Ctrl+F / Command+F 全文检索

相关产品

客户案例

相关最佳实践
业务上云 |

传统企业、零售和游戏行业系统分级后单库单服系统云上搭建最佳实践,涉及大部分基础云产品。

专有网络 VPC 云服务器ECS 云数据库RDS MySQL 版 负载均衡 SLB CDN 云速搭
安全&合规 |

云原生高性价比的等保三级最佳实践;在等保二级基础上,叠加必要的安全产品及高可用架构/满足三级要求

云服务器ECS 日志服务(SLS) 云安全中心 Web应用防火墙 操作审计 数据库审计 堡垒机 云防火墙 SSL证书
业务上云 |

使用云桌面和VPN网关产品快速构建远程办公环境,在云桌面可以访问企业IDC内的应用和资源

云服务器ECS NAT网关 VPN网关 智能接入网关 云桌面
DevOps | 容器&微服务 |

使用云效完成容器应用自动化构建和持续部署

专有网络 VPC 负载均衡 SLB 容器服务 ACK 云效 云速搭
安全&合规 |

使用阿里云实现电商网站运营期间的安全防护,包括防爬风险管理、DDoS防御、风险管理产品的能力及操作

云数据库RDS MySQL 版 负载均衡 SLB DDoS防护 风险识别 爬虫风险管理
容器&微服务 |

使用ACK上运行常规业务,业务突发波动时突增业务运行在ECI上/达到成本的最优控制

云数据库RDS MySQL 版 文件存储NAS 容器服务 ACK 云数据库 Redis 版 弹性容器实例 ECI 云速搭

温馨提示

未登录用户仅可预览8页内容,请您前往登录后浏览更多企业上云最佳实践案例内容。企业账号建议生成子账号授权访问。

BpFile(id=267, bpId=39, name=企业上云等保三级合规, author=null, keyword=等保,云安全,网络安全,主机安全, description=云原生高性价比的等保三级最佳实践;在等保二级基础上,叠加必要的安全产品及高可用架构/满足三级要求, position=null, ossUrl=bp-2M9WGETQMQZEJ3RF.pdf, tags=null, level=null, tagList=null, products=null, productList=null, hotspot=null, oneClick=0, createTime=null, modifiedTime=null, timeConsuming=null, status=1, pdfDescription=

场景描述 网络安全法中明确要求国家实行网络安全保护制 度,网络运营者有义务履行等级保护制度要求。阿 里云除了提供满足等保合规要求的云平台外,还 为租户侧的应用系统提供完整的云原生、高性价 比的等保三级解决方案。 解决问题 1.满足等保2.0合规要求 2.云上高等级安全体系建设 产品列表 云安全中心 Web应用防火墙 云防火墙 SSL证书 堡垒机 数据库审计 日志服务LOG 密钥管理服务KMS

, templateId=null, freetry=null, visitTime=null, visitCount=null, video_url=https://yqh.aliyun.com/live/detail/22669, buttonName=立即咨询, buttonUrl=https://page.aliyun.com/form/act246799619/index.htm, targetId=null, partner=null, partnerUrl=null, partnerLogo=null)
1企业上云等保三级 最佳实践 部署架构图 场景描述 网络安全法中明确要求国家实行网络安全保 护制度,网络运营者有义务履行等级保护制度 要求。阿里云除了提供满足等保合规要求的云 平台外,还为租户侧的应用系统提供完整的云 原生、高性价比的等保三级解决方案。 解决问题 1. 满足等保2.0合规要求 2. 云上高等级安全体系建设 示例部署架构图 产品列表  云安全中心  Web应用防火墙  云防火墙  SSL证书  堡垒机  数据库审计  日志服务LOG  密钥管理服务KMS
2阿里云 企业上云等保三级最佳实践 文档版本:20210618 文档版本:20150122(发布日期) 2
3企业上云实践 等级保护三级评测篇|文档版本信息 文档版本信息 文本信息 属性 内容 文档名称 企业上云等保三级最佳实践 文档编号 039 文档版本 V2.0 版本日期 2021-06-18 文档状态 外部发布 制作人 敬海 审阅人 敬海 文档变更记录 版本编号 日期 作者 审核人 说明 V1.0 2019-05-15 云滴 敬海 创建 V1.1 2019-05-16 筱晖 敬海 文档工程师优化、验证 V1.2 2019-08-12 云滴 敬海 增加方案概述部分;隐式超链接显 式化。 V1.3 2019-10-30 筱晖 - 新版控制台迭代,文档优化。 V1.4 2019-12-31 云滴 - 升级支持等保2.0,合并等保二级内 容,增加二维码 V1.5 2020-01-31 云滴 - 作者二维码移到了前置条件章节 V1.6 2020-06-30 敬海 - 修改细节 V1.7 2021-01-27 敬海 更新版本 V1.8 2021-02-23 敬海 更新数据库审计章节 V1.9 2021-05-13 敬海 更新云防火墙部分截图,增加数据 备份章节 V2.0 2021-06-10 敬海 更新部分内容 V2.1 2021-06-18 敬海 补充部分描述 文档版本:20210120 I
4企业上云实践 等级保护三级评测篇|前言 前言 概述 本文重点解决企业办公、生产等IT系统迁移到阿里云后,在做网络安全等级保护三级 测评的时候,需要开通的相关产品、如何配置及安全防护效果的说明。 应用范围  所有需要过网络安全等级保护三级的单位或企业。  从其他云厂商或自建IDC搬迁到阿里云,或者原生在阿里云平台。 名词解释  操作审计ActionTrail:操作审计ActionTrail会记录您的云账户资源操作,提供操 作记录查询,并可以将审计事件保存到您指定的日志服务Logstore或者OSS存 储空间。利用ActionTrail保存的所有操作记录,您可以实现安全分析、资源变更 追踪以及合规性审计。  访问控制RAM:RAM使您能够安全地集中管理对阿里云服务和资源的访问。您 可以使用 RAM 创建和管理用户和组,并使用各种权限来允许或拒绝他们对云资 源的访问。  日志服务LOG:日志服务(LogService,简称LOG/原SLS)是针对实时数据一 站式服务,在阿里集团经历大量大数据场景锤炼而成。提供日志类数据采集、消 费、投递及查询分析功能,全面提升海量日志处理/分析能力,服务智能研发/运维 /运营/安全等场景。  Web应用防火墙:对网站或者APP的业务流量进行恶意特征识别及防护,将正常、 安全的流量回源到服务器。避免网站服务器被恶意入侵,保障业务的核心数据安 全,解决因恶意攻击导致的服务器性能异常问题。  SSL证书:在云上签发各品牌数字证书,实现网站HTTPS化,使网站可信,防 劫持、防篡改、防监听、安全加密。统一生命周期管理,简化证书部署,一键分 发到CDN、负载均衡、OSS等其它云上产品。  云防火墙:集中管理公网IP的访问策略,内置威胁入侵防御模块(IPS),支持失陷 主机检测、主动外联行为的阻断、业务间访问关系可视,留存6个月网络流量日 志,等保必备。 文档版本:20200618 III
5企业上云实践 等级保护三级评测篇|前言  堡垒机:集中管理资产权限,全程记录操作数据,实时还原运维场景,助力企业 用户构建云上统一、安全、高效运维通道;保障云端运维工作权限可管控、操作 可审计、合规可遵从。  数据库审计:智能解析数据库通信流量,细粒度审计数据库访问行为,帮助企业 精准识别、记录云上数据安全威胁,为云端数据库提供全方位的安全、诊断及维 护能力。  云安全中心:云安全中心是一个实时识别、分析、预警安全威胁的统一安全管理 系统,通过防勒索、防病毒、防篡改、合规检查等安全能力,帮助用户实现威胁 检测、响应、溯源的自动化安全运营闭环,保护云上资产和本地主机并满足监管 合规要求。 文档版本:20200618 IV
6企业上云实践 等级保护三级评测篇|目录 目录 文档版本信息..................................................................................................................................................................I ......................................................................................................................................................................... 法律声明 II ................................................................................................................................................................................ 前言 III 目录.................................................................................................................................................................................V ......................................................................................................................................................................... 前置条件 1 演示环境说明.................................................................................................................................................................2 ................................................................................................................................................................... 1.方案概述 4 ................................................................................................................................................................... 2.示例说明 6 3.搭建基础环境...........................................................................................................................................................8 ................................................................................................................................... 3.1.通过CADT部署资源 8 3.2.配置云上ECS环境(业务系统).............................................................................................................8 ...................................................................................................................................... 3.3.配置云上SLB环境 8 ...................................................................................................................................... 3.4.设置SLB域名解析 9 3.5.部署区域服务器............................................................................................................................................9 ............................................................................................................................................. 4.操作审计ActionTrail 10 4.1.开通ActionTrail(如已开通,请忽略).................................................................................................10 ................................................................................................................................ 4.2.查看ActionTrail日志 11 .............................................................................................................................................. 4.3.开通日志服务 12 4.4.创建跟踪......................................................................................................................................................14 ....................................................................................................................................................... 5.访问控制RAM 18 5.1.云主账号开通双因子认证.........................................................................................................................18 ..................................................................................................................... 5.2.创建拥有所有权限的子账号 23 ...................................................................................................................................... 5.2.1.创建子账号 23 5.2.2.为子账号(ram_enterprise)授权...............................................................................................25 .............................................................................................................. 5.2.3.为子账号启用控制台登录 27 5.2.4.为子账号启用虚拟MFA设备.......................................................................................................30 .............................................................................................................................. 5.2.5.验证子账号登录 31 ............................................................................................................................... 5.3.创建运维RAM子账号 34 5.3.1.创建子账号......................................................................................................................................34 ............................................................................................................ 5.3.2.为子账号(ram_pe)授权 34 5.4.子账号管理..................................................................................................................................................35 .............................................................................................................................. 5.4.1.验证子账号权限 35 .................................................................................. 5.5.在操作审计中查看创建RAM子账号的操作记录 36 6.Web应用防火墙(WAF)....................................................................................................................................37 ........................................................................................................................................ 6.1.开通和接入WAF 37 6.2.通过负载均衡SLB的白名单放行WAF回源IP地址...........................................................................41 ..................................................................................................................... 6.3.在域名服务中配置域名解析 48 ................................................................................................................................... 6.4.验证WAF防护效果 50 文档版本:20200618 V
7企业上云实践 等级保护三级评测篇|目录 6.4.1.Web应用攻击防护效果..................................................................................................................50 ............................................................................................ 6.4.2.七层(HTTP层)CC攻击防护效果 52 .................................................................................................................. 6.4.3.精准访问控制防护效果 56 7.HTTPS证书服务....................................................................................................................................................60 ...................................................................................................................................................... 7.1.购买证书 60 7.2.申请签发......................................................................................................................................................63 ............................................................................................................................. 7.3.使用准备好的免费证书 65 ................................................................................................................................... 7.4.在WAF中绑定证书 67 7.5.通过HTTPS访问网站...............................................................................................................................68 ..................................................................................................... 7.6.停用自定义防护策略“等保三测试” 70 8.云防火墙.................................................................................................................................................................72 .............................................................................................................................................. 8.1.开通云防火墙 72 .............................................................................................................................................. 8.2.配置云防火墙 74 8.2.1.在云防火墙中设置只允许80端口访问.......................................................................................74 ..................................................................................................................................... 8.3.验证云防火墙效果 78 8.3.1.验证放行规则..................................................................................................................................78 .................................................................................................................................. 8.3.2.验证阻断规则 79 .................................................................................................................................. 8.3.3.主动外联预警 84 8.3.4.放行80端口并关闭拒绝所有访问的策略...................................................................................87 ............................................................................................................................. 8.4.验证云防火墙IPS能力 87 8.4.1.外到内的拦截..................................................................................................................................87 .................................................................................................................................. 8.4.2.高危漏洞拦截 88 ......................................................................................................................................... 9.开通并配置云安全中心 91 9.1.开通云安全中心.........................................................................................................................................91 ......................................................................................................................... 9.2.验证云安全中心防护效果 94 9.2.1.Webshell木马检测验证.................................................................................................................94 .............................................................................................................................. 9.2.2.漏洞检测与修复 98 .................................................................................................................................. 9.2.3.等保基线检查 99 9.2.4.网页防篡改....................................................................................................................................108 ............................................................................................................................ 9.2.5.恶意进程云查杀 114 10.开通并配置堡垒机............................................................................................................................................119 ..................................................................................................................................... 10.1.购买堡垒机实例 119 ..................................................................................................................................... 10.2.启用堡垒机实例 122 10.3.管理员配置堡垒机.................................................................................................................................124 ......................................................................................................... 10.3.1. 进入堡垒机实例管理页面 124 10.3.2. 导入ECS资产............................................................................................................................125 .............................................................................................................................. 10.3.3. 新建主机账号 127 .......................................................................................................................... 10.3.4. 主机服务器分组 129 10.3.5. 导入阿里云子账号.....................................................................................................................132 .............................................................................................................................. 10.3.6. 创建运维规则 133 10.4.运维人员使用堡垒机.............................................................................................................................135 .................................................................................................................................. 10.4.1. 登录堡垒机 135 ........................................................................................................................ 10.4.2. 运维ECS服务器 136 10.5.审计人员审计运维记录.........................................................................................................................137 文档版本:20200618 VI
8企业上云实践 等级保护三级评测篇|目录 10.5.1. 历史操作记录审计.....................................................................................................................137 ......................................................................................................... 10.5.2. 查看当前正在运维的人员 138 ...................................................................................................................................... 10.5.3. 视频回放 138 10.6.防火墙上配置堡垒机放行规则.............................................................................................................139 ................................................................................ 10.6.1. 防火墙上增加放行堡垒机的60022端口 140 11.开通并配置数据库审计....................................................................................................................................146 ..................................................................................................................................... 11.1.开通数据库审计 146 ..................................................................................................................................... 11.2.配置数据库审计 149 11.2.1. 启用数据库审计实例.................................................................................................................149 ....................................................................................................... 11.2.2. 添加要审计的RDS数据库 150 11.2.3. 添加要审计的自建Mysql数据库.............................................................................................152 ................................................................................................................................... 11.2.4. 安装agent 154 ........................................................................................................................................... 11.3.造SQL日志 156 11.3.1. 造RDS数据库的SQL日志.....................................................................................................156 ................................................................................. 11.3.2. 造ECS自建mysql数据库的SQL日志 157 11.4.查看审计日志.........................................................................................................................................159 ................................................................................................................................................................. 12.高可用 162 ................................................................................................................................. 12.1.云产品高可用实例 162 12.2.高可用架构.............................................................................................................................................162 ................................................................................................................................ 12.3.大流量DDoS防护 162 13.日志集中管理....................................................................................................................................................163 ........................................................................................................................................................ 14.开启云监控 164 ............................................................................................................................................................. 15.数据安全 165 16.数据备份.............................................................................................................................................................166 文档版本:20200618 VII