阿里专有云
写在前面
本文主要是学习阿里专有云/公有云文档梳理的学习笔记,其中难免有一些错误,还请指正
云上产品与安全服务可以说是应有尽有,是非常好的安全体系学习框架
专有云介绍
阿里云专有云是基于阿里云分布式架构,针对企业级市场使用特点,为客户量身打造的开放、统一、可信的企业级云平台。专有云与阿里云公共云同根同源,客户可在任何环境本地化部署公共云产品及服务,并具备一键扩张、弹性伸缩至公共云的能力。
面向不同客户业务规模、针对不同业务场景,专有云提供稳定安全、一应俱全和轻量化、易集成等多样配置的企业版;对于业务场景更聚焦的客户,专有云还提供大数据、数据库、中间件三大优势场景独立输出的敏捷版。
阿里云专有云解决方案诞生自阿里云公共云,将公共云的技术带到专有云领域,即专有公共云,简称专有云。通过帮助企业在自己的数据中心交付完整的可定制的阿里云软件解决方案,让用户在本地就可以获得与阿里云公共云超大规模云计算和大数据产品相同的特性,为企业提供一致性的混合云体验,从而满足用户按需获得IT资源、保持业务持续性的需求。
阿里云专有云提供本地部署方式,可以脱离阿里云运行和独立管理。
专有云产品的全景图(2022/7/29版本)
安全与合规
采用原生云安全架构,为用户提供立体化分层防护,国内首家通过商用密码应用安全性评估的云平台,首个通过等保2.0四级评估云厂商。 阿里云获得了海内外十余家机构的认证,是亚洲资质最全的云服务商。
云上安全
阿里云安全主要是云盾安全生态体系进行保障的 标准版的专有云云盾包含如下产品:网络流量监测与响应、漏洞扫描、安骑士、安全审计、Web应用防火墙、态势感知、云安全管理中心SOC和安全运营驻场服务。
除标准版包含的产品外,专有云云盾提供如下可选安全产品:DDoS流量清洗、云防火墙、堡垒机、敏感数据保护、数据梳理、数据库审计、数据发现与脱敏、加密服务、安全编排自动化响应和容器防护。
云平台安全
云平台安全中的架构层面包含了阿里云作为云平台默认提供的基础安全能力,尤其是两纵的云平台内部身份与访问控制以及云平台安全监控运营两个维度,是云平台内部自身的安全管理和运营,客户并不直接感知;与之相似,在物理安全、硬件安全和虚拟化安全层面,客户也无需任何设置即可享受阿里云本身的高安全等级能力;而云产品安全能力这一层包含了云平台在各个产品中为客户提供的安全能力和安全保障,其中部分能力(如租户隔离)是产品本身默认的保障,部分能力(如数据加密)是产品提供能力的同时需要客户的开启和正确设置。
物理安全
阿里云园区和办公区均设置入口管控并划分单独的访客区,访客出入必须佩戴证件,且由 阿里云员工陪同。阿里云数据中心建设满足 GB 50174《电子信息机房设计规范》A 类和 TIA 942《数据中心机房通信基础设施标准》中 T3+标准,包含本章以下物理与环境安全控制要求
机房容灾
火灾检测及应对
阿里云数据中心火灾探测系统利用热和烟雾传感器实现,传感器位于天花板和地板下面;当触发事件时,提供声光报警。数据中心采用整体气体灭火系统与手动灭火器,同时组织火灾检测与应对的培训和演练。
电力
为保障阿里云业务 7X24 小时持续运行,阿里云数据中心采用双路市电电源和冗余的电力系统,主、备电源和系统具备相同的供电能力。若电源发生故障,会由带有冗余机制的电池组和柴油发电机对设备进行供电,保障数据中心在一段时间内的持续运行能力。
温度和湿度
阿里云数据中心采用精密空调来保障恒温恒湿的环境,并对温湿度进行电子监控,一旦发生告警立即采取应对措施。空调机组均采用热备冗余模式
人员管理
访问管理
阿里云数据中心仅向本数据中心运维人员授予长期访问权限,一旦运维人员转岗或离职,权限立即清除。其他人员若因为业务需求要进入数据中心,必须先提出申请,经各方主管审批。通过后才能获取短期授权;每次出入需要出示证件并进行登记,且数据中心运维人员全程陪同。
阿里云数据中心内部划分机房包间、测电区域、库房间等区域,各个区域拥有独立的门禁系统,重要区域采用指纹等双因素认证,特定区域采用铁笼进行物理隔离。
账号管理和身份认证
阿里云使用统一的账号管理和身份认证系统管理员工账号生命周期
授权管理
阿里云基于员工工作岗位和角色,遵循最小权限和职责分离原则,授予员工有限的资源访问权限。员工根据工作需要通过集中的权限管理平台申请 VPN 访问权限、堡垒机访问权限、管控平台以及生产系统访问权限,经主管、数据或系统所有者、安全管理员以及相关部门审批后,进行授权。
职责分离
阿里云对运维权限分角色进行职责分离,防止权限滥用和审计失效。运维和审计职责分离,由安全团队负责审计;数据库管理员和系统管理员职责分离
运维审计
监控
阿里云数据中心机房各区域设有安防监控系统,监控范围覆盖所有区域和通道,配有物业保安 7X24 小时巡逻。所有视频监控和文档记录均会长期保存,且由专人定期复核。
审计
员工对生产系统的所有运维操作必须且只能通过堡垒机进行,所有操作过程会被完整记录
并实时传输到集中日志平台。阿里云根据《帐号使用规范》及《数据安全规范》里定义的违规事
项定义审计规则,发现违规行为并通知安全人员跟进。
阿里云内部使用 B/S 架构的管理和支持系统按照阿里云日志审计规范详细记录敏感操作,
并把日志发送到集中日志平台。阿里云集中日志平台仅提供日志采集和查看接口,不提供修改
和删除接口
数据销毁
安全擦除
阿里云建立了对设备全生命周期(包含接收、保存、安置、维护、转移以及重用或报废)的安全管理。设备的访问控制和运行状况监控有着严格管理,并定期进行设备维护和盘点。阿里云建立废弃介质上数据安全擦除流程,处置数据资产前,检查含有敏感数据和正版授权软件的媒介是否已被覆写、消磁或折弯等数据清除处理,且不能被取证工具恢复。当因业务或法律原因,不再需要某些硬拷贝材料时,将其物理破坏,或取得数据处理第三方的损坏证明,以确保数据无法重建
云服务客户数据处置
阿里云在终止为云服务客户提供服务时,及时删除云服务客户数据资产或根据相关协议要求返还其数据资产。阿里云数据清除技术满足行业标准,清除操作留有完整记录,确保客户数据不被未授权访问。
阿里云运维人员未经客户许可,不得以任意方式访问客户未经公开的数据内容。阿里云遵循生产数据不出生产集群的原则,从技术上控制了生产数据流出生产集群的通道,防止运维人员从生产系统拷贝数据。
网络隔离
阿里云对生产网络与非生产网络进行了安全隔离,从非生产网络不能直接访问生产网络的任何服务器和网络设备。阿里云把对外提供服务的云服务网络和支撑云服务的物理网络进行安全隔离,通过网络 ACL 确保云服务网络无法访问物理网络。阿里云也采取网络控制措施防止非授权设备私自联到云平台内部网络,并防止云平台物理服务器主动外联。
阿里云在生产网络边界部署了堡垒机,办公网内的运维人员只能通过堡垒机进入生产网进行运维管理。运维人员登录堡垒机时使用域账号密码加动态口令方式进行多因素认证。堡垒机使用高强度加密算法保障运维通道数据传输的机密性和完整性。
硬件安全
硬件固件安全
硬件固件是云计算安全依赖的安全基础,为了保障硬件固件安全,阿里云对底层硬件固件进行加固,其中包括硬件固件基线扫描、高性能 GPU 实例保护、BIOS(Basic Input Output System,即基础输入输出系统,是刻在主板 ROM 芯片上不可篡改的启动程序,BIOS 负责计算系统自检程序和系统自启动程序,因此是计算机系统启动后的第一道程式) 固件验签、BMC(Baseboard Management Controller 即基板管理控制器 独立于服务器系统之外的小型操作系统) 固件保护。
- 硬件固件基线扫描
定期对硬件和固件基本信息及相应版本进行扫描,检测可能的异常硬件固件信息。 - 高性能 GPU 实例保护 通过对开放给用户虚拟机的 GPU 关键寄存器保护,确保用户虚拟机除了进行高性能计算之外,无法篡改 GPU 的固件程序等重要资源。
- BIOS 固件验签 确保只有阿里云签名过的 BIOS 固件才可以被刷写在相关服务器上,从而避免了恶意的 BIOS 固件刷写。
- BMC 固件保护
确保在主机操作系统中,无法对 BMC 固件进行非授权的恶意刷写。
加密计算
阿里云平台提供了以 Intel® Software Guard Extensions(Intel® SGX)可信执行环境作为基础的硬件可信执行环境。在加密计算的硬件可信执行环境中,可以通过软件建立一个可信执行环境,进而保护敏感数据(例如,加解密密钥)。由于加密计算的信任根基于处理器芯片,而非基于底层软件,因此所有加密信息只能在可信执行环境中计算和运行,从而提供基于硬件的高等级的数据保护能力。
可信计算 阿里云在关键服务器上采用了系统可信和应用可信功能,通过度量和验证保证云平台运行环境的安全,以及通过对白名单应用的监测管理确保应用的运行安全。
系统可信在关键服务器上采用了基于 TPM 2.0 的可信计算技术,通过 TPM 2.0 以及 vTPM 技术对物理机、虚拟机上基础软件栈的启动过程进行度量,并通过可信服务对度量结果进行验证。被度量的基础软件包括了 BIOS、BootLoader、操作系统内核以及加载的系统模块和应用等。安全运维人员可以通过验证结果对系统可信状态做判断,并采取相应的安全应对措施(例如,重新安装正确的软件或业务迁移)。
应用可信通过对应用执行环节如进程启动、文件访问、网络访问等行为进行记录、分析,获取其行为白名单和模型,当应用在运行时通过动态度量采集到的应用行为,并将动态度量结果通过行为白名单验证来判断应用是否可信。安全运维人员可以通过验证结果对应用进行处理重新安装载正确的版本等
虚拟化安全
虚拟化技术是云计算的主要技术支撑,通过计算虚拟化,存储虚拟化,网络虚拟化来保障云计算环境下的多租户隔离。阿里云虚拟化安全技术主要包括租户隔离、安全加固、逃逸检测、补丁热修复、数据清零等五大基础安全部分来保障阿里云虚拟化层的安全。
租户隔离
虚拟化层在租户隔离中起到至关重要的作用。基于硬件虚拟化技术的虚拟机管理将多个计算节点的虚拟机在系统层面进行隔离,租户不能访问相互之间未授权的系统资源,从而保障计算节点的基本计算隔离。同时,虚拟化管理层还提供了存储隔离和网络隔离。
-
计算隔离
阿里云提供各种基于云的计算服务,包括各种计算实例和服务,可自动伸缩以满足应用程序或企业的需求。这些计算实例和服务在多个级别提供计算隔离以保护数据,同时保障了用户需求的配置灵活性。计算隔离中关键的隔离边界是管理系统与客户虚拟机以及客户虚拟机之间的隔离,这种隔离由 Hypervisor 直接提供。阿里云平台使用的虚拟化环境,将用户实例作为独立虚拟机运行,并且通过使用物理处理器权限级别强制执行此隔离,确保用户虚拟机无法通过未授权的方式访问物理主机和其他用户虚拟机的系统资源。 -
存储隔离
作为云计算虚拟化基础设计的一部分,阿里云将基于虚拟机的计算与存储分离。这种分离使得计算和存储可以独立扩展,从而更容易提供多租户服务。在虚拟化层,Hypervisor采用分离设备驱动模型实现 I/O 虚拟化。虚拟机所有 I/O 操作都会被 Hypervisor 截获处理,保证虚拟机只能访问分配给它的物理磁盘空间,从而实现不同虚拟机硬盘空间的安全隔离。 -
网络隔离
为了支持 ECS 虚拟机实例使用网络连接,阿里云将虚拟机连接到阿里云虚拟网络。阿里云虚拟网络是建立在物理网络结构之上的逻辑结构。每个逻辑虚拟网络与所有其他虚拟网络隔离。这种隔离有助于确保部署中的网络流量数据不能被其它 ECS 虚拟机访问。
安全加固
安全加固是指通过各种技术手段减少虚拟化管理程序中可能的被攻击面。阿里云使用轻量级和专门为云上场景开发的虚拟化管理程序(以 KVM 为基础的 Hypervisor),并在设计之初即做到软硬件场景结合,专注于只支撑垂直的云上基础设施的硬件虚拟化。同时,为减少可能受到 0day 漏洞的影响,阿里云虚拟化管理程序会在不影响功能和性能的基础上限制系统级别的动态函数库的调用。简而言之,阿里云会最大限度的从虚拟化管理程序中裁剪一些与云上设备无关的代码来降低攻击面,此外,所有虚拟化软件必须编译和运行在一个可信的执行环境上才能保障每个二进制文件在执行时不被恶意篡改和替换。阿里云采用了一系列可信计算技术来保障整个链路的安全,也有一整套完善的控制机制来保障这些虚拟化二进制文件不被外部恶意获取分析利用。
在此之外,阿里云还对虚拟化管理程序和宿主机 OS/内核级别进行相应安全加固。例如,对虚拟化管理程序在动态运行时进行降权,并阻止内核执行用户空间代码以增加逃逸后提权的难度;开启内存地址随机化特性,并开启内核符号限制访问功能和内存保护页功能以增加内存溢出类攻击的难度。阿里云不断引入新的安全特性到虚拟化管理程序和宿主机 OS/内核中,这其中包括内部研发的和外部开源社区的最新安全功能
逃逸检测
虚拟化层面的入侵事件主要体现为在虚拟机上的逃逸攻击,其主要包括两个基本步骤:首先将攻击方控制的虚拟机置于与其中一个攻击目标虚拟机相同的物理主机上;然后破坏隔离边界,以窃取攻击目标的敏感信息或实施影响攻击目标功能的破坏行为。
在阿里云平台中,阿里云虚拟化管理程序通过使用高级虚拟机布局算法以防止恶意用户的虚拟机运行在特定物理机上,且虚拟机无法主动探测自身所处的物理主机环境。此外,阿里云在 Hypervisor 层面会对虚拟机异常行为进行检测,例如对 Coredump 文件实时分析监控、对Hypervisor 加载和执行可疑代码段进行实时检测、对虚拟机的系统函数调用和 VM Exit 异常行为进行审计、以及对宿主机的进程执行行为和网络行为等可能的异常场景进行实时监控和分析,及时发现对虚拟化平台的恶意攻击事件。
当检测到恶意攻击时,阿里云会定位和处置发起恶意攻击的虚拟机,并对整个攻击链条进行及时的采样还原,并对找到的漏洞进行补丁热修复。
补丁热修复
阿里云虚拟化平台支持补丁热修复技术,通过补丁热修复技术使得系统缺陷或者漏洞的修复过程不需要用户重启系统,从而不影响用户业务。
数据清零
作为存储虚拟化的延伸,云用户实例服务器释放后,其原有的磁盘和内存空间将会被可靠的进行数字清零以保障用户数据安全
云产品安全
阿里云为用户提供了多种不同的云产品,其中包括计算类产品(如云服务器 ECS)、存储类产品(对象存储 OSS)、网络类产品(如专有网络 VPC)、数据库类产品(如云数据库 RDS)、大数据类产品(如大数据计算 MaxCompute)等。
云平台内部身份和访问控制
身份管理
阿里云针对正式员工、实习生、外包、合作伙伴等内部用户使用身份认证系统进行账号生命周期管理。所有用户按照“一人一账号”、“公私数据分离”原则进行账号分配和使用,账号一旦分配,不得共享账号并对账号做统一的登录管理、账号密码管理和访问控制。一旦内部用户离职、转岗或工作内容发生变更,其所使用或管理的各项账号资源,必须回收或移交。
密码管理
阿里云遵循一人一账号原则,每个账号都有明确的持有者。所有用户集中下发密码策略,强制要求设置符合密码长度、复杂度要求的密码,并定期修改密码且不能与上一次密码相同。同时,阿里云支持账号密码登录、一次性口令登录、数字证书登录等多种认证登录方式。
权限管理
阿里云根据业务需要合理分配权限,按照权限、角色、用户组、部门和用户进行权限统一管理,每个内部用户通过权限管理系统实行权限申请、使用和回收。阿里云为了加强内部系统权限使用管理,降低权限使用风险,根据风险将权限和角色设置为不同等级,并根据等级进行不同层级的申请审批机制,对于超过一定时间未使用的权限,系统则自动冻结权限;对于离职用户,系统自动冻结账号,回收权限;对于转岗用户,系统自动回收其权限。
云平台安全监控和运营
云产品安全生命周期(SPLC)
云产品安全生命周期(Secure Product Lifecycle,简称 SPLC)是阿里云为云上产品量身定制的云产品安全生命周期,目标是将安全融入到整个产品开发生命周期中。SPLC 在产品架构审核、开发、测试审核、应急响应的各个环节层层把关,每个节点都有完整的安全审核机制确保产品的安全性能够满足严苛的云上要求,从而有效地提高云产品的安全能力并降低安全风险。
整个云产品安全生命周期可以分为产品立项、安全架构审核、安全开发、安全测试审核、应用发布、应急响应六大阶段。
在产品立项阶段,安全架构师和产品方一同根据业务内容、业务流程、技术框架建立 FRD(功能需求文档)、绘制详细架构图,并在阿里云产品上云的所有安全基线要求中确认属于产品范围的《安全基线要求》。同时,本阶段会安排针对性的安全培训课程与考试给产品方人员,从而避免在后续产品开发中出现明显的安全风险。
在安全架构审核阶段,安全架构师在上一阶段产出的 FRD 和架构图的基础上对产品进行针对性的安全架构评估并做出产品的威胁建模。在威胁建模的过程中,安全架构师会对产品中的每一个需要保护的资产、资产的安全需求、可能的被攻击场景做出详细的模型,并提出相对应的安全解决方案。安全架构师会综合《安全基线要求》和威胁建模中的安全解决方案,一并与产品方确认对于该产品的所有《安全要求》。
在安全开发阶段,产品方会根据《安全要求》在产品开发中遵守安全编码规范,并实现产品的相关安全功能和要求。为了保证云产品快速持续的开发,发布与部署效率,产品方会在本阶段进行自评确认《安全要求》都已经实现,并提供相对应的测试信息(如代码实现地址,自测结果报告等)给负责测试的安全工程师,为下阶段的安全测试审核做好准备。在安全测试审核阶段,安全工程师会根据产品的《安全要求》对其进行架构、设计,服务器环境等全方位的安全复核,并对产品的代码进行代码审核和渗透测试。在此阶段发现的安全问题会要求产品方进行安全修复和加固。
在应用发布阶段,只有经过安全复核,并且得到安全审批许可后,产品才能通过标准发布系统部署到生产环境,以防止产品携带安全漏洞在生产环境运行。
在应急响应阶段,安全应急团队会不断监控云平台可能的安全问题,并通过外部渠道(如ASRC 等)或者内部渠道(如内部扫描器、安全自测等)得知安全漏洞。在发现漏洞后应急团队会对安全漏洞进行快速评级,确定安全漏洞的紧急度和修复排期,从而合理分配资源,做到快速并合理的修复安全漏洞,保障阿里云用户、自身的安全。
云平台安全监控
云平台侧的安全监控,主要目的是及时发现平台自身的应用和主机、网络等资源被恶意攻击的安全事件,并在发现安全事件之后,触发云平台内部应急响应流程进行妥善处置,及时消除影响。
安全监控主要分为日志收集、异常分析检测和告警展示三个部分。日志收集主要是将平台侧的主机日志、网络日志、应用层和云产品的日志进行收集,并分别导入实时计算平台和离线计算平台。异常分析检测会在各个计算平台中,通过安全监控算法模型,对日志进行处理和分析,进而完成风险的发现与监控。一旦发现异常安全事件,会在阿里云内部的安全监控平台上进行告警展示,并通过钉钉,短信,邮件通知等方式通知安全应急人员在第一时间进行响应处置
云平台侧蓝军渗透测试
阿里云在云平台侧红蓝对抗计划,通过组织具备黑客能力的专家成立蓝军队伍,充分施展黑客攻击技术和渗透思路(不限时间、不限技术、不限范围),以周期实战性质的攻防对抗方式找出云平台最脆弱的环节,客观检验阿里云安全防御能力、威胁检测能力的水位,提升阿里云核心安全能力,完善平台防御体系。
通过有组织的实战对抗演练,来检验云平台安全现状:
- 当前的防御措施是否有效
- 当前的入侵检测措施是否有效
- 当前的防御措施存在哪些技术盲点
- 当前的安全水位处于什么状态,需要在哪些方面增加投入
云平台安全应急响应
云平台的应急响应是指阿里云对于内部监控发现的和外部上报的漏洞和安全事件做出应急处置。云平台侧通过日志收集和异常分析检测等手段发现可能的安全事件,并进行告警。外部上报的途径包括 ASRC 应急响应中心和阿里云先知漏洞平台、外部的开源三方组件对外通报的CVE 漏洞信息和来自三方的威胁情报信息。
一旦发现安全事件和漏洞,阿里云会进行相应的安全应急响应。应急响应的第一步骤是对上报的漏洞和安全事件的真实性进行排查确认。一旦确认,阿里云平台安全人员会启动应急响应流程,并按照标准步骤进行处置。漏洞类事件会先确认漏洞的安全等级和影响范围,并保证阿里云的产品能在对应的 SLA时间内完成相关漏洞的修复并发布上线。安全事件类的处置则主要包含事件影响范围确认,事件影响消除,和事后复盘改进等主要步骤。 同时,应急团队也会及时的通过线上公告等方式将安全问题第一时间通知用户。阿里云制定有严格的应急响应流程来确保每一次安全事件都进行严格而快速的处理。
为了确保安全应急响应流程技术有效,阿里云组建了专门的团队不定期的对阿里云进行攻击演练,以确保安全应急响应流程的有效性。阿里云还会定期邀请第三方团队对阿里云进行渗透测试,以验证阿里云安全防护体系的有效性和安全应急响应流程的流畅性。
变更管理
虚拟化系统是云计算的重要基础,针对虚拟化系统的变更会直接影响业务运行。阿里云依据 ISO/IEC 20000 建立了完整的变更管理流程,根据变更紧急程度进行变更等级划分;根据变更来源、对象等进行变更分类管理,明确了可能发生的变更结果的界定标准。整个变更以流程化或自动化的系统和工具来支撑,流程涵盖变更申请、评估、审批、测试、实施及复核等阶段,并明确了变更管理流程中各角色的职责。
- 变更申请阶段
界定需求提出、记录、接收和判定等关键节点。 - 变更执行阶段
主要涵盖变更方案、变更计划、变更评估和变更实施等要求,所有的变更在获准执行之前,需经过测试,变更时间窗口和变更方案等需经过评审,同时阿里云会向可能受影响的客户发出变更通知。重要的变更操作要求双人复核。 - 变更验证阶段
明确变更验证、配置项复核和变更结果通知等要求。阿里云会完整记录变更过程中的信息,并部署了自动化配置检查工具,可自动进行基础设施和信息系统的配置校验
租户测(云盾)安全
阿里云上的防御统一集成到云盾平台
网络流量检测与响应
通过多种威胁检测引擎和威胁情报,检测互联网边界和内网边界流量中的网络攻击行为,并对攻击行为进行响应。
| 功能项 | 功能说明 |
|---|---|
| 流量统计分析 | 通过流量镜像方式,旁路对进出互联交换机(ISW)的流量进行统计,并生成流量图。 |
| 恶意主机识别 | 针对专有云内部的恶意主机对外发起的攻击行为进行检测,发现内部已经被控制的云服务器。 |
| 异常流量检测 | 通过流量镜像方式,旁路检测超过阈值的异常流量。 |
| Web应用攻击防护 | 根据默认的Web应用攻击检测规则,采用旁路阻断技术在网络层拦截常见的Web应用攻击。 |
漏洞扫描
结合人工智能技术帮助企业及时发现安全风险的智能安全产品。
| 功能项 | 功能说明 |
|---|---|
| 资产发现 | 系统内置资产学习模型,根据用户提供的已知资产,准确分辨资产来源,定期进行资产巡检以发现更多的未知资产,并添加至资产库中。 |
| 资产管理 | 系统支持资产导入、删除、分组及导出管理,资产归属及负责人管理,资产检索及监控管理。 |
| 资产监测 | 系统利用HTTP和ping方式对资产进行监测,通过自定义告警策略后,可查看该监控网站在被监控期间的可用性详情及监控基础信息。 |
| 漏洞扫描 | 系统支持基础漏洞扫描、弱口令扫描、安全漏洞扫描、漏洞自动化巡检、基线检测及CVE漏洞扫描。 |
| 漏洞管理 | 系统支持扫描后的漏洞与资产进行自动关联,使资产风险可视化,帮助企业及时发现和管理风险。 |
| 外部风险监测 | 外部风险监测基于员工行为特征和企业关键信息进行外部巡检。 |
安骑士
通过安骑士服务实现对ECS的入侵防范和恶意代码防范
| 功能项 | 功能说明 |
|---|---|
| 基线检查 | 对云服务器ECS中的安全基线进行检查,包括账户安全检测、弱口令检查、以及配置项风险检测等,以达到企业级服务器安全准入标准。 |
| 漏洞管理 | 对云服务器ECS进行扫描,发现主机软件漏洞并提供漏洞修复方案。 对云服务器ECS中的应用和操作系统的高危漏洞提供一键修复,包括Web应用漏洞修复、系统文件修复等。 |
| 网站后门查杀 | 通过规则匹配对云服务器中存在的脚本后门进行精准查杀,并可手动对脚本后门进行隔离。 |
| 暴力破解攻击拦截 | 对黑客进行暴力破解的行为进行实时检测和拦截。 |
| 异常登录告警 | 通过分析和比对用户常用登录设置,对疑似的非常用登录行为进行告警。 |
| 主机异常检测 | 检测诸如反弹Shell、JAVA进程执行CMD命令、Bash异常文件下载等进程异常行为。 |
| 资产指纹 | 对云服务器主机的端口、账号、进程、应用软件等进行清点,全面了解主机资产的运行状态并有效进行回溯分析。 |
| 日志检索 | 将散落的云服务器主机的进程、网络、系统登录等日志集中管理,帮助在主机出现问题时一站式搜索相关日志,快速定位问题根源。 |
安全审计
通过安全审计服务汇总和分析日志,以便安全审计员及时发现并消除安全隐患。
| 功能项 | 功能说明 |
|---|---|
| 原始日志采集 | 支持采集以下日志:1.数据库日志、主机日志。2.用户侧控制台操作日志、运维侧控制台操作日志。3.网络设备日志。 |
| 审计查询 | 根据审计类型、审计对象、操作类型、操作风险级别、是否告警和创建时间进行审计日志查询。同时,支持审计日志的全文检索。 |
| 策略设置 | 支持根据发起者、目标、命令、结果和原因参数设置审计规则,对原始日志进行高危操作识别并告警。 |
Web应用防火墙
通过Web应用防火墙防护恶意应用攻击,保障移动、PC等互联网用户的接入安全。
| 功能项 | 功能说明 |
|---|---|
| 防护总览 | 防护总览提供以下功能: 1. 防护总览:提供最近24小时,以及最近30天的防护统计信息。 2. 监控访问状态:实时展示Top 100请求访问信息。 3. 导出防护报告:支持导出日报、周报以及定时任务报告。 4. 统计攻击检测:提供攻击检测相关的数据统计信息。 |
| 防护日志 | 防护日志提供以下功能: 1. 攻击检测日志:提供攻击检测日志。攻击检测日志列表显示攻击的处理结果、被攻击地址、攻击类型、攻击者IP及攻击时间针对每条攻击日志,可进一步查看日志详情。 2. CC防护日志:提供CC防护日志。日志列表显示匹配中CC规则的日志记录,包括请求URL,命中的CC规则名称及命中时间,提供CC防护日志的条件查询功能,可根据事件生成时间和CC规则名称进行日志筛选。 3. 系统操作日志:提供系统的操作日志,内容包括用户名、具体操作行为以及IP等信息。 4. 访问日志:提供业务的访问日志,包括请求访问地址、目的IP、源IP、请求方法、响应码等信息。 |
| 防护配置 | 防护配置支持以下功能: 防护站点管理:支持添加、删除、修改、启用、禁用防护站点的功能转发代理。 自定义规则:支持新增、删除、启用、禁用自定义规则,可对站点进行HTTP细粒度的访问控制。 攻击防护策略: 支持URL解码、JSON解析、Base64解码、十六进制转换、斜杠反转义、XML解析、PHP序列化对象解析、UTF-7解码等多种解码方式。 支持SQL注入检测、XSS检测、情报、CSRF检测、SSRF检测、PHP反序列化检测、Java反序列化检测、ASP代码注入检测、文件包含攻击检测、文件上传攻击检测、PHP代码注入检测、命令注入检测,机器人爬虫检测和服务器响应检测模块。 内置5种模式防护模板( 默认防护策略、观察模式、高防模式、金融类客户、互联网客户),针对模板中的解码算法可自定义,攻击检测模块可单独开关或设置检测粒度支持自定义拦截响应状态码。 支持开启HTTP响应检测并设置响应BODY检测长度。 支持设置HTTP请求BODY的检测长度。 支持开启、关闭检测超时限制。 CC防护:支持设定针对域名和URL的访问频次控制规则,实现对违规IP、Session的访问控制,对满足条件的IP、Session进行访问频率限制或者封禁。对已知的IP、Session进行访问频率限制或者封禁,支持CC白名单功能,CC白名单中的用户(IP或Session)不能通过CC防护规则。 |
| 系统管理 | 支持展示节点的负载、网络、检测等多种状态。日志支持以Syslog发送,可以配置业务以及系统相关的告警阈值。 |
态势感知
通过态势感知服务实现流量监控、整体安全监控,实现安全审计与集中管控。
| 功能项 | 功能说明 |
|---|---|
| 安全总览 | 提供整体安全威胁概览信息,包括总体安全评分、防护资产状态、待处理风险告警、已处理风险等态势信息。 |
| 安全大屏 | 提供基于态势感知的大屏展示,将安全攻防数据转化并呈现到安全大屏上,展示包括资产、漏洞、基线、攻击来源、攻击分布等网络安全态势信息。 |
| 安全告警处理 | 查看和处理安全告警事件,包括进程异常行为,网站后门,异常登录,敏感文件篡改,恶意进程(云查杀),异常网络连接,Web应用威胁检测。 |
| 攻击分析 | 防护暴力破解攻击和常见的Web应用攻击。 |
| 云平台配置检查 | 从网络访问控制、数据安全两个维度提供云产品安全配置检查,支持手工启动检查以及周期性自动检查,并对检查结果进行验证或者加白操作。 |
| 应用白名单 | 通过AI智能学习将需要重点防御的服务器加入到白名单中,通过检测白名单中指定的应用程序区分可信、可疑和恶意程序,防止未经白名单授权的程序运行。 |
| 资产中心 | 服务器:提供服务器安全状态相关信息,统计区分所有服务器、存在风险的服务器、未受保护的服务器、未启动的服务器和新增服务器的资产数量。 云产品:提供云产品安全状态相关信息,支持负载均衡、NAT网关。 |
| 安全报告 | 提供报表查询功能,可根据报表名称检索历史报表。 |
云安全管理中心SOC
云原生的一体化安全运营中心,适用于云环境的整体安全运营管理,可以构建云环境风险预测发现、防御控制、检测分析、响应管理的闭环安全运营体系。
| 功能项 | 功能说明 |
|---|---|
| 运营中心 | 运营中心提供日常安全巡检、重保及护网期间安全监控、高实时攻防对抗等场景化运营能力。 |
| 态势监控 | 态势监控集中呈现云平台和所有云租户的全局安全态势,包括统计周期范围内的网络攻击统计、异常行为统计、资产脆弱性统计、云平台及租户安全风险趋势、异常行为类型分布、异常行为告警、网络攻击类型分布、网络攻击告警、资产类型分布等信息,主要应用于云环境网络安全的监控。 |
| 风险分析 | 风险分析是进行云环境全局风险识别、判定、溯源、取证的中心入口,具备IOC威胁事件研判、脆弱性风险分析、网络流量分析、威胁情报调查的能力。 |
| 资产管理 | 资产管理是云主机及虚拟化资产的风险管理中心入口,帮助云安全运营管理者全面掌握云环境中平台及租户的资产信息,以及资产遭受网络攻击、异常行为、脆弱性等安全风险。 |
| 响应编排 | 响应编排是SOC的核心功能组件,同时也可以作为独立产品单独输出提供了,自动化安全运营和安全分析处置的编排能力,针对云环境风险进行剧本化处理,在提升威胁响应速度,降低响应时间的同时,还能够释放重复性安全运营工作的资源投入。 |
| 日志管理 | 日志管理是所有接入SOC原始日志数据管理的核心入口,包括全量日志数据的概览统计、关联检索查询、日志审计、日志源接入、日志外发的配置管理。 |
| 报表管理 | 报表管理是面向云安全运营管理者提供的自动化报表导出能力,可创建日报、周报、月报三种周期的报表任务,当周期报表生成以后,自动发送到指定邮箱。 |
| 规则管理 | 规则管理是SOC检测规则和封禁规则的管理入口,云安全运营管理者可通过对相关规则的管理和应用,完成安全分析、安全处置等运营工作。 |
| 运营管理 | 运营管理是SOC平台的基础配置管理入口,主要包括专有云安全审计、存储管理和IP地址库。 |
安全运营驻场服务
以驻场形式对租户业务系统安全进行专业的运营管理,保障租户系统的安全性。
| 服务类别 | 服务项 | 服务内容 |
|---|---|---|
| 租户安全运营 | 租户资产调研 | 在租户授权的前提下,定期调研、整理云上租户业务清单,包括业务系统名称、ECS、RDS、IP地址、域名、责任人等信息。 |
| 租户准入安全检测 | 在租户新业务迁移上云前,通过自动化工具及人工方式对目标业务系统的系统漏洞、应用漏洞进行检测。 提供漏洞修复指导及漏洞修复后的验证服务 |
|
| 周期性租户业务安全检测 | 周期性通过自动化工具对租户已上线业务的系统漏洞、应用层漏洞及安全风险进行评估,确定存在的风险和漏洞。 针对安全检测结果提供风险处置建议,包括但不限于安全策略的设置、安全补丁更新、应用层漏洞改进建议等。 |
|
| 准入访问控制管理 | 租户新业务上云时,提供网络访问控制策略实施检测及指导。 | |
| 访问控制巡检 | 周期性对租户业务的访问控制风险进行巡检 | |
| 租户日常安全风险巡检 | 监控、巡检专有云云盾中出现的安全事件,核实安全事件后,通知并指导用户进行修复。 | |
| 云盾安全运营 | 云盾规则更新 | |
| 云盾接入服务 | 提供用户应用系统接入云盾产品的技术支持。 协助用户定制、优化云盾安全策略 |
|
| 应急响应 | 安全通告 | 同步阿里云的安全应急通告,并指导用户进行相关修复工作 |
| 安全事件处理 | 发生类似于黑客入侵等紧急安全事件时,及时提供安全应急响应服务。 |
DDoS流量清洗
通过DDoS防护服务提供网络链路可用性保证,提升业务连续性。
| 功能项 | 功能说明 |
|---|---|
| DDoS攻击清洗能力 | 检测并防御SYN Flood、ACK Flood、ICMP Flood、UDP Flood、NTP Flood、DNS Flood、HTTP Flood攻击 |
| DDoS攻击查看 | 可通过IP地址、状态、事件信息搜索到对应的DDoS攻击事件。 |
| DDoS流量分析 | 针对某DDoS攻击进行流量分析,可查看DDoS攻击的流量协议,并展示该事件的Top10主机IP。 |
云防火墙
通过云防火墙服务,统一管理互联网到业务以及业务之间的访问控制策略(东西向和南北向)。
| 功能项 | 功能说明 |
|---|---|
| 访问控制 | 1.统一管理互联网到业务以及业务之间的访问控制策略(东西向和南北向)。 2.同时控制入流量和出流量的访问。 3.支持基于域名的访问控制,严格控制主动外联的出流量。 4.支持主动外联分析,帮助用户主动发现主机的异常行为。 |
| 实时流量监控 | 1.可对主动外联行为进行监控。 2.支持对互联网访问流量进行分析。 3.支持业务可视,让用户全面了解资产的信息和访问关系,从而及时发现异常流量。 |
| 实时防御 | 1.支持入侵防御功能并同步进行智能阻断。支持被阻断访问分析,识别被云防火墙和IPS阻断的网络流量。 2.威胁情报联动:同步阿里云全网的恶意IP,如恶意访问源、扫描源、中控服务等,对威胁和入侵做到提前防御。 3.内置云平台攻防实战中积累的入侵防御规则,威胁识别率高、误报率小。 4.支持虚拟补丁,无需在业务系统上安装补丁即可实时修复。可对热门漏洞、高危0-day和N-day的利用进行精准防护。 |
| 行为回溯 | 1.提供事件日志,可实时查看被入侵防御模块检测和拦截到的威胁或入侵事件。 2.提供流量日志,可查看经过云防火墙的所有流量数据。用户可在威胁事件发生的时候通过查看流量日志进行流量和访问源分析,并查看配置的访问控制策略是否生效。 3.提供系统操作日志,可查看云防火墙所有的配置和操作记录。 |
堡垒机
通过堡垒机管理运维ECS,实现云上服务器的操作运维审计和账号权限管理。
| 功能项 | 功能说明 |
|---|---|
| 凭据托管、单点登录 | 支持托管云服务器ECS的账户和密码(或SSH密钥),运维人员只需要登录到云盾堡垒机后即可直接登录ECS云服务器,无需使用ECS云服务器的账户密码信息。 |
| 系统运维 | 支持Web端调用本地工具实现单点登录;支持“本地客户端登录堡垒机,再选择服务器”的方式进行运维。 |
| 运维监控及阻断 | 针对运维人员的操作过程进行实时监控,并支持以切断操作会话的方式阻断违规操作等异常行为。 |
| 日志回放、事后追溯 | 提供录像式日志回放、指令记录、图像记录、文件审计等功能。 |
敏感数据保护
通过敏感数据保护服务帮助用户防止数据泄露和满足合规要求。
| 功能项 | 功能说明 |
|---|---|
| 数据安全态势总览 | 支持敏感数据的整体安全情况查看。 |
| 异常检测与事件处理 | 检测敏感数据异常事件,人工核查后确认事件处理结果。 |
| 敏感数据识别 | 识别MaxCompute、OTS、OSS、ADS、RDS等产品的敏感数据。 |
| 静态脱敏 | 通过脱敏算法,为敏感数据进行静态脱敏。 |
| 智能审计 | 通过创建审计规则,智能审计OSS、MaxCompute和RDS等产品。 |
| 数据权限管理 | 支持层次化展示部门、人员关系;支持人员、账号的分类展示;支持账号级别的详细权限查询和管理。 |
| 数据流转监控 | 支持层次化展示部门、人员关系;支持人员、账号的分类展示;支持账号级别的详细权限查询和管理。 |
| 规则配置 | 配置敏感数据识别规则、风险等级、异常产出规则,通过规则发现敏感数据 |
| 访问授权 | 基于部门实现授权,敏感数据保护能够保护已授权部门所属的数据资产。 |
数据梳理
通过数据梳理服务帮助用户发现敏感数据,防止数据泄露和满足合规要求。
| 功能项 | 功能说明 |
|---|---|
| 数据库自动嗅探 | 系统提供自动搜索网内数据库的功能,也可以指定IP段和端口的范围进行搜索。 |
| 自动识别敏感数据 | 能够按照用户指定的一部分敏感数据或预定义的敏感数据特征,在执行任务过程中对抽取的数据进行自动的识别,发现敏感数据,并可以根据规则对发现的敏感数据进行导出清单。 |
| 权限梳理 | 能够对数据库中不同用户,不同对象的权限进行梳理并监控权限变化。如果权限发生了变更,能够及时向用户反馈。 |
| 资产使用分析 | 支持数据源访问分析、访问行为分析、资产访问热度分析,并给出分析结果。 |
| 任务管理 | 针对目标数据库,可以创建授权任务对该库进行敏感数据发现和权限梳理。 |
| 资产周期统计与对比分析 | 将数据资产梳理按日、周、月三个周期进行统计,用户可以看该周期内发现数据源分布、敏感数据、权限梳理以及资产使用情况。同时也支持将任意两个周期资产梳理结果对比分析,通过对比分析发现资产发现差异性。 |
| 丰富的报表与技术报告呈现 | 能够提供给用户丰富的专项报表供用户分析审核,管理员还可以利用报表自定义功能生成定制化的报告。 |
数据库审计
通过数据库审计服务实现对数据库的审计功能。
| 功能项 | 功能说明 |
|---|---|
| 审计内容 | 数据库审计的审计内容包括会话的终端信息、会话的主机信息、会话的其他信息、操作信息等。 |
| 审计过滤规则 | 数据库审计的审计过滤规则包含用户名、实例、字段、执行时长、客户端工具、查询的行数、返回结果集等审计策略要素。 |
| 审计信息展示 | 支持从会话、语句类型、风险三个维度进行导航展示,支持基于时间、客户端IP、数据库服务器IP、用户名、数据库操作命令、数据库表名/字段名等多种丰富的查询检索条件。 |
| 审计报表 | 1.支持系统级多数据库聚合报表展现和单数据库综合性报表展现。 2.基于总体概况、性能、会话、语句、风险多层面展现报表。 3.支持图表结合展现,支持柱形图、饼状图、条形图、双轴折线图等多种统计图展现形式。 4.支持报表定时推送功能,自定义推送周期以邮件形式推送报表文档。 5.支持日、周、月等综合性报表和自定义分析型报表功能。 |
数据发现与脱敏
通过数据发现与脱敏服务帮助用户对敏感数据进行脱敏,防止数据泄露和满足合规要求。
| 功能项 | 功能说明 |
|---|---|
| 自动识别敏感数据 | 按照指定的部分敏感数据特征或预定义的敏感数据特征,自动识别姓名、证件号、银行账户、金额、日期、住址、电话号码、Email地址、车牌号、车架号、企业名称、工商注册号、组织机构代码、纳税人识别号等敏感信息自动识别。 |
| 敏感数据管理 | 提供全面的敏感数据管理功能,实现有序、一致的可视化脱敏数据管理。 |
| 脱敏算法 | 通过屏蔽、变形、替换、随机、格式保留加密(FPE)和强加密算法(如AES),针对不同数据类型进行数据掩码扰乱。 |
| 数据子集管理 | 提供多种数据子集抽取方式对目标数据库中一部分数据进行脱敏,以适应不同场景下脱敏需求。 |
| 脱敏策略和方案管理 | 针对不同脱敏项目,可以配置定制化的脱敏策略,或实现脱敏算法的扩展;支持脱敏策略的导入导出,以实现策略复用。对于同一类应用场景,可将若干脱敏策略组合成为适用于该场景的脱敏方案。脱敏方案制定后,可被重复利用于该场景下不同批次数据的脱敏需求。 |
| 脱敏任务管理 | 可对脱敏任务进行停止、启动、重启、暂停、继续操作,支持任务并发。脱敏过程中可跳过异常数据,持续执行任务;并支持脱敏任务的中断续延。 |
| 脱敏数据验证 | 支持对脱敏后的数据进行“验证”,确定哪些数据是“漏网”的真实数据。 |
加密服务
通过加密服务满足金融、互联网等行业加密需求,保障业务数据隐私安全。
| 功能项 | 功能说明 |
|---|---|
| 密码算法支持 | 全面支持国产算法以及部分国际通用密码算法,满足用户各种加密的算法需求。 |
| 金融支付支持 | 符合中国人民银行标准和规范的金融行业定制加密需求,全面支持金融支付领域的加解密需求。 |
安全编排自动化响应
通过SOAR安全自动化编排,将安全事件运营自动化、流程化,提升安全响应速度。
| 功能项 | 功能说明 |
|---|---|
| 案件管理 | 用户可以在案件中执行调查指令获取安全事件在主机、网络、用户侧的相关数据,用于辅助用户进行安全分析。也可以在案件中执行封禁遏制动作,对恶意指标进行封禁,防止危害扩大。 |
| 联合作战室 | 通过联合作战室快速溯源分析、共享事件数据、下发响应指令、持续跟踪恶意指标。 |
| 任务列表 | 支持查看和SOAR执行的定期任务。查看任务执行记录和输出的数据。 |
| 响应动作 | 支持自定义作战室中的响应动作,并在作战室中调用,扩容事件响应的场景 |
| 剧本响应 | 内置多种安全运营剧本,并可以自定添加和编辑剧本,实现自动化管理 |
| 组件列表 | 可以扩展剧本支持组件 |
| 情报管理 | 持续对恶意指标进行跟踪,并对封禁策略进行管理,实现云内安全防护体系的情报层面的信息共享和联动防御。 |
| 知识管理 | 安全事件处置过程中积累的经验和知识,以及在后续事件中重复利用,提升工作效率。 |
容器防护
通过容器防护实现对阿里云上容器及其运行环境的入侵防范
| 功能项 | 功能说明 |
|---|---|
| 容器资产管理 | 容器防护为贴合不同用户的使用习惯,在集群视角中提供多种容器资产安全管理方案 |
| 镜像资产管理 | 容器防护在资产管理功能中提供基于镜像的风险追溯和防护能力 |
| 镜像安全扫描 | 镜像安全扫描功能支持对镜像中存在的高危系统漏洞、应用漏洞、恶意样本、配置风险和敏感数据进行检测和识别。 |
| 入侵事件告警 | 支持实时检测资产中的安全告警事件,覆盖网页防篡改、进程异常、网站后门、异常登录、恶意进程等安全告警类型 |
| 日志快速检索 | 提供登录流水、暴力破解、进程快照、网络连接、端口监听快照、账号快照、进程启动的日志查询,支持前缀模糊匹配查询。 |