Ctrl+F / Command+F 全文检索
客户案例

相关最佳实践
业务上云 |

传统企业、零售和游戏行业系统分级后单库单服系统云上搭建最佳实践,涉及大部分基础云产品。

专有网络 VPC 云服务器ECS 云数据库RDS MySQL 版 负载均衡 SLB CDN 云架构设计工具
业务上云 |

使用云桌面和VPN网关产品快速构建远程办公环境,在云桌面可以访问企业IDC内的应用和资源

云服务器ECS NAT网关 VPN网关 智能接入网关 云桌面
DevOps | 容器&微服务 |

使用云效完成容器应用自动化构建和持续部署

专有网络 VPC 云数据库RDS MySQL 版 负载均衡 SLB 容器服务 ACK 云效 云架构设计工具
安全&合规 |

使用阿里云实现电商网站运营期间的安全防护,包括防爬风险管理、DDoS防御、风险管理产品的能力及操作

云数据库RDS MySQL 版 负载均衡 SLB DDoS防护 风险识别 爬虫风险管理
安全&合规 |

云原生高性价比的等保三级最佳实践;在等保二级基础上,叠加必要的安全产品及高可用架构/满足三级要求

云服务器ECS 日志服务(SLS) 云安全中心 Web应用防火墙 操作审计 数据库审计 堡垒机 云防火墙 SSL证书
容器&微服务 |

使用ACK上运行常规业务,业务突发波动时突增业务运行在ECI上/达到成本的最优控制

云数据库RDS MySQL 版 文件存储NAS 容器服务 ACK 云数据库 Redis 版 弹性容器实例 ECI 云架构设计工具
业务上云 |

使用阿里云提供的迁移工具将物理服务器、虚拟机以及其他云平台云主机一站式地迁移到阿里云ECS

专有网络 VPC 云服务器ECS 服务器迁移中心 云架构设计工具
业务上云 |

单机网站上云后/分阶段进行架构云化演进、弹性扩容

块存储 专有网络 VPC 云服务器ECS 云数据库RDS MySQL 版

温馨提示

未登录用户仅可预览8页内容,请您前往登录后浏览更多企业上云最佳实践案例内容。企业账号建议生成子账号授权访问。

BpFile(id=266, bpId=38, name=企业上云等保二级合规, author=null, keyword=等保,云安全,网络安全,主机安全, description=云原生高性价比的等保二级最佳实践,包括详细的解决方案和网络架构/涉及到云安全产品的开通配置及攻防演练, position=null, ossUrl=bp-13V39PUTU2O2Z5A7.pdf, tags=null, level=null, tagList=null, products=null, productList=null, hotspot=null, oneClick=0, createTime=null, modifiedTime=null, timeConsuming=null, status=1, pdfDescription=

场景描述 阿里云安全帮助您快速、省心地通过等保合规。 在阿里云,您可享受一站式等保测评,包括完备 的攻击防护、数据审计、数据备份、加密、安全 管理服务。充分利用云平台的免费管理软件,包 括RAM、ActionTrail、云监控等,满足等保2.0 需求。 解决问题 1.等保2.0合规要求 2.云上安全体系建设 产品列表 云安全中心 Web应用防火墙 云防火墙 SSL证书 数据库审计(如自建数据库) 日志服务LOG

, templateId=null, freetry=null, visitTime=null, visitCount=null, video_url=null, buttonName=立即咨询, buttonUrl=https://page.aliyun.com/form/act425441660/index.htm, targetId=null, partner=null, partnerUrl=null, partnerLogo=null)
1 企业上云等保二级 最佳实践 场景描述 阿里云安全帮助您快速、省心地通过等保合规。 在阿里云,您可享受一站式等保测评,包括完备 部署架构图 的攻击防护、数据审计、数据备份、加密、安全 管理服务。充分利用云平台的免费管理软件,包 括 RAM、ActionTrail、云监控等,满足等保 2.0 需求。 解决问题 如果有问题请钉钉扫码联系作者: 1. 等保 2.0合规要求 2. 云上安全体系建设 产品列表 云安全中心 Web应用防火墙 云防火墙 SSL证书 数据库审计(如自建数据库) 日志服务 LOG
2文档模板(手册名称)/Error! Use the Home tab to apply 云服务器 ECS(产品名称) 标题 to the text that you want to appear here. 文档版本:20150122(发布日期) II
3文档模板(手册名称)/Error! Use the Home tab to apply 云服务器 ECS(产品名称) 标题 to the text that you want to appear here. 文档版本:20191231(发布日期) 阿里云 企业上云实践 等级保护二级评测篇 文档版本:20150122(发布日期) III
4企业上云实践 等级保护二级评测篇 | 文档版本信息 文档版本信息 文本信息 属性 内容 文档名称 企业上云等保二级最佳实践 文档编号 038 文档版本 V1.7 版本日期 2019-12-31 文档状态 外部发布 制作人 云滴 审阅人 敬海 文档变更记录 版本编号 日期 作者 审核人 说明 V1.0 2019-05-05 云滴 - 创建 V1.1 2019-05-08 筱晖 - 文档工程师优化、验证 V1.2 2019-05-14 云滴 - 修改敬海验证后发现的问题 V1.3 2019-05-15 筱晖 - 更新产品入口,去掉超链接。 V1.4 2019-08-12 云滴 - 增加方案概述章节;隐式超链接 显式化。 V1.5 2019-10-29 筱晖 - 新版控制台迭代,文档优化 V1.6 2019-11-04 云滴 - 增加首页总体介绍 V1.7 2019-12-31 云滴 - 更新到等保 2.0,增加二维码 文档版本:20191104 I
5企业上云实践 等级保护二级评测篇 | 目录 目录 文档版本信息 ........................................................................................................................................................ I 法律声明 ............................................................................................................................................................... II 目录 ..................................................................................................................................................................... III 前言 ...................................................................................................................................................................... 1 前置条件 ............................................................................................................................................................... 3 演示环境说明 ....................................................................................................................................................... 4 1. 方案概述 ....................................................................................................................................................... 5 2. 搭建基础环境 ............................................................................................................................................... 7 2.1. 部署 VPC网络 ................................................................................................................................ 7 2.2. 部署 ECS环境(业务系统) ......................................................................................................... 7 2.3. 部署 SLB环境 ................................................................................................................................ 7 2.4. 设置 SLB域名解析 ......................................................................................................................... 7 3. 操作审计 ActionTrail ...................................................................................................................................... 8 3.1. 开通 ActionTrail(如已开通,请忽略) ........................................................................................ 8 3.2. 查看 ActionTrail日志 ..................................................................................................................... 9 3.3. 开通日志服务 .............................................................................................................................. 10 3.4. 创建跟踪 ...................................................................................................................................... 12 4. 访问控制 RAM............................................................................................................................................. 17 4.1. 云主账号开通双因子认证 ........................................................................................................... 17 4.2. 创建拥有所有权限的子账号 ....................................................................................................... 22 4.2.1. 创建子账号 .......................................................................................................................... 22 4.2.2. 为子账号(ram_enterprise)授权 ....................................................................................... 24 4.2.3. 为子账号启用控制台登录 ................................................................................................... 26 4.2.4. 为子账号启用虚拟 MFA设备 .............................................................................................. 29 4.2.5. 验证子账号登录 ................................................................................................................... 31 4.3. 创建运维 RAM子账号 ................................................................................................................. 34 4.3.1. 创建子账号 .......................................................................................................................... 34 4.3.2. 为子账号(ram_pe)授权 ................................................................................................... 34 4.4. 子账号管理 .................................................................................................................................. 34 4.4.1. 验证子账号权限 ................................................................................................................... 35 4.5. 在操作审计中查看创建 RAM子账号的操作记录 ....................................................................... 35 5. Web应用防火墙(WAF) .......................................................................................................................... 36 5.1. 开通和接入 WAF .......................................................................................................................... 36 5.2. 通过负载均衡 SLB的白名单放行 WAF回源 IP地址 ................................................................... 41 5.3. 在域名服务中配置域名解析 ....................................................................................................... 46 5.4. 验证 WAF防护效果 ..................................................................................................................... 47 5.4.1. Web应用攻击防护效果 ....................................................................................................... 47 5.4.2. 七层(HTTP层)CC攻击防护效果 ..................................................................................... 49 5.4.3. 精准访问控制防护效果 ....................................................................................................... 53 6. HTTPS证书服务 .......................................................................................................................................... 56 6.1. 购买证书 ...................................................................................................................................... 56 文档版本:20191231 III
6企业上云实践 等级保护二级评测篇 | 目录 6.2. 申请签发 ...................................................................................................................................... 59 6.3. 使用准备好的免费证书 ............................................................................................................... 61 6.4. 在 WAF中绑定证书 ..................................................................................................................... 63 6.5. 通过 HTTPS访问网站 .................................................................................................................. 64 7. 云防火墙 ..................................................................................................................................................... 67 7.1. 开通云防火墙 .............................................................................................................................. 67 7.2. 配置云防火墙 .............................................................................................................................. 68 7.2.1. 在云防火墙中设置只允许 80端口访问 .............................................................................. 69 7.3. 验证云防火墙效果....................................................................................................................... 73 7.3.1. 验证放行规则....................................................................................................................... 73 7.3.2. 验证阻断规则....................................................................................................................... 73 7.4. 验证云防火墙 IPS能力 ................................................................................................................ 76 7.4.1. 外到内的拦截....................................................................................................................... 76 7.4.2. 高危漏洞拦截....................................................................................................................... 78 7.4.3. 主动外联预警....................................................................................................................... 82 8. 云安全中心(原主机安全)....................................................................................................................... 84 8.1. 开通云安全中心 .......................................................................................................................... 84 8.2. 验证云安全中心防护效果 ........................................................................................................... 87 8.2.1. Webshell木马检测验证 ....................................................................................................... 87 8.2.2. 漏洞检测与修复 ................................................................................................................... 90 9. 数据库审计 ................................................................................................................................................. 92 9.1. 开通 RDS的 SQL洞察功能 .......................................................................................................... 92 9.2. 查看 SQL日志 .............................................................................................................................. 93 9.3. 部署数据库审计(如自建数据库) ............................................................................................ 94 文档版本:20191231 IV
7企业上云实践 等级保护二级评测篇 | 前言 前言 概述 本文重点解决企业办公、生产等 IT系统迁移到阿里云后,在做网络安全等级保护二级 测评的时候,需要开通的相关产品、如何配置及安全防护效果的说明。 应用范围 所有需要过网络安全等级保护三级的单位或企业。 从其他云厂商或自建 IDC搬迁到阿里云,或者原生在阿里云平台。 名词解释 操作审计 ActionTrail:操作审计 ActionTrail会记录您的云账户资源操作,提供操 作记录查询,并可以将审计事件保存到您指定的日志服务 Logstore或者 OSS存 储空间。利用 ActionTrail保存的所有操作记录,您可以实现安全分析、资源变更 追踪以及合规性审计。 访问控制 RAM:RAM使您能够安全地集中管理对阿里云服务和资源的访问。您 可以使用 RAM 创建和管理用户和组,并使用各种权限来允许或拒绝他们对云资 源的访问。 日志服务 LOG:日志服务(Log Service,简称 LOG/原 SLS)是针对实时数据一 站式服务,在阿里集团经历大量大数据场景锤炼而成。提供日志类数据采集、消 费、投递及查询分析功能,全面提升海量日志处理/分析能力,服务智能研发/运维 /运营/安全等场景。 Web应用防火墙:对网站或者 APP的业务流量进行恶意特征识别及防护,将正 常、安全的流量回源到服务器。避免网站服务器被恶意入侵,保障业务的核心数据 安全,解决因恶意攻击导致的服务器性能异常问题。 SSL证书:在云上签发各品牌数字证书,实现网站 HTTPS化,使网站可信,防劫 持、防篡改、防监听、安全加密。统一生命周期管理,简化证书部署,一键分发到 CDN、负载均衡、OSS等其它云上产品。 云防火墙:集中管理公网 IP的访问策略,内置威胁入侵防御模块(IPS),支持失陷 主机检测、主动外联行为的阻断、业务间访问关系可视,留存 6个月网络流量日 志,等保必备。 文档版本:20191231 1
8企业上云实践 等级保护二级评测篇 | 前言 云安全中心:云安全中心是一个实时识别、分析、预警安全威胁的统一安全管理系 统,通过防勒索、防病毒、防篡改、合规检查等安全能力,帮助用户实现威胁检测、 响应、溯源的自动化安全运营闭环,保护云上资产和本地主机并满足监管合规要 求。 SQL洞察:为了更好地提供服务,RDS for MySQL的 SQL审计功能升级为 SQL 洞察功能,继续为您的数据库提供安全审计、性能诊断等增值服务,升级过程中不 影响实例的正常使用,升级后费用更低,功能更丰富。 文档版本:20191231 2