企业上云等保三级合规

1企业上云等保三级 最佳实践 部署架构图 场景描述 网络安全法中明确要求国家实行网络安全保 护制度，网络运营者有义务履行等级保护制度 要求。阿里云除了提供满足等保合规要求的云 平台外，还为租户侧的应用系统提供完整的云 原生、高性价比的等保三级解决方案。 解决问题 1. 满足等保2.0合规要求 2. 云上高等级安全体系建设 示例部署架构图 产品列表  云安全中心  Web应用防火墙  云防火墙  SSL证书  堡垒机  数据库审计  日志服务LOG  密钥管理服务KMS

2阿里云 企业上云等保三级最佳实践 文档版本：20210618 文档版本：20150122（发布日期） 2

3企业上云实践 等级保护三级评测篇|文档版本信息 文档版本信息 文本信息 属性 内容 文档名称 企业上云等保三级最佳实践 文档编号 039 文档版本 V2.0 版本日期 2021-06-18 文档状态 外部发布 制作人 敬海 审阅人 敬海 文档变更记录 版本编号 日期 作者 审核人 说明 V1.0 2019-05-15 云滴 敬海 创建 V1.1 2019-05-16 筱晖 敬海 文档工程师优化、验证 V1.2 2019-08-12 云滴 敬海 增加方案概述部分；隐式超链接显 式化。 V1.3 2019-10-30 筱晖 - 新版控制台迭代，文档优化。 V1.4 2019-12-31 云滴 - 升级支持等保2.0，合并等保二级内 容，增加二维码 V1.5 2020-01-31 云滴 - 作者二维码移到了前置条件章节 V1.6 2020-06-30 敬海 - 修改细节 V1.7 2021-01-27 敬海 更新版本 V1.8 2021-02-23 敬海 更新数据库审计章节 V1.9 2021-05-13 敬海 更新云防火墙部分截图，增加数据 备份章节 V2.0 2021-06-10 敬海 更新部分内容 V2.1 2021-06-18 敬海 补充部分描述 文档版本：20210120 I

4企业上云实践 等级保护三级评测篇|前言 前言 概述 本文重点解决企业办公、生产等IT系统迁移到阿里云后，在做网络安全等级保护三级 测评的时候，需要开通的相关产品、如何配置及安全防护效果的说明。 应用范围  所有需要过网络安全等级保护三级的单位或企业。  从其他云厂商或自建IDC搬迁到阿里云，或者原生在阿里云平台。 名词解释  操作审计ActionTrail：操作审计ActionTrail会记录您的云账户资源操作，提供操 作记录查询，并可以将审计事件保存到您指定的日志服务Logstore或者OSS存 储空间。利用ActionTrail保存的所有操作记录，您可以实现安全分析、资源变更 追踪以及合规性审计。  访问控制RAM：RAM使您能够安全地集中管理对阿里云服务和资源的访问。您 可以使用 RAM 创建和管理用户和组，并使用各种权限来允许或拒绝他们对云资 源的访问。  日志服务LOG：日志服务（LogService，简称LOG/原SLS）是针对实时数据一 站式服务，在阿里集团经历大量大数据场景锤炼而成。提供日志类数据采集、消 费、投递及查询分析功能，全面提升海量日志处理/分析能力，服务智能研发/运维 /运营/安全等场景。  Web应用防火墙：对网站或者APP的业务流量进行恶意特征识别及防护，将正常、 安全的流量回源到服务器。避免网站服务器被恶意入侵，保障业务的核心数据安 全，解决因恶意攻击导致的服务器性能异常问题。  SSL证书：在云上签发各品牌数字证书，实现网站HTTPS化，使网站可信，防 劫持、防篡改、防监听、安全加密。统一生命周期管理，简化证书部署，一键分 发到CDN、负载均衡、OSS等其它云上产品。  云防火墙：集中管理公网IP的访问策略，内置威胁入侵防御模块(IPS)，支持失陷 主机检测、主动外联行为的阻断、业务间访问关系可视，留存6个月网络流量日 志，等保必备。 文档版本：20200618 III

5企业上云实践 等级保护三级评测篇|前言  堡垒机：集中管理资产权限，全程记录操作数据，实时还原运维场景，助力企业 用户构建云上统一、安全、高效运维通道；保障云端运维工作权限可管控、操作 可审计、合规可遵从。  数据库审计：智能解析数据库通信流量，细粒度审计数据库访问行为，帮助企业 精准识别、记录云上数据安全威胁，为云端数据库提供全方位的安全、诊断及维 护能力。  云安全中心：云安全中心是一个实时识别、分析、预警安全威胁的统一安全管理 系统，通过防勒索、防病毒、防篡改、合规检查等安全能力，帮助用户实现威胁 检测、响应、溯源的自动化安全运营闭环，保护云上资产和本地主机并满足监管 合规要求。 文档版本：20200618 IV

6企业上云实践 等级保护三级评测篇|目录 目录 文档版本信息..................................................................................................................................................................I ......................................................................................................................................................................... 法律声明 II ................................................................................................................................................................................ 前言 III 目录.................................................................................................................................................................................V ......................................................................................................................................................................... 前置条件 1 演示环境说明.................................................................................................................................................................2 ................................................................................................................................................................... 1.方案概述 4 ................................................................................................................................................................... 2.示例说明 6 3.搭建基础环境...........................................................................................................................................................8 ................................................................................................................................... 3.1.通过CADT部署资源 8 3.2.配置云上ECS环境（业务系统）.............................................................................................................8 ...................................................................................................................................... 3.3.配置云上SLB环境 8 ...................................................................................................................................... 3.4.设置SLB域名解析 9 3.5.部署区域服务器............................................................................................................................................9 ............................................................................................................................................. 4.操作审计ActionTrail 10 4.1.开通ActionTrail（如已开通，请忽略）.................................................................................................10 ................................................................................................................................ 4.2.查看ActionTrail日志 11 .............................................................................................................................................. 4.3.开通日志服务 12 4.4.创建跟踪......................................................................................................................................................14 ....................................................................................................................................................... 5.访问控制RAM 18 5.1.云主账号开通双因子认证.........................................................................................................................18 ..................................................................................................................... 5.2.创建拥有所有权限的子账号 23 ...................................................................................................................................... 5.2.1.创建子账号 23 5.2.2.为子账号（ram_enterprise）授权...............................................................................................25 .............................................................................................................. 5.2.3.为子账号启用控制台登录 27 5.2.4.为子账号启用虚拟MFA设备.......................................................................................................30 .............................................................................................................................. 5.2.5.验证子账号登录 31 ............................................................................................................................... 5.3.创建运维RAM子账号 34 5.3.1.创建子账号......................................................................................................................................34 ............................................................................................................ 5.3.2.为子账号（ram_pe）授权 34 5.4.子账号管理..................................................................................................................................................35 .............................................................................................................................. 5.4.1.验证子账号权限 35 .................................................................................. 5.5.在操作审计中查看创建RAM子账号的操作记录 36 6.Web应用防火墙（WAF）....................................................................................................................................37 ........................................................................................................................................ 6.1.开通和接入WAF 37 6.2.通过负载均衡SLB的白名单放行WAF回源IP地址...........................................................................41 ..................................................................................................................... 6.3.在域名服务中配置域名解析 48 ................................................................................................................................... 6.4.验证WAF防护效果 50 文档版本：20200618 V

7企业上云实践 等级保护三级评测篇|目录 6.4.1.Web应用攻击防护效果..................................................................................................................50 ............................................................................................ 6.4.2.七层（HTTP层）CC攻击防护效果 52 .................................................................................................................. 6.4.3.精准访问控制防护效果 56 7.HTTPS证书服务....................................................................................................................................................60 ...................................................................................................................................................... 7.1.购买证书 60 7.2.申请签发......................................................................................................................................................63 ............................................................................................................................. 7.3.使用准备好的免费证书 65 ................................................................................................................................... 7.4.在WAF中绑定证书 67 7.5.通过HTTPS访问网站...............................................................................................................................68 ..................................................................................................... 7.6.停用自定义防护策略“等保三测试” 70 8.云防火墙.................................................................................................................................................................72 .............................................................................................................................................. 8.1.开通云防火墙 72 .............................................................................................................................................. 8.2.配置云防火墙 74 8.2.1.在云防火墙中设置只允许80端口访问.......................................................................................74 ..................................................................................................................................... 8.3.验证云防火墙效果 78 8.3.1.验证放行规则..................................................................................................................................78 .................................................................................................................................. 8.3.2.验证阻断规则 79 .................................................................................................................................. 8.3.3.主动外联预警 84 8.3.4.放行80端口并关闭拒绝所有访问的策略...................................................................................87 ............................................................................................................................. 8.4.验证云防火墙IPS能力 87 8.4.1.外到内的拦截..................................................................................................................................87 .................................................................................................................................. 8.4.2.高危漏洞拦截 88 ......................................................................................................................................... 9.开通并配置云安全中心 91 9.1.开通云安全中心.........................................................................................................................................91 ......................................................................................................................... 9.2.验证云安全中心防护效果 94 9.2.1.Webshell木马检测验证.................................................................................................................94 .............................................................................................................................. 9.2.2.漏洞检测与修复 98 .................................................................................................................................. 9.2.3.等保基线检查 99 9.2.4.网页防篡改....................................................................................................................................108 ............................................................................................................................ 9.2.5.恶意进程云查杀 114 10.开通并配置堡垒机............................................................................................................................................119 ..................................................................................................................................... 10.1.购买堡垒机实例 119 ..................................................................................................................................... 10.2.启用堡垒机实例 122 10.3.管理员配置堡垒机.................................................................................................................................124 ......................................................................................................... 10.3.1. 进入堡垒机实例管理页面 124 10.3.2. 导入ECS资产............................................................................................................................125 .............................................................................................................................. 10.3.3. 新建主机账号 127 .......................................................................................................................... 10.3.4. 主机服务器分组 129 10.3.5. 导入阿里云子账号.....................................................................................................................132 .............................................................................................................................. 10.3.6. 创建运维规则 133 10.4.运维人员使用堡垒机.............................................................................................................................135 .................................................................................................................................. 10.4.1. 登录堡垒机 135 ........................................................................................................................ 10.4.2. 运维ECS服务器 136 10.5.审计人员审计运维记录.........................................................................................................................137 文档版本：20200618 VI

8企业上云实践 等级保护三级评测篇|目录 10.5.1. 历史操作记录审计.....................................................................................................................137 ......................................................................................................... 10.5.2. 查看当前正在运维的人员 138 ...................................................................................................................................... 10.5.3. 视频回放 138 10.6.防火墙上配置堡垒机放行规则.............................................................................................................139 ................................................................................ 10.6.1. 防火墙上增加放行堡垒机的60022端口 140 11.开通并配置数据库审计....................................................................................................................................146 ..................................................................................................................................... 11.1.开通数据库审计 146 ..................................................................................................................................... 11.2.配置数据库审计 149 11.2.1. 启用数据库审计实例.................................................................................................................149 ....................................................................................................... 11.2.2. 添加要审计的RDS数据库 150 11.2.3. 添加要审计的自建Mysql数据库.............................................................................................152 ................................................................................................................................... 11.2.4. 安装agent 154 ........................................................................................................................................... 11.3.造SQL日志 156 11.3.1. 造RDS数据库的SQL日志.....................................................................................................156 ................................................................................. 11.3.2. 造ECS自建mysql数据库的SQL日志 157 11.4.查看审计日志.........................................................................................................................................159 ................................................................................................................................................................. 12.高可用 162 ................................................................................................................................. 12.1.云产品高可用实例 162 12.2.高可用架构.............................................................................................................................................162 ................................................................................................................................ 12.3.大流量DDoS防护 162 13.日志集中管理....................................................................................................................................................163 ........................................................................................................................................................ 14.开启云监控 164 ............................................................................................................................................................. 15.数据安全 165 16.数据备份.............................................................................................................................................................166 文档版本：20200618 VII