络 ................................................................................................................................ 7
2.2. 部署 ECS环境(业务系统) ......................................................................................................... 7
2.3. 部署 SLB环境 ................................................................................................................................ 7
2.4. 设置 SLB域名解析 ......................................................................................................................... 7
3. 操作审计 ActionTrail ...................................................................................................................................... 8
3.1. 开通 ActionTrail(如已开通,请忽略) ........................................................................................ 8
3.2. 查看 ActionTrail日志 ..................................................................................................................... 9
3.3. 开通日志服务 .............................................................................................................................. 10
3.4. 创建跟踪 ...................................................................................................................................... 12
4. 访问控制 RAM............................................................................................................................................. 17
4.1. 云主账号开通双因子认证 ........................................................................................................... 17
4.2. 创建拥有所有权限的子账号 ....................................................................................................... 22
4.2.1. 创建子账号 .......................................................................................................................... 22
4.2.2. 为子账号(ram_enterprise)授权 ....................................................................................... 24
4.2.3. 为子账号启用控制台登录 ................................................................................................... 26
4.2.4. 为子账号启用虚拟 MFA设备 .............................................................................................. 29
4.2.5. 验证子账号登录 ................................................................................................................... 31
4.3. 创建运维 RAM子账号 ................................................................................................................. 34
4.3.1. 创建子账号 .......................................................................................................................... 34
4.3.2. 为子账号(ram_pe)授权 ................................................................................................... 34
4.4. 子账号管理 .................................................................................................................................. 34
4.4.1. 验证子账号权限 ................................................................................................................... 35
4.5. 在操作审计中查看创建 RAM子账号的操作记录 ....................................................................... 35
5. Web应用防火墙(WAF) .......................................................................................................................... 36
5.1. 开通和接入 WAF .......................................................................................................................... 36
5.2. 通过负载均衡 SLB的白名单放行 WAF回源 IP地址 ................................................................... 41
5.3. 在域名服务中配置域名解析 ....................................................................................................... 46
5.4. 验证 WAF防护效果 ..................................................................................................................... 47
5.4.1. Web应用攻击防护效果 ....................................................................................................... 47
5.4.2. 七层(HTTP层)CC攻击防护效果 ..................................................................................... 49
5.4.3. 精准访问控制防护效果 ....................................................................................................... 53
6. HTTPS证书服务 .......................................................................................................................................... 56
6.1. 购买证书 ...................................................................................................................................... 56
文档版本:20191231 III
6企业上云实践 等级保护二级评测篇 | 目录
6.2. 申请签发 ...................................................................................................................................... 59
6.3. 使用准备好的免费证书 ............................................................................................................... 61
6.4. 在 WAF中绑定证书 ..................................................................................................................... 63
6.5. 通过 HTTPS访问网站 .................................................................................................................. 64
7. 云防火墙 ..................................................................................................................................................... 67
7.1. 开通云防火墙 .............................................................................................................................. 67
7.2. 配置云防火墙 .............................................................................................................................. 68
7.2.1. 在云防火墙中设置只允许 80端口访问 .............................................................................. 69
7.3. 验证云防火墙效果....................................................................................................................... 73
7.3.1. 验证放行规则....................................................................................................................... 73
7.3.2. 验证阻断规则....................................................................................................................... 73
7.4. 验证云防火墙 IPS能力 ................................................................................................................ 76
7.4.1. 外到内的拦截....................................................................................................................... 76
7.4.2. 高危漏洞拦截....................................................................................................................... 78
7.4.3. 主动外联预警....................................................................................................................... 82
8. 云安全中心(原主机安全)....................................................................................................................... 84
8.1. 开通云安全中心 .......................................................................................................................... 84
8.2. 验证云安全中心防护效果 ........................................................................................................... 87
8.2.1. Webshell木马检测验证 ....................................................................................................... 87
8.2.2. 漏洞检测与修复 ................................................................................................................... 90
9. 数据库审计 ................................................................................................................................................. 92
9.1. 开通 RDS的 SQL洞察功能 .......................................................................................................... 92
9.2. 查看 SQL日志 .............................................................................................................................. 93
9.3. 部署数据库审计(如自建数据库) ............................................................................................ 94
文档版本:20191231 IV
7企业上云实践 等级保护二级评测篇 | 前言
前言
概述
本文重点解决企业办公、生产等 IT系统迁移到阿里云后,在做网络安全等级保护二级
测评的时候,需要开通的相关产品、如何配置及安全防护效果的说明。
应用范围
所有需要过网络安全等级保护三级的单位或企业。
从其他云厂商或自建 IDC搬迁到阿里云,或者原生在阿里云平台。
名词解释
操作审计 ActionTrail:操作审计 ActionTrail会记录您的云账户资源操作,提供操
作记录查询,并可以将审计事件保存到您指定的日志服务 Logstore或者 OSS存
储空间。利用 ActionTrail保存的所有操作记录,您可以实现安全分析、资源变更
追踪以及合规性审计。
访问控制 RAM:RAM使您能够安全地集中管理对阿里云服务和资源的访问。您
可以使用 RAM 创建和管理用户和组,并使用各种权限来允许或拒绝他们对云资
源的访问。
日志服务 LOG:日志服务(Log Service,简称 LOG/原 SLS)是针对实时数据一
站式服务,在阿里集团经历大量大数据场景锤炼而成。提供日志类数据采集、消
费、投递及查询分析功能,全面提升海量日志处理/分析能力,服务智能研发/运维
/运营/安全等场景。
Web应用防火墙:对网站或者 APP的业务流量进行恶意特征识别及防护,将正
常、安全的流量回源到服务器。避免网站服务器被恶意入侵,保障业务的核心数据
安全,解决因恶意攻击导致的服务器性能异常问题。
SSL证书:在云上签发各品牌数字证书,实现网站 HTTPS化,使网站可信,防劫
持、防篡改、防监听、安全加密。统一生命周期管理,简化证书部署,一键分发到
CDN、负载均衡、OSS等其它云上产品。
云防火墙:集中管理公网 IP的访问策略,内置威胁入侵防御模块(IPS),支持失陷
主机检测、主动外联行为的阻断、业务间访问关系可视,留存 6个月网络流量日
志,等保必备。
文档版本:20191231 1
8企业上云实践 等级保护二级评测篇 | 前言
云安全中心:云安全中心是一个实时识别、分析、预警安全威胁的统一安全管理系
统,通过防勒索、防病毒、防篡改、合规检查等安全能力,帮助用户实现威胁检测、
响应、溯源的自动化安全运营闭环,保护云上资产和本地主机并满足监管合规要
求。
SQL洞察:为了更好地提供服务,RDS for MySQL的 SQL审计功能升级为 SQL
洞察功能,继续为您的数据库提供安全审计、性能诊断等增值服务,升级过程中不
影响实例的正常使用,升级后费用更低,功能更丰富。
文档版本:20191231 2