阿里云认证ACP-安全(云盾、云安全)(试题占比:10%)
基础安全 - 安骑士、云监控、云盾、云安全)考点梳理
- 互联网常见形式及安全威胁
- 阿里云安全体系
- 云盾的基础 DDOS 防护
- 应用防火墙(WAF)和安骑士
- 云监控功能
- 云安全功能操作演示
1、互联网常见形式及安全威胁
2、阿里云安全体系
网络、主机、应用、数据四大安全
---安全防御-----
服务器安全:安骑士
网络安全:DDoS高防IP、Web应用防火墙
业务安全:反欺诈、绿网
数据安全:加密服务、证书服务
安全服务:云盾SOS服务/安全专家服务
移动安全:移动安全
---安全检测---
安全情报:先知、白帽子
大数据安全:事态感知
- 数据风控:基于阿里大数据计算能力,通过业内领先的风险决策引擎,解决企业账号、活动、交易等关键业务环节存在欺诈威胁,降低企业的经济损失。
- 态势感知
- 绿网:
2018年6月,《中华人民共和国网络安全法》正式实施,称为我国第一部规范网络空间秩序的基础性法律。《网络安全法》明确了对个人信息收集和保护的要求,提出了个人信息保护的基本原则和要求,并对加强个人信息保护和惩治非法买卖个人信息等做出了明确规定。7月下旬,铜陵一网民因为触犯《网络安全法》被行政拘留十日。
常见的网络攻击类型
- DDOS攻击:SYN flood, UDP flood, ICMP flood
- DNS
- 0day漏洞
- SQL注入
- CC攻击
TCP三次握手及SYN flood攻击示意图
内容安全(阿里绿网)
2018整改的互联网企业:快播、头条、内涵段子、抖音、快手
内容安全(阿里绿网)功能:
- 站点检测服务
- OSS违规检测服务
- 内容检测API
内容安全(阿里绿网)特点:
- 性价比高:节省90%以上的人力成本的同时,支持秒级返回结果,准确率达到99%
- 接入成本低:一次接入即可提供音视频、图片、文字等形式内容检测,覆盖暴恐、鉴黄、涉政、广告等风险防范;
- 灵活的服务方式:既与OSS、ECS等云产品无缝对接,又可以通过API方式与用户审核系统集成。
阿里巴巴企业发展历程及阿里云云盾产品介绍
1999年,阿里巴巴成立于杭州
2003年,淘宝网上线
2004年,支付宝上线
2013年,余额宝上线
云盾防护层级:网络、主机、应用、数据库
- 网络防护(DDos)
- 主机防护
- WEB防护
- 数据库防护
云盾功能
- DDos防护功能:
- 默认开通基础防护(5G)(免费)
- 可升级至DDos高仿IP(付费)
- 主要面向的产品:ECS、SLB
- 检测方式:实时
- 提醒功能:
- 默认开通;
- 主要面向的产品:ECS;
- 检测方式:实时;
- 内容包括:安全规则的删除、异地登录、暴力破解、云资源的创建及释放提醒;
- 提醒方式:短信、邮件、旺旺、钉钉
- 安全体检
- 默认不开通(付费)
- 内容包括:WEB漏洞检测、系统漏洞检测、网页挂马检测等;
云盾产品特点
- 免费开通(DDOS基础防护)
- 无需购买昂贵的安全设备
- 无需配置专业安全团队
- 拥有ECS即可免费开通云盾服务
- 简单易用:云盾的操作都是菜单式的选项,便于用户使用
- 专业团队:完善的监控体系和安全团队,集合阿里巴巴近20年的安全经验
第二章:云盾的网络级防护
DDOS攻击是什么?
DDOS:分布式拒绝服务攻击
DDOS攻击的目的:让既定目标,无法提供正常的服务。防御难度很大(坏人是混在好人里面去访问你的服务)
DDOS防护功能原理
DDOS防护功能
- 攻击流量的发现、牵引和自动处理
- 可以有效抵御基于网络层、传输层及应用层的DDOS攻击
- 包括但不限于:ICMP Flood、UDP Flood、TCP Flood、SYN Flood、ACK Flood、DNS Query Flood、NTP Reply Flood,但不支持防护CC攻击
- 攻击分析全自动检测
- 精准识别攻击,收到DDOS攻击不会影响访问速度;秒级开启防护。
- 基础DDoS防护免费(ECS、SLB、EIP、NAT等云产品)
- 可管理
- 自动进行异常流量抓包;
- 支持对攻击事件、攻击流量的管理统计;
第三章 云盾的主机级防护
安骑士的架构及功能(360杀毒)
主要功能:
- 安全预防:漏洞管理、基线检查
- 入侵检测:异常登录、网站后门(WebShell)查杀、主机异常(含云查杀)
- 资产指纹:主机管理、端口,帐号,进程,软件
- 日志检索:进程相关、网络连接、其他日志
安骑士特点
- 轻量化资源占用
- 普通状态:安骑士Agent占用约1% CPU及50M内存
- 峰值状态:安骑士占用不超过10% CPU及80M内存
- 如果占用资源超过此峰值,安骑士Agent将会暂停工作
- 实时告警
- 控制台集中管控,短信实时报警黑客攻击行为及高危漏洞风险
- 支持非阿里云服务器
- 安骑士支持非阿里云服务器的安全防护,包括腾讯云,UCIloud、青云、AWS及本地服务器
第四章 安骑士演示(查看官方文档)
- 整体安全情况总览
- 设置安装/卸载
第五章 云盾的WEB防护(基于DNS记录实现)
1、WEB应用防火墙(WAF)
WAF的功能:
- 常见Web应用攻击防护
- SQL注入、XSS跨站、Webshell上传、后门隔离保护、命令注入、非法HTTP协议请求、常见Web服务器漏洞攻击、核心文件非授权访问、路径穿越、扫描防护等。
- 0day补丁定期及时更新
- CC恶意攻击防护(DDOS不支持)
- 对单一源IP的访问频率进行控制
- 针对海量慢速请求攻击,根据统计响应码及URL请求分布、异常Referer及User-Agent特征识别,结合网站精准防护规则进行综合防护。
- 虚拟补丁
- 在Web应用漏洞补丁发布和修复之前,通过调整Web防护策略实现快速防护。
- 攻击事件管理
- 支持对攻击事件、攻击流量、攻击规模的集中管理统计
WAF的特点
- 配置简单:无需安装任何软、硬件,无需更改网站配置、代码,秩序修改DNS记录。
- 强大的web防御能力
- 内置近千条安全防护规则,每周均有规则的新增和优化
- Web 0Day漏洞补丁修复,24小时内防护,全球同步。
- 检测快,防护稳
- 一毫秒内检测攻击并防护生效,防护无延时;
- 新的防护规则一分钟内全球同步;
- 全年稳定在线可用;
- 支持非阿里云网站
- WAF支持非阿里云网站的安全防护
★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★
学习中什么最重要?
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26
A B C D E F G H I J K L M N O P Q R S T U V W X Y Z
老师:teacher 20 5 1 3 8 5 18 = 60%
知识:knowledge = 11 12 15 23 12 5 4 7 5 = 96%
努力:Strive = 19 20 18 9 22 5 = 93%
好运:luck = 12 21 3 11 = 47%
金钱:money = 13 15 14 5 25 = 72%
态度:attitude = 1 20 20 9 20 21 4 5 = 100%
端正态度,虚心学习,不骄不躁!
阿里云认证(ACA\ACP\ACE)分享群:58284982 (资料、题库免费分享)大家一起努力!!!
我不认为一个人如果这件事都做不好,他就能做好另一件事。
人们永远没有足够的时间把它做好,但永远有足够的时间重新来过。 可是,因为并不是总有机会重做一遍,你必须做得更好,换句话说, 人们永远没有足够的时间去考虑到底是不是想要它,但永远有足够的时间去为之后悔。 ★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★ 浅掘千口井,不如深挖一口井!当知识支撑不了野心时,那就静下心来学习吧!运维技术交流QQ群:618354452
个人微信公众号,定期发布技术文章和运维感悟。欢迎大家关注交流。