BpFile(id=267, bpId=39, name=企业上云等保三级合规, author=null, keyword=等保,云安全,网络安全,主机安全, description=云原生高性价比的等保三级最佳实践;在等保二级基础上,叠加必要的安全产品及高可用架构/满足三级要求, position=null, ossUrl=bp-78U6MJVKWHX5R5Z6.pdf, tags=null, level=null, tagList=null, products=null, productList=null, hotspot=null, oneClick=1, createTime=null, modifiedTime=null, timeConsuming=null, status=1, pdfDescription=
场景描述
网络安全法中明确要求国家实行网络安全保护制
度,网络运营者有义务履行等级保护制度要求。阿
里云除了提供满足等保合规要求的云平台外,还
为租户侧的应用系统提供完整的云原生、高性价
比的等保三级解决方案。
解决问题
1.满足等保2.0合规要求
2.云上高等级安全体系建设
产品列表
云安全中心
Web应用防火墙
云防火墙
SSL证书
堡垒机
数据库审计
日志服务LOG
密钥管理服务KMS
, templateId=A5N5UYXXOEWA010G, freetry=null, visitTime=null, visitCount=null, video_url=https://yqh.aliyun.com/live/detail/22669, buttonName=立即咨询, buttonUrl=https://page.aliyun.com/form/act246799619/index.htm, targetId=A5N5UYXXOEWA010G, partner=null, partnerUrl=null, partnerLogo=null, cooperation=112,96,98, cooperationList=null)
1企业上云等保三级 最佳实践
部署架构图
场景描述
网络安全法中明确要求国家实行网络安全保
护制度,网络运营者有义务履行等级保护制度
要求。阿里云除了提供满足等保合规要求的云
平台外,还为租户侧的应用系统提供完整的云
原生、高性价比的等保三级解决方案。
解决问题
1. 满足等保2.0合规要求
2. 云上高等级安全体系建设
示例部署架构图
产品列表
云安全中心
Web应用防火墙
云防火墙
SSL证书
堡垒机
数据库审计
日志服务LOG
密钥管理服务KMS
2阿里云
企业上云等保三级最佳实践
文档版本:20210618
文档版本:20150122(发布日期) 2
3企业上云实践 等级保护三级评测篇|文档版本信息
文档版本信息
文本信息
属性 内容
文档名称 企业上云等保三级最佳实践
文档编号 039
文档版本 V2.0
版本日期 2021-06-18
文档状态 外部发布
制作人 敬海
审阅人 敬海
文档变更记录
版本编号 日期 作者 审核人 说明
V1.0 2019-05-15 云滴 敬海 创建
V1.1 2019-05-16 筱晖 敬海 文档工程师优化、验证
V1.2 2019-08-12 云滴 敬海 增加方案概述部分;隐式超链接显
式化。
V1.3 2019-10-30 筱晖 - 新版控制台迭代,文档优化。
V1.4 2019-12-31 云滴 - 升级支持等保2.0,合并等保二级内
容,增加二维码
V1.5 2020-01-31 云滴 - 作者二维码移到了前置条件章节
V1.6 2020-06-30 敬海 - 修改细节
V1.7 2021-01-27 敬海 更新版本
V1.8 2021-02-23 敬海 更新数据库审计章节
V1.9 2021-05-13 敬海 更新云防火墙部分截图,增加数据
备份章节
V2.0 2021-06-10 敬海 更新部分内容
V2.1 2021-06-18 敬海 补充部分描述
文档版本:20210120 I
4企业上云实践 等级保护三级评测篇|前言
前言
概述
本文重点解决企业办公、生产等IT系统迁移到阿里云后,在做网络安全等级保护三级
测评的时候,需要开通的相关产品、如何配置及安全防护效果的说明。
应用范围
所有需要过网络安全等级保护三级的单位或企业。
从其他云厂商或自建IDC搬迁到阿里云,或者原生在阿里云平台。
名词解释
操作审计ActionTrail:操作审计ActionTrail会记录您的云账户资源操作,提供操
作记录查询,并可以将审计事件保存到您指定的日志服务Logstore或者OSS存
储空间。利用ActionTrail保存的所有操作记录,您可以实现安全分析、资源变更
追踪以及合规性审计。
访问控制RAM:RAM使您能够安全地集中管理对阿里云服务和资源的访问。您
可以使用 RAM 创建和管理用户和组,并使用各种权限来允许或拒绝他们对云资
源的访问。
日志服务LOG:日志服务(LogService,简称LOG/原SLS)是针对实时数据一
站式服务,在阿里集团经历大量大数据场景锤炼而成。提供日志类数据采集、消
费、投递及查询分析功能,全面提升海量日志处理/分析能力,服务智能研发/运维
/运营/安全等场景。
Web应用防火墙:对网站或者APP的业务流量进行恶意特征识别及防护,将正常、
安全的流量回源到服务器。避免网站服务器被恶意入侵,保障业务的核心数据安
全,解决因恶意攻击导致的服务器性能异常问题。
SSL证书:在云上签发各品牌数字证书,实现网站HTTPS化,使网站可信,防
劫持、防篡改、防监听、安全加密。统一生命周期管理,简化证书部署,一键分
发到CDN、负载均衡、OSS等其它云上产品。
云防火墙:集中管理公网IP的访问策略,内置威胁入侵防御模块(IPS),支持失陷
主机检测、主动外联行为的阻断、业务间访问关系可视,留存6个月网络流量日
志,等保必备。
文档版本:20200618 III
5企业上云实践 等级保护三级评测篇|前言
堡垒机:集中管理资产权限,全程记录操作数据,实时还原运维场景,助力企业
用户构建云上统一、安全、高效运维通道;保障云端运维工作权限可管控、操作
可审计、合规可遵从。
数据库审计:智能解析数据库通信流量,细粒度审计数据库访问行为,帮助企业
精准识别、记录云上数据安全威胁,为云端数据库提供全方位的安全、诊断及维
护能力。
云安全中心:云安全中心是一个实时识别、分析、预警安全威胁的统一安全管理
系统,通过防勒索、防病毒、防篡改、合规检查等安全能力,帮助用户实现威胁
检测、响应、溯源的自动化安全运营闭环,保护云上资产和本地主机并满足监管
合规要求。
文档版本:20200618 IV
6企业上云实践 等级保护三级评测篇|目录
目录
文档版本信息..................................................................................................................................................................I
.........................................................................................................................................................................
法律声明 II
................................................................................................................................................................................
前言 III
目录.................................................................................................................................................................................V
.........................................................................................................................................................................
前置条件 1
演示环境说明.................................................................................................................................................................2
...................................................................................................................................................................
1.方案概述 4
...................................................................................................................................................................
2.示例说明 6
3.搭建基础环境...........................................................................................................................................................8
...................................................................................................................................
3.1.通过CADT部署资源 8
3.2.配置云上ECS环境(业务系统).............................................................................................................8
......................................................................................................................................
3.3.配置云上SLB环境 8
......................................................................................................................................
3.4.设置SLB域名解析 9
3.5.部署区域服务器............................................................................................................................................9
.............................................................................................................................................
4.操作审计ActionTrail 10
4.1.开通ActionTrail(如已开通,请忽略).................................................................................................10
................................................................................................................................
4.2.查看ActionTrail日志 11
..............................................................................................................................................
4.3.开通日志服务 12
4.4.创建跟踪......................................................................................................................................................14
.......................................................................................................................................................
5.访问控制RAM 18
5.1.云主账号开通双因子认证.........................................................................................................................18
.....................................................................................................................
5.2.创建拥有所有权限的子账号 23
......................................................................................................................................
5.2.1.创建子账号 23
5.2.2.为子账号(ram_enterprise)授权...............................................................................................25
..............................................................................................................
5.2.3.为子账号启用控制台登录 27
5.2.4.为子账号启用虚拟MFA设备.......................................................................................................30
..............................................................................................................................
5.2.5.验证子账号登录 31
...............................................................................................................................
5.3.创建运维RAM子账号 34
5.3.1.创建子账号......................................................................................................................................34
............................................................................................................
5.3.2.为子账号(ram_pe)授权 34
5.4.子账号管理..................................................................................................................................................35
..............................................................................................................................
5.4.1.验证子账号权限 35
..................................................................................
5.5.在操作审计中查看创建RAM子账号的操作记录 36
6.Web应用防火墙(WAF)....................................................................................................................................37
........................................................................................................................................
6.1.开通和接入WAF 37
6.2.通过负载均衡SLB的白名单放行WAF回源IP地址...........................................................................41
.....................................................................................................................
6.3.在域名服务中配置域名解析 48
...................................................................................................................................
6.4.验证WAF防护效果 50
文档版本:20200618 V
7企业上云实践 等级保护三级评测篇|目录
6.4.1.Web应用攻击防护效果..................................................................................................................50
............................................................................................
6.4.2.七层(HTTP层)CC攻击防护效果 52
..................................................................................................................
6.4.3.精准访问控制防护效果 56
7.HTTPS证书服务....................................................................................................................................................60
......................................................................................................................................................
7.1.购买证书 60
7.2.申请签发......................................................................................................................................................63
.............................................................................................................................
7.3.使用准备好的免费证书 65
...................................................................................................................................
7.4.在WAF中绑定证书 67
7.5.通过HTTPS访问网站...............................................................................................................................68
.....................................................................................................
7.6.停用自定义防护策略“等保三测试” 70
8.云防火墙.................................................................................................................................................................72
..............................................................................................................................................
8.1.开通云防火墙 72
..............................................................................................................................................
8.2.配置云防火墙 74
8.2.1.在云防火墙中设置只允许80端口访问.......................................................................................74
.....................................................................................................................................
8.3.验证云防火墙效果 78
8.3.1.验证放行规则..................................................................................................................................78
..................................................................................................................................
8.3.2.验证阻断规则 79
..................................................................................................................................
8.3.3.主动外联预警 84
8.3.4.放行80端口并关闭拒绝所有访问的策略...................................................................................87
.............................................................................................................................
8.4.验证云防火墙IPS能力 87
8.4.1.外到内的拦截..................................................................................................................................87
..................................................................................................................................
8.4.2.高危漏洞拦截 88
.........................................................................................................................................
9.开通并配置云安全中心 91
9.1.开通云安全中心.........................................................................................................................................91
.........................................................................................................................
9.2.验证云安全中心防护效果 94
9.2.1.Webshell木马检测验证.................................................................................................................94
..............................................................................................................................
9.2.2.漏洞检测与修复 98
..................................................................................................................................
9.2.3.等保基线检查 99
9.2.4.网页防篡改....................................................................................................................................108
............................................................................................................................
9.2.5.恶意进程云查杀 114
10.开通并配置堡垒机............................................................................................................................................119
.....................................................................................................................................
10.1.购买堡垒机实例 119
.....................................................................................................................................
10.2.启用堡垒机实例 122
10.3.管理员配置堡垒机.................................................................................................................................124
.........................................................................................................
10.3.1. 进入堡垒机实例管理页面 124
10.3.2. 导入ECS资产............................................................................................................................125
..............................................................................................................................
10.3.3. 新建主机账号 127
..........................................................................................................................
10.3.4. 主机服务器分组 129
10.3.5. 导入阿里云子账号.....................................................................................................................132
..............................................................................................................................
10.3.6. 创建运维规则 133
10.4.运维人员使用堡垒机.............................................................................................................................135
..................................................................................................................................
10.4.1. 登录堡垒机 135
........................................................................................................................
10.4.2. 运维ECS服务器 136
10.5.审计人员审计运维记录.........................................................................................................................137
文档版本:20200618 VI
8企业上云实践 等级保护三级评测篇|目录
10.5.1. 历史操作记录审计.....................................................................................................................137
.........................................................................................................
10.5.2. 查看当前正在运维的人员 138
......................................................................................................................................
10.5.3. 视频回放 138
10.6.防火墙上配置堡垒机放行规则.............................................................................................................139
................................................................................
10.6.1. 防火墙上增加放行堡垒机的60022端口 140
11.开通并配置数据库审计....................................................................................................................................146
.....................................................................................................................................
11.1.开通数据库审计 146
.....................................................................................................................................
11.2.配置数据库审计 149
11.2.1. 启用数据库审计实例.................................................................................................................149
.......................................................................................................
11.2.2. 添加要审计的RDS数据库 150
11.2.3. 添加要审计的自建Mysql数据库.............................................................................................152
...................................................................................................................................
11.2.4. 安装agent 154
...........................................................................................................................................
11.3.造SQL日志 156
11.3.1. 造RDS数据库的SQL日志.....................................................................................................156
.................................................................................
11.3.2. 造ECS自建mysql数据库的SQL日志 157
11.4.查看审计日志.........................................................................................................................................159
.................................................................................................................................................................
12.高可用 162
.................................................................................................................................
12.1.云产品高可用实例 162
12.2.高可用架构.............................................................................................................................................162
................................................................................................................................
12.3.大流量DDoS防护 162
13.日志集中管理....................................................................................................................................................163
........................................................................................................................................................
14.开启云监控 164
.............................................................................................................................................................
15.数据安全 165
16.数据备份.............................................................................................................................................................166
文档版本:20200618 VII