传统企业业务上云基础安全防护

1 传统企业业务上云基础安全 最佳实践 场景描述 越来越多的企业客户选择把自己的生产系统部 署在公共云平台上，以满足自身业务的发展及弹 部署架构图 性扩缩容、稳定性等方面的需求。如何在公共云 上构建基本的网络安全、主机安全、入侵检测、 运维审计等方案，是企业首选的最佳实践。 解决问题 1. 服务器安全、应用安全 2. 网络安全、数据安全 3. 安全审计、安全管理 如果有问题请钉钉扫码联系作者： 产品列表 ⚫ 云安全中心 ⚫ Web应用防火墙 ⚫ 云防火墙 ⚫ SSL证书 ⚫ 数据库审计 ⚫ 堡垒机

2文档模板（手册名称）/Error! Use the Home tab to apply 云服务器 ECS（产品名称） 标题 to the text that you want to appear here. 阿里云 传统企业业务上云 基础安全防护最佳实践 文档版本：20150122（发布日期） II

3传统企业业务上云基础安全防护 文档版本信息 文档版本信息 文本信息 属性 内容 文档名称 传统企业业务上云基础安全防护最佳实践 文档编号 098 文档版本 V1.4 版本日期 2020-06-30 文档状态 外部发布 制作人 明誉 审阅人 敬海 文档变更记录 版本编号 日期 作者 审核人 说明 V1.0 2019-09-18 云滴 敬海 创建 V1.1 2019-09-20 筱晖 - 文档工程师优化、验证 V1.2 2019-11-08 筱晖 - 新版控制台迭代 V1.3 2019-12-29 云滴 - 增加概览页、作者二维码 V1.4 2020-06-30 明誉 更新制作人信息 文档版本：20200630 I

4传统企业业务上云基础安全防护 前言 前言 概述 本文重点解决传统大 B客户/政府客户，对云上安全产品 PoC测试验证的场景需求， 具体包括云上主要包含哪些安全产品、如何配置及安全防护效果的说明。 应用范围 客户自己 PoC，SA或合作伙伴给客户 PoC时使用。 名词解释 ⚫ 访问控制 RAM：RAM使您能够安全地集中管理对阿里云服务和资源的访问。您 可以使用 RAM 创建和管理用户和组，并使用各种权限来允许或拒绝他们对云资 源的访问。 ⚫ Web应用防火墙：对网站或者 APP的业务流量进行恶意特征识别及防护，将正 常、安全的流量回源到服务器。避免网站服务器被恶意入侵，保障业务的核心数据 安全，解决因恶意攻击导致的服务器性能异常问题。 ⚫ SSL证书：在云上签发各品牌数字证书，实现网站 HTTPS化，使网站可信，防劫 持、防篡改、防监听、安全加密。统一生命周期管理，简化证书部署，一键分发到 CDN、负载均衡、OSS等其它云上产品。 ⚫ 云防火墙：集中管理公网 IP的访问策略，内置威胁入侵防御模块(IPS)，支持失陷 主机检测、主动外联行为的阻断、业务间访问关系可视，留存 6个月网络流量日 志，等保必备。 ⚫ 云安全中心：云安全中心是一个实时识别、分析、预警安全威胁的统一安全管理系 统，通过防勒索、防病毒、防篡改、合规检查等安全能力，帮助用户实现威胁检测、 响应、溯源的自动化安全运营闭环，保护云上资产和本地主机并满足监管合规要 求。 ⚫ 堡垒机：集中管理资产权限，全程记录操作数据，实时还原运维场景，助力企业用 户构建云上统一、安全、高效运维通道；保障云端运维工作权限可管控、操作可审 计、合规可遵从。 ⚫ 数据库审计：智能解析数据库通信流量，细粒度审计数据库访问行为，帮助企业精 文档版本：20200630 III

5传统企业业务上云基础安全防护 前言 准识别、记录云上数据安全威胁，为云端数据库提供全方位的安全、诊断及维护能 力。 文档版本：20200630 IV

6传统企业业务上云基础安全防护 目录 目录 文档版本信息 ........................................................................................................................................................ I 法律声明 ............................................................................................................................................................... II 前言 ..................................................................................................................................................................... III 目录 ...................................................................................................................................................................... V 前置条件 ............................................................................................................................................................... 1 演示环境说明 ....................................................................................................................................................... 2 方案概述 ............................................................................................................................................................... 3 1. Web应用防火墙（WAF） ............................................................................................................................ 4 1.1. 开通和接入 WAF ............................................................................................................................ 4 1.2. 通过负载均衡 SLB的白名单放行 WAF回源 IP地址 ..................................................................... 8 1.3. 在域名服务中配置域名解析 ....................................................................................................... 14 1.4. 验证 WAF防护效果 ..................................................................................................................... 16 1.4.1. Web应用攻击防护效果 ....................................................................................................... 16 1.4.2. 七层（HTTP层）CC攻击防护效果 ..................................................................................... 17 1.4.3. 精准访问控制防护效果 ....................................................................................................... 21 2. HTTPS证书服务 .......................................................................................................................................... 25 2.1. 购买证书 ...................................................................................................................................... 25 2.2. 申请签发 ...................................................................................................................................... 28 2.3. 使用准备好的免费证书 ............................................................................................................... 30 2.4. 在 WAF中绑定证书 ..................................................................................................................... 31 2.5. 通过 HTTPS访问网站 .................................................................................................................. 32 3. 云防火墙 ..................................................................................................................................................... 35 3.1. 开通云防火墙 .............................................................................................................................. 35 3.2. 配置云防火墙 .............................................................................................................................. 36 3.2.1. 在云防火墙中设置只允许 80端口访问 .............................................................................. 37 3.3. 验证云防火墙效果....................................................................................................................... 41 3.3.1. 验证放行规则....................................................................................................................... 41 3.3.2. 验证阻断规则....................................................................................................................... 42 3.4. 验证云防火墙 IPS能力 ................................................................................................................ 45 3.4.1. 外到内的拦截....................................................................................................................... 45 3.4.2. 高危漏洞拦截....................................................................................................................... 47 3.4.3. 主动外联预警....................................................................................................................... 50 4. 云安全中心高级版（原主机安全） ........................................................................................................... 52 4.1. 开通云安全中心 .......................................................................................................................... 52 4.2. 验证云安全中心防护效果 ........................................................................................................... 55 4.2.1. Webshell木马检测验证 ....................................................................................................... 55 4.2.2. 漏洞检测与修复 ................................................................................................................... 58 5. 云安全中心企业版（原态势感知） ........................................................................................................... 60 5.1. 云安全中心高级版升级到企业版 ................................................................................................ 60 5.2. 验证效果 ...................................................................................................................................... 61 文档版本：20200630 V

7传统企业业务上云基础安全防护 目录 5.2.1. 等保基线检查....................................................................................................................... 61 5.2.2. 网页防篡改 .......................................................................................................................... 66 5.2.3. 恶意进程云查杀 ................................................................................................................... 71 6. 堡垒机 ......................................................................................................................................................... 73 6.1. 购买堡垒机实例 .......................................................................................................................... 73 6.2. 启用堡垒机实例 .......................................................................................................................... 76 6.3. 创建 RAM子账号......................................................................................................................... 78 6.3.1. 创建子账号 .......................................................................................................................... 78 6.3.2. 为子账号授权....................................................................................................................... 80 6.3.3. 为子账号启用控制台登录 ................................................................................................... 82 6.3.4. 为子账号启用虚拟 MFA设备 .............................................................................................. 84 6.3.5. 验证子账号登录 ................................................................................................................... 86 6.4. 管理员配置堡垒机....................................................................................................................... 89 6.4.1. 进入堡垒机实例管理页面 ................................................................................................... 89 6.4.2. 导入 ECS资产 ....................................................................................................................... 90 6.4.3. 新建主机账号....................................................................................................................... 92 6.4.4. 主机服务器分组 ................................................................................................................... 97 6.4.5. 导入阿里云子账号 ............................................................................................................. 100 6.4.6. 创建运维规则..................................................................................................................... 102 6.5. 运维人员使用堡垒机 ................................................................................................................. 104 6.5.1. 登录堡垒机 ........................................................................................................................ 105 6.5.2. 运维 ECS服务器 ................................................................................................................. 107 6.6. 审计人员审计运维记录 ............................................................................................................. 107 6.6.1. 历史操作记录审计 ............................................................................................................. 107 6.6.2. 查看当前正在运维的人员 ................................................................................................. 108 6.6.3. 视频回放 ............................................................................................................................ 109 6.7. 防火墙上配置堡垒机放行规则 ................................................................................................. 110 6.7.1. 防火墙上增加放行堡垒机的 60022端口 .......................................................................... 110 6.7.2. 开启防火墙对堡垒机 IP地址的防护 ................................................................................. 115 7. 数据库审计 ............................................................................................................................................... 116 7.1. 开通数据库审计 ........................................................................................................................ 116 7.2. 配置数据库审计 ........................................................................................................................ 119 7.2.1. 启用数据库审计实例 ......................................................................................................... 119 7.2.2. 开启系统管理员和系统审计员 .......................................................................................... 120 7.2.3. 通过系统管理员身份修改免登有效时间........................................................................... 121 7.2.4. 配置数据库审计中的数据库 .............................................................................................. 124 7.2.5. 部署安装 Agent .................................................................................................................. 126 7.3. 造 SQL日志 ................................................................................................................................ 128 7.3.1. 造 RDS数据库的 SQL日志 ................................................................................................. 128 7.3.2. 造 ECS自建 mysql数据库的 SQL日志 ............................................................................... 129 7.4. 查看审计日志 ............................................................................................................................ 130 文档版本：20200630 VI

8前置条件 传统企业业务上云基础安全防护 前置条件 本实践是在《010@游戏、零售等行业服务单元化部署场景下低成本单库单服解决方案》 基础上搭建的，所以在验证本实践时，需要先完成《010@游戏、零售等行业服务单元 化部署场景下低成本单库单服解决方案》中所涉及环境的搭建，然后再执行本实践的 操作步骤。 此外，为了顺利完成本实践，您还需要完成以下任务： ⚫ 手机安装阿里云 APP，用于登录控制台时的双因素认证。 ⚫ 准备一个已备案的一级域名；合作伙伴培训时，可以由培训讲师分配一个二级域 名。 ⚫ 准备远程连接云服务器的工具，能进行远程 SSH即可。 文档版本：20200630 1