云安全解决方案(三个阶段)---v2.0-20160826

云安全解决方案第1页/共9页云安全解决方案for渠道阿里云计算有限公司2016年08月云安全解决方案第2页/共9页目录第1章安全威胁分析..................................................3第2章安全解决方案描述...............................................42.1Web应用防火墙.................................................42.2DDOS高防服务..................................................52.3主机入侵防御..................................................62.4威胁态势感知服务...............................................7服务内容.........................................................82.5方案总结.....................................................9云安全解决方案第3页/共9页第1章安全威胁分析近几年关于网站被篡改、网络钓鱼、SQL注入和跨站脚本等带来严重后果的攻击事件频频发生，严重影响了人们对企业业务公信力的认可，更严重的情况是对用户造成隐私数据泄露和资金损失。根据Gartner的数据分析，80%基于Web的应用都存在安全问题，其中很大一部分是相当严重的问题。随着web应用中间件和应用平台的新漏洞被发现，针对性的病毒、木马、蠕虫及自动化的攻击工具往往会很快出现，进而出现一波又一波Web攻击浪潮，导致服务器被控制、Web服务中断、客户信息被窃取、业务欺诈的事件的发生。同时，由于XSS、CSRF、Cookie窃取等攻击导致合法用户的客户端被控制、信息被窃取、被欺诈、被敲诈等事件发生，造成巨大的政治风险、名誉损失、公信力下降等不良社会影响。阿里云经过近10年的安全对抗实战，总结了一套基于云环境下，从防御–感知–渗透的安全红蓝对抗体系。XXX当前业务架构主要为B/S架构，由于Web应用的开放性、用户的大众性，使其成为最佳的攻击和威胁目标，网站面临的安全威胁较大。云安全解决方案第4页/共9页根据云上用户对安全防护的特殊性，推荐按照如下阶段进行安全防御体系的建设，根据和XXX客户的沟通，此次建议推荐下图第I阶段的基础防御体系和第二阶段安全感知体系，。第2章安全解决方案描述2.1Web应用防火墙服务场景针对WEB业务系统可以选用第Web应用防火墙（WebApplicationFirewall,以下简称“WAF”），加强网站应用层的防护能力。服务内容云应用防火墙包括以下功能：功能模块功能内容Web应用防火墙提供OWASPTOP10等各种web通用攻击防御能力；有效应对盗链、跨站请求伪造等特殊攻击；云安全解决方案第5页/共9页提供全面的内容管理系统（CMS）0day防护策略；基于URL粒度的安全规则实现不同资源的差异化防护；基于URL+规则的白名单，因网站质量引起的误判处理达到最佳平衡；提供针对应用层CC攻击的防御能力。云WAF的工作方式是将WEB流量映射到云WAF上，由云WAF将流量清洗后再代理转发到应用服务器，完成整个WEB应用防护。模拟部署图如下：云租户可自行登陆到云WAF提供的WEB界面进行管理，可查看应用系统的防护日志和多维度安全报表。客户收益防止网络Web入侵，保证网站业务的连续性。2.2DDOS高防服务服务场景云盾DDoS高防IP是针对互联网服务器（包括非阿里云主机）在遭受大流量的DDoS攻击后导致服务不可用的情况下，推出的付费增值服务，用户可以通过云安全解决方案第6页/共9页配置高防IP，将攻击流量引流到高防IP，确保源站的稳定可靠。服务内容DDOS高防服务可以提供包括但不限于以下攻击类型ICMPFlood、UDPFlood、TCPFlood、SYNFlood、ACKFlood、CC攻击等攻击防御DDoS防护服务可随时更换防护的IP，自由配置高级别防护IPDDoS防护阈值弹性调整，随时升级更高级别的防护，整个过程服务无中断提供实时精准的流量报表及攻击详情，及时准确获得当前服务详情服务标准如下：1、清洗防护效果的可用性：95%2、故障排查速度：工单响应3、技术支持：7*24小时4、报表提供：详细报表5、防御策略托管：自主可配6、日志留存：一年7、攻击取证：系统提醒客户收益享受高服务水平的防御能力，保障租户网站的高可用性；无需部署应用防火墙，零运维成本，实现应用层攻击防护。2.3主机入侵防御服务场景主机入侵防护系统针对网络安全最大威胁之一的密码暴力破解、黑客恶意上传的木马文件、恶意脚本提供有效检测防护。云安全解决方案第7页/共9页服务内容主机入侵防护系统提供以下功能：密码暴力破解防护：支持Windows和Linux，针对SSH、RDP、Telnet、Ftp、MySQL、MSSQLServer等等常见程序进行监控；网站后门检测：检测PHP、ASP、JSP、.NET、JAVA等代码写的webshell，对检测出来的后门进行访问控制和隔离操作，防止后门的再次利用；异地登录检测：在服务器异常登录事件中，有超过半数事件是入侵或者攻击行为。根据登录情况，识别常用的登录区域，精确到地市级。一旦出现其他地域尝试登录，通过手机短信预警，减少不必要的损失。漏洞修复:通用Web软件漏洞：实时监控和收集全网通用Web软件漏洞，共享云盾漏洞应急能力，自研漏洞补丁，快于官方，在漏洞爆发和官方未发布补丁的窗口期，帮助客户一键修复漏洞，拦截黑客攻击Windows系统漏洞：订阅微软官方补丁消息，在官方补丁发布的同时，专家同步分析漏洞的危害和更新补丁的必要性，对于高危漏洞第一时间更新扫描规则，对受影响的客户进行通知和引导一键修复灰度更新和一键回滚：支持批量或单台服务器进行灰度更新，确保业务稳定后可全部更新。同时支持一键回滚和卸载所有补丁，对业务稳定性影响降到最低，安全地打补丁客户收益安全防护的最后一道防线，降低主机被入侵的概率，保障业务连续性。2.4威胁态势感知服务服务场景为业务系统提供实时的多维度的威胁态势感知，有效捕捉高级攻击者使用的0day漏洞攻击、新型病毒攻击事件、和正在发生的安全攻击行为有效的展示，云安全解决方案第8页/共9页帮助云上租户实现云上业务安全可视和可感知。服务内容威胁态势感知是阿里云安全利用大数据，通过威胁态势感知系统从攻击者的角度，有效捕捉高级攻击者使用的0day漏洞攻击、新型病毒攻击事件、和正在发生的安全攻击行为有效的展示，帮助云上租户实现云上业务安全可视和可感知。威胁态势功能具有以下功能：入侵检测基于行为特征的webshell检测，恶意病毒的沙箱检测，精确查杀，在大规模云计算环境中，对入侵行为进行分析，从流量行为，主机行为中获取恶意特征对那些能够引发网络安全态势发生变化的要素进行全面、快速和准确地捕获和分析。弱点分析全方位的发现云上租户业务应用的web漏洞，主机漏洞，配置漏洞，弱口令扫描SQL注入，XSS等各种web漏洞和第三方开源程序漏洞，并对主机ECS漏洞、配置项漏洞做到实时监控和发现，同时可以实现对漏洞进行实时回扫，提升漏洞修复周期和漏洞解决时间。威胁分析阿里安全专家对数据建模，进行实时安全分析，所有的威胁分析，均由阿里安全专家进行离线分析，数据模型来自大数据分析后结果。服务收益为网站提供全方位、全天候的可视、可感知的安全监测和预警服务，客户可以实时了解业务系统的安全现状，防患于未然。云安全解决方案第9页/共9页2.5方案总结通过网络层、主机层、应用和安全管理，全部方位保障业务系统数据的安全性，防止数据泄露等安全事件发生，保障云上的系统比传统数据中心的安全防护手段更加有效。本方案目标如下：一.强化外部威胁检测和展现，对网站系统进行实时全方位的安全威胁态势感知，及时发现安全威胁及潜在安全事件，为制定安全策略提供有效的依据。二.通过安全产品及安全服务各项措施，加强安全防护策略，主要包括抗DDoS攻击、主机层入侵防护、Web应用层攻击，帮助客户建立深度的安全防护体系，降低安全风险。方案总体目标解决业务系统网站安全漏洞问题，同时增加安全监控手段，对外部威胁监控，及时发现和预警安全风险，保障网站应用系统的高可用性和安全性。