阿里云云安全助理工程师复习资料
第一章云平台使用安全
主要介绍当前信息安全的现状和形势,如何利用云平台的优势降低风险,以及如何做好云上资产的安全管理等。
Part 1 典型IT系统架构介绍
基础架构演进的趋势:大型机、PC机和小型机、互联网数据中心、云计算。
2.云计算的三种服务:
SAAS(软件即服务)(行业应用如CRM、OA、ERP等)
PAAS(平台即服务)(云扩展服务,中间件、安全、大数据等)
IAAS(基础设施即服务)(虚拟服务器、存储、网络等)
3.企业上云常见架构:
ALL in one:ECS(云服务器)
应用与数据分离:ECS——RDS(数据库)
应用集群部署:SLB(负载均衡)——ECS应用部署集群——RDS
动静资源分离:SLB——ECS应用部署集群——OSS(文件存储,图片音视频等非结构化) RDS
Part 2信息安全现状及形式
对于云上攻击,一下三点会以安全检测报告形式列出来:
Ddos攻击:大量请求造成拥塞
口令暴力破解:SSH、RDP协议为主,针对端口攻击。
Web应用攻击:SQL注入攻击为主,针对数据库。
(注:SSH secure shell安全外壳协议,建立在应用层基础上的安全协议;
RDP remote desktop protocol 远程桌面协议
SQL 结构化查询语言,数据库查询和程序设计语言。)
2014年1月21日,互联网DNS大劫难,DNS被劫持;
2014年4月,Heartbleed漏洞,涉及网银、门户网站,,可被用于窃取服务器敏感信息,实时抓取用户信息。
Part 3 IT系统风险构成
1.按照等保划分维度:
物理和环境安全:机房环境等;
网络和通信安全:网络架构、边界保护、访问控制、入侵防范、通信加密等;
设备和计算安全:入侵防范、恶意代码防范、访问控制、身份鉴别、集中管控和安
全审计等;
应用和数据安全:安全审计、数据完整性和保密性;
2.云上安全的服务方式:责任分担,共建安全
用户负责“云中内容”的安全性:客户数据;平台、应用程序、身份和访问管理;操作系统、网络和防火墙配置安全。
云平台负责云的安全性:计算、存储、数据库、网络、全球基础设施、边缘节点。
Part 4 云上安全防护的关键点
1.各类架构注意事项
ALL in one部署:注意1.登陆安全;
2.账号授权管理;
3.服务器安全漏洞;
4.应用访问攻击;
5.数据备份和加密;
6.网络攻击风险;
应用与数据分离:新增注意1.数据通信安全;
2.网络通信安全;
3.数据库访问白名单授权;
4.数据库的备份和容灾;
应用集群部署:新增注意1.服务器访问授权;(授权SLB)
2.服务器安全区域隔离;(防止ECS之间被攻击)
3.负载均衡加密访问;(证书上传SLB,实现RDS访问)
动静资源分离部署:新增注意1.云存储数据备份加密
2.云存储数据容灾
2.云计算面临的安全威胁
可用性:大规模分布式拒绝服务攻击(DDos)、僵尸网络(botnet)
影响:网站业务不可用
完整性:网站入侵、服务器口令暴力破解
影响:网站页面被篡改和植入后门。
保密性:网站后门、数据库非法访问(拖库)
影响:用户的账户信息和敏感数据泄露。
2.产生安全风险的主要原因
云平台:安全体系;技术实力;安全工具;管理平台;是否易用。
ISV:开发规范;测试规范;部署规范;运维规范。
用户:安全意识;安全习惯;加入黑产;管理流程;缺乏经验。
Part 5阿里云解决方案
1.阿里云的服务器安全防护
安骑士是一款主机安全软件,通过安装在云服务器上轻量级的软件和云端安全中心的联动,为您提供漏洞管理,基线检查和入侵告警功能。
主要防护功能:木马查杀;防密码暴力破解;异地登陆提醒;漏洞检测修复。
2.阿里云的网络安全防护
免费:安全组、专有网络vpc、基础DDOS防护
收费:DDOS高防IP。
3.阿里云的数据安全防护
数据备份和容灾——相关服务:云服务器快照;云数据库的备份实例和灾备实例;云存储多副本和异地备份。
数据加密——相关服务:云数据库加密存储;云存储加密存储;加密机;
数据传输安全——相关证书:云盾证书;HTTPDNS。
4.阿里云应用安全防护
1)Web防火墙(web application firewall,简称waf)是一款网站必备安全产品。
2)云盾web应用防火墙:基于云安全大数据能力实现运营+数据+攻防体系、综合打造网站应用安全。
3)通过防御sql注入、xss跨站脚本、常见web服务器插件漏洞、木马上传、非授权核心资源访问等owasp常见攻击;过滤海量恶意cc攻击;禁止恶意的接口滥刷,数据爬取;
4)避免您的网站资产数据泄露,保障网站的安全与可用性。
5.阿里云的监控管理
云监控:是一项针对阿里云资源和互联网应用进行监控的服务,云监控服务可用于收集获取阿里云资源的监控指标,探测互联网服务的可用性,以及针对指标设置警报。
态势感知:是一个大数据安全分析平台,能对您云上所有资源产进行安全告警,并用机器学习来发现潜在的入侵和高隐蔽性攻击,回溯攻击历史,预测即将发生的安全事件。
Part 6 网络安全法
2017年6月1日网络安全法正式实施。
宏观层面:网络安全同国土安全、经济安全等一样成为国家安全的一个重要组成部分。
微观层面:网络运营者(网络所有者、管理者和网络服务者)必须担负起网络安全的责任。
Part 7 云平台使用的账号安全
1.云上账号安全的指导原则
账号安全:
1)登录验证:配置强密码策略;定期轮转用户登录密码。
2)账号授权:遵循最小授权原则;及时撤销不再需要的权限。
3)权限分配:不要为根帐号创建访问密钥;将用户管理、权限管理与资源管理分离。
2.阿里云账号安全策略
阿里云对租户账号提供账号登录双因素验证机制(MFA)、密码安全策略、审计功能,以确保云服务账号的安全性。
3.阿里云的账号权限管理
访问控制(RAM)是阿里云为客户提供的用户身份管理与访问控制服务。使用RAM,可以创建、管理用户账号,并可以控制这些用户账号对名下资源具有的操作权限。包括:密钥、范围权限、资源访问方式。
RAM应用场景:
企业子账号管理与分权;不同企业之间的资源操作与授权管理;针对不可信客户端app的临时授权管理。
Part 8 云资源管理
1.云资源的管理方式:web管理控制台;客户端工具;api
2.云资源的监控服务:云监控是一项针对阿里云云资源进行监控的服务,可用于手机
获取阿里云资源的监控指标,并针对指标设置报警的阀值。
第二章云上服务器安全
主要介绍云服务器主要面临的安全风险,并针对这些风险提供了切实可行的、免费的防护方案。
Part 1 服务器面临的安全挑战
自身脆弱性:漏洞、错误的配置、账号权限、不该开放的端口等。
外部威胁:后门、木马、暴力破解攻击等。
Part 2 服务器安全管理
1.服务器安全管理的五种方式:
及时对服务器安装系统补丁;
修改服务器默认的账号和密码;
在服务器上启动及配置防火墙;
关闭服务器不必要的服务及端口;
检测服务器系统日志。
Part 3 通过安骑士发现登录风险
安骑士是一款主机安全软件,通过安装在云服务器上轻量级的软件和云端安全中心的联动,为您提供漏洞管理、基线检查和入侵告警等功能。
漏洞管理:系统软件漏洞;CMS漏洞。
基线检查:账户安全检测;弱口令检测;配置风险检测。
入侵检测:异地登录提醒;暴力破解联动;网站后门查杀;异常进程检测。
Part 4 通过安骑士修复常见漏洞
1.常见漏洞:系统漏洞;应用漏洞(应用程序的漏洞,主要由于编写代码留下的漏洞,常见的有sql注入、xss漏洞、上传漏洞等)。
2.漏洞管理流程:漏洞预警(获取权威漏洞信息)-漏洞检测(检测资产存在的漏洞)-风险管理(结合资产定位风险)-漏洞修复(补丁系统联动)-漏洞审计(确认漏洞风险)。
3.安骑士系统软件漏洞支持并检测服务器上的三大类软件漏洞:系统软件漏洞、Windows系统漏洞、web应用漏洞。
4.安骑士对于cms漏洞可通过及时获取最新的漏洞预警和相关补丁,并通过云端下发补丁更新,实现漏洞快速发现、快速修复的功能。
第三章云上网络安全
主要介绍网络风险产生的原理并学会使用阿里云的防护方案,最大限度避免或减少网络层攻击的危害。
Part 1 网络安全概述
TCP/IP协议,温顿瑟夫:tcp/ip协议和互联网架构的联合设计者之一,互联网之父。
网络通信的五元组:源IP、源端口、协议、目标端口、目标IP
各种网络攻击:大流量DDos攻击、CC/慢速攻击、sql注入、xss攻击、暴力破解攻击、安装木马后门、网络钓鱼攻击
安全责任分担模型:
Part 2 网络防火墙的使用
1.安全组介绍:安全组指定了一个或多个防火墙规则,规则包含容许访问的网络
协议、端口、源ip等。
2.安全组功能
不同用户网络隔离;系统默认安全组;安全组限制方向;安全组限制数量。
Part 3 安全专有网络vpc
Vpc(virtual private cloud)虚拟私有云
Vpc功能:自主可控的网络、公网出入、私网互联。
自主可同的网络:
1)网络规划:ip地址规划、自定义路由、公网访问。
2)安全隔离:租户隔离、生产测试、访问控制
公网出入三种形式:
1)弹性公网ip,简称EIP,是可以独立购买和持有的公网IP地址资源,能动态绑定到不同的ecs实例上。
2)负载均衡
3)Nat网关(公网ip共享带宽、一个公网ip的不同端口可映射到不同的vpc ecs、避免ecs被外界主动连接)
私网互联:
支持同region间、跨region、不同账户下vpc私网互通,支持客户IDC到阿里云间的私网互通。
Part 4 DDos攻击介绍及防护措施
1.DDos攻击介绍
DDos(distributed denial of service)分布式拒绝服务攻击
2.DDos攻击原理
对客户端的第三次响应(握手)不反馈,导致tcp资源耗尽。
3.DDos常见防护措施:隐藏服务器IP;多节点加速;异常流量清洗;分布式集
群防御;防火墙合理配置;专有抗D设备
Part 5 如何使用阿里基础DDos防护
1.基础DDos防护的主要功能
1)攻击流量的发现、牵引和自动处理;
2)能有效防御所有各类基于网络层的各种DDos攻击,包括dns query flood,ntp reply flood。
3)大数据分析技术实现全自动检测。
加入安全信誉防护联盟可以增加防御阀值,最高可到20G
Part 6 通过高防IP抵御大规模DDos攻击
高防IP的原理:ISP——四层清洗、七层清洗——负载均衡——云服务器
高防IP的功能:
1)防护海量DDos攻击:3个高防中心,电信、联通、BGP线路,总带宽超过1000Gbps。
2)专业团队运营
3)源站IP隐藏:高防服务可散列化业务IP,随时更换防护的IP,隐藏源站网络
4)弹性防护:DDos防护阈值弹性调整,可以随时升级更高级别的防护,整个过程服务无中断。
5)高可靠,高可用服务:全自动检测和攻击策略匹配,试试防护,清洗服务可用性%,低时延,低网络抖动。
高防IP的接入:
1)DNS服务器更换对外服务IP(把原域名进行更换);
2)流量完成切换(客户端向源站的方位流量直接流向高防ip,安全防护由高防接管)
3)回源正常用户(回注方式与传统方式不同,传统要打上vpn标签回注隔离主机路由,阿里采用协议栈更换技术,把处理完成的流量再送给源站,实现回
注)。
不光为用户实现了攻击防护,同时作为业务前置,把源站网络完全对外隐藏,降低安全风险。
第四章云上数据安全
主要介绍数据安全的防护原理,教会大家在阿里云上如何完美地解决数据安全问题,包括数据的安全存储、备份恢复、安全传输等。
Part 1 数据安全概述
1.数据本身及数据防护的安全
数据本身的安全:
保密性;——加密、证书。
完整性;——完整性验证。
可用性;——主备实例,异地实例。
数据防护的安全:
物理安全;——及时备份和恢复
安全防护。——数据访问授权和审批
2.阿里云的数据安全防护
1)数据备份和容灾
云服务器快照;云数据库的主备实例和灾备实例;云数据库导入导出;云存储多副本和异地备份。
2)数据加密
云数据库加密存储;云存储加密存储;加密机。
3)数据传输安全
云盾证书;HTTPDNS。
Part 2 数据备份、恢复和容灾
1.常见不同级别的备份方法
按地理位置:本地备份;同城备份;异地备份。(理想状态:两地三中心)
按备份模式:物理备份(数据块级);逻辑备份(文件级)。
按时效性:热备;冷备。
2.云服务器ECS快照
快照:某一时间点上某一磁盘的数据备份。
阿里云提供了快照机制,通过为云盘创建快照,您可以保留某一个或者多个时间点的磁盘数据拷贝,有计划地对磁盘创建快照,从而保证您的业务可持续运行。
3.云数据库RDS备份与恢复
可以通过设置备份策略调整RDS数据备份和日志备份的周期来实现自动备份。
4.云数据库RDS数据导入、导出。
数据备份、日志备份。
5.云数据库RDS主备实例、灾备实例。
主备实例:RDS采用热备架构,物理服务器出现故障后服务秒级完成切换。
灾备实例:主节点和呗节点均无法连接时,可将异地灾备实例切换为主实例。
6.云存储OSS多备本、异地备份
Part 3数据加密
1.常见的加密算法:对称加密算法;非对称加密算法;哈希(HASH、摘要)算法
1)对称加密算法指加密和解密使用相同密钥加密。
特点:算法公开、计算量小、加密速度快、加密效率高。
不足:交易双方都使用同样的密钥,安全性得不到保证。
常见对称算法:DES AES IDEA RC4
2)非对称加密算法至加密和解密使用两个不同的密钥:公开密钥(publickey)和私有密钥(privatekey)。
特点:算法强度复杂、保密性比较好、它消除了最终用户传输密钥的需要。
常见的非对称加密算法:RSA、elgamal、背包算法、ECC(椭圆曲线加密算法)
3)哈希算法将任意长度的二进制值映射为较短的固定长度的二进制值,这个小的二进制值成为哈希值。
特点:计算快速,常用在不可还原的密码存储、信息完整性校验。。
常用的哈希加密算法:MD2/ MD4/ MD5; CRC 16/CRC32/CRC64;SHA/SHA-1
2.如何选择加密算法和密钥
如何选择加密算法:
数据量、速度:量大速度快——对称加密;
量小速度慢——非对称加密;
签名:非对称加密
不可还原的密码存储、信息完整性校验——哈希算法
3.如何选择密钥
密钥越长,运行的速度就越慢,但安全等级越高。Rsa建议采用1024位,ecc 建议采用160位,aes建议采用128位。
4.云数据库加密存储——TDE透明数据加密
对实例数据文件执行实时I/O加密和解密,数据在写入磁盘前加密,从磁盘读入内存时解密;不会增加数据文件大小,开发人员无需更改任何应用程序;会增加CPU使用率。
5.云存储OSS加密存储——客户端加密保护数据
用户数据在发送给远端服务器之前就完成加密;加密所用的密钥和明文只保留在本地。
6.云存储OSS数据完整性验证
数据在客户端和服务器之间传输有可能会出现数据丢失,OSS可对各种方式
上传的object返回其CRC64值,客户端可以和本地计算的CRC64值做对比。
7.阿里云加密服务
1)云上的数据安全加密方案;
2)服务底层使用经国家密码管理局检测认证的硬件密码机;
3)密码算法:全面支持国产算法以及部分国际通用密码算法(对称、非对
称、摘要)
4)金融支付领域的加解密支持
5)权限认证:设备与敏感信息管理分离
6)高可用性保障
Part 4 数据传输安全方案
1.数据传输安全风险认识
流量劫持是目前最典型的数据传输安全风险。
2.HTTPS协议
HTTP协议+SSL协议=HTTPS协议
1)HTTP的安全版,基于SSL协议的网站加密传输协议。
2)SSL安全套阶层协议,采用公开密钥技术,为网络连接提供数据加密、服
务器认证、消息完整性以及可选的客户机认证。
3)遵循SSL安全套阶层协议的服务器数字证书,具有身份验证功能。网站安
装SSL证书后,使用HTTPS加密协议访问,可激活客户端到服务器之间的
“SSL加密通道”(SSL协议),实现高强度双向加密传输,识别网站真实身
份,防止传输数据被泄露或篡改。
3. 云盾证书服务,是和有资质的CA中心或代理商共同在阿里云为客户提供直
接申请购买管理SSL证书的产品。在云上签发symantec、gobalsign、
Geotrust证书,实现网站HTTPS化,使网站可信、防劫持、防篡改、防监
听。并对云上证书进行统一生命周期管理,简化证书部署,一键分发到云上产品。
原理,使用HTTP协议进行域名解析,代替现有基于UDP的DNS协议,域名解
析请求直接发送到阿里云的HTTPDNS服务器,从而绕过运营商的Local DNS,
能够避免Local DNS造成的域名劫持问题和调度不精准问题。
概念及特点:HTTPDNS是阿里云面向移动开发者推出的一款域名解析产品,具
有域名防劫持、精准调度的特性。
Part 5 阿里云的数据传输安全实践
1.负载均衡SLB HTTPS支持
负载均衡提供了HTTPS单向和双向认证;支持http回源。
2.WAF HTTPS支持
WAF提供了 HTTPS支持。
3.云数据库RDS的传输安全——SSL加密
在传输层对网络连接加密,提升数据传输的安全性和完整性。
第五章云上应用安全
主要介绍Web应用和APP面临的主要安全风险,以及防御方案、原理和最佳防护实践。
Part 1 web应用安全概述
1.web应用安全问题:
网站变卡、打不开;
网站数据被恶意爬取,短信流量被滥刷;
账号数据、资金损失;
获取服务器管理员权限,篡改网站数据、页面。
2.owasp(open web application security project)开放式web应用程序安全项
目组织
3.web组成及web安全分类
web服务器端通过通信协议http(s)与web客户端通信。
Web服务端安全问题:sql注入、文件上传、系统命令执行漏洞、权限漏洞。
Web客户端安全问题:xss漏洞、csrf漏洞、其他浏览器或插件漏洞
4.应用安全防护工具:web应用防火墙(WAF),通过执行一系列针对HTTP/HTTPS
的安全策略来专门为web应用提供保护的一款产品。
Part 2 通过阿里云WAF保护应用安全
1.阿里云WAF基于云安全大数据能力实现运营+数据+攻防体系,综合打造网站应
用安全。通过方旭SQL注入、网页防篡改、xss跨站脚本、常见web服务器插件漏洞、木马上传、非授权核心资源方位等owasp常见攻击;过滤海量恶意cc 攻击;禁止恶意的接口滥刷、数据爬取;避免网站数据泄露。
2.WAF核心能力:0day漏洞防护、放数据泄密、防cc攻击、业务风控。
3.WAF竞争优势——资源能力:弹性扩容、天然容灾、攻击阈值大。
——数据模型:海量IP信誉库、网站正常模型
4.阿里云WAF应用防火墙安全检测流程:流量经过web应用防火墙时,首先依次
匹配精准访问控制中的规则、再进行CC攻击的检测、最后进行web应用攻击防护。
5.云盾WAF包括高级版、企业版、旗舰版三个版本。
Part 3 SQL注入及防护
1. 什么是SQL注入攻击通过把SQL命令插入到web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。
2. SQL注入攻击的现象:数据泄露——猜测并非授权获得数据库信息;
数据篡改——破坏数据库信息;
数据删除——数据库信息丢失;
修改系统访问授权——私自添加、修
改系统或数据库账号,甚至对数据库服
务器的完全控制
4.SQL注入的过程:黑客对网站进行扫描,发现页面存在注入风险,通过手工构造
SQL注入语句,渗透入侵数据库,获取网站相关核心数据。
5.SQL注入产生的原因:注入攻击的原因是web应用程序中存在漏洞,开发人员编
写的应用程序缺乏对数据库相关的输入数据进行合法性检查,导致应用程序按照攻击者的意图执行。
6.SQL注入防护手段:SQL语句预编译和绑定变量;
严格进行输入校验,检查参数的数据类型;
使用安全函数;
应用的异常信息应该给出尽可能少的提示;
不要使用管理员权限的数据库连接;
不要把机密信息直接存放;
采用一些工具或网络平台检测是否存在SQL注入。
7.通过阿里云WAF防护SQL注入——web应用攻击防护,防护SQL注入、XSS跨站
等常见web应用攻击、实时生效。
模式:防护模式,预警模式。
防护规则策略:正常、宽松、严格。
Part 4 网站防篡改
1.网站篡改——攻击者利用网站漏洞恶意修改web页面内容的攻击事件。
2.网站篡改的动机:纯粹炫耀黑客技术;增加自己网站点击率;加入木马的病毒程
序;发布虚假信息获利;骗取用户资料;政治性宣传。
3.网站篡改的特点及危害:
特点:被篡改的网站页面阅读人群多;传播速度快;影响深远且事后难以消除;
无法预先检查,难以防范;难以追查攻击源;攻击工具简单且趋向智能化发展。
危害:企事业单位公信力及形象受影响;经济损失;成为不法分子利用的工具;
在社会上进行不当信息的传播。
4.网站篡改的原因
主观:密码管理不严格;未定期修改;多人共用同一密码;补丁不及时更新;不同人员参与到应用开发。
客观:系统复杂、漏洞频出、各种应用漏洞(注入、CSRF、身份认证失效、安全配置错误、页面代码泄露等)都有可能造成网站被篡改;漏洞发现、补丁公布的时间均过长;钓鱼、木马、间谍软件。
5.网站篡改的过程:黑客对网站进行渗透注入,获取管理员权限留下的木马后门,
在网站页面中留下暗链或者篡改网站页面内容,损害企业对外的公众形象或是造成经济损失。
6.网页防篡改基本原理:对web服务器上的页面文件进行监控,发现更改行为时及
时组织或者恢复。
7.阿里云WAF防网页篡改:WAF在高级版及以上版本上支持页面防篡改功能,可以
对制定的敏感页面进行缓存。
缓存后,即使源站页面内容被恶意篡改,WAF也会返回预先缓存号的页面内容,从而确保正常用户看到正确的页面。
开启网页防篡改配置规则手动打开防护开关
手动更新缓存
Part 5 CC 攻击防护
https://www.doczj.com/doc/4c16205240.html,攻击
CC攻击是DDos攻击的一种,主要用来攻击页面,分为:单主机虚拟多IP地
址、代理服务器攻击、僵尸网络攻击
特点:CC攻击来的IP都是真实的、分散的;CC攻击的数据包都是正常的数据包;CC攻击的请求,全都是有效的请求,无法拒绝的请求; CC攻击的网页,服务器什么都可以连接,ping也没问题,但是网页就是访问不了。
https://www.doczj.com/doc/4c16205240.html,攻击的原理及危害
网站被竞争对手攻击或者是黑客敲诈勒索,发起大量的恶意CC请求,长时间占用消耗服务器的核心资源,造成服务器性能瓶颈,如CPU、内存、贷款,导致网站业务响应缓慢或是无法正常提供服务。
3.防御CC攻击的方法:禁止网站代理访问;尽量将网站做成静态页面;限制连
接数量;修改最大超时时间;域名欺骗解析;更改web端口;工具:web应用
防火墙。
4.通过阿里云WAF防止CC攻击
WAF在企业版及以上版本支持防止CC攻击。
独家算法防护引擎、结合大数据、秒级拦截机器恶意CC攻击。
模式选择:正常模式;攻击紧急模式;针对性防护算法。
CC自定义防护规则:支持在控制台自定义对于特定路径(URL)的访问频率限
制
Part 6 阿里云WAF的业务风控安全实践
1.关键业务欺诈场景:垃圾注册;垃圾内容;暴力破解;盗卡支付;暴力破解;
撞库;营销作弊。
垃圾注册:平台推广拉新客户活动时,常常吸引网络上的“羊毛党”,通过注册机和虚拟手机号码、人工打码等方式注册一批账号,进入平台批量套取优惠。
登录撞库:登录网络的欺诈分子利用互联网中大量泄露的用户名密码进行尝试,如果账户、密码不幸在泄露库中,可能导致关联平台上的账号被不发分子盗用。
营销作弊:平台推广活动时,欺诈分子会通过模拟器、虚假手机号码、人工打码等方式绕过平台验证,批量套取优惠,给平台造成不必要的资金损失。
2.通过阿里云WAF进行数据风控
数据风控为WAF基于阿里云的大数据能力,通过业内领先的风险决策引擎,结合人机识别技术,防止关键业务欺诈行为。
数据风控在WAF高级版及以上提供。
接入数据风控,不需要服务器或客户端做任何改造,只需要接入WAF,即可轻松获取风控能力。
3.通过阿里云WAF进行数据风控原理
阿里云云安全助理工程师复习资料 第一章云平台使用安全 主要介绍当前信息安全的现状和形势,如何利用云平台的优势降低风险,以及如何做好云上资产的安全管理等。 Part 1 典型IT系统架构介绍 1.IT基础架构演进的趋势:大型机、PC机和小型机、互联网数据中心、云计算。 2.云计算的三种服务: SAAS(软件即服务)(行业应用如CRM、OA、ERP等) PAAS(平台即服务)(云扩展服务,中间件、安全、大数据等) IAAS(基础设施即服务)(虚拟服务器、存储、网络等) 3.企业上云常见架构: ALL in one:ECS(云服务器) 应用与数据分离:ECS——RDS(数据库) 应用集群部署:SLB(负载均衡)——ECS应用部署集群——RDS 动静资源分离:SLB——ECS应用部署集群——OSS(文件存储,图片音视频等非结构化) RDS Part 2信息安全现状及形式 对于云上攻击,一下三点会以安全检测报告形式列出来: Ddos攻击:大量请求造成拥塞 口令暴力破解:SSH、RDP协议为主,针对端口攻击。 Web应用攻击:SQL注入攻击为主,针对数据库。 (注:SSH secure shell安全外壳协议,建立在应用层基础上的安全协议;
RDP remote desktop protocol 远程桌面协议 SQL 结构化查询语言,数据库查询和程序设计语言。) 2014年1月21日,互联网DNS大劫难,DNS被劫持; 2014年4月,Heartbleed漏洞,涉及网银、门户网站,,可被用于窃取服务器敏感信息,实时抓取用户信息。 Part 3 IT系统风险构成 1.按照等保划分维度: 物理和环境安全:机房环境等; 网络和通信安全:网络架构、边界保护、访问控制、入侵防范、通信加密等; 设备和计算安全:入侵防范、恶意代码防范、访问控制、身份鉴别、集中管控和安 全审计等; 应用和数据安全:安全审计、数据完整性和保密性; 2.云上安全的服务方式:责任分担,共建安全 用户负责“云中内容”的安全性:客户数据;平台、应用程序、身份和访问管理;操作系统、网络和防火墙配置安全。 云平台负责云的安全性:计算、存储、数据库、网络、全球基础设施、边缘节点。 Part 4 云上安全防护的关键点 1.各类架构注意事项 ALL in one部署:注意1.登陆安全; 2.账号授权管理; 3.服务器安全漏洞; 4.应用访问攻击; 5.数据备份和加密; 6.网络攻击风险;
阿里云云计算专业认证考试(ACP)模拟题 一、单选题 1、OSS 可以按照PUT 请求次数计费,其最小计量单位? A、5 万次; B、1 万次; C、5 千次; D、1 千次; 2、下面哪一个不是云监控系统的站点监控类型 A、ARP 监控; B、HTTPS 监控; C、TCP 监控; D、SMTP 监控; 3、云监控的英文缩写是什么? A、VPC; B、ACE; C、ECS; D、CMS; 4、关于CDN 加速域名的设置,下面说法错误的是? A、输入的域名必须是备案完成的,正在备案的域名无法接入; B、域名内容需符合CDN 业务规范; C、支持泛域名加速; D、支持中文域名加速; 1
5、ECS 监控指标分为基础监控和操作系统级别指标监控。基础监控无需安装任何插件,您购买一个ECS 实例后,无需任何操作便可查看监控指标。操作系统级别指标需要安装插件才能查看监控数据,下面属于操作系统级别监控指标是哪一个? A、内存使用率(%); B、CPU 使用率(%); C、网络流入速率(bps); D、系统盘IOPS; 二、多选题 1、同一个地域内,不同账号下,经典网络下可以通过安全组规则设置两台云服务器之间内网互通,那么有UserA 的用户在华东1 (杭州)有一台经典网络的ECS 云服务器InstanceA (内网IP:A.A.A.A),InstanceA 所属的安全组为GroupA,另一个UserB 的用户在华东1 (杭州)有一台经典网络的ECS 云服务器InstanceB(内网IP:B.B.B.B),InstanceB 所属的安全组为GroupB,如何操作可以实现InstanceA 和InstanceB 在内网上互通? A、UserA 为GroupA 添加一条这样的规则:在内网入方向授权B.B.B.B 的IP 可以访问GroupA 下的所有ECS 云服务器; B、UserB 为GroupB 添加一条这样的规则:在内网入方向授权A.A.A.A 的IP 可以访问GroupB 下的所有ECS 云服务器; C、UserA 为GroupA 添加一条这样的规则:在内网出方向授权B.B.B.B 的IP 可以访问GroupA 下的所有ECS 云服务器; D、UserB 为GroupB 添加一条这样的规则:在内网出方向授权A.A.A.A 的IP 可以访问GroupB 下的所有ECS 云服务器; 2、关于OSS 的防盗链功能,下面说法正确的是? A、Referer 防盗链的优点是设置简单,控制台即可操作; B、可以设置是否允许空Referer 访问,但是不能单独设置,需要配合Referer 白名单一起使用;
安全与管理 云盾 云盾是阿里巴巴集团多年来安全技术研究积累的成果,结合阿里云计算平台强大的数据分析能力,为客户提供DDoS防护,主机入侵防护,以及漏洞检测、木马检测等一整套安全服务。 购买云服务器ECS时已自动开通云盾 我们的优势 免部署,免维护,即时开启 无需采购昂贵的设备,免部署 无需复杂配置、免维护 开通云服务器即开启云盾安全防护 多层防御体系 网络层提供流量清洗中心 主机层提供客户端防护功能 应用,数据层提供防火墙功能 海量数据分析
收集攻击行为数据 深入挖掘海量数据 分析判断安全趋势决定防护决策 产品功能 云盾帮您轻松应对各种攻击、安全漏洞问题,确保云服务稳定正常。 十年攻防,一朝成盾。 DDoS防护 提供四到七层的DDoS攻击防护,防护类型包括CC、SYN flood、UDP flood等所有DDoS攻击方式。 主机入侵防护 提供包括密码暴力破解、网站后门检测和处理、异地登录在内的反入侵服务。 安全体检 提供Web漏洞检测、网页木马检测、端口安全检测等安全检测服务。 WEB防火墙 提供WEB攻击防护防火墙,能有效拦截SQL注入,XSS跨站等类型的WEB攻击。 案例 北京乐汇天下科技有限公司
北京乐汇天下科技有限公司,是一家专注于手机网游产品研发和运营的公司,拥有业内顶尖的游戏设计人才,拥有充满激情的研发团队,更拥有健康成熟的游戏理念。我们致力于通过数字娱乐方式提升人们的生活乐趣,为用户创造一流的娱乐产品和交流环境。 例如游戏作品 口袋海贼王 游戏类型:角色扮演 在线人数:100000人 使用产品:云服务器、负载均衡、内容分发网络、云盾、云监控 开发语言:Java、PHP 开发引擎:Cocos2d-x 如下不熟构架图: 架构解读 我们的web端更新是走cdn更新,应用服务器端的更新是批量脚本更新我们采用了多种数据库相结合的形式,既能保证数据的安全性和很高的可分析性,又保证了高效的运行效率,起初重要的玩家数据用了从库被动备份,随着玩家数据的变大,我们不得不取消从库备份,以节约不必要的内存成本,后来改成了每日备份到数据备份机器。游戏并采用了单服单库架构,以把以外损失和玩家损失降到最低。 客户反馈 我们的web端更新是走cdn更新,应用服务器端的更新是批量脚本更新,我们采用了多种数据库相结合的形式,阿里云既能保证数据的安全性,又保证了高效的运行效率。
一、单选题(共50题,每题1分,共50分) 1. 作为一个互联网初创企业的技术负责人,小A在早期选择了阿里云的云服务器ECS并将Java应用程序、数据库MySQL等部署在了一台云服务器ECS实例上。随着业务发展和用户量增加,发现部署在这台ECS实例上数据库性能出现瓶颈。为了最快速度解决该问题,您建议选择阿里云的(B)产品。 A. 对象存储OSS B. 云数据库RDS C. 负载均衡SLB D. 专有云VPC 2. 用户通过网络使用软件,无需购买软硬件、建设机房等,而改用向提供商租用基于Web的软件,来管理企业经营活动,且无需对软件进行维护,服务提供商会全权管理和维护软件。这种模式是云计算提供的(B)服务。 A. DaaS(数据即服务) B. SaaS(软件即服务) C. IaaS(基础设施即服务) D. PaaS(平台即服务) 3. 云计算以多种形式对外提供服务,比如提供给消费者的服务是运行在云计算基础设施上的应用程序,消费者可以在各种设备上通过瘦客户端界面访问,如浏览器(例如基于Web的邮件),不需要管理或控制任何云计算基础设施,包括网络、服务器、操作系统、存储,甚至
独立的应用能力等等,仅需要对应用进行有限的、特殊的配置。这种服务形式被称作(C)。 A. DaaS(数据存储即服务) B. IaaS(基础设施即服务) C. SaaS(软件即服务) D. PaaS(平台即服务) 4. 阿里云对象存储OSS的一个突出特点就是提供了极高的数据可靠性,谈到可靠性自然离不开备份的技术和策略,以下关于OSS备份的说法,正确的是?(A) A. OSS提供三重备份(每份数据保留三个副本),出现故障时自动恢复 B. 用户需要自己考虑数据的安全性,OSS提供了丰富的备份接口,方便用户将数据进行异地备份 C. OSS提供三重备份(每份数据保留三个副本),出现故障时在人工参与下可快速恢复 D. OSS服务的备份是采用的物理机磁盘的RAID0+1技术方案,两块硬盘同时出现故障也不影响服务 5. 防DDoS攻击是阿里云的云盾最主要的功能之一,很多网站都曾经受到过不同类型的DDoS攻击,准确理解DDoS对网站做好安全防护至关重要。以下有关DDoS攻击的描述最准确的是?(D) A. DDoS攻击通过大量的尝试破解的服务器的登录密码 B. DDoS攻击的目的是窃取机密信息 C. DDoS攻击的主要目标是数据库 D. DDoS攻击的主要目的是让被攻击的目标服务器无法提供正常的服务,是目前最强大、最
阿里云云计算专业认证(ACP 级)考试样题 一. 单选题 1.您可以根据您的客户群体分布地区的不同选择多个不同地域的阿里云的云服务器 ECS 实例,在满足客户接入速度的同时,可以提升业务的跨区域容灾的能力。以下 针对云服务器 ECS 的地域和可用区的描述错误的是。 a)在购买了云服务器 ECS 实例后,地域不可改 b)若购买的云服务器 ECS 实例需要和阿里云提供的其他产品配合使用并内网互 联,应选择相同地域 c)同账号下,同一地域不同可用区的云服务器实例内网不能互通 d)同一个地域有多个可用区 2.游戏行业有个明显的特点是业务流量很难预估,波动很大,例如今天上线1 台云服 务器 ECS 实例就足够处理所有的业务需求,明天可能就需要 10 台云服务器 ECS 实例来处理所有的需求。这样的场景下,您不知道所需的云服务器ECS 实例的数量,准备的少无法应对业务峰值,投入的多又造成大量的资源浪费。在阿里云上, 您认为应对游戏行业这种场景的最佳阿里云产品的组合方式是。 a)负载均衡 SLB+云服务器 ECS+云数据库 RDS+弹性伸缩 Auto Scaling b)负载均衡 SLB+云服务器 ECS+云数据库 RDS c)云服务器 ECS+弹性伸缩 Auto Scaling d)云服务器 ECS 3.某电商网站使用阿里云的负载均衡 SLB 实例和后端云服务器 ECS 实例组合的架构 实现。某用户发起一个商品查询的请求,会返回商品的说明以及商品图片。如果希望请求中的图片类的请求转发到特定的图片服务器进行处理,请求中的文字类请求转发到 特定的文字服务器进行处理。上述场景适合使用负载均衡 SLB 的哪种服务实现? a)七层服务
第一章云平台使用安全 主要介绍当前信息安全的现状和形势,如何利用云平台的优势降低风险,以及如何做好云上资产的安全管理等。 Part 1 典型IT系统架构介绍 基础架构演进的趋势:大型机、PC机和小型机、互联网数据中心、云计算。 2.云计算的三种服务: SAAS(软件即服务)(行业应用如CRM、OA、ERP等) PAAS(平台即服务)(云扩展服务,中间件、安全、大数据等) IAAS(基础设施即服务)(虚拟服务器、存储、网络等) 3.企业上云常见架构: ALL in one:ECS(云服务器) 应用与数据分离:ECS——RDS(数据库) 应用集群部署:SLB(负载均衡)——ECS应用部署集群——RDS 动静资源分离:SLB——ECS应用部署集群——OSS(文件存储,图片音视频等非结构化) RDS Part 2信息安全现状及形式 对于云上攻击,一下三点会以安全检测报告形式列出来: Ddos攻击:大量请求造成拥塞 口令暴力破解:SSH、RDP协议为主,针对端口攻击。 Web应用攻击:SQL注入攻击为主,针对数据库。 (注:SSH secure shell安全外壳协议,建立在应用层基础上的安全协议; RDP remote desktop protocol 远程桌面协议 SQL 结构化查询语言,数据库查询和程序设计语言。) 2014年1月21日,互联网DNS大劫难,DNS被劫持; 2014年4月,Heartbleed漏洞,涉及网银、门户网站,,可被用于窃取服务器敏感信息,实时抓取用户信息。 Part 3 IT系统风险构成
1.按照等保划分维度: 物理和环境安全:机房环境等; 网络和通信安全:网络架构、边界保护、访问控制、入侵防范、通信加密等; 设备和计算安全:入侵防范、恶意代码防范、访问控制、身份鉴别、集中管控和安 全审计等; 应用和数据安全:安全审计、数据完整性和保密性; 2.云上安全的服务方式:责任分担,共建安全 用户负责“云中内容”的安全性:客户数据;平台、应用程序、身份和访问管理;操作系统、网络和防火墙配置安全。 云平台负责云的安全性:计算、存储、数据库、网络、全球基础设施、边缘节点。 Part 4 云上安全防护的关键点 1.各类架构注意事项 ALL in one部署:注意1.登陆安全; 2.账号授权管理; 3.服务器安全漏洞; 4.应用访问攻击; 5.数据备份和加密; 6.网络攻击风险; 应用与数据分离:新增注意1.数据通信安全; 2.网络通信安全; 3.数据库访问白名单授权; 4.数据库的备份和容灾; 应用集群部署:新增注意1.服务器访问授权;(授权SLB) 2.服务器安全区域隔离;(防止ECS之间被攻击) 3.负载均衡加密访问;(证书上传SLB,实现RDS访问) 动静资源分离部署:新增注意1.云存储数据备份加密 2.云存储数据容灾 2.云计算面临的安全威胁
阿里云安全白皮书V1.0
前言 (3) 概览 (3) 阿里云安全策略解读 (3) 组织安全 (4) 合规安全 (5) 数据安全 (6) 访问控制 (8) 人员安全 (9) 物理和环境安全 (9) 基础安全 (11) 系统和软件开发及维护 (14) 灾难恢复及业务连续性 (16) 总结 (16)
前言 阿里云以打造互联网数据分享第一平台为使命,借助自主创新的大规模分布式存储和计算等核心云计算技术,为各行业、小企业、个人和开发者提供云计算(包括云服务器、开放存储服务、关系型数据库、开放数据处理服务、开放结构化数据服务、云盾、云监控等其他产品)产品及服务,这种随时、随地、随需的高效云产品和服务同时具备安全方面的优势。 阿里云提供这些云产品及服务的方式来自于阿里巴巴集团在电子商务行业的多年浸渍,而安全则是阿里云的首要和关键组件。本白皮书将介绍阿里云在云安全方面的方法,具体涵盖安全策略、组织安全、合规安全、数据安全、访问控制、人员安全、物理安全、基础设施安全、系统和软件开发及维护、灾难恢复及业务连续性十个方面的主题。在本文里面所描述的策略、流程和技术将以出版时为准。随着时间的推移,部分细节将随着产品和服务的创新而改变。 概览 阿里云遵循“生产数据不出生产集群”的安全策略,覆盖从数据存储、数据访问、数据传输到数据销毁等多个环节的数据安全控制要求,这些控制要求包含以下十个方面: (1)阿里云安全策略解读; (2)组织安全; (3)合规安全; (4)数据安全; (5)访问控制; (6)人员安全; (7)物理安全; (8)基础安全; (9)系统和软件开发及维护; (10)灾难恢复及业务连续性 阿里云安全策略解读 “生产数据不出生产集群”------阿里云基于阿里巴巴集团十多年信息安全风险管控经验,以保护数据的保密性、完整性、可用性为目标,制定防范数据泄露、篡改、丢失等安全威胁的控制要求,根据不同类别数据的安全级别(例如:生产数据是指安全级别最高的数据类型,其类别主要包括用户数据、业务数据、系统数据等),设计、执行、复查、改进各项云计算环境下的安全管理和技术控制措施。
阿里云安全解决方案 阿里云安全,多层防护+云端大数据。集阿里巴巴集团多年来安全技术研究积累的成果,同时结合阿里云计算平台强大的数据分析能力,为客户提供一整套安全产品和服务。 奥远电子作为阿里云辽宁区授权服务中心,可为用户提供专业、高效和本地化的服务,包括运维、品咨询、备案咨询、解决方案和架构搭建等一体化等,同时旨在帮助本地政府部门和企事业单位、个人了解云计算,使用阿里云服务,为用户提供网络、服务和计算资源等,从而减轻用户因业务量骤增而带来的IT压力,助力轻松上云 基础产品 态势感知 是一个大数据安全分析平台,能对您云上所有资产进行安全告警,并用机器学习来发现潜在的入侵和高隐蔽性攻击,回溯攻击历史,收集企业20种原始日志和网络空间威胁情报,利用机器学习还原已发生的攻击,预测即将发生的安全事件。 业务需求: 1.据说全国50%网站有高危漏洞,业务在ECS上运行还好,就是不知道有没有漏洞?网络攻击这么猖獗,现在到底安不安全?没有途径获知数据。 2.当管理的服务器被DDoS攻击,你无法知道哪台ECS被攻击了?影响多少订单? 3.一个公司没有安全团队,安全要怎么运维?该看什么报表?什么是基线检查?到底是谁在攻击我?是竞争对手?还是黑客?还是内部员工监守自盗?这些资源都无法获取。 应用场景: 1.不仅对常见web漏洞进行扫描,还可以扫描第三方开源软件漏洞,主机系统层漏洞,甚至对黑客圈小范围内爆出来的高危漏洞,做到预警和修复准备。 2.通过安全大数据建模分析,把普通的无危害脚本小子和顶尖的黑客区分开,帮你看清现在遭受的网络威胁,并对防护策略进行评估,在攻防对抗中获得先机 3.通过对云上业务的全流量监控,可在秒级检测DDoS攻击,还原被攻击场景,对攻击流量成分,清洗总量,攻击时间进行详细描述,对业务影响进行有效评估 4.不仅可对黑客入侵行为进行识别,甚至可以追溯黑客入侵链路,看清黑客一步一步入侵的全过程,做到自动化的入侵取证。 安骑士 是一款服务器安全软件,通过安装在云服务器上轻量级的软件和云端安全中心的联动,为您提供漏洞管理、基线检查和入侵告警等功能。
阿里云 云计算业务介绍
阿里巴巴集团
1999年成立, 全球第一的网 上贸易市场和 商人社区。
2003年成立 亚洲第一的个 人交易网上平 台。
2004年成立 全球第一的独 立第三方支付 平台。
2005年全资 收购。中国领 先的互联网门 户资讯、邮箱、 搜索服务网站。
2009年成立 2009年成立 将打造全球最 先进的以数据 为中心的云计 算服务平台。
2011年从淘 宝分拆成立专 业B2C公司。
2011年从淘 宝分拆成立专 业电子商务垂 直搜索公司。
成立于2009年9月10日。 在杭州、北京和硅谷设有研发机构。 员工人数1200人,95%为技术研发人员。 境内累计申请技术专利85件。
阿里云阿里云-公司简介
愿景
? 成为以数据为中心的云计算服务公司 ? 打造互联网数据分享第一平台
? 打造云计算基础平台,提供低成本、高效率的云计算基础服务
价值
? 降低中小互联网企业创业门槛,帮助中小企业成长 ? 建设合作伙伴和中小企业共生共赢的云计算生态链
? 自主研发“云OS”云计算核心操作系统 ? 自主研发云计算基础产品服务和互联网基础产品服务
技术积累
? 自主研发大规模数据存储和处理平台,提供海量数据处理能力 ? 自主研发“云OS”手机操作系统,支撑移动终端云应用 ? 扶持合作伙伴和应用开发者开发丰富的云计算产品和应用
阿里云 – 云计算核心架构
地图、电邮、搜索、安全、渲染
PW 建站
其它云服务
第三方云应用
第三方本地应用
Cloud Engine
NodeJS PHP
开放结构 化数据处 理服务 关系型 数据库 服务 开放数 据处理 服务
云应用框架
App Engine HTML5 JavaScript
本地应用框架
弹性计 算服务
开放存储 服务
飞天大规模分布式计算系统
Webkit OpenGL SQLite
Aliyun Lib
Aliyun VM
Linux
数据中心
Linux Kernel
移动终端
阿里云弹性计算专业认证(ACP)考试大纲 弹性计算专业认证介绍: 阿里云弹性计算专业认证(ACP-Alibaba Cloud Certification Professional)是面向使用阿里云弹性计算产品的架构、开发、运维类人员的专业技术认证,主要涉及阿里云的计算、存储、网络、安全类的核心产品。通过该技术认证可以有效证明该认证人员具备以下能力: l具备IT、云计算及网络安全相关从业的基础知识 l能够根据企业的业务需求,基于阿里云的产品制定有效的技术解决方案和企业最佳实践 l能够熟练的使用和操作阿里云的云服务器ECS、负载均衡SLB、对象存储OSS、专有网络VPC、弹性伸缩(Auto Scaling)、内容分发网络 CDN、云盾及云监控产品 l能够诊断基于阿里云弹性计算产品构建的业务系统在运行中出现的常见问题并找到相应的解决方案 阿里云弹性计算专业认证的报名方式: 通过阿里云官网提供的入口进行在线报名: https://https://www.doczj.com/doc/4c16205240.html,/products/52746001/cmfw008373.html 阿里云弹性计算专业认证所需具备的知识: 阿里云相关的知识:
l熟悉阿里云弹性计算相关产品的基本概念,包括云服务器ECS、负载均衡SLB、弹性伸缩(Auto Scaling)、对象存储OSS、内容分发网络 CDN、专有网络VPC、云盾和云监控(下同) l了解阿里云弹性计算相关产品的主要应用场景及组合使用的应用场景 l掌握阿里云弹性计算的相关产品的基本操作,包括开通、创建、配置、启停、删除等 l了解阿里云弹性计算的相关产品的特点和基本的产品实现原理 l能够发现并解决阿里云弹性计算的相关产品使用中出现的常见问题 通用IT的知识: l了解云计算领域的基础概念及相关的知识,如虚拟化、存储、网络等 l具备典型的Web应用架构相关的知识,包括Web服务器、应用服务器、负载均衡和数据库等 l具备内容分发网络CDN相关的使用和实践经验 l熟悉常见的网络协议,如HTTP、FTP、TCP、UDP、ICMP等 l具备网络相关的实际经验,包括路由、交换、路由表,NAT、DNS等 l熟悉软件开发的生命周期 l具备网络安全方面的基础知识,如防火墙策略、密钥加密、访问控制、网络安全、网络攻击及防护等 阿里云弹性计算专业认证相关的学习方法、学习资料及培训课程: 建议的学习方法: l强烈推荐开通阿里云弹性计算相关的产品并进行实际的操作
1. 阿里云的云服务器ECS产品的应用非常广泛,既可以单独的作为Web服务器,也可以与其他阿里云产品配合提供多媒体解决方案。在多媒体、大流量的APP或网站应用场景下,云服务器ECS实例与阿里云的()产品搭配,可大幅减少用户访问的等待时间并降低带宽费用。 (C) A. 对象存储OSS B. 负载均衡SLB C. 内容分发网络CDN D. 弹性伸缩Auto Scaling 2. 阿里云会为每个云服务器ECS实例分配一个私网IP。以下关于云服务器ECS实例的私网IP说法正确的是。(C) A. 私网IP不可以用于SLB的负载均衡 B. 同一地域内实例之间通过私网IP进行的通讯流量是收费的 C. 不要在操作系统内部自行变更私网IP,否则可能会导致私网通讯中断 D. 私网不允许同一帐号下的云服务器ECS实例之间或者云服务器ECS实例与其他云服务之间互访 3. 某用户是做香蕉销售生意的,所有的在线平台和数据都放在阿里云的云服务器ECS实例和云数据库RDS实例中,现在CEO想对香蕉销售额的变化趋势做一个监控,并在订单量发生较大变化时能收到预警信息,可以使用阿里云的()产品实现,并在管理控制台中展现结果。(D) A. 态势感知 B. 阿里绿网 C. 云服务器ECS D. 云监控 4. 阿里云的云服务器ECS实例的磁盘快照是某一个时间点上某一个磁盘的数据拷贝。以下针对云服务器ECS实例的磁盘快照的描述正确的是。(D) A. 自定义快照名称可以以auto开头 B. 快照被存放在用户自己的磁盘中 C. 只有系统盘支持自动快照 D. 快照存放在OSS上 5. 使用阿里云弹性伸缩(Auto Scaling)时,创建了伸缩组,指定了“伸缩最小实例数(台)”为5,“伸缩最大实例数(台)”为10,设定了正确的伸缩配置,并添加了伸缩规则为“增加3台ECS实例”,创建了基于该伸缩规则的定时任务(运行时间设置为1小时后)。当前伸缩组中有效的ECS实例个数为3,马上启用该伸缩组,以下说法正确的是()?(C) A. 会在定时任务触发时按照伸缩配置自动创建3个ECS实例,添加到伸缩组 B. 会在伸缩组启用时,按照伸缩配置自动创建7个ECS实例,添加到伸缩组 C. 会在伸缩组启用时,按照伸缩配置自动创建2个ECS实例,添加到伸缩组 D. 会在定时任务触发时按照伸缩配置自动创建2个ECS实例,添加到伸缩组 6. 您的操作系统为Windows的阿里云的云服务器ECS实例,通过远程登录发现黑屏,不可能是()原因造成的。(D) A. CPU资源耗尽 B. 内存空间不足 C. 系统宕机 D. 密码输入错误 7. 某在线教育网站是基于云服务器ECS+负载均衡SLB+弹性伸缩(Auto Scaling)的方案实现的,在保证系统稳定、客户体验良好的前提下,大大节省了资源成本和运维成本。现在他们
阿里云使用配置说明 一、服务的申请 阿里云提供的服务如下 囊括了服务器、关系数据库、海量存储服务、CDN、缓存服务 选择云服务器ECS,即可进入云服务器的配置界面 首先要选择硬件配置:CPU、内存、带宽、地域 然后选择操作系统,阿里云提供的系统只有windows server和linux(linux包括aliyun、centos、Debian、opensuse 、ubuntu5个发行版)
选择操作系统以后,还需要选择数据盘(可以不选),默认阿里云会赠送20G的系统盘。 选择完成以后,点击“确认”即可完成云服务器的配置,付款以后即可开通服务器。 二、云服务器的使用 云服务器开通以后,阿里云提供了“管理控制台”工具,用于管理云服务器 首先选择地域 地域选择完成后,进入控制台管理界面
如上图所示,通过控制台只能对服务器做重启、停止、修改密码、升级、续费、建立快照等操作,如果需要在服务器上安装软件或则管理更多的服务器状态,则需要用ssh 客户端连接阿里云服务器,通过命令行的方式对服务器进行配置和管理 在实例列表,点击管理,可以进入服务器的监控界面,查看服务器的网络吞吐和磁盘读写情况 而安装软件和更加详细的配置,则需要通过SSH连接服务器
首先需要通过iptables建立防火墙过滤策略,增加服务器安全性 然后安装软件(数据库、应用服务器、HTTP服务器),已经对软件进行配置
三、阿里云的防护机制 阿里云会免费提供“云盾”防护 可以通过云盾查看系统的漏洞 云盾还提供了防DDOS服务和安全管家服务,可以有效防止部分服务器攻击事件比如防御对主机密码的暴力破解 一些详细的防护参数可以通过云盾控制台进行配置
阿里云平台安全管理规范
目录 目录 (1) 范围 (4) 第一章总则 (5) 1.1管理目标 (5) 1.2管理原则 (5) 第二章安全管理规范 (6) 2.1安全事件上报 (6) 2.1.1安全事件分类 (6) 2.1.2安全事件监控及上报 (7) 2.2帐号口令管理 (8) 2.3安全域划分及端口管理 (10) 2.4防病毒制度 (11) 2.5日志审计 (12) 2.5.1 日志审计总则 (12) 2.5.2日志管理 (13) 第三章应急保障 (13) 3.1应急保障范围 (13) 3.2应急保障流程 (14) 3.3应急保障措施 (14) 第四章日常安全运维制度 (15) 4.1资产信息维护 (15) 4.1.1安全设备资产 (15) 4.1.2业务设备资产 (15) 4.1.3网络设备资产 (16) 4.2安全设备维护 (16) 4.2.1远程安全巡检 (16) 4.2.2机房安全巡检 (16) 4.2.3设备故障处理 (17) 3.2.4设备权限检查 (17) 4.3安全策略运维 (17) 4.3.1安全策略信息维护 (17) 4.3.2安全策略开通 (17) 4.3.3 安全漏洞扫描 (18) 4.3.4 安全策略清理 (18) 4.3.5网络和端口梳理 (18) 4.3.6 日志审计 (19)
4.4安全报告输出 (19) 4.4.1安全方案输出 (19) 4.4.2安全运维月报输出 (19) 4.5重大事件保障 (19) 4.6工作实施方案 (20) 第五章安全基线 (20) 5.1云数据库安全基线 (20) 5.1.1 账号管理 (20) 5.1.2主机操作系统权限 (20) 5.1.3 数据库优化 (21) 5.2 LINUX安全基线 (21) 5.2.1 账号管理 (21) 5.2.2 可疑文件 (21) 5.2.3 访问控制 (21) 5.2.4 系统优化 (22) 5.2.5 SSH安全 (22) 5.2.6 其他项目 (22) 5.3网络设备安全基线 (23) 5.3.1 数据层面 (23) 5.3.2 控制层面 (23) 5.3.3 监控层面 (23) 5.3.4 管理层面 (24) 5.4 WINDOWS安全基线 (24) 5.4.1 日志配置操作 (24) 5.4.2 IP协议安全配置 (24) 5.4.3 设备其他配置操作 (25) 5.5防火墙安全基线 (25) 5.5.1 账号认证 (25) 5.5.2 日志配置 (25) 5.5.3 安全策略配置 (26) 5.5.4 IP协议安全要求 (27)
阿里云认证路线为阿里云Apsara Clouder技能认证、阿里云助理工程师ACA(Alibaba Cloud Certified Associate)认证、阿里云专业工程师 ACP(Alibaba Cloud Certified Professional)认证、阿里云专项认证、阿里云高级工程师ACE(Alibaba Cloud Certified Expert)认证几个层级。 通过该技术认证可以有效证明该认证人员具备以下能力: 1、具备IT、云计算及网络安全相关从业的基础知识:能够根据企业的业务需求,基于阿里云的产品快速实现业务上云; 2、能够使用和操作阿里云的云服务器ECS、负载均衡SLB、对象存储OSS、云盾及云监控产品; 3、能够诊断基于阿里云基础产品构建的业务系统在运行中出现的常见问题 认证价值: 培训和认证的过程能够提升个人对云计算产品技术的理解,可以对这些产品进行基本的日常管理,也可以基于这些产品进行应用的部署。从而证明您在云计算领域的专业能力,获得更多就业机会。 课程形式: 28课时视频教程+ 10个配套实验+ 在线考试,考试通过即可获得阿里云云计算助理工程师认证(ACA)证书 课程主要内容:
阿里云简介 主要介绍阿里云产品与技术概览、基础架构以及云安全体系等。 掌握云服务器ECS 主要介绍云服务器ECS概念以及实例、磁盘、快照的基本操作,配套2个实验,教你掌握ECS的使用。 掌握云数据库RDS 主要介绍云数据库RDS的实例管理、数据库管理、数据迁移上云等操作,配套2个实验,教你掌握RDS的使用。 掌握云存储OSS 主要介绍阿里云对象存储OSS的概念、基本操作、API和SDK的使用、静态网站托管等,配套2个实验,教你掌握OSS的使用。 掌握负载均衡SLB 主要介绍负载均衡SLB的产品概述、基本操作和相关问题等,配套2个实验,教你掌握SLB的使用。 掌握云安全 主要介绍互联网常见的安全威胁、阿里云安全体系,以及云盾、安骑士、云监控相关功能等,配套2个实验,教你掌握云上安全防护。
阿里云云计算认证ACP模拟题(第13套) 1. 以下创建ECS镜像时,哪个步骤的描述有错?(B) A. 输入的自定义镜像描述可以为空 B. 选择全部快照,可以看到快照的列表 C. 输入自定义镜像名称,可以为空 D. 登陆阿里云的控制台来创建ECS镜像 2. RAM中可授权的SLB资源类型是哪个?(A) A. LoadBalancer B. BackendServer C. Listener D. Region 3. 当阿里云用户想要通过API进行ECS实例删除的操作的时候,必须保证ECS实例状态为____,才可以进行删除操作,删除后实例的状态变为____?(A) A. Stopped;Deleted B. Stopped;Starting C. Stopping;Deleted D. Stopping;Starting 4. 下列哪个参数代表的是SLB实例的唯一标识?(A) A. LoadBalancerId B. RegionId C. Address D. LoadBalancerName 5. 在对ECS实例进行续费操作时,无法实现以下哪个操作?(D) A. 增加CPU规格 B. 带宽升级 C. 增加内存空间 D. 无需重启即可享受升级后的配置 6. 下列关于ECS连接实例的说法错误的是?(D) A. Windows 2008默认允许最多2个session远程连接 B. 可以通过两种方式连接和管理用户实例:远程连接客户端和阿里云ECS控制台 C. Linux或Mac OS X环境连接Linux实例,直接使用ssh命令 D. 如果用户使用远程连接的工具访问ECS实例,使用公网和私网IP的实例都能被远程连接 7. 用户通过CES管理控制台查看其拥有的某个区域拥有的所有ECS实例的步骤包括:a. 进入ECS管理控制台;b.选择地域;c.选择ECS实例管理,则正确的排列顺序是?(C) A. b;a;c B. a;b;c
阿里云云安全助理工程师A C A复习资料 (完结)
阿里云云安全助理工程师复习资料 第一章云平台使用安全 主要介绍当前信息安全的现状和形势,如何利用云平台的优势降低风险,以及如何做好云上资产的安全管理等。 Part 1 典型IT系统架构介绍 1.IT基础架构演进的趋势:大型机、PC机和小型机、互联网数据中心、云计算。 2.云计算的三种服务: SAAS(软件即服务)(行业应用如CRM、OA、ERP等) PAAS(平台即服务)(云扩展服务,中间件、安全、大数据等) IAAS(基础设施即服务)(虚拟服务器、存储、网络等) 3.企业上云常见架构: ALL in one:ECS(云服务器) 应用与数据分离:ECS——RDS(数据库) 应用集群部署:SLB(负载均衡)——ECS应用部署集群——RDS 动静资源分离:SLB——ECS应用部署集群——OSS(文件存储,图片音视频等非结构化) RDS Part 2信息安全现状及形式 对于云上攻击,一下三点会以安全检测报告形式列出来: Ddos攻击:大量请求造成拥塞 口令暴力破解:SSH、RDP协议为主,针对端口攻击。 Web应用攻击:SQL注入攻击为主,针对数据库。 (注:SSH secure shell安全外壳协议,建立在应用层基础上的安全协议; RDP remote desktop protocol 远程桌面协议 SQL 结构化查询语言,数据库查询和程序设计语言。) 2014年1月21日,互联网DNS大劫难,DNS被劫持; 2014年4月,Heartbleed漏洞,涉及网银、门户网站,,可被用于窃取服务器敏感信息,实时抓取用户信息。 Part 3 IT系统风险构成 1.按照等保划分维度: 物理和环境安全:机房环境等; 网络和通信安全:网络架构、边界保护、访问控制、入侵防范、通信加密等; 设备和计算安全:入侵防范、恶意代码防范、访问控制、身份鉴别、集中管控和安 全审计等; 应用和数据安全:安全审计、数据完整性和保密性;
阿里云云计算专业认证 ACP 模拟试题(一) 1[多选题] 关于SLB 产品优势,下面说法正确的有哪些? A、采用全冗余设计,无单点,支持同城容灾,搭配 DNS 可实现跨地域容灾,可用性高达 99.95%; B、根据应用负载进行弹性扩容,在流量波动情况下不中断对外服务; C、与传统硬件负载均衡系统高投入相比,成本可下降 60%,私网类型实例免费使用,无需一次性采购昂贵的负载均衡设备,无需运维投入; D、结合云盾提供防 DDoS 攻击能力,包括 CC、SYN flood 等 DDoS 攻击方式; 参考答案: A、 B、 C、 D、 题目解析: 高可用 采用全冗余设计,无单点,支持同城容灾,搭配 DNS 可实现跨地域容灾,可用性高达 99.95%。根 据应用负载进行弹性扩容,在流量波动情况下不中断对外服务。 低成本 与传统硬件负载均衡系统高投入相比,成本可下降 60%,私网类型实例免费使用,无需一次性采购昂贵的负载均衡设备,无需运维投入。 安全 结合云盾提供防 DDoS 攻击能力,包括 CC、SYN flood 等 DDoS 攻击方式。 2[多选题] 安全组规则有以下哪些? A、安全组授权; B、协议授权; C、端口授权; D、 IP 授权; 参考答案: A、 B、 C、 D、 3[单选题] 云监控中下列报警联系人表单中不支持的联系方式是? A、邮箱地址; B、支付宝; C、阿里旺旺; D、手机号码; E、MNS 消息队列; 参考答案: B、 题目解析:
报警服务支持短信、邮件、旺旺、事件订阅(MNS 消息队列)、钉钉机器人方式。 旺旺仅支持PC 端报警消息推送。如果您安装了阿里云APP,也可以通过阿里云APP 接收报警通知 事件订阅(MNS 消息队列)方式可以参考https://https://www.doczj.com/doc/4c16205240.html,/document_detail/28613.html 4[单选题] 通过为云盘创建快照,您可以保留某一个或者多个时间点的磁盘数据拷贝,有计划地对磁盘创建快照,从而保证您的业务可持续运行。下面哪个场景不适合使用 A、利用快照定期的对重要业务数据进行备份,来应对误操作、攻击、病毒等导致的数据丢失风险; B、更换操作系统,应用软件升级或业务数据迁移等重大操作前,您可以创建一份或多份数据快照,一旦升级、迁移过程中出现任何问题,可以通过数据快照及时恢复到正常的系统数据状态; C、用户可以通过对生产数据创建快照,从而为数据挖掘、报表查询、开发测试等应用提供近实时的真实生产数据; D、使用快照创建新的 ECS 实例和更换 ECS 实例的系统盘; 参考答案: D、 题目解析: 创建新的ECS 实例或者对已有实例进行更换系统盘,可以使用镜像进行,而不是快照 5[多选题] ECS 已经开通支持VPC,但负载均衡还没有开通支持VPC 的Region,下面说法哪些是正确 的? A、可以使用经典网络公网 IP 作为负载均衡公网实例 IP 并加VPC ECS; B、默认不能使用经典网络私网 IP 作为负载均衡私网实例 IP 并加VPC ECS; C、不能使用用户的VPC IP 作为负载均衡私网实例并加非VPC ECS; D、一个实例不能同时存在VPC 和非VPC 的ECS; 参考答案: A、 B、 C、 D、 6[多选题] 路由器是VPC 网络的枢纽,它可以连接 VPC 内的各个交换机,同时也是连接 VPC 与其他网络的网关设备。它会根据具体的路由条目的设置来转发网络流量。下面关于路由去说法正确的是? A、每个VPC 有且只有一个路由器; B、路由器不支持BGP 和OSPF 等动态路由协议; C、创建VPC 时,系统会自动为每个VPC 创建 1 个路由器; D、删除VPC 时,也会自动删除对应的路由器; E、不支持直接创建和删除路由器; 参考答案: A、 B、 C、 D、 E、 7 您在开通阿里云的云服务器 ECS 实例的同时,可以免费开通阿里云的云监控服务,云监控服务可以帮助您收集并获取云服务器 ECS 实例的多项监控指标,还可以针对各项指标设置警报,提升您的监控及运维效率。 A、正确 B、错误 参考答案: A、
阿里云安全白皮书V1.2
前言 (3) 概览 (3) 阿里云安全策略解读 (3) 组织安全 (4) 合规安全 (5) 数据安全 (6) 访问控制 (8) 人员安全 (9) 物理和环境安全 (10) 基础安全 (11) 系统和软件开发及维护 (14) 灾难恢复及业务连续性 (16) 总结 (17)
前言 阿里云以打造互联网数据分享第一平台为使命,借助自主创新的大规模分布式存储和计算等核心云计算技术,为各行业、小企业、个人和开发者提供云计算(包括云服务器、开放存储服务、关系型数据库、开放数据处理服务、开放结构化数据服务、云盾、云监控等其他产品)产品及服务,这种随时、随地、随需的高效云产品和服务同时具备安全方面的优势。 阿里云提供这些云产品及服务的方式来自于阿里巴巴集团在电子商务行业的多年浸渍,而安全则是阿里云的首要和关键组件。本白皮书将介绍阿里云在云安全方面的方法,具体涵盖安全策略、组织安全、合规安全、数据安全、访问控制、人员安全、物理安全、基础设施安全、系统和软件开发及维护、灾难恢复及业务连续性十个方面的主题。在本文里面所描述的策略、流程和技术将以https://www.doczj.com/doc/4c16205240.html,发布时为准。随着时间的推移,部分细节将随着产品和服务的创新而改变。 概览 阿里云遵循“生产数据不出生产集群”的安全策略,覆盖从数据存储、数据访问、数据传输到数据销毁等多个环节的数据安全控制要求,这些控制要求包含以下十个方面: (1)阿里云安全策略解读; (2)组织安全; (3)合规安全; (4)数据安全; (5)访问控制; (6)人员安全; (7)物理安全; (8)基础安全; (9)系统和软件开发及维护; (10)灾难恢复及业务连续性 阿里云安全策略解读 “生产数据不出生产集群”------阿里云基于阿里巴巴集团十多年信息安全风险管控经验,以保护数据的保密性、完整性、可用性为目标,制定防范数据泄露、篡改、丢失等安全威胁的控制要求,根据不同类别数据的安全级别(例如:生产数据是指安全级别最高的数据类型,其类别主要包括用户数据、业务数据、系统数据等),设计、执行、复查、改进各项云计算环境下的安全管理和技术控制措施。