Ctrl+F / Command+F 全文检索
客户案例

相关最佳实践
数据分析 |

微服务应用化过程的日志采集运维管理,解决用户微服务改造过程中日志采集处理分析痛点

云服务器ECS 云数据库RDS MySQL 版 文件存储NAS 容器服务 ACK 容器镜像服务 ACR
数据分析 |

对网站用户行为的每一个事件对应的位置进行埋点通过SDK上报/汇总数据进行分析以推动产品优化及指导运营

云服务器ECS 云数据库RDS MySQL 版 日志服务(SLS) DataWorks Terraform
安全&合规 |

云原生高性价比的等保三级最佳实践;在等保二级基础上,叠加必要的安全产品及高可用架构/满足三级要求

云服务器ECS 日志服务(SLS) 云安全中心 Web应用防火墙 操作审计 数据库审计 堡垒机 云防火墙 SSL证书
业务上云 |

传统企业、零售和游戏行业系统分级后单库单服系统云上搭建最佳实践,涉及大部分基础云产品。

专有网络 VPC 云服务器ECS 云数据库RDS MySQL 版 负载均衡 SLB CDN 云速搭
业务上云 |

在水平扩展阶段通过SLB挂nginx增加负载均衡扩展性,在数据库拆分阶段通过DRDS进行分库分表。

云服务器ECS 云数据库RDS MySQL 版 数据传输 云解析 PrivateZone 云原生分布式数据库PolarDB-X
业务上云 |

使用云桌面和VPN网关产品快速构建远程办公环境,在云桌面可以访问企业IDC内的应用和资源

云服务器ECS NAT网关 VPN网关 智能接入网关 云桌面
安全&合规 |

使用阿里云实现电商网站运营期间的安全防护,包括防爬风险管理、DDoS防御、风险管理产品的能力及操作

云数据库RDS MySQL 版 负载均衡 SLB DDoS防护 风险识别 爬虫风险管理
云上运维 | 安全&合规 |

以电商网站场景为例介绍如何使用访问控制服务(RAM)进行账号权限管理。

专有网络 VPC 云服务器ECS 云数据库RDS MySQL 版 对象存储 OSS 访问控制 云速搭
安全&合规 |

使用SDDP产品进行敏感数据发现和分级分类,然后对高级别敏感数据进行按需加密存储。

专有网络 VPC 云服务器ECS 对象存储 OSS 密钥管理服务 敏感数据保护 云速搭

温馨提示

未登录用户仅可预览8页内容,请您前往登录后浏览更多企业上云最佳实践案例内容。企业账号建议生成子账号授权访问。

BpFile(id=285, bpId=98, name=传统企业业务上云基础安全防护, author=null, keyword=基础安全,攻防对抗,入侵检测, description=提供传统企业业务上云后,如何在云上构建网络安全、主机安全、入侵检测、运维审计等可实操最佳实践。, position=null, ossUrl=bp-DFA7180VOG5E01YZ.pdf, tags=null, level=null, tagList=null, products=null, productList=null, hotspot=null, oneClick=0, createTime=null, modifiedTime=null, timeConsuming=null, status=1, pdfDescription=场景描述 越来越多的企业客户选择把自己的生产系统部 署在公共云平台上,以满足自身业务的发展及弹 性扩缩容、稳定性等方面的需求。如何在公共云 上构建基本的网络安全、主机安全、入侵检测、 运维审计等方案,是企业首选的最佳实践。 解决问题 1.服务器安全、应用安全 2.网络安全、数据安全 3.安全审计、安全管理 产品列表 ⚫云安全中心 ⚫Web应用防火墙 ⚫云防火墙 ⚫SSL证书 ⚫数据库审计 ⚫堡垒机, templateId=null, freetry=null, visitTime=null, visitCount=null, video_url=null, buttonName=null, buttonUrl=null, targetId=null, partner=null, partnerUrl=null, partnerLogo=null)
1 传统企业业务上云基础安全 最佳实践 场景描述 越来越多的企业客户选择把自己的生产系统部 署在公共云平台上,以满足自身业务的发展及弹 部署架构图 性扩缩容、稳定性等方面的需求。如何在公共云 上构建基本的网络安全、主机安全、入侵检测、 运维审计等方案,是企业首选的最佳实践。 解决问题 1. 服务器安全、应用安全 2. 网络安全、数据安全 3. 安全审计、安全管理 如果有问题请钉钉扫码联系作者: 产品列表 ⚫ 云安全中心 ⚫ Web应用防火墙 ⚫ 云防火墙 ⚫ SSL证书 ⚫ 数据库审计 ⚫ 堡垒机
2文档模板(手册名称)/Error! Use the Home tab to apply 云服务器 ECS(产品名称) 标题 to the text that you want to appear here. 阿里云 传统企业业务上云 基础安全防护最佳实践 文档版本:20150122(发布日期) II
3传统企业业务上云基础安全防护 文档版本信息 文档版本信息 文本信息 属性 内容 文档名称 传统企业业务上云基础安全防护最佳实践 文档编号 098 文档版本 V1.4 版本日期 2020-06-30 文档状态 外部发布 制作人 明誉 审阅人 敬海 文档变更记录 版本编号 日期 作者 审核人 说明 V1.0 2019-09-18 云滴 敬海 创建 V1.1 2019-09-20 筱晖 - 文档工程师优化、验证 V1.2 2019-11-08 筱晖 - 新版控制台迭代 V1.3 2019-12-29 云滴 - 增加概览页、作者二维码 V1.4 2020-06-30 明誉 更新制作人信息 文档版本:20200630 I
4传统企业业务上云基础安全防护 前言 前言 概述 本文重点解决传统大 B客户/政府客户,对云上安全产品 PoC测试验证的场景需求, 具体包括云上主要包含哪些安全产品、如何配置及安全防护效果的说明。 应用范围 客户自己 PoC,SA或合作伙伴给客户 PoC时使用。 名词解释 ⚫ 访问控制 RAM:RAM使您能够安全地集中管理对阿里云服务和资源的访问。您 可以使用 RAM 创建和管理用户和组,并使用各种权限来允许或拒绝他们对云资 源的访问。 ⚫ Web应用防火墙:对网站或者 APP的业务流量进行恶意特征识别及防护,将正 常、安全的流量回源到服务器。避免网站服务器被恶意入侵,保障业务的核心数据 安全,解决因恶意攻击导致的服务器性能异常问题。 ⚫ SSL证书:在云上签发各品牌数字证书,实现网站 HTTPS化,使网站可信,防劫 持、防篡改、防监听、安全加密。统一生命周期管理,简化证书部署,一键分发到 CDN、负载均衡、OSS等其它云上产品。 ⚫ 云防火墙:集中管理公网 IP的访问策略,内置威胁入侵防御模块(IPS),支持失陷 主机检测、主动外联行为的阻断、业务间访问关系可视,留存 6个月网络流量日 志,等保必备。 ⚫ 云安全中心:云安全中心是一个实时识别、分析、预警安全威胁的统一安全管理系 统,通过防勒索、防病毒、防篡改、合规检查等安全能力,帮助用户实现威胁检测、 响应、溯源的自动化安全运营闭环,保护云上资产和本地主机并满足监管合规要 求。 ⚫ 堡垒机:集中管理资产权限,全程记录操作数据,实时还原运维场景,助力企业用 户构建云上统一、安全、高效运维通道;保障云端运维工作权限可管控、操作可审 计、合规可遵从。 ⚫ 数据库审计:智能解析数据库通信流量,细粒度审计数据库访问行为,帮助企业精 文档版本:20200630 III
5传统企业业务上云基础安全防护 前言 准识别、记录云上数据安全威胁,为云端数据库提供全方位的安全、诊断及维护能 力。 文档版本:20200630 IV
6传统企业业务上云基础安全防护 目录 目录 文档版本信息 ........................................................................................................................................................ I 法律声明 ............................................................................................................................................................... II 前言 ..................................................................................................................................................................... III 目录 ...................................................................................................................................................................... V 前置条件 ............................................................................................................................................................... 1 演示环境说明 ....................................................................................................................................................... 2 方案概述 ............................................................................................................................................................... 3 1. Web应用防火墙(WAF) ............................................................................................................................ 4 1.1. 开通和接入 WAF ............................................................................................................................ 4 1.2. 通过负载均衡 SLB的白名单放行 WAF回源 IP地址 ..................................................................... 8 1.3. 在域名服务中配置域名解析 ....................................................................................................... 14 1.4. 验证 WAF防护效果 ..................................................................................................................... 16 1.4.1. Web应用攻击防护效果 ....................................................................................................... 16 1.4.2. 七层(HTTP层)CC攻击防护效果 ..................................................................................... 17 1.4.3. 精准访问控制防护效果 ....................................................................................................... 21 2. HTTPS证书服务 .......................................................................................................................................... 25 2.1. 购买证书 ...................................................................................................................................... 25 2.2. 申请签发 ...................................................................................................................................... 28 2.3. 使用准备好的免费证书 ............................................................................................................... 30 2.4. 在 WAF中绑定证书 ..................................................................................................................... 31 2.5. 通过 HTTPS访问网站 .................................................................................................................. 32 3. 云防火墙 ..................................................................................................................................................... 35 3.1. 开通云防火墙 .............................................................................................................................. 35 3.2. 配置云防火墙 .............................................................................................................................. 36 3.2.1. 在云防火墙中设置只允许 80端口访问 .............................................................................. 37 3.3. 验证云防火墙效果....................................................................................................................... 41 3.3.1. 验证放行规则....................................................................................................................... 41 3.3.2. 验证阻断规则....................................................................................................................... 42 3.4. 验证云防火墙 IPS能力 ................................................................................................................ 45 3.4.1. 外到内的拦截....................................................................................................................... 45 3.4.2. 高危漏洞拦截....................................................................................................................... 47 3.4.3. 主动外联预警....................................................................................................................... 50 4. 云安全中心高级版(原主机安全) ........................................................................................................... 52 4.1. 开通云安全中心 .......................................................................................................................... 52 4.2. 验证云安全中心防护效果 ........................................................................................................... 55 4.2.1. Webshell木马检测验证 ....................................................................................................... 55 4.2.2. 漏洞检测与修复 ................................................................................................................... 58 5. 云安全中心企业版(原态势感知) ........................................................................................................... 60 5.1. 云安全中心高级版升级到企业版 ................................................................................................ 60 5.2. 验证效果 ...................................................................................................................................... 61 文档版本:20200630 V
7传统企业业务上云基础安全防护 目录 5.2.1. 等保基线检查....................................................................................................................... 61 5.2.2. 网页防篡改 .......................................................................................................................... 66 5.2.3. 恶意进程云查杀 ................................................................................................................... 71 6. 堡垒机 ......................................................................................................................................................... 73 6.1. 购买堡垒机实例 .......................................................................................................................... 73 6.2. 启用堡垒机实例 .......................................................................................................................... 76 6.3. 创建 RAM子账号......................................................................................................................... 78 6.3.1. 创建子账号 .......................................................................................................................... 78 6.3.2. 为子账号授权....................................................................................................................... 80 6.3.3. 为子账号启用控制台登录 ................................................................................................... 82 6.3.4. 为子账号启用虚拟 MFA设备 .............................................................................................. 84 6.3.5. 验证子账号登录 ................................................................................................................... 86 6.4. 管理员配置堡垒机....................................................................................................................... 89 6.4.1. 进入堡垒机实例管理页面 ................................................................................................... 89 6.4.2. 导入 ECS资产 ....................................................................................................................... 90 6.4.3. 新建主机账号....................................................................................................................... 92 6.4.4. 主机服务器分组 ................................................................................................................... 97 6.4.5. 导入阿里云子账号 ............................................................................................................. 100 6.4.6. 创建运维规则..................................................................................................................... 102 6.5. 运维人员使用堡垒机 ................................................................................................................. 104 6.5.1. 登录堡垒机 ........................................................................................................................ 105 6.5.2. 运维 ECS服务器 ................................................................................................................. 107 6.6. 审计人员审计运维记录 ............................................................................................................. 107 6.6.1. 历史操作记录审计 ............................................................................................................. 107 6.6.2. 查看当前正在运维的人员 ................................................................................................. 108 6.6.3. 视频回放 ............................................................................................................................ 109 6.7. 防火墙上配置堡垒机放行规则 ................................................................................................. 110 6.7.1. 防火墙上增加放行堡垒机的 60022端口 .......................................................................... 110 6.7.2. 开启防火墙对堡垒机 IP地址的防护 ................................................................................. 115 7. 数据库审计 ............................................................................................................................................... 116 7.1. 开通数据库审计 ........................................................................................................................ 116 7.2. 配置数据库审计 ........................................................................................................................ 119 7.2.1. 启用数据库审计实例 ......................................................................................................... 119 7.2.2. 开启系统管理员和系统审计员 .......................................................................................... 120 7.2.3. 通过系统管理员身份修改免登有效时间........................................................................... 121 7.2.4. 配置数据库审计中的数据库 .............................................................................................. 124 7.2.5. 部署安装 Agent .................................................................................................................. 126 7.3. 造 SQL日志 ................................................................................................................................ 128 7.3.1. 造 RDS数据库的 SQL日志 ................................................................................................. 128 7.3.2. 造 ECS自建 mysql数据库的 SQL日志 ............................................................................... 129 7.4. 查看审计日志 ............................................................................................................................ 130 文档版本:20200630 VI
8前置条件 传统企业业务上云基础安全防护 前置条件 本实践是在《010@游戏、零售等行业服务单元化部署场景下低成本单库单服解决方案》 基础上搭建的,所以在验证本实践时,需要先完成《010@游戏、零售等行业服务单元 化部署场景下低成本单库单服解决方案》中所涉及环境的搭建,然后再执行本实践的 操作步骤。 此外,为了顺利完成本实践,您还需要完成以下任务: ⚫ 手机安装阿里云 APP,用于登录控制台时的双因素认证。 ⚫ 准备一个已备案的一级域名;合作伙伴培训时,可以由培训讲师分配一个二级域 名。 ⚫ 准备远程连接云服务器的工具,能进行远程 SSH即可。 文档版本:20200630 1