阿里云 最佳实践 最佳实践套装

传统企业业务上云基础安全防护

Ctrl+F / Command+F 全文检索

相关产品

一键部署

客户案例

Popeyes China

Popeyes China

Popeyes 成立于美国路易斯安那州,拥有超过45年的品牌历史和烹饪传统的炸鸡专家。在美国等其他国家,已经拥有超过3000家门店。我们用爱与灵魂,时间与关怀制作出世界著名炸鸡。

中华联合财产保险股份有限公司

中华联合财产保险股份有限公司

中华联合保险集团股份有限公司始建于1986年7月15日,前身是新疆生产建设兵团农牧业生产保险公司,是新中国之后我国成立的第二家国有控股保险公司,简称中华保险。2020年6月1日,中华保险集团与阿里巴巴集团在北京签署全面合作协议,阿里云为集团旗下中华财险构建新一代全分布式保险核心系统,助力中华财险数字化加速转型。双方在核心系统层面的合作,开启了保险行业数字化创新的先河。

智慧科技会展(北京)集团股份公司

智慧科技会展(北京)集团股份公司

智慧科技会展集团作为国内领先的会展综合服务集团,首创“SMART M.I.C.E.”(智慧会展)模式,并作为先行者及领导者,率先推出全新服务体系,暨通过“线上+线下”模式完成全场景会议活动的端到端服务,同时在国家相关部委支持下,实现服务标准化,通过覆盖全国的专业人才网络完成落地服务。新体系颠覆了传统劳力密集型模式,帮助客户实现节省、高效、合规、便捷的会议管理及相关服务,拥有整合营销、会议平台、人才网络、智能硬件及增值服务等五大业务板块,年业务规模超过15亿。其中会议平台板块产品“会引擎”是国内目前最先进,最具规模的会议服务平台,年处理会议超过50万场。

相关推荐

安全&合规 |

传统企业业务上云基础安全防护

提供传统企业业务上云后,如何在云上构建网络安全、主机安全、入侵检测、运维审计等可实操最佳实践。

云安全中心 Web应用防火墙 数据库审计 堡垒机 云防火墙 云速搭CADT
3,958浏览量
数据分析 |

微服务架构日志采集运维管理

微服务应用化过程的日志采集运维管理,解决用户微服务改造过程中日志采集处理分析痛点

云服务器ECS 云数据库RDS MySQL 版 文件存储NAS 容器服务 ACK 容器镜像服务 ACR
5,758浏览量
数据分析 |

电商网站数据埋点及分析

对网站用户行为的每一个事件对应的位置进行埋点通过SDK上报/汇总数据进行分析以推动产品优化及指导运营

云服务器ECS 云数据库RDS MySQL 版 日志服务(SLS) DataWorks Terraform 云速搭CADT
5,947浏览量
安全&合规 |

企业上云等保三级合规

云原生高性价比的等保三级最佳实践;在等保二级基础上,叠加必要的安全产品及高可用架构/满足三级要求

云服务器ECS 日志服务(SLS) 云安全中心 Web应用防火墙 操作审计 数据库审计 堡垒机 云防火墙 SSL证书
视频教程 立即咨询
25,053浏览量
业务上云 |

云上网站经典架构

传统企业、零售和游戏行业系统分级后单库单服系统云上搭建最佳实践,涉及大部分基础云产品。

专有网络 VPC 云服务器ECS 云数据库RDS MySQL 版 负载均衡 SLB CDN 云速搭CADT
视频教程
25,949浏览量
中间件 | 弹性计算 | 数据库 |

互联网行业构建高弹性系统

在互联网行业的业务发展中,很多业务具有突发性特点。 例如互联网电商的秒杀、促销等活动,这类业务的特点是时间固定,但访问量不固定。除了提前升级配置之外,客户往往希望系统本身也能有自动弹性伸缩的能力。 对于互联网教育的场景,由于存在放假和工作日的区别,系统也需要有一定的弹性伸缩能力去应对高出平时几倍的压力,等访问减少时,业务系统能释放冗余的资源达到节约成本的目标。 典型场景和需求: 业务系统波动大,以互联网行业为典型代表; 业务系统和数据库系统都要能实现弹性伸缩; 系统可用性高,弹性收缩用户感知小; 支持手工快速提升系统和数据库性能。

云服务器ECS 云数据库RDS MySQL 版 云数据库 Redis 版 弹性伸缩
视频教程
9,583浏览量
业务上云 |

服务器迁移

使用阿里云提供的迁移工具将物理服务器、虚拟机以及其他云平台云主机一站式地迁移到阿里云ECS

专有网络 VPC 云服务器ECS 服务器迁移中心 云速搭CADT
视频教程
27,296浏览量
业务上云 |

云上高并发系统改造

在水平扩展阶段通过SLB挂nginx增加负载均衡扩展性,在数据库拆分阶段通过DRDS进行分库分表。

云服务器ECS 云数据库RDS MySQL 版 数据传输 云解析 PrivateZone 云原生分布式数据库PolarDB-X 云速搭CADT
6,326浏览量
业务上云 |

云桌面远程办公

使用云桌面和VPN网关产品快速构建远程办公环境,在云桌面可以访问企业IDC内的应用和资源

云服务器ECS NAT网关 VPN网关 智能接入网关 云桌面
11,554浏览量
安全&合规 |

电商网站业务安全

使用阿里云实现电商网站运营期间的安全防护,包括防爬风险管理、DDoS防御、风险管理产品的能力及操作

云数据库RDS MySQL 版 负载均衡 SLB DDoS防护 风险识别 爬虫风险管理 云速搭CADT
6,679浏览量
云上运维 | 安全&合规 |

RAM账号权限管理

以电商网站场景为例介绍如何使用访问控制服务(RAM)进行账号权限管理。

专有网络 VPC 云服务器ECS 云数据库RDS MySQL 版 对象存储 OSS 访问控制 云速搭CADT
视频教程
14,592浏览量
安全&合规 |

企业上云数据安全

使用SDDP产品进行敏感数据发现和分级分类,然后对高级别敏感数据进行按需加密存储。

专有网络 VPC 云服务器ECS 对象存储 OSS 密钥管理服务 敏感数据保护 云速搭CADT
4,759浏览量

产品最佳实践

云安全中心最佳实践Web应用防火墙最佳实践数据库审计最佳实践堡垒机最佳实践云防火墙最佳实践云速搭CADT最佳实践

温馨提示

未登录用户仅可预览8页内容,请您前往登录后浏览更多企业上云最佳实践案例内容。企业账号建议生成子账号授权访问。

BpFile(id=285, bpId=98, name=传统企业业务上云基础安全防护, author=null, keyword=基础安全,攻防对抗,入侵检测,CADT,云防火墙,WAF,云安全中心, description=提供传统企业业务上云后,如何在云上构建网络安全、主机安全、入侵检测、运维审计等可实操最佳实践。, position=null, ossUrl=bp-1VMEXOZ0T0X1FTCK.pdf, tags=null, level=null, tagList=null, products=null, productList=null, hotspot=null, oneClick=1, createTime=null, modifiedTime=null, timeConsuming=null, status=1, pdfDescription=

场景描述 越来越多的企业客户选择把自己的生产系统部 署在公共云平台上,以满足自身业务的发展及弹 性扩缩容、稳定性等方面的需求。如何在公共云 上构建基本的网络安全、主机安全、入侵检测、 运维审计等方案,是企业首选的最佳实践。 解决问题 1.服务器安全、应用安全 2.网络安全、数据安全 3.安全审计、安全管理 产品列表 ⚫云安全中心 ⚫Web应用防火墙 ⚫云防火墙 ⚫SSL证书 ⚫数据库审计 ⚫堡垒机

, templateId=7JJB8I7LZ8S3DXEX, freetry=null, visitTime=null, visitCount=null, video_url=null, buttonName=null, buttonUrl=null, targetId=7JJB8I7LZ8S3DXEX, partner=null, partnerUrl=null, partnerLogo=null, cooperation=96,58, cooperationList=null)
1 传统企业业务上云基础安全 最佳实践 场景描述 越来越多的企业客户选择把自己的生产系统部 署在公共云平台上,以满足自身业务的发展及弹 部署架构图 性扩缩容、稳定性等方面的需求。如何在公共云 上构建基本的网络安全、主机安全、入侵检测、 运维审计等方案,是企业首选的最佳实践。 解决问题 1. 服务器安全、应用安全 2. 网络安全、数据安全 3. 安全审计、安全管理 如果有问题请钉钉扫码联系作者: 产品列表 ⚫ 云安全中心 ⚫ Web应用防火墙 ⚫ 云防火墙 ⚫ SSL证书 ⚫ 数据库审计 ⚫ 堡垒机
2文档模板(手册名称)/Error! Use the Home tab to apply 云服务器 ECS(产品名称) 标题 to the text that you want to appear here. 阿里云 传统企业业务上云 基础安全防护最佳实践 文档版本:20150122(发布日期) II
3传统企业业务上云基础安全防护 文档版本信息 文档版本信息 文本信息 属性 内容 文档名称 传统企业业务上云基础安全防护最佳实践 文档编号 098 文档版本 V1.4 版本日期 2020-06-30 文档状态 外部发布 制作人 明誉 审阅人 敬海 文档变更记录 版本编号 日期 作者 审核人 说明 V1.0 2019-09-18 云滴 敬海 创建 V1.1 2019-09-20 筱晖 - 文档工程师优化、验证 V1.2 2019-11-08 筱晖 - 新版控制台迭代 V1.3 2019-12-29 云滴 - 增加概览页、作者二维码 V1.4 2020-06-30 明誉 更新制作人信息 文档版本:20200630 I
4传统企业业务上云基础安全防护 前言 前言 概述 本文重点解决传统大 B客户/政府客户,对云上安全产品 PoC测试验证的场景需求, 具体包括云上主要包含哪些安全产品、如何配置及安全防护效果的说明。 应用范围 客户自己 PoC,SA或合作伙伴给客户 PoC时使用。 名词解释 ⚫ 访问控制 RAM:RAM使您能够安全地集中管理对阿里云服务和资源的访问。您 可以使用 RAM 创建和管理用户和组,并使用各种权限来允许或拒绝他们对云资 源的访问。 ⚫ Web应用防火墙:对网站或者 APP的业务流量进行恶意特征识别及防护,将正 常、安全的流量回源到服务器。避免网站服务器被恶意入侵,保障业务的核心数据 安全,解决因恶意攻击导致的服务器性能异常问题。 ⚫ SSL证书:在云上签发各品牌数字证书,实现网站 HTTPS化,使网站可信,防劫 持、防篡改、防监听、安全加密。统一生命周期管理,简化证书部署,一键分发到 CDN、负载均衡、OSS等其它云上产品。 ⚫ 云防火墙:集中管理公网 IP的访问策略,内置威胁入侵防御模块(IPS),支持失陷 主机检测、主动外联行为的阻断、业务间访问关系可视,留存 6个月网络流量日 志,等保必备。 ⚫ 云安全中心:云安全中心是一个实时识别、分析、预警安全威胁的统一安全管理系 统,通过防勒索、防病毒、防篡改、合规检查等安全能力,帮助用户实现威胁检测、 响应、溯源的自动化安全运营闭环,保护云上资产和本地主机并满足监管合规要 求。 ⚫ 堡垒机:集中管理资产权限,全程记录操作数据,实时还原运维场景,助力企业用 户构建云上统一、安全、高效运维通道;保障云端运维工作权限可管控、操作可审 计、合规可遵从。 ⚫ 数据库审计:智能解析数据库通信流量,细粒度审计数据库访问行为,帮助企业精 文档版本:20200630 III
5传统企业业务上云基础安全防护 前言 准识别、记录云上数据安全威胁,为云端数据库提供全方位的安全、诊断及维护能 力。 文档版本:20200630 IV
6传统企业业务上云基础安全防护 目录 目录 文档版本信息 ........................................................................................................................................................ I 法律声明 ............................................................................................................................................................... II 前言 ..................................................................................................................................................................... III 目录 ...................................................................................................................................................................... V 前置条件 ............................................................................................................................................................... 1 演示环境说明 ....................................................................................................................................................... 2 方案概述 ............................................................................................................................................................... 3 1. Web应用防火墙(WAF) ............................................................................................................................ 4 1.1. 开通和接入 WAF ............................................................................................................................ 4 1.2. 通过负载均衡 SLB的白名单放行 WAF回源 IP地址 ..................................................................... 8 1.3. 在域名服务中配置域名解析 ....................................................................................................... 14 1.4. 验证 WAF防护效果 ..................................................................................................................... 16 1.4.1. Web应用攻击防护效果 ....................................................................................................... 16 1.4.2. 七层(HTTP层)CC攻击防护效果 ..................................................................................... 17 1.4.3. 精准访问控制防护效果 ....................................................................................................... 21 2. HTTPS证书服务 .......................................................................................................................................... 25 2.1. 购买证书 ...................................................................................................................................... 25 2.2. 申请签发 ...................................................................................................................................... 28 2.3. 使用准备好的免费证书 ............................................................................................................... 30 2.4. 在 WAF中绑定证书 ..................................................................................................................... 31 2.5. 通过 HTTPS访问网站 .................................................................................................................. 32 3. 云防火墙 ..................................................................................................................................................... 35 3.1. 开通云防火墙 .............................................................................................................................. 35 3.2. 配置云防火墙 .............................................................................................................................. 36 3.2.1. 在云防火墙中设置只允许 80端口访问 .............................................................................. 37 3.3. 验证云防火墙效果....................................................................................................................... 41 3.3.1. 验证放行规则....................................................................................................................... 41 3.3.2. 验证阻断规则....................................................................................................................... 42 3.4. 验证云防火墙 IPS能力 ................................................................................................................ 45 3.4.1. 外到内的拦截....................................................................................................................... 45 3.4.2. 高危漏洞拦截....................................................................................................................... 47 3.4.3. 主动外联预警....................................................................................................................... 50 4. 云安全中心高级版(原主机安全) ........................................................................................................... 52 4.1. 开通云安全中心 .......................................................................................................................... 52 4.2. 验证云安全中心防护效果 ........................................................................................................... 55 4.2.1. Webshell木马检测验证 ....................................................................................................... 55 4.2.2. 漏洞检测与修复 ................................................................................................................... 58 5. 云安全中心企业版(原态势感知) ........................................................................................................... 60 5.1. 云安全中心高级版升级到企业版 ................................................................................................ 60 5.2. 验证效果 ...................................................................................................................................... 61 文档版本:20200630 V
7传统企业业务上云基础安全防护 目录 5.2.1. 等保基线检查....................................................................................................................... 61 5.2.2. 网页防篡改 .......................................................................................................................... 66 5.2.3. 恶意进程云查杀 ................................................................................................................... 71 6. 堡垒机 ......................................................................................................................................................... 73 6.1. 购买堡垒机实例 .......................................................................................................................... 73 6.2. 启用堡垒机实例 .......................................................................................................................... 76 6.3. 创建 RAM子账号......................................................................................................................... 78 6.3.1. 创建子账号 .......................................................................................................................... 78 6.3.2. 为子账号授权....................................................................................................................... 80 6.3.3. 为子账号启用控制台登录 ................................................................................................... 82 6.3.4. 为子账号启用虚拟 MFA设备 .............................................................................................. 84 6.3.5. 验证子账号登录 ................................................................................................................... 86 6.4. 管理员配置堡垒机....................................................................................................................... 89 6.4.1. 进入堡垒机实例管理页面 ................................................................................................... 89 6.4.2. 导入 ECS资产 ....................................................................................................................... 90 6.4.3. 新建主机账号....................................................................................................................... 92 6.4.4. 主机服务器分组 ................................................................................................................... 97 6.4.5. 导入阿里云子账号 ............................................................................................................. 100 6.4.6. 创建运维规则..................................................................................................................... 102 6.5. 运维人员使用堡垒机 ................................................................................................................. 104 6.5.1. 登录堡垒机 ........................................................................................................................ 105 6.5.2. 运维 ECS服务器 ................................................................................................................. 107 6.6. 审计人员审计运维记录 ............................................................................................................. 107 6.6.1. 历史操作记录审计 ............................................................................................................. 107 6.6.2. 查看当前正在运维的人员 ................................................................................................. 108 6.6.3. 视频回放 ............................................................................................................................ 109 6.7. 防火墙上配置堡垒机放行规则 ................................................................................................. 110 6.7.1. 防火墙上增加放行堡垒机的 60022端口 .......................................................................... 110 6.7.2. 开启防火墙对堡垒机 IP地址的防护 ................................................................................. 115 7. 数据库审计 ............................................................................................................................................... 116 7.1. 开通数据库审计 ........................................................................................................................ 116 7.2. 配置数据库审计 ........................................................................................................................ 119 7.2.1. 启用数据库审计实例 ......................................................................................................... 119 7.2.2. 开启系统管理员和系统审计员 .......................................................................................... 120 7.2.3. 通过系统管理员身份修改免登有效时间........................................................................... 121 7.2.4. 配置数据库审计中的数据库 .............................................................................................. 124 7.2.5. 部署安装 Agent .................................................................................................................. 126 7.3. 造 SQL日志 ................................................................................................................................ 128 7.3.1. 造 RDS数据库的 SQL日志 ................................................................................................. 128 7.3.2. 造 ECS自建 mysql数据库的 SQL日志 ............................................................................... 129 7.4. 查看审计日志 ............................................................................................................................ 130 文档版本:20200630 VI
8前置条件 传统企业业务上云基础安全防护 前置条件 本实践是在《010@游戏、零售等行业服务单元化部署场景下低成本单库单服解决方案》 基础上搭建的,所以在验证本实践时,需要先完成《010@游戏、零售等行业服务单元 化部署场景下低成本单库单服解决方案》中所涉及环境的搭建,然后再执行本实践的 操作步骤。 此外,为了顺利完成本实践,您还需要完成以下任务: ⚫ 手机安装阿里云 APP,用于登录控制台时的双因素认证。 ⚫ 准备一个已备案的一级域名;合作伙伴培训时,可以由培训讲师分配一个二级域 名。 ⚫ 准备远程连接云服务器的工具,能进行远程 SSH即可。 文档版本:20200630 1