备案控制台
阿里云 全部技术解决方案

传统企业业务上云基础安全防护

相关产品

客户案例

相关推荐

合作伙伴

Popeyes China
Popeyes China

Popeyes 成立于美国路易斯安那州,拥有超过45年的品牌历史和烹饪传统的炸鸡专家。在美国等其他国家,已经拥有超过3000家门店。我们用爱与灵魂,时间与关怀制作出世界著名炸鸡。

智慧科技会展(北京)集团股份公司
智慧科技会展(北京)集团股份公司

智慧科技会展集团作为国内领先的会展综合服务集团,首创“SMART M.I.C.E.”(智慧会展)模式,并作为先行者及领导者,率先推出全新服务体系,暨通过“线上+线下”模式完成全场景会议活动的端到端服务,同时在国家相关部委支持下,实现服务标准化,通过覆盖全国的专业人才网络完成落地服务。新体系颠覆了传统劳力密集型模式,帮助客户实现节省、高效、合规、便捷的会议管理及相关服务,拥有整合营销、会议平台、人才网络、智能硬件及增值服务等五大业务板块,年业务规模超过15亿。其中会议平台板块产品“会引擎”是国内目前最先进,最具规模的会议服务平台,年处理会议超过50万场。

中华联合财产保险股份有限公司
中华联合财产保险股份有限公司

中华联合保险集团股份有限公司始建于1986年7月15日,前身是新疆生产建设兵团农牧业生产保险公司,是新中国之后我国成立的第二家国有控股保险公司,简称中华保险。2020年6月1日,中华保险集团与阿里巴巴集团在北京签署全面合作协议,阿里云为集团旗下中华财险构建新一代全分布式保险核心系统,助力中华财险数字化加速转型。双方在核心系统层面的合作,开启了保险行业数字化创新的先河。

互联网行业高弹性系统构建

在互联网行业的业务发展中,很多业务具有突发性特点。 例如互联网电商的秒杀、促销等活动,这类业务的特点是时间固定,但访问量不固定。除了提前升级配置之外,客户往往希望系统本身也能有自动弹性伸缩的能力。 对于互联网教育的场景,由于存在放假和工作日的区别,系统也需要有一定的弹性伸缩能力去应对高出平时几倍的压力,等访问减少时,业务系统能释放冗余的资源达到节约成本的目标。 典型场景和需求: 业务系统波动大,以互联网行业为典型代表; 业务系统和数据库系统都要能实现弹性伸缩; 系统可用性高,弹性收缩用户感知小; 支持手工快速提升系统和数据库性能。
专有网络 VPC 云服务器ECS 云数据库RDS MySQL 版 负载均衡 SLB 弹性公网IP 云数据库 Redis 版 弹性伸缩 云速搭CADT

探索阿里云产品,构建云上应用和服务

免费试用

相关产品

客户案例

相关推荐

合作伙伴

云安全中心

云安全中心是一个实时识别、分析、预警安全威胁的统一安全管理系统,通过防勒索、防病毒、防篡改、合规检查等安全能力,帮助用户实现威胁检测、响应、溯源的自动化安全运营闭环,保护云上资产和本地主机并满足监管合规要求。

Web应用防火墙

对网站或者APP的业务流量进行恶意特征识别及防护,将正常、安全的流量回源到服务器。避免网站服务器被恶意入侵,保障业务的核心数据安全,解决因恶意攻击导致的服务器性能异常问题。

数据库审计

智能解析数据库通信流量,细粒度审计数据库访问行为,帮助企业精准识别、记录云上数据安全威胁,为云端数据库提供全方位的安全、诊断、维护及合规能力。

堡垒机

集中管理资产权限,全程记录操作数据,实时还原运维场景,助力企业用户构建云上统一、安全、高效运维通道;保障云端运维工作权限可管控、操作可审计、合规可遵从。

云防火墙

SAAS化云原生防火墙,全面梳理云上资产的互联网暴露和风险情况,一键防护;IPS虚拟补丁可智能防御高危漏洞;集成威胁情报,支持阻断主动外联行为、业务间访问关系可视,网络流量审计,等保必备。

云速搭CADT

云速搭CADT是一款为上云应用提供自助式云架构管理的产品,显著地降低应用云上管理的难度和时间成本。本产品提供丰富的预制应用架构模板,同时也支持自助拖拽方式定义应用云上架构;支持较多阿里云服务的配置和管理。用户可以方便的对云上架构方案的成本、部署、运维、回收进行全生命周期的管理。
Popeyes China
Popeyes China

Popeyes 成立于美国路易斯安那州,拥有超过45年的品牌历史和烹饪传统的炸鸡专家。在美国等其他国家,已经拥有超过3000家门店。我们用爱与灵魂,时间与关怀制作出世界著名炸鸡。

智慧科技会展(北京)集团股份公司
智慧科技会展(北京)集团股份公司

智慧科技会展集团作为国内领先的会展综合服务集团,首创“SMART M.I.C.E.”(智慧会展)模式,并作为先行者及领导者,率先推出全新服务体系,暨通过“线上+线下”模式完成全场景会议活动的端到端服务,同时在国家相关部委支持下,实现服务标准化,通过覆盖全国的专业人才网络完成落地服务。新体系颠覆了传统劳力密集型模式,帮助客户实现节省、高效、合规、便捷的会议管理及相关服务,拥有整合营销、会议平台、人才网络、智能硬件及增值服务等五大业务板块,年业务规模超过15亿。其中会议平台板块产品“会引擎”是国内目前最先进,最具规模的会议服务平台,年处理会议超过50万场。

中华联合财产保险股份有限公司
中华联合财产保险股份有限公司

中华联合保险集团股份有限公司始建于1986年7月15日,前身是新疆生产建设兵团农牧业生产保险公司,是新中国之后我国成立的第二家国有控股保险公司,简称中华保险。2020年6月1日,中华保险集团与阿里巴巴集团在北京签署全面合作协议,阿里云为集团旗下中华财险构建新一代全分布式保险核心系统,助力中华财险数字化加速转型。双方在核心系统层面的合作,开启了保险行业数字化创新的先河。

传统企业业务上云基础安全防护

提供传统企业业务上云后,如何在云上构建网络安全、主机安全、入侵检测、运维审计等可实操最佳实践。
云安全中心 Web应用防火墙 数据库审计 堡垒机 云防火墙 云速搭CADT
微服务架构日志采集运维管理

微服务应用化过程的日志采集运维管理,解决用户微服务改造过程中日志采集处理分析痛点
云服务器ECS 云数据库RDS MySQL 版 文件存储NAS 容器服务 ACK 容器镜像服务 ACR
电商网站数据埋点及分析

对网站用户行为的每一个事件对应的位置进行埋点通过SDK上报/汇总数据进行分析以推动产品优化及指导运营
云服务器ECS 云数据库RDS MySQL 版 日志服务(SLS) DataWorks 云速搭CADT
企业上云等保三级合规

云原生高性价比的等保三级最佳实践;在等保二级基础上,叠加必要的安全产品及高可用架构/满足三级要求
云服务器ECS 日志服务(SLS) 云安全中心 Web应用防火墙 操作审计 数据库审计 堡垒机 云防火墙 SSL证书 云速搭CADT
云上网站经典架构

基于ECS、RDS和SLB经典云上架构,应对传统IDC在成本预估、系统稳定性、灾备等方面的挑战。
专有网络 VPC 云服务器ECS 云数据库RDS MySQL 版 对象存储 OSS 负载均衡 SLB CDN 云速搭CADT
互联网行业高弹性系统构建

在互联网行业的业务发展中,很多业务具有突发性特点。 例如互联网电商的秒杀、促销等活动,这类业务的特点是时间固定,但访问量不固定。除了提前升级配置之外,客户往往希望系统本身也能有自动弹性伸缩的能力。 对于互联网教育的场景,由于存在放假和工作日的区别,系统也需要有一定的弹性伸缩能力去应对高出平时几倍的压力,等访问减少时,业务系统能释放冗余的资源达到节约成本的目标。 典型场景和需求: 业务系统波动大,以互联网行业为典型代表; 业务系统和数据库系统都要能实现弹性伸缩; 系统可用性高,弹性收缩用户感知小; 支持手工快速提升系统和数据库性能。
专有网络 VPC 云服务器ECS 云数据库RDS MySQL 版 负载均衡 SLB 弹性公网IP 云数据库 Redis 版 弹性伸缩 云速搭CADT
服务器迁移

使用阿里云提供的迁移工具将物理服务器、虚拟机以及其他云平台云主机一站式地迁移到阿里云ECS
专有网络 VPC 云服务器ECS 服务器迁移中心 云速搭CADT
云上高并发系统改造

在水平扩展阶段通过SLB挂nginx增加负载均衡扩展性,在数据库拆分阶段通过DRDS进行分库分表。
云服务器ECS 云数据库RDS MySQL 版 数据传输 云解析 PrivateZone 云原生分布式数据库PolarDB-X 云速搭CADT
云桌面远程办公

使用云桌面和VPN网关产品快速构建远程办公环境,在云桌面可以访问企业IDC内的应用和资源
云服务器ECS NAT网关 VPN网关 智能接入网关 云桌面
电商网站业务安全

使用阿里云实现电商网站运营期间的安全防护,包括防爬风险管理、DDoS防御、风险管理产品的能力及操作
云数据库RDS MySQL 版 负载均衡 SLB DDoS防护 风险识别 爬虫风险管理 云速搭CADT
RAM账号权限管理

以电商网站场景为例介绍如何使用访问控制服务(RAM)进行账号权限管理。
专有网络 VPC 云服务器ECS 云数据库RDS MySQL 版 对象存储 OSS 访问控制 云速搭CADT
企业上云数据安全

使用SDDP产品进行敏感数据发现和分级分类,然后对高级别敏感数据进行按需加密存储。
专有网络 VPC 云服务器ECS 对象存储 OSS 密钥管理服务 敏感数据保护 云速搭CADT
杭州提瑞斯法科技有限公司
杭州提瑞斯法科技有限公司

最佳实践和CADT助力提瑞科技构建云服务MSP新范式
广州青莲网络科技有限公司
广州青莲网络科技有限公司

云速搭助力青莲实现极速项目交付

探索阿里云产品,构建云上应用和服务

免费试用

温馨提示

抱歉,登录前您只能看到8页哦。立刻登录,浏览全部技术解决方案最佳实践案例内容!

如果您是企业账号,可以生成子账号授权访问。

BpFile(id=285, bpId=98, name=传统企业业务上云基础安全防护, author=null, keyword=基础安全,攻防对抗,入侵检测,CADT,云防火墙,WAF,云安全中心, description=提供传统企业业务上云后,如何在云上构建网络安全、主机安全、入侵检测、运维审计等可实操最佳实践。, position=null, ossUrl=bp-1VMEXOZ0T0X1FTCK.pdf, tags=null, level=null, tagList=null, products=null, productList=null, hotspot=null, oneClick=1, createTime=null, modifiedTime=null, timeConsuming=null, status=1, pdfDescription=

场景描述 越来越多的企业客户选择把自己的生产系统部 署在公共云平台上,以满足自身业务的发展及弹 性扩缩容、稳定性等方面的需求。如何在公共云 上构建基本的网络安全、主机安全、入侵检测、 运维审计等方案,是企业首选的最佳实践。 解决问题 1.服务器安全、应用安全 2.网络安全、数据安全 3.安全审计、安全管理 产品列表 ⚫云安全中心 ⚫Web应用防火墙 ⚫云防火墙 ⚫SSL证书 ⚫数据库审计 ⚫堡垒机

, templateId=7JJB8I7LZ8S3DXEX, freetry=null, visitTime=null, visitCount=null, video_url=null, buttonName=null, buttonUrl=null, targetId=7JJB8I7LZ8S3DXEX, partner=null, partnerUrl=null, partnerLogo=null, cooperation=96,58, cooperationList=null)
1 传统企业业务上云基础安全 最佳实践 场景描述 越来越多的企业客户选择把自己的生产系统部 署在公共云平台上,以满足自身业务的发展及弹 部署架构图 性扩缩容、稳定性等方面的需求。如何在公共云 上构建基本的网络安全、主机安全、入侵检测、 运维审计等方案,是企业首选的最佳实践。 解决问题 1. 服务器安全、应用安全 2. 网络安全、数据安全 3. 安全审计、安全管理 如果有问题请钉钉扫码联系作者: 产品列表 ⚫ 云安全中心 ⚫ Web应用防火墙 ⚫ 云防火墙 ⚫ SSL证书 ⚫ 数据库审计 ⚫ 堡垒机
2文档模板(手册名称)/Error! Use the Home tab to apply 云服务器 ECS(产品名称) 标题 to the text that you want to appear here. 阿里云 传统企业业务上云 基础安全防护最佳实践 文档版本:20150122(发布日期) II
3传统企业业务上云基础安全防护 文档版本信息 文档版本信息 文本信息 属性 内容 文档名称 传统企业业务上云基础安全防护最佳实践 文档编号 098 文档版本 V1.4 版本日期 2020-06-30 文档状态 外部发布 制作人 明誉 审阅人 敬海 文档变更记录 版本编号 日期 作者 审核人 说明 V1.0 2019-09-18 云滴 敬海 创建 V1.1 2019-09-20 筱晖 - 文档工程师优化、验证 V1.2 2019-11-08 筱晖 - 新版控制台迭代 V1.3 2019-12-29 云滴 - 增加概览页、作者二维码 V1.4 2020-06-30 明誉 更新制作人信息 文档版本:20200630 I
4传统企业业务上云基础安全防护 前言 前言 概述 本文重点解决传统大 B客户/政府客户,对云上安全产品 PoC测试验证的场景需求, 具体包括云上主要包含哪些安全产品、如何配置及安全防护效果的说明。 应用范围 客户自己 PoC,SA或合作伙伴给客户 PoC时使用。 名词解释 ⚫ 访问控制 RAM:RAM使您能够安全地集中管理对阿里云服务和资源的访问。您 可以使用 RAM 创建和管理用户和组,并使用各种权限来允许或拒绝他们对云资 源的访问。 ⚫ Web应用防火墙:对网站或者 APP的业务流量进行恶意特征识别及防护,将正 常、安全的流量回源到服务器。避免网站服务器被恶意入侵,保障业务的核心数据 安全,解决因恶意攻击导致的服务器性能异常问题。 ⚫ SSL证书:在云上签发各品牌数字证书,实现网站 HTTPS化,使网站可信,防劫 持、防篡改、防监听、安全加密。统一生命周期管理,简化证书部署,一键分发到 CDN、负载均衡、OSS等其它云上产品。 ⚫ 云防火墙:集中管理公网 IP的访问策略,内置威胁入侵防御模块(IPS),支持失陷 主机检测、主动外联行为的阻断、业务间访问关系可视,留存 6个月网络流量日 志,等保必备。 ⚫ 云安全中心:云安全中心是一个实时识别、分析、预警安全威胁的统一安全管理系 统,通过防勒索、防病毒、防篡改、合规检查等安全能力,帮助用户实现威胁检测、 响应、溯源的自动化安全运营闭环,保护云上资产和本地主机并满足监管合规要 求。 ⚫ 堡垒机:集中管理资产权限,全程记录操作数据,实时还原运维场景,助力企业用 户构建云上统一、安全、高效运维通道;保障云端运维工作权限可管控、操作可审 计、合规可遵从。 ⚫ 数据库审计:智能解析数据库通信流量,细粒度审计数据库访问行为,帮助企业精 文档版本:20200630 III
5传统企业业务上云基础安全防护 前言 准识别、记录云上数据安全威胁,为云端数据库提供全方位的安全、诊断及维护能 力。 文档版本:20200630 IV
6传统企业业务上云基础安全防护 目录 目录 文档版本信息 ........................................................................................................................................................ I 法律声明 ............................................................................................................................................................... II 前言 ..................................................................................................................................................................... III 目录 ...................................................................................................................................................................... V 前置条件 ............................................................................................................................................................... 1 演示环境说明 ....................................................................................................................................................... 2 方案概述 ............................................................................................................................................................... 3 1. Web应用防火墙(WAF) ............................................................................................................................ 4 1.1. 开通和接入 WAF ............................................................................................................................ 4 1.2. 通过负载均衡 SLB的白名单放行 WAF回源 IP地址 ..................................................................... 8 1.3. 在域名服务中配置域名解析 ....................................................................................................... 14 1.4. 验证 WAF防护效果 ..................................................................................................................... 16 1.4.1. Web应用攻击防护效果 ....................................................................................................... 16 1.4.2. 七层(HTTP层)CC攻击防护效果 ..................................................................................... 17 1.4.3. 精准访问控制防护效果 ....................................................................................................... 21 2. HTTPS证书服务 .......................................................................................................................................... 25 2.1. 购买证书 ...................................................................................................................................... 25 2.2. 申请签发 ...................................................................................................................................... 28 2.3. 使用准备好的免费证书 ............................................................................................................... 30 2.4. 在 WAF中绑定证书 ..................................................................................................................... 31 2.5. 通过 HTTPS访问网站 .................................................................................................................. 32 3. 云防火墙 ..................................................................................................................................................... 35 3.1. 开通云防火墙 .............................................................................................................................. 35 3.2. 配置云防火墙 .............................................................................................................................. 36 3.2.1. 在云防火墙中设置只允许 80端口访问 .............................................................................. 37 3.3. 验证云防火墙效果....................................................................................................................... 41 3.3.1. 验证放行规则....................................................................................................................... 41 3.3.2. 验证阻断规则....................................................................................................................... 42 3.4. 验证云防火墙 IPS能力 ................................................................................................................ 45 3.4.1. 外到内的拦截....................................................................................................................... 45 3.4.2. 高危漏洞拦截....................................................................................................................... 47 3.4.3. 主动外联预警....................................................................................................................... 50 4. 云安全中心高级版(原主机安全) ........................................................................................................... 52 4.1. 开通云安全中心 .......................................................................................................................... 52 4.2. 验证云安全中心防护效果 ........................................................................................................... 55 4.2.1. Webshell木马检测验证 ....................................................................................................... 55 4.2.2. 漏洞检测与修复 ................................................................................................................... 58 5. 云安全中心企业版(原态势感知) ........................................................................................................... 60 5.1. 云安全中心高级版升级到企业版 ................................................................................................ 60 5.2. 验证效果 ...................................................................................................................................... 61 文档版本:20200630 V
7传统企业业务上云基础安全防护 目录 5.2.1. 等保基线检查....................................................................................................................... 61 5.2.2. 网页防篡改 .......................................................................................................................... 66 5.2.3. 恶意进程云查杀 ................................................................................................................... 71 6. 堡垒机 ......................................................................................................................................................... 73 6.1. 购买堡垒机实例 .......................................................................................................................... 73 6.2. 启用堡垒机实例 .......................................................................................................................... 76 6.3. 创建 RAM子账号......................................................................................................................... 78 6.3.1. 创建子账号 .......................................................................................................................... 78 6.3.2. 为子账号授权....................................................................................................................... 80 6.3.3. 为子账号启用控制台登录 ................................................................................................... 82 6.3.4. 为子账号启用虚拟 MFA设备 .............................................................................................. 84 6.3.5. 验证子账号登录 ................................................................................................................... 86 6.4. 管理员配置堡垒机....................................................................................................................... 89 6.4.1. 进入堡垒机实例管理页面 ................................................................................................... 89 6.4.2. 导入 ECS资产 ....................................................................................................................... 90 6.4.3. 新建主机账号....................................................................................................................... 92 6.4.4. 主机服务器分组 ................................................................................................................... 97 6.4.5. 导入阿里云子账号 ............................................................................................................. 100 6.4.6. 创建运维规则..................................................................................................................... 102 6.5. 运维人员使用堡垒机 ................................................................................................................. 104 6.5.1. 登录堡垒机 ........................................................................................................................ 105 6.5.2. 运维 ECS服务器 ................................................................................................................. 107 6.6. 审计人员审计运维记录 ............................................................................................................. 107 6.6.1. 历史操作记录审计 ............................................................................................................. 107 6.6.2. 查看当前正在运维的人员 ................................................................................................. 108 6.6.3. 视频回放 ............................................................................................................................ 109 6.7. 防火墙上配置堡垒机放行规则 ................................................................................................. 110 6.7.1. 防火墙上增加放行堡垒机的 60022端口 .......................................................................... 110 6.7.2. 开启防火墙对堡垒机 IP地址的防护 ................................................................................. 115 7. 数据库审计 ............................................................................................................................................... 116 7.1. 开通数据库审计 ........................................................................................................................ 116 7.2. 配置数据库审计 ........................................................................................................................ 119 7.2.1. 启用数据库审计实例 ......................................................................................................... 119 7.2.2. 开启系统管理员和系统审计员 .......................................................................................... 120 7.2.3. 通过系统管理员身份修改免登有效时间........................................................................... 121 7.2.4. 配置数据库审计中的数据库 .............................................................................................. 124 7.2.5. 部署安装 Agent .................................................................................................................. 126 7.3. 造 SQL日志 ................................................................................................................................ 128 7.3.1. 造 RDS数据库的 SQL日志 ................................................................................................. 128 7.3.2. 造 ECS自建 mysql数据库的 SQL日志 ............................................................................... 129 7.4. 查看审计日志 ............................................................................................................................ 130 文档版本:20200630 VI
8前置条件 传统企业业务上云基础安全防护 前置条件 本实践是在《010@游戏、零售等行业服务单元化部署场景下低成本单库单服解决方案》 基础上搭建的,所以在验证本实践时,需要先完成《010@游戏、零售等行业服务单元 化部署场景下低成本单库单服解决方案》中所涉及环境的搭建,然后再执行本实践的 操作步骤。 此外,为了顺利完成本实践,您还需要完成以下任务: ⚫ 手机安装阿里云 APP,用于登录控制台时的双因素认证。 ⚫ 准备一个已备案的一级域名;合作伙伴培训时,可以由培训讲师分配一个二级域 名。 ⚫ 准备远程连接云服务器的工具,能进行远程 SSH即可。 文档版本:20200630 1