云安全解决处理办法(三个阶段)

1、云安全解决方案for渠道阿里云计算有限公司2016年08月目录 TOC o 1-5 h z HYPERLINK l bookmark11 o Current Document 第1章安全威胁分析 3 HYPERLINK l bookmark15 o Current Document 第2章 安全解决方案描述 4 HYPERLINK l bookmark17 o Current Document Web应用防火墙 4 HYPERLINK l bookmark19 o Current Document DDOS 高防服务 5 HYPERLINK l bookmark21 o Current Doc

2、ument 主机入侵防御 6 HYPERLINK l bookmark23 o Current Document 威胁态势感知服务 7 HYPERLINK l bookmark25 o Current Document 服务内容 8 HYPERLINK l bookmark27 o Current Document 方案总结 8第1章安全威胁分析近几年关于网站被篡改、网络钓鱼、SQL注入和跨站脚本等带来严重后果的 攻击事件频频发生，严重影响了人们对企业业务公信力的认可， 更严重的情况是 对用户造成隐私数据泄露和资金损失。根据Gartner的数据分析，80%基于Web的应用都存在安全问题，其中很

3、大 一部分是相当严重的问题。随着 web应用中间件和应用平台的新漏洞被发现， 针对性的病毒、木马、蠕虫及自动化的攻击工具往往会很快出现， 进而出现一波 又一波Web攻击浪潮，导致服务器被控制、 Web服务中断、客户信息被窃取、 业务欺诈的事件的发生。同时，由于 XSS CSRF Cookie窃取等攻击导致合法用 户的客户端被控制、信息被窃取、被欺诈、被敲诈等事件发生，造成巨大的政治 风险、名誉损失、公信力下降等不良社会影响。阿里云经过近10年的安全对抗实战，总结了一套基于云环境下，从防御 感知-渗透的安全红蓝对抗体系。构建红蓝军对抗的安全51抗体系防御能力渗透能力奉世：/喃，j期军；向比：WD

4、5入侵防也感知能力生机：暴力版g护，皿泌由唯利感先急野感知感知.安上大屏XXXS前业务架构主要为B/S架构，由于Web应用的开放性、用户的大众性,使其成为最佳的攻击和威胁目标，网站面临的安全威胁较大根据云上用户对安全防护的特殊性，推荐按照如下阶段进行安全防御体系的 建设，根据和XXX客户的沟通，此次建议推荐下图 第I阶段的基础防御体系和 第二阶段安全感知体系，。如何构建云上的安全体系WAF阿第【翰段r EW5 10%格城豆油防同惋系安全理第口物由，预均St安全啸却体系星川茹国,预mi 5-20%构陶攻防对抗和安全托臂体系第2章安全解决方案描述Web应用防火墙服务场景针又t WEBk务系统可以选

5、用第Web应用防火墙（WebApplication Firewall, 以下简称“ WAF ），加强网站应用层的防护能力。服务内容云应用防火墙包括以下功能:功能模块功能内容Web应用防火墙提供OWASP TOP 1筹各种web通用攻击防御能力；后效应对盗链、跨站请求伪造等特殊攻击；提供全面的内容管理系统（CMS 0day防护策略；基于URLM度的安全规则实现不同资源的差异化防护；基于URL规则的白名单，因网站质量引起的误判处理达到最 佳平衡；提供针对应用层CC攻击的防御能力。云WAF的工作方式是将 WE面量映射到云WAFt,由云WAF等流量清洗后再代理转发到应用服务器，完成整个 WEEK用防护

6、。模拟部署图如下：云4卜云租户可自行登陆到云 WAF供的WE/面进行管理，可查看应用系统的防 护日志和多维度安全报表。客户收益防止网络Web入侵，保证网站业务的连续性。DDOS高防服务服务场景云盾DDoSW防IP是针对互联网服务器（包括非阿里云主机）在遭受大流量 的DD。畋击后导致服务不可用的情况下，推出的付费增值服务，用户可以通过 配置高防IP,将攻击流量引流到高防IP,确保源站的稳定可靠。服务内容DDO宓防服务可以提供包括但不限于以下攻击类型 ICMP Flood、UDPFlood、 TCP Flood、SYN Flood、ACK Flood、CC攻击等攻击防御DDoS&护服务可随时更换防

7、护的IP,自由配置高级别防护IPDDoS&护阈值弹性调整，随时升级更高级别的防护，整个过程服务无中断提供实时精准的流量报表及攻击详情，及时准确获得当前服务详情服务标准如下：1、清洗防护效果的可用性：95%2、故障排查速度：工单响应3、技术支持：7*24小时4、报表提供：详细报表5、防御策略托管：自主可配6、日志留存：一年7、攻击取证：系统提醒客户收益享受高服务水平的防御能力，保障租户网站的高可用性；无需部署应用防火墙，零运维成本，实现应用层攻击防护。主机入侵防御服务场景主机入侵防护系统针对网络安全最大威胁之一的密码暴力破解、黑客恶意上传的木马文件、恶意脚本提供有效检测防护。服务内容主机入侵防护

8、系统提供以下功能: 密码暴力破解防护： 支持 Windows和Linux,针对SSH RDR Telnet、 Ftp、MySQL MS SQL Serve等等常见程序进行监控；网站后门检测：检测PHR ASR JSR .NET JAVA等代码写的 webshell, 对检测出来的后门进行访问控制和隔离操作，防止后门的再次利用；异地登录检测：在服务器异常登录事件中，有超过半数事件是入侵或者 攻击行为。根据登录情况，识别常用的登录区域，精确到地市级。一旦 出现其他地域尝试登录，通过手机短信预警，减少不必要的损失。漏洞修复：? 通用Web软件漏洞：实时监控和收集全网通用 Web软件漏洞，共 享云盾漏

9、洞应急能力，自研漏洞补丁，快于官方，在漏洞爆发和官 方未发布补丁的窗口期，帮助客户一键修复漏洞，拦截黑客攻击? Windows系统漏洞：订阅微软官方补丁消息，在官方补丁发布的同 时，专家同步分析漏洞的危害和更新补丁的必要性，对于高危漏洞 第一时间更新扫描规则，对受影响的客户进行通知和引导一键修复? 灰度更新和一键回滚：支持批量或单台服务器进行灰度更新，确保 业务稳定后可全部更新。同时支持一键回滚和卸载所有补丁，对业 务稳定性影响降到最低，安全地打补丁客户收益安全防护的最后一道防线，降低主机被入侵的概率，保障业务连续性。威胁态势感知服务服务场景为业务系统提供实时的多维度的威胁态势感知，有效捕捉高

10、级攻击者使用的0day漏洞攻击、新型病毒攻击事件、和正在发生的安全攻击行为有效的展示， 帮助云上租户实现云上业务安全可视和可感知。服务内容威胁态势感知是阿里云安全利用大数据，通过威胁态势感知系统从攻击者的 角度，有效捕捉高级攻击者使用的 0day漏洞攻击、新型病毒攻击事件、和正在 发生的安全攻击行为有效的展示，帮助云上租户实现云上业务安全可视和可感知。威胁态势功能具有以下功能：入侵检测基于行为特征的webshell检测，恶意病毒的沙箱检测，精确查杀，在大规 模云计算环境中，对入侵行为进行分析，从流量行为，主机行为中获取恶意特征 对那些能够引发网络安全态势发生变化的要素进行全面、快速和准确地捕获

11、和分 析。弱点分析全方位的发现云上租户业务应用的 web漏洞，主机漏洞，配置漏洞，弱口令扫描SQL注入，XSS等各种web漏洞和第三方开源程序漏洞，并对主机 ECS 漏洞、配置项漏洞做到实时监控和发现， 同时可以实现对漏洞进行实时回扫， 提 开漏洞修复周期和漏洞解决时间。威胁分析阿里安全专家对数据建模，进行实时安全分析，所有的威胁分析，均由阿里 安全专家进行离线分析，数据模型来自大数据分析后结果。服务收益为网站提供全方位、全天候的可视、可感知的安全监测和预警服务，客户可 以实时了解业务系统的安全现状，防患于未然。方案总结通过网络层、主机层、应用和安全管理，全部方位保障业务系统数据的安全性，防止数据泄露等安全事件发生，保障云上的系统比传统数据中心的安全防护 手段更加有效。云安全解决方案传统数据中心安全管理应用安全SOC S1EM硬件WAF主机安全传统主机昉御系统网络接入接件防DDoS产品多链路十LLB本方案目标如下：一.强化外部威胁检测和展现，对网站系统进行实时全方位的安全威胁态势 感知，及时发现安全