安全解决方案介绍

阿里云安全解决方案云安全团队超百人团队，专注云计算安全团队安全产品（网络防DDoS、主机防入侵、WEB防火墙、WEB漏洞扫描、数据库防火墙）安全运营（底层安全、系统网络、WEB安全、数据安全、行业运营）安全研究（APT研究、反欺诈研究、攻防研究、前沿研究）行业安全与合规（安全标准、安全合规、行业安全支持）安全开发（后台产品开发）安全推广行业安全与合规团队贯穿项目支持全过程，行业云安全运营在建设阶段进入项目云安全：两个关键保障云用户安全云服务提供商向客户提供对抗互联网安全威胁的能力——安全服务云服务提供商向客户提供丰富的云产品安全特性云服务提供商为客户提供安全运维措施云服务安全云平台本身具备对抗安全威胁的能力云服务提供稳定、可靠的服务，确保客户业务连续性云平台运维安全，保证客户的数据安全云用户安全云服务安全云安全理念：云安全技术要求安全服务按需提供安全能力弹性扩展安全系统高可用与云平台联动实现快速响应利用大数据分析能力提升安全技术通过安全运营持续提升安全防护能力（安全是动态的攻防对抗过程）云端安全框架云用户安全云服务安全云运营安全数据库防火墙数据审计WEB应用防火墙WEB漏洞检测主机入侵防护双因素认证堡垒机安全组防火墙DDoS攻击防护数据库安全大规模计算安全安全开发解决方案ECS安全OSS安全飞天安全防网络地址欺骗软件开发生命周期安全数据生命周期安全数据安全应用安全系统安全云操作系统安全网络安全应用系统生命周期安全安全审计技术源于对抗：软件安全开发生命周期（SDLC）、秒级响应、自动防御产品源于实战：DDoS、WAF、安骑士、漏洞扫描服务源于用户：聚宝盆催生金融云；众安保险全面上云合规源于行业：ISO27001、等保、全球首个云安全国际认证金牌责任源于使命：让阿里生态圈、阿里云用户获得与阿里集团等同的安全能力及效果云安全品牌阿里云云盾提纲云端系统安全阿里云安全运维阿里云产品安全阿里云安全服务-云盾阿里云云盾目标：保障云用户安全阿里云云盾源自阿里巴巴集团多年安全攻防技术积累，依托云计算的高弹性扩展和大数据分析能力，为客户提供云端安全接入IT运维审计防攻击与入侵云平台应用安全数据安全网络安全物理安全系统安全云安全运营主机入侵防护DDoS攻击防护Web应用防火墙安全组防火墙大数据安全分析集群数据库防火墙网站漏洞检测VPN\专线接入堡垒机异常外联自动检测数据库审计双因素认证DDoS防御基于对攻击流量进行牵引操作，将攻击流量牵引至专门的DDoS攻击防护中心进行防御。主要分DDoS攻击预警模块和DDoS攻击清洗集群两大部分能有效抵御所有各类基于网络层、传输层及应用层的各种DDoS攻击，包括最新DNSQueryFlood、NTPreplyFlood利用大数据分析技术实现对云上应用类型进行全自动检测、攻击策略全自动匹配，总体响应时间<5秒。清洗服务可用性99.99%曾经全自动防御最大超过300G混合DDoS攻击云盾安全组防火墙使用物理机上的iptables实现云服务器的安全组防火墙安全组防火墙规则下发到安全组内云服务器所在的物理机上云服务器之间默认无法互访当不同云服务器加入同一个安全组时，云服务器控制系统自动下发安全组防火墙规则，允许同一安全组内的云服务器之间可以互访在云盾控制台或者通过OpenAPI授权安全组访问时，云服务器控制系统下发对应的安全组防火墙规则云盾云盾主机入侵防护主机入侵防护通过监测系统层和应用层的攻击行为，通过云端的联动和基于大数据模型的入侵快速鉴定技术，实时发现黑客入侵行为采用C/S架构，通过日志监控，文件分析，特征扫描等手段提供，账号暴力破解，webshell查杀，异地登陆报警等防入侵措施针对性防御SQL

SERVER、MYSQL、SSH、RDP、FTP等服务的暴力破解攻击，主机异常登陆报警，主机恶意软件和后门检测及清除主机入侵防护目前支持Linux/Windowsserver云盾WEB应用防火墙Web应用防火墙是通过执行一系列针对HTTP的安全策略来专门为Web应用提供保护的一款产品精准：利用阿里云大数据能力，对海量数据进行分析，实现精准的应用层防护，WAF实时拦截WEB攻击快速：实现防护能力快速升级，防护算法和规则快速更新，24小时内拦截新出的0day漏洞攻击全面：实时拦截各种WEB攻击，能有效拦截各种SQL注入，XSS跨站类型的WEB攻击，免除临时修改代码的烦恼云盾网站漏洞检测及修复集群分布式的网站漏洞扫描系统，聚焦于对构建在云服务器上网站的web漏洞发现基于分布式集群架构，构建了任务管理中心，扫描发送，应答接收的三大功能结构。扫描范围覆盖检测的漏洞类型覆盖OWASP、WASC、CNVD的漏洞分类系统支持恶意篡改检测，支持Web2.0、AJAX、各种脚本语言、PHP、ASP、.NET和Java等环境，支持复杂字符编码、chunk,gzip,deflate等压缩方式、多种认证方式（Basic、NTLM、Cookie、SSL等），支持代理、HTTPS、DNS绑定扫描等支持流行的百余种第三方建站系统独有漏洞扫描提供WEB漏洞修复建议云盾数据库防火墙基于数据库协议分析与控制技术的数据库安全防护系统SQL审计防SQL注入阿里云云盾：纵深防护体系网络层应用层主机层ODPS网络扫描DDoSWeb应用漏洞攻击密码暴力破解植入木马后门对外发起恶意网络行为踩点扫描攻击攻击成功后主机入侵防护数据库防火墙网络入侵防护DDoS防护提供基础数据更新安全算法规则数据层拖库云WAF提纲云端系统安全阿里云安全运维阿里云产品安全阿里云安全服务-云盾云服务安全目标：保障云服务安全异常协议检测飞天Linux集群ECS安全OSS安全云平台应用安全数据安全网络安全物理安全系统安全ODPS安全软件安全开发生命周期RDS安全其他云产品其他云产品ISV安全开发解决方案建立软件安全开发生命周期（SDLC）需求分析：识别云服务安全需求和风控需求产品设计：攻击面分析、威胁建模、安全功能编码阶段：采用安全开发框架，遵循编码规范测试阶段：渗透测试结合代码审计发布阶段：参照安全规范实施整体加固覆盖所有云服务产品和云平台，保障产品安全质量输出SDLC方法论，提升ISV安全开发水平基于云端安全威胁构建云服务安全功能或属性云服务安全云安全威胁防止恶意代码入侵到宿主机防止入侵到宿主机Linux提权解决方案构建语言级别、虚拟化级别、LinuxKernel级别沙箱防止恶意代码入侵增加云平台内核提权检测模块，防止黑客入侵后提权异常协议检测飞天Linux集群ECS安全OSS安全云平台应用安全数据安全网络安全物理安全系统安全ODPS安全软件安全开发生命周期RDS安全其他云产品其他云产品ISV安全开发解决方案云服务安全云服务器安全多用户安全隔离通过XenHypervisor隔离云服务器CPU、内存和存储通过安全组防火墙隔离不同用户云服务器防止地址欺骗以太网协议白名单仅允许ARP、IPv4通信过滤欺骗性质的攻击报文（arp、mac、ip）防止云端数据意外丢失云服务器镜像多副本、分布式存储云服务器故障自动恢复云服务器磁盘快照LinuxHypervisor(Xen)LinuxHypervisor(Xen)LinuxHypervisor(Xen)飞天大规模分布式计算系统AppOSVM安全组安全组AppOSVMAppOSVMAppOSVMAppOSVM安全组ECS云服务安全VPCVPC虚拟专有云安全基于软件自定义网络（SDN）技术用户可自定义网络拓扑以及IP地址段，贴近传统的网络安全域划分通过二层隔离技术，让不同的用户处于不同的私网云VM跨机房漂移纯私网的高安全性云业务，sitetositevpn连接云存储安全API防止身份伪造基于AK密钥机制的身份验证支持HTTPS传输加密防止多租户数据泄露存储容器ACL或Policy访问控制防止数据意外丢失Meta、Data分离切片、三副本离散存储云服务安全云服务安全RDS可用区可用区可用区DB实例1-备DB实例1-主DB实例2-主DB实例2-备Proxy+DBFWOSSRDS用户无OS权限数据库实例隔离默认一主一备白名单限制访问源IP内网访问模式防暴力破解SQL审计多种数据库备份策略7天数据回滚双因素认证运维操作审核运维操作监控云数据库安全防止口令暴力破解及非法登录引发入侵内置口令防暴力破解模块白名单限制访问源IP防止云服务商未经授权访问用户数据运维DBA采用双因素认证运维操作多级审核运维操作实时审计运维操作日志支持离线提取提纲云端系统安全阿里云安全运维阿里云产品安全阿里云安全服务-云盾云平台应用安全数据安全网络安全物理安全系统安全集中登录平台运维监控运维堡垒机双因素认证多重授权宿主机系统审计网络流量审计运维操作审计集中日志平台访问与鉴权云端管控审计平台数据安全总纲目的：保证运维可信、可追溯、可审计建立贯穿数据、应用、系统、云平台、网络的审计机制和平台全面实施双因素身份认证，无死角云安全运维双路供电灾备演练介质消磁云平台应用安全数据安全网络安全物理安全系统安全集中登录平台运维监控运维堡垒机双因素认证多重授权宿主机系统审计网络流量审计运维操作审计集中日志平台访问与鉴权云端管控审计平台数据安全总纲贯穿数据、应用、系统、云平台、网络的审计机制和平台网络方面通过流量分析定位异常访问请求云平台方面采用集中管理平台各模块访问日志及身份鉴别信息系统方面全面部署宿主机运维堡垒机，对其操作系统日志实施异常审计应用方面所有云产品运维操作均采用实时审计数据方面开发数据流审计系统云安全运维双路供电灾备演练介质消磁提纲云端系统安全阿里云安全运维阿里云产品安全阿里云安全服务-云盾典型应用系统上云安全设计政务云RDS安全组1ECSECS安全组2ECSECS安全组1实例只有内网IP，通过公网SLB为internet提供服务使用安全组防火墙进行隔离使得安全组1成为DMZ区安全组2实例只有内网IP，通过私网SLB为安全组1提供服务RDS使用IP白名单限制访问源IP白名单公网SLB私网SLBAccess内网IP：内网IP：内网IP：内网IP：OSS传统安全与云安全解决方案对比传统安全解决方案阿里云安全解决方案项目说明项目说明防火墙安全组免费VPN云盾（VPN+Token）增值服务AntiDDoS昂贵，一般依赖运营商云盾（DDoS防护能力）免费5G防御、增值防御收费IDS/IPS（入侵检测/防御）云盾（主机入侵防护）免费WAF（Web应用防火墙）云盾（Web应用防火墙）免费漏洞扫描云盾（网站漏洞扫描及修复）免费堡垒机云盾（堡垒机）增值服务SOC云盾（管理控制台）免费安全运营缺乏专业人员安全运营百人专业安全团队，业内顶级攻防经验防病毒无数据防泄漏无硬件加密机无APT防护无网页防篡改无自主