阿里云云计算安全
云计算安全有感——政务云安全实践介绍
作者:沈锡镛
用户对云计算缺乏安全感是我们从事云安全工作以来一直从客户角度所获得的一个直观感受,而这种不安全感的产生固然和云计算的多租户的技术特点有关系,但在数据就是生产力的当下,这种不安全感可以进一步解读为对数据上云的安全顾虑。
先简单介绍下阿里云的业务现状。得益于云计算的低成本、高弹性和按需付费模式的产业特点,目前基于阿里云云计算服务所构建的网站用户已达到60多万,这个其中不但有中小网站站长也有各类行业用户,其中行业用户涉及金融、政府、游戏、中小企业、电商等各个领域,考虑到政务行业在中国不但是云计算的推动者也是使用者,今天我将从政务行业用户视角解读下对制约其选择和使用云计算服务的安全困惑以及我们的安全实践。
作为一个云服务商,我们在和政务客户交流中被问的最多的就是云端的数据安全如何保证,用户是否有效隔离,最好每个级别的地方政府、甚至政府里面的每个机构都能给他一个单独的物理空间、物理资源去放他的数据,这种对云端数据安全的要求可能源自于对云计算多租户业务模式的安全顾虑,但这种安全要求到底是不是政务类客户最实际的安全需求呢?我们看一组数据:
根据CNCERT发布的《2013 年我国互联网面临的安全形势和威胁报告》中“第五点、政府网站面临威胁依然严重,地方政府网站成为“重灾区”。报告中的数据显示我国境内被篡改网站数量为24034 个,这些网站中有90%为省市级以下的地方政府,据CNCER分析这些
入侵事件发生一方面是由于地方政府网站存在技术和管理水平有限、网络安全防护能力薄弱、人员和资金投入不足等问题,另一方面是越来越多的有组织高级持续性威胁(APT)攻击事件发生在我国政务类网站上,记得2013年3 月20 日,美、韩军事演习期间,韩国多家广播电视台和银行等金融机构遭受历史上最大规模的恶意代码攻击,导致系统瘫痪,引发韩国社会一度混乱。韩国媒体不约而同的把攻击的发起说成是中国干的,后来经过CNCERT 的协助调查,才澄清了相关谣言,但是APT攻击带来的攻击目标聚焦、攻击手段隐蔽、攻击规模巨大等特点的确不是每个地方政府靠有限的人力、物力能够应对的。所以如何运用有限的人力、物力防御基于篡改网站数据为目的的安全攻击就是当下电子政务类业务最为迫切的安全需求。
根据我们云平台的安全运营数据,篡改网站数据攻击途径主要有以下两种:
1、利用Web安全漏洞写入Webshell后门;
2、通过破解主机管理账户密码实现入侵;
前者我们月均扫描发现高危漏洞近100万、检测出webshell后门10000个以上;后者月均防御密码暴力破解行为10亿次以上。从入侵的途径上可以得出一个结论,真正要有效的防御网站入侵,需要全面部署应用、系统、网络等方面防入侵产品或服务,那传统安全和云安全分别是如何实现上述安全需求呢?
很明显,云安全的解决方案具有低成本和安全运营的优势,但政务行业在面对大规模的复杂模式DDoS攻击和以国家为单位发动的APT攻击面前,安全防御的考量对象就不应该仅仅局限于产品和服务的安全攻防,而更应该补上IT架构这个考量对象。下面以一个实际发生的DDoS流量攻击防御案例来做下说明,如下图所示:
这是今年2月发生在阿里云的典型DDoS攻防案例,19点14分,在这个晚饭时间点,黑客发起DDoS攻击,攻击类型为SYN大包、攻击流量从30Gbps迅速上升到60Gbps,在19点20分黑客察觉攻击无效后变换策略,攻击类型变为SYN小包攻击、攻击流量从200万PPS升到到700万PPS,在19点27分黑客察觉到攻击依然无效后再次变换策略,攻击类型变为CC攻击、攻击流量表现为每秒HTTP请求升到到5万。但依然被我们云安全服务(云盾)自动防御成功。我今天讲这个案例是想请大家注意到当前来自于互联网大流量攻击的特点,因为这样的攻击我们每周就要防御数千起:
1、攻击类型复杂并且变换速度加快,在上面的案例中13分钟攻击者就变换了3次攻击方式,基于人工响应、再行操作安全设备的方式一定无法保障业务;
2、CC攻击是攻击者最后的底牌,众说周知CC攻击的防御是一个业界难题,因为不但攻击的发起来自于真实的地址,其恶意访问请求也很难从访问流量中剥离,除了通过网站服务器扩容来和攻击者比拼资源消耗外,还没有很好的方法;
3、攻击规模大,60Gbps只是我们常态防御中遇到的中等攻击流量,在今年的2月我们还遭遇过160Gbps的大规模攻击,而从未来趋势来看黑客将更多地运用DNS、NTP等协议进行分布式反射放大拒绝服务攻击,能轻易把攻击流量放大几十倍到几百倍,打出几百G 的流量耗尽有限的服务器资源,而政务网站现在的主要职能也逐步转移到了服务民生,这就对网站的可用性也提出了很高的要求,而现有能抗100G的防DDoS设备也是非常贵,而攻击者所费的成本可能只有安全设备价格的万分之一。
再说回国家为单位发动的APT攻击,攻击者的攻击目标聚焦一旦聚焦在地方政府的网站上,就可以通过所有的聊天工具、邮件、论坛和线下的社会工程等手段试探、渗透、攻击管理者和IT基础设施,而每种手段孤立的看不但无害而且无法被现有的安全手段检测出来,但组合起来就能达到攻击的目的,这种攻击的特点就是:很难用原来安全防御体系的思维去找到一个可信源。正如赛门铁克信息安全高级副总裁布莱恩·代伊前不久发表关于“杀毒软件已死”的言论,其实也是由于APT攻击被广泛应用,导致各类安全防御产品基于签名的技术模式遇到了挑战,但大数据的运用可以给我们不一样的解决之道,如果我们不再纠结于如何寻找信任源,而是通过大量的防御数据建模和大数据处理能力对信息进行抓取和分析,可能更迅速的识别出早期攻击意图并能实施阻断。
总结以上大规模的复杂模式DDoS攻击和以国家为单位发动的APT攻击特点,我们可以得出云安全防御架构应具备的基本要求:
1、大规模:应具备几百G防御DDoS攻击的清洗能力;
2、低成本:应采用软件分布式+X86服务器架构,摆脱硬件定制、具备弹性扩展能力;
3、高精度:应运用大数据分析技术实现攻击的预警和实时阻断;
4、全方位:应具备应用、系统、网络全面防御能力;
例如阿里云的云安全服务——云盾就完全具备以上特点:
云盾是阿里巴巴完全自主开发、采用软件+X86服务器架构,依托云计算的高弹性扩展和大数据挖掘能力,推出的云安全服务。在网络安全方面具备海量的DDoS攻击全自动防御服务;在系统安全方面:由主机密码防暴力破解、网站后门检测和处理、异地登录提醒共同组
成主机入侵防御系统;在应用安全方面采用大数据分析技术构建WEB应用防火墙(WAF)和网站漏洞检测;
以上介绍的还是基于外部攻防的云安全体系构建,但是用户最担心的还是云服务商是否会从内部窃取数据,因此结合政务行业数据敏感的特点和运营实践,我们认为应构建覆盖从数据访问、数据传输、数据存储、数据隔离到数据销毁各环节的云端数据安全基线框架。
数据访问:客户访问云端资源均需通过同公有云隔离的专属控制台进行日常操作和运维,客户身份鉴别均采用口令结合动态令牌的双因素认证,客户同所购买的云服务对应关系采用对称加密对实现身份抗抵赖;客户云端资源访问操作均需通过堡垒机进行并支持实时操作审计。云平台运维人员对政务云的运维操作均需通过数据证书结合动态令牌实现双因素认证,操作权限均需经过多层安全审批并进行命令级规则固化,违规操作实时审计报警。
数据传输:针对用户个人账户数据和云端生产数据两种不同的数据对象,分别从用户端到云端、云端各服务间、云服务到云服务控制系统三个层次进行传输控制。其中个人账户数据从客户端到云端传输均采用ssl加密,从云端各子系统间、云服务到云服务控制系统间均采用
细数阿里云服务器的十二种典型应用场景
细数阿里云服务器的十二种典型应用场景 本文章来自于阿里云云栖社区 摘要:文章转载:小白杨1990 如今,阿里云的产品可谓是多种多样,纷繁复杂。面对各种各样的技术和产品,ECS、RDS、OSS…等等一系列的东西,很容易让人找不到头绪,尤其是刚刚开始接触网站建设的朋友。阿里云湖北授权服务中心武汉捷讯结合阿里云官网的资料,针对建站相关的内容为大家整理一些阿里云典型的应用场景 免费开通大数据服务:https://https://www.360docs.net/doc/169255640.html,/product/odps 文章转载:小白杨1990 如今,阿里云的产品可谓是多种多样,纷繁复杂。面对各种各样的技术和产品,ECS、RDS、OSS…等等一系列的东西,很容易让人找不到头绪,尤其是刚刚开始接触网站建设的朋友。阿里云湖北授权服务中心武汉捷讯结合阿里云官网的资料,针对建站相关的内容为大家整理一些阿里云典型的应用场景,以及每一种应用场景主要涉及的技术,给大家提供一个参考。相信看完本文,大家都能清楚的知道自己要实现的应用大概会需要用到什么样的服务和产品。 典型应用一些典型应用中可能涉及到的产品和概念 (一)一站式建站
阿里云提供域名和云解析服务,云市场还提供全程建站服务。小型网站只需一台云服务器ECS即可。 1、域名注册:国内域名市场NO.1,19年专业域名服务,超30种域名供您选择; 2、云解析:提供安全、稳定、极速的域名解析服务,每天超百亿次解析响应; 3、免费备案:人脸识别,备多久云服务器免费送多久; 4、建站服务:服务全程监管,不满意全额退款; 5、云服务器:可弹性伸缩、安全稳定、简单易用。 (二)随时灵活扩展 建议使用过弹性伸缩结合云服务器,实现在业务增长/下降时自动增加/减少云服务器实例。 1、网站初始阶段访问量小,应用程序、数据库、文件等所有资源均在一台云服务器上,节省初创成本; 2、用户使用镜像可免安装快速部署,提供php、Java、asp、https://www.360docs.net/doc/169255640.html,等运行环境; 3、当您开始营销推广,网站流量可能会出现成倍的增幅,使用台云服务器可以在几分钟内完成扩容,轻松应对,搭配负载均衡,实现水平扩容; 4、如果你的业务存在明显的波峰/谷,或无法预估流量波动,建议使用过弹性伸缩,实现在业务增长/下降时自动增加/减少云服务器实例。
阿里云云安全助理工程师ACA复习资料(完结)
阿里云云安全助理工程师复习资料 第一章云平台使用安全 主要介绍当前信息安全的现状和形势,如何利用云平台的优势降低风险,以及如何做好云上资产的安全管理等。 Part 1 典型IT系统架构介绍 1.IT基础架构演进的趋势:大型机、PC机和小型机、互联网数据中心、云计算。 2.云计算的三种服务: SAAS(软件即服务)(行业应用如CRM、OA、ERP等) PAAS(平台即服务)(云扩展服务,中间件、安全、大数据等) IAAS(基础设施即服务)(虚拟服务器、存储、网络等) 3.企业上云常见架构: ALL in one:ECS(云服务器) 应用与数据分离:ECS——RDS(数据库) 应用集群部署:SLB(负载均衡)——ECS应用部署集群——RDS 动静资源分离:SLB——ECS应用部署集群——OSS(文件存储,图片音视频等非结构化) RDS Part 2信息安全现状及形式 对于云上攻击,一下三点会以安全检测报告形式列出来: Ddos攻击:大量请求造成拥塞 口令暴力破解:SSH、RDP协议为主,针对端口攻击。 Web应用攻击:SQL注入攻击为主,针对数据库。 (注:SSH secure shell安全外壳协议,建立在应用层基础上的安全协议;
RDP remote desktop protocol 远程桌面协议 SQL 结构化查询语言,数据库查询和程序设计语言。) 2014年1月21日,互联网DNS大劫难,DNS被劫持; 2014年4月,Heartbleed漏洞,涉及网银、门户网站,,可被用于窃取服务器敏感信息,实时抓取用户信息。 Part 3 IT系统风险构成 1.按照等保划分维度: 物理和环境安全:机房环境等; 网络和通信安全:网络架构、边界保护、访问控制、入侵防范、通信加密等; 设备和计算安全:入侵防范、恶意代码防范、访问控制、身份鉴别、集中管控和安 全审计等; 应用和数据安全:安全审计、数据完整性和保密性; 2.云上安全的服务方式:责任分担,共建安全 用户负责“云中内容”的安全性:客户数据;平台、应用程序、身份和访问管理;操作系统、网络和防火墙配置安全。 云平台负责云的安全性:计算、存储、数据库、网络、全球基础设施、边缘节点。 Part 4 云上安全防护的关键点 1.各类架构注意事项 ALL in one部署:注意1.登陆安全; 2.账号授权管理; 3.服务器安全漏洞; 4.应用访问攻击; 5.数据备份和加密; 6.网络攻击风险;
阿里云云计算专业认证考试ACP模拟题1
阿里云云计算专业认证考试(ACP)模拟题 一、单选题 1、OSS 可以按照PUT 请求次数计费,其最小计量单位? A、5 万次; B、1 万次; C、5 千次; D、1 千次; 2、下面哪一个不是云监控系统的站点监控类型 A、ARP 监控; B、HTTPS 监控; C、TCP 监控; D、SMTP 监控; 3、云监控的英文缩写是什么? A、VPC; B、ACE; C、ECS; D、CMS; 4、关于CDN 加速域名的设置,下面说法错误的是? A、输入的域名必须是备案完成的,正在备案的域名无法接入; B、域名内容需符合CDN 业务规范; C、支持泛域名加速; D、支持中文域名加速; 1
5、ECS 监控指标分为基础监控和操作系统级别指标监控。基础监控无需安装任何插件,您购买一个ECS 实例后,无需任何操作便可查看监控指标。操作系统级别指标需要安装插件才能查看监控数据,下面属于操作系统级别监控指标是哪一个? A、内存使用率(%); B、CPU 使用率(%); C、网络流入速率(bps); D、系统盘IOPS; 二、多选题 1、同一个地域内,不同账号下,经典网络下可以通过安全组规则设置两台云服务器之间内网互通,那么有UserA 的用户在华东1 (杭州)有一台经典网络的ECS 云服务器InstanceA (内网IP:A.A.A.A),InstanceA 所属的安全组为GroupA,另一个UserB 的用户在华东1 (杭州)有一台经典网络的ECS 云服务器InstanceB(内网IP:B.B.B.B),InstanceB 所属的安全组为GroupB,如何操作可以实现InstanceA 和InstanceB 在内网上互通? A、UserA 为GroupA 添加一条这样的规则:在内网入方向授权B.B.B.B 的IP 可以访问GroupA 下的所有ECS 云服务器; B、UserB 为GroupB 添加一条这样的规则:在内网入方向授权A.A.A.A 的IP 可以访问GroupB 下的所有ECS 云服务器; C、UserA 为GroupA 添加一条这样的规则:在内网出方向授权B.B.B.B 的IP 可以访问GroupA 下的所有ECS 云服务器; D、UserB 为GroupB 添加一条这样的规则:在内网出方向授权A.A.A.A 的IP 可以访问GroupB 下的所有ECS 云服务器; 2、关于OSS 的防盗链功能,下面说法正确的是? A、Referer 防盗链的优点是设置简单,控制台即可操作; B、可以设置是否允许空Referer 访问,但是不能单独设置,需要配合Referer 白名单一起使用;
阿里云安全与管理
安全与管理 云盾 云盾是阿里巴巴集团多年来安全技术研究积累的成果,结合阿里云计算平台强大的数据分析能力,为客户提供DDoS防护,主机入侵防护,以及漏洞检测、木马检测等一整套安全服务。 购买云服务器ECS时已自动开通云盾 我们的优势 免部署,免维护,即时开启 无需采购昂贵的设备,免部署 无需复杂配置、免维护 开通云服务器即开启云盾安全防护 多层防御体系 网络层提供流量清洗中心 主机层提供客户端防护功能 应用,数据层提供防火墙功能 海量数据分析
收集攻击行为数据 深入挖掘海量数据 分析判断安全趋势决定防护决策 产品功能 云盾帮您轻松应对各种攻击、安全漏洞问题,确保云服务稳定正常。 十年攻防,一朝成盾。 DDoS防护 提供四到七层的DDoS攻击防护,防护类型包括CC、SYN flood、UDP flood等所有DDoS攻击方式。 主机入侵防护 提供包括密码暴力破解、网站后门检测和处理、异地登录在内的反入侵服务。 安全体检 提供Web漏洞检测、网页木马检测、端口安全检测等安全检测服务。 WEB防火墙 提供WEB攻击防护防火墙,能有效拦截SQL注入,XSS跨站等类型的WEB攻击。 案例 北京乐汇天下科技有限公司
北京乐汇天下科技有限公司,是一家专注于手机网游产品研发和运营的公司,拥有业内顶尖的游戏设计人才,拥有充满激情的研发团队,更拥有健康成熟的游戏理念。我们致力于通过数字娱乐方式提升人们的生活乐趣,为用户创造一流的娱乐产品和交流环境。 例如游戏作品 口袋海贼王 游戏类型:角色扮演 在线人数:100000人 使用产品:云服务器、负载均衡、内容分发网络、云盾、云监控 开发语言:Java、PHP 开发引擎:Cocos2d-x 如下不熟构架图: 架构解读 我们的web端更新是走cdn更新,应用服务器端的更新是批量脚本更新我们采用了多种数据库相结合的形式,既能保证数据的安全性和很高的可分析性,又保证了高效的运行效率,起初重要的玩家数据用了从库被动备份,随着玩家数据的变大,我们不得不取消从库备份,以节约不必要的内存成本,后来改成了每日备份到数据备份机器。游戏并采用了单服单库架构,以把以外损失和玩家损失降到最低。 客户反馈 我们的web端更新是走cdn更新,应用服务器端的更新是批量脚本更新,我们采用了多种数据库相结合的形式,阿里云既能保证数据的安全性,又保证了高效的运行效率。
阿里云计算之弹性计算服务
阿里云计算之弹性计算服务 作者:机房360 出处:论坛2012-10-30 16:40 云计算的核心价值在于提供了新的应用开发和运营模式,是下一代互联网、物联网和移动互联网的基础,全球信息领域的主要厂商都在围绕云计算重新布局,并必将影响到全社会的方方面面。 可以将“云”看作一个易于使用与访问的巨大虚拟资源池(如硬件、开发平台或服务等),这些资源可以根据负载(规模)的变化而动态配置,以最优地利用资源[1]。云计算主要具有以下一些特点: 大规模:云计算服务通常由运行在多个数据中心的集群系统提供,每个数据中心节点可达到上万台,为各种不同的应用提供海量计算和存储资源。 低成本:云计算通过资源虚拟化的方式为用户提供可伸缩的资源,支持各种不同类型的应用同时在系统中运行,提高整体的资源利用率,从而降低成本。 高可靠:云计算可多份存储用户数据,任意一台物理机的损坏都丢失用户数据,多数据中心的设计也满足了灾备的需求。 目前,业界云计算最领先的是Amazon和Google,其中,Amazon真正实现了计算的Utility化,而Google真正从技术上实现了大规模的计算。阿里云的战略是实现AmazonGoogle并有所超越,成为中国拥有最大计算能力的公司。为此,阿里云开放了包括弹性计算服务(ElasticComputeService,ECS)[2]、开放存储服务(OpenStorageService,OSS)[3]、关系型数据库服务(RelationalDatabaseService,RDS)[4]、开放结构化数据服务(OpenTableService,OTS)[5]、开放数据处理服务(OpenDataProcessingService,ODPS)[6]、负载均衡(ServerLoadBalance,SLB)[7]、云盾[8]、云监控[9]等在内的一批云计算服务,本文将重点介绍ECS及与之相关的SLB 和云盾服务。 ECS以阿里云自主研发的飞天分布式计算系统为基础,基于先进的虚拟化、分布式存储等云计算技术,将计算和存储的基础资源整合在一起,并以Web方式为用户提供计算能力。ECS的体系结构如图1所示。
ACP_阿里云云计算_4
一、单选题(共50题,每题1分,共50分) 1. 作为一个互联网初创企业的技术负责人,小A在早期选择了阿里云的云服务器ECS并将Java应用程序、数据库MySQL等部署在了一台云服务器ECS实例上。随着业务发展和用户量增加,发现部署在这台ECS实例上数据库性能出现瓶颈。为了最快速度解决该问题,您建议选择阿里云的(B)产品。 A. 对象存储OSS B. 云数据库RDS C. 负载均衡SLB D. 专有云VPC 2. 用户通过网络使用软件,无需购买软硬件、建设机房等,而改用向提供商租用基于Web的软件,来管理企业经营活动,且无需对软件进行维护,服务提供商会全权管理和维护软件。这种模式是云计算提供的(B)服务。 A. DaaS(数据即服务) B. SaaS(软件即服务) C. IaaS(基础设施即服务) D. PaaS(平台即服务) 3. 云计算以多种形式对外提供服务,比如提供给消费者的服务是运行在云计算基础设施上的应用程序,消费者可以在各种设备上通过瘦客户端界面访问,如浏览器(例如基于Web的邮件),不需要管理或控制任何云计算基础设施,包括网络、服务器、操作系统、存储,甚至
独立的应用能力等等,仅需要对应用进行有限的、特殊的配置。这种服务形式被称作(C)。 A. DaaS(数据存储即服务) B. IaaS(基础设施即服务) C. SaaS(软件即服务) D. PaaS(平台即服务) 4. 阿里云对象存储OSS的一个突出特点就是提供了极高的数据可靠性,谈到可靠性自然离不开备份的技术和策略,以下关于OSS备份的说法,正确的是?(A) A. OSS提供三重备份(每份数据保留三个副本),出现故障时自动恢复 B. 用户需要自己考虑数据的安全性,OSS提供了丰富的备份接口,方便用户将数据进行异地备份 C. OSS提供三重备份(每份数据保留三个副本),出现故障时在人工参与下可快速恢复 D. OSS服务的备份是采用的物理机磁盘的RAID0+1技术方案,两块硬盘同时出现故障也不影响服务 5. 防DDoS攻击是阿里云的云盾最主要的功能之一,很多网站都曾经受到过不同类型的DDoS攻击,准确理解DDoS对网站做好安全防护至关重要。以下有关DDoS攻击的描述最准确的是?(D) A. DDoS攻击通过大量的尝试破解的服务器的登录密码 B. DDoS攻击的目的是窃取机密信息 C. DDoS攻击的主要目标是数据库 D. DDoS攻击的主要目的是让被攻击的目标服务器无法提供正常的服务,是目前最强大、最
阿里云云计算专业认证考试ACP模拟题5
阿里云云计算专业认证(ACP 级)考试样题 一. 单选题 1.您可以根据您的客户群体分布地区的不同选择多个不同地域的阿里云的云服务器 ECS 实例,在满足客户接入速度的同时,可以提升业务的跨区域容灾的能力。以下 针对云服务器 ECS 的地域和可用区的描述错误的是。 a)在购买了云服务器 ECS 实例后,地域不可改 b)若购买的云服务器 ECS 实例需要和阿里云提供的其他产品配合使用并内网互 联,应选择相同地域 c)同账号下,同一地域不同可用区的云服务器实例内网不能互通 d)同一个地域有多个可用区 2.游戏行业有个明显的特点是业务流量很难预估,波动很大,例如今天上线1 台云服 务器 ECS 实例就足够处理所有的业务需求,明天可能就需要 10 台云服务器 ECS 实例来处理所有的需求。这样的场景下,您不知道所需的云服务器ECS 实例的数量,准备的少无法应对业务峰值,投入的多又造成大量的资源浪费。在阿里云上, 您认为应对游戏行业这种场景的最佳阿里云产品的组合方式是。 a)负载均衡 SLB+云服务器 ECS+云数据库 RDS+弹性伸缩 Auto Scaling b)负载均衡 SLB+云服务器 ECS+云数据库 RDS c)云服务器 ECS+弹性伸缩 Auto Scaling d)云服务器 ECS 3.某电商网站使用阿里云的负载均衡 SLB 实例和后端云服务器 ECS 实例组合的架构 实现。某用户发起一个商品查询的请求,会返回商品的说明以及商品图片。如果希望请求中的图片类的请求转发到特定的图片服务器进行处理,请求中的文字类请求转发到 特定的文字服务器进行处理。上述场景适合使用负载均衡 SLB 的哪种服务实现? a)七层服务
阿里云云安全助理工程师ACA复习资料
第一章云平台使用安全 主要介绍当前信息安全的现状和形势,如何利用云平台的优势降低风险,以及如何做好云上资产的安全管理等。 Part 1 典型IT系统架构介绍 基础架构演进的趋势:大型机、PC机和小型机、互联网数据中心、云计算。 2.云计算的三种服务: SAAS(软件即服务)(行业应用如CRM、OA、ERP等) PAAS(平台即服务)(云扩展服务,中间件、安全、大数据等) IAAS(基础设施即服务)(虚拟服务器、存储、网络等) 3.企业上云常见架构: ALL in one:ECS(云服务器) 应用与数据分离:ECS——RDS(数据库) 应用集群部署:SLB(负载均衡)——ECS应用部署集群——RDS 动静资源分离:SLB——ECS应用部署集群——OSS(文件存储,图片音视频等非结构化) RDS Part 2信息安全现状及形式 对于云上攻击,一下三点会以安全检测报告形式列出来: Ddos攻击:大量请求造成拥塞 口令暴力破解:SSH、RDP协议为主,针对端口攻击。 Web应用攻击:SQL注入攻击为主,针对数据库。 (注:SSH secure shell安全外壳协议,建立在应用层基础上的安全协议; RDP remote desktop protocol 远程桌面协议 SQL 结构化查询语言,数据库查询和程序设计语言。) 2014年1月21日,互联网DNS大劫难,DNS被劫持; 2014年4月,Heartbleed漏洞,涉及网银、门户网站,,可被用于窃取服务器敏感信息,实时抓取用户信息。 Part 3 IT系统风险构成
1.按照等保划分维度: 物理和环境安全:机房环境等; 网络和通信安全:网络架构、边界保护、访问控制、入侵防范、通信加密等; 设备和计算安全:入侵防范、恶意代码防范、访问控制、身份鉴别、集中管控和安 全审计等; 应用和数据安全:安全审计、数据完整性和保密性; 2.云上安全的服务方式:责任分担,共建安全 用户负责“云中内容”的安全性:客户数据;平台、应用程序、身份和访问管理;操作系统、网络和防火墙配置安全。 云平台负责云的安全性:计算、存储、数据库、网络、全球基础设施、边缘节点。 Part 4 云上安全防护的关键点 1.各类架构注意事项 ALL in one部署:注意1.登陆安全; 2.账号授权管理; 3.服务器安全漏洞; 4.应用访问攻击; 5.数据备份和加密; 6.网络攻击风险; 应用与数据分离:新增注意1.数据通信安全; 2.网络通信安全; 3.数据库访问白名单授权; 4.数据库的备份和容灾; 应用集群部署:新增注意1.服务器访问授权;(授权SLB) 2.服务器安全区域隔离;(防止ECS之间被攻击) 3.负载均衡加密访问;(证书上传SLB,实现RDS访问) 动静资源分离部署:新增注意1.云存储数据备份加密 2.云存储数据容灾 2.云计算面临的安全威胁
阿里云安全策略解读
阿里云安全白皮书V1.0
前言 (3) 概览 (3) 阿里云安全策略解读 (3) 组织安全 (4) 合规安全 (5) 数据安全 (6) 访问控制 (8) 人员安全 (9) 物理和环境安全 (9) 基础安全 (11) 系统和软件开发及维护 (14) 灾难恢复及业务连续性 (16) 总结 (16)
前言 阿里云以打造互联网数据分享第一平台为使命,借助自主创新的大规模分布式存储和计算等核心云计算技术,为各行业、小企业、个人和开发者提供云计算(包括云服务器、开放存储服务、关系型数据库、开放数据处理服务、开放结构化数据服务、云盾、云监控等其他产品)产品及服务,这种随时、随地、随需的高效云产品和服务同时具备安全方面的优势。 阿里云提供这些云产品及服务的方式来自于阿里巴巴集团在电子商务行业的多年浸渍,而安全则是阿里云的首要和关键组件。本白皮书将介绍阿里云在云安全方面的方法,具体涵盖安全策略、组织安全、合规安全、数据安全、访问控制、人员安全、物理安全、基础设施安全、系统和软件开发及维护、灾难恢复及业务连续性十个方面的主题。在本文里面所描述的策略、流程和技术将以出版时为准。随着时间的推移,部分细节将随着产品和服务的创新而改变。 概览 阿里云遵循“生产数据不出生产集群”的安全策略,覆盖从数据存储、数据访问、数据传输到数据销毁等多个环节的数据安全控制要求,这些控制要求包含以下十个方面: (1)阿里云安全策略解读; (2)组织安全; (3)合规安全; (4)数据安全; (5)访问控制; (6)人员安全; (7)物理安全; (8)基础安全; (9)系统和软件开发及维护; (10)灾难恢复及业务连续性 阿里云安全策略解读 “生产数据不出生产集群”------阿里云基于阿里巴巴集团十多年信息安全风险管控经验,以保护数据的保密性、完整性、可用性为目标,制定防范数据泄露、篡改、丢失等安全威胁的控制要求,根据不同类别数据的安全级别(例如:生产数据是指安全级别最高的数据类型,其类别主要包括用户数据、业务数据、系统数据等),设计、执行、复查、改进各项云计算环境下的安全管理和技术控制措施。
阿里云安全解决方案
阿里云安全解决方案 阿里云安全,多层防护+云端大数据。集阿里巴巴集团多年来安全技术研究积累的成果,同时结合阿里云计算平台强大的数据分析能力,为客户提供一整套安全产品和服务。 奥远电子作为阿里云辽宁区授权服务中心,可为用户提供专业、高效和本地化的服务,包括运维、品咨询、备案咨询、解决方案和架构搭建等一体化等,同时旨在帮助本地政府部门和企事业单位、个人了解云计算,使用阿里云服务,为用户提供网络、服务和计算资源等,从而减轻用户因业务量骤增而带来的IT压力,助力轻松上云 基础产品 态势感知 是一个大数据安全分析平台,能对您云上所有资产进行安全告警,并用机器学习来发现潜在的入侵和高隐蔽性攻击,回溯攻击历史,收集企业20种原始日志和网络空间威胁情报,利用机器学习还原已发生的攻击,预测即将发生的安全事件。 业务需求: 1.据说全国50%网站有高危漏洞,业务在ECS上运行还好,就是不知道有没有漏洞?网络攻击这么猖獗,现在到底安不安全?没有途径获知数据。 2.当管理的服务器被DDoS攻击,你无法知道哪台ECS被攻击了?影响多少订单? 3.一个公司没有安全团队,安全要怎么运维?该看什么报表?什么是基线检查?到底是谁在攻击我?是竞争对手?还是黑客?还是内部员工监守自盗?这些资源都无法获取。 应用场景: 1.不仅对常见web漏洞进行扫描,还可以扫描第三方开源软件漏洞,主机系统层漏洞,甚至对黑客圈小范围内爆出来的高危漏洞,做到预警和修复准备。 2.通过安全大数据建模分析,把普通的无危害脚本小子和顶尖的黑客区分开,帮你看清现在遭受的网络威胁,并对防护策略进行评估,在攻防对抗中获得先机 3.通过对云上业务的全流量监控,可在秒级检测DDoS攻击,还原被攻击场景,对攻击流量成分,清洗总量,攻击时间进行详细描述,对业务影响进行有效评估 4.不仅可对黑客入侵行为进行识别,甚至可以追溯黑客入侵链路,看清黑客一步一步入侵的全过程,做到自动化的入侵取证。 安骑士 是一款服务器安全软件,通过安装在云服务器上轻量级的软件和云端安全中心的联动,为您提供漏洞管理、基线检查和入侵告警等功能。
阿里云计算介绍(2012-03-06)
阿里云 云计算业务介绍
阿里巴巴集团
1999年成立, 全球第一的网 上贸易市场和 商人社区。
2003年成立 亚洲第一的个 人交易网上平 台。
2004年成立 全球第一的独 立第三方支付 平台。
2005年全资 收购。中国领 先的互联网门 户资讯、邮箱、 搜索服务网站。
2009年成立 2009年成立 将打造全球最 先进的以数据 为中心的云计 算服务平台。
2011年从淘 宝分拆成立专 业B2C公司。
2011年从淘 宝分拆成立专 业电子商务垂 直搜索公司。
成立于2009年9月10日。 在杭州、北京和硅谷设有研发机构。 员工人数1200人,95%为技术研发人员。 境内累计申请技术专利85件。
阿里云阿里云-公司简介
愿景
? 成为以数据为中心的云计算服务公司 ? 打造互联网数据分享第一平台
? 打造云计算基础平台,提供低成本、高效率的云计算基础服务
价值
? 降低中小互联网企业创业门槛,帮助中小企业成长 ? 建设合作伙伴和中小企业共生共赢的云计算生态链
? 自主研发“云OS”云计算核心操作系统 ? 自主研发云计算基础产品服务和互联网基础产品服务
技术积累
? 自主研发大规模数据存储和处理平台,提供海量数据处理能力 ? 自主研发“云OS”手机操作系统,支撑移动终端云应用 ? 扶持合作伙伴和应用开发者开发丰富的云计算产品和应用
阿里云 – 云计算核心架构
地图、电邮、搜索、安全、渲染
PW 建站
其它云服务
第三方云应用
第三方本地应用
Cloud Engine
NodeJS PHP
开放结构 化数据处 理服务 关系型 数据库 服务 开放数 据处理 服务
云应用框架
App Engine HTML5 JavaScript
本地应用框架
弹性计 算服务
开放存储 服务
飞天大规模分布式计算系统
Webkit OpenGL SQLite
Aliyun Lib
Aliyun VM
Linux
数据中心
Linux Kernel
移动终端
阿里云弹性计算专业认证(ACP)考试大纲
阿里云弹性计算专业认证(ACP)考试大纲 弹性计算专业认证介绍: 阿里云弹性计算专业认证(ACP-Alibaba Cloud Certification Professional)是面向使用阿里云弹性计算产品的架构、开发、运维类人员的专业技术认证,主要涉及阿里云的计算、存储、网络、安全类的核心产品。通过该技术认证可以有效证明该认证人员具备以下能力: l具备IT、云计算及网络安全相关从业的基础知识 l能够根据企业的业务需求,基于阿里云的产品制定有效的技术解决方案和企业最佳实践 l能够熟练的使用和操作阿里云的云服务器ECS、负载均衡SLB、对象存储OSS、专有网络VPC、弹性伸缩(Auto Scaling)、内容分发网络 CDN、云盾及云监控产品 l能够诊断基于阿里云弹性计算产品构建的业务系统在运行中出现的常见问题并找到相应的解决方案 阿里云弹性计算专业认证的报名方式: 通过阿里云官网提供的入口进行在线报名: https://https://www.360docs.net/doc/169255640.html,/products/52746001/cmfw008373.html 阿里云弹性计算专业认证所需具备的知识: 阿里云相关的知识:
l熟悉阿里云弹性计算相关产品的基本概念,包括云服务器ECS、负载均衡SLB、弹性伸缩(Auto Scaling)、对象存储OSS、内容分发网络 CDN、专有网络VPC、云盾和云监控(下同) l了解阿里云弹性计算相关产品的主要应用场景及组合使用的应用场景 l掌握阿里云弹性计算的相关产品的基本操作,包括开通、创建、配置、启停、删除等 l了解阿里云弹性计算的相关产品的特点和基本的产品实现原理 l能够发现并解决阿里云弹性计算的相关产品使用中出现的常见问题 通用IT的知识: l了解云计算领域的基础概念及相关的知识,如虚拟化、存储、网络等 l具备典型的Web应用架构相关的知识,包括Web服务器、应用服务器、负载均衡和数据库等 l具备内容分发网络CDN相关的使用和实践经验 l熟悉常见的网络协议,如HTTP、FTP、TCP、UDP、ICMP等 l具备网络相关的实际经验,包括路由、交换、路由表,NAT、DNS等 l熟悉软件开发的生命周期 l具备网络安全方面的基础知识,如防火墙策略、密钥加密、访问控制、网络安全、网络攻击及防护等 阿里云弹性计算专业认证相关的学习方法、学习资料及培训课程: 建议的学习方法: l强烈推荐开通阿里云弹性计算相关的产品并进行实际的操作
ACP-阿里云云计算-2
1. 阿里云的云服务器ECS产品的应用非常广泛,既可以单独的作为Web服务器,也可以与其他阿里云产品配合提供多媒体解决方案。在多媒体、大流量的APP或网站应用场景下,云服务器ECS实例与阿里云的()产品搭配,可大幅减少用户访问的等待时间并降低带宽费用。 (C) A. 对象存储OSS B. 负载均衡SLB C. 内容分发网络CDN D. 弹性伸缩Auto Scaling 2. 阿里云会为每个云服务器ECS实例分配一个私网IP。以下关于云服务器ECS实例的私网IP说法正确的是。(C) A. 私网IP不可以用于SLB的负载均衡 B. 同一地域内实例之间通过私网IP进行的通讯流量是收费的 C. 不要在操作系统内部自行变更私网IP,否则可能会导致私网通讯中断 D. 私网不允许同一帐号下的云服务器ECS实例之间或者云服务器ECS实例与其他云服务之间互访 3. 某用户是做香蕉销售生意的,所有的在线平台和数据都放在阿里云的云服务器ECS实例和云数据库RDS实例中,现在CEO想对香蕉销售额的变化趋势做一个监控,并在订单量发生较大变化时能收到预警信息,可以使用阿里云的()产品实现,并在管理控制台中展现结果。(D) A. 态势感知 B. 阿里绿网 C. 云服务器ECS D. 云监控 4. 阿里云的云服务器ECS实例的磁盘快照是某一个时间点上某一个磁盘的数据拷贝。以下针对云服务器ECS实例的磁盘快照的描述正确的是。(D) A. 自定义快照名称可以以auto开头 B. 快照被存放在用户自己的磁盘中 C. 只有系统盘支持自动快照 D. 快照存放在OSS上 5. 使用阿里云弹性伸缩(Auto Scaling)时,创建了伸缩组,指定了“伸缩最小实例数(台)”为5,“伸缩最大实例数(台)”为10,设定了正确的伸缩配置,并添加了伸缩规则为“增加3台ECS实例”,创建了基于该伸缩规则的定时任务(运行时间设置为1小时后)。当前伸缩组中有效的ECS实例个数为3,马上启用该伸缩组,以下说法正确的是()?(C) A. 会在定时任务触发时按照伸缩配置自动创建3个ECS实例,添加到伸缩组 B. 会在伸缩组启用时,按照伸缩配置自动创建7个ECS实例,添加到伸缩组 C. 会在伸缩组启用时,按照伸缩配置自动创建2个ECS实例,添加到伸缩组 D. 会在定时任务触发时按照伸缩配置自动创建2个ECS实例,添加到伸缩组 6. 您的操作系统为Windows的阿里云的云服务器ECS实例,通过远程登录发现黑屏,不可能是()原因造成的。(D) A. CPU资源耗尽 B. 内存空间不足 C. 系统宕机 D. 密码输入错误 7. 某在线教育网站是基于云服务器ECS+负载均衡SLB+弹性伸缩(Auto Scaling)的方案实现的,在保证系统稳定、客户体验良好的前提下,大大节省了资源成本和运维成本。现在他们
阿里云-日志服务计费说明
日志服务计费说明
1.2.1.2.3.4. 计费说明 日志服务计费规则 日志服务对LogHub、LogSearch两个功能收费,LogShipper功能免费。 LogHub 计费项 注意: 读写流量根据传输大小计算(默认为压缩后大小),日志一般有5-10倍压缩率,原始日志为10GB/天,实际压缩大小为1.5GB,则以1.5GB计费。 Shard租用只统计当前读写Shard数量,例如目前有3个Shard:1个Shard状态为读写,另外2个Shard已经被合并为只读,则当前只收取1个Shard租赁费。因此已经被合并/分裂的Shard不收取租用费。 说明: 为什么Shard要收费? Shard是用户标准化读写单元,当用户创建Shard后,我们能并保证该部分服务能力。 流量超过Shard能力时怎么办? 尽可能服务,但在繁忙时会优先保证Shard预留部分服务。 Logtail写入流量如何收费? 与API方式相同,Logtail内部采用最优的传输策略并自带压缩,能够在保证延时情况下批量发送。 我们提供监控数据帮助用户判断具体流量大小。 计费例子 我的网站一天有1亿API请求,一个请求对应200字节日志,一天日志数量为20GB,高峰时流量为均值5倍,则峰值流量为1.16MB/S (<5MB/S)。这些日志每天被读取一遍做实时计算,并导入到OSS中进行备份。
--q q q --------需要预留一个Shard,0.04 元/天读写流量: 写入流量为20GB,假设压缩率为10, 实际流量为2GB,2 * 0.2 = 0.4 元实时计算读取流量和写入流量相同,0.4 元导入OSS部分免费 百万次请求:0.12 元 (使用Logtail自动做批量发送,产生100W次写) 一天费用为 0.04 + 0.4 * 2 + 0. 12 = 0.96 元 LogSearch(原SLS功能)计费项 LogSearch为附加功能,用户可以通过开启索引进行日志查询与分析,计费项为索引流量,对于每GB的数据,在写入时一次性收取存储费用(对不同周期索引流量费用如下) 换算成每GB每天的存储价格为 计费例子 我的网站一天有100W API访问,一个请求对应200字节日志,200MB,保存最近30天进行查询 索引全部字段:一天流量为200MB,一天费用为 1.5 * 0.2 = 0.3 元 索引部分字段:用户索引ErrorCode, URL两个字段,占总长度50%,一天费用为 0.3 * 0.5 = 0.15 元 成本、使用与扣费 价格优势 LogHub:以购买云主机+云磁盘搭建Kafka相比,对于98%场景下用户价格有优势。对小型网站而言,成本为kafka 30%以下 LogSearch:以够买云主机+自建ElasticSearch相比,成本为自建70%以下 有Restful API,可以直接针对移动设备提供数据收集功能,节省了日志收集网关服务器的费用免运维,随时随地弹性扩容使用
阿里云介绍
阿里云使用配置说明 一、服务的申请 阿里云提供的服务如下 囊括了服务器、关系数据库、海量存储服务、CDN、缓存服务 选择云服务器ECS,即可进入云服务器的配置界面 首先要选择硬件配置:CPU、内存、带宽、地域 然后选择操作系统,阿里云提供的系统只有windows server和linux(linux包括aliyun、centos、Debian、opensuse 、ubuntu5个发行版)
选择操作系统以后,还需要选择数据盘(可以不选),默认阿里云会赠送20G的系统盘。 选择完成以后,点击“确认”即可完成云服务器的配置,付款以后即可开通服务器。 二、云服务器的使用 云服务器开通以后,阿里云提供了“管理控制台”工具,用于管理云服务器 首先选择地域 地域选择完成后,进入控制台管理界面
如上图所示,通过控制台只能对服务器做重启、停止、修改密码、升级、续费、建立快照等操作,如果需要在服务器上安装软件或则管理更多的服务器状态,则需要用ssh 客户端连接阿里云服务器,通过命令行的方式对服务器进行配置和管理 在实例列表,点击管理,可以进入服务器的监控界面,查看服务器的网络吞吐和磁盘读写情况 而安装软件和更加详细的配置,则需要通过SSH连接服务器
首先需要通过iptables建立防火墙过滤策略,增加服务器安全性 然后安装软件(数据库、应用服务器、HTTP服务器),已经对软件进行配置
三、阿里云的防护机制 阿里云会免费提供“云盾”防护 可以通过云盾查看系统的漏洞 云盾还提供了防DDOS服务和安全管家服务,可以有效防止部分服务器攻击事件比如防御对主机密码的暴力破解 一些详细的防护参数可以通过云盾控制台进行配置
阿里云平台安全管理规范
阿里云平台安全管理规范
目录 目录 (1) 范围 (4) 第一章总则 (5) 1.1管理目标 (5) 1.2管理原则 (5) 第二章安全管理规范 (6) 2.1安全事件上报 (6) 2.1.1安全事件分类 (6) 2.1.2安全事件监控及上报 (7) 2.2帐号口令管理 (8) 2.3安全域划分及端口管理 (10) 2.4防病毒制度 (11) 2.5日志审计 (12) 2.5.1 日志审计总则 (12) 2.5.2日志管理 (13) 第三章应急保障 (13) 3.1应急保障范围 (13) 3.2应急保障流程 (14) 3.3应急保障措施 (14) 第四章日常安全运维制度 (15) 4.1资产信息维护 (15) 4.1.1安全设备资产 (15) 4.1.2业务设备资产 (15) 4.1.3网络设备资产 (16) 4.2安全设备维护 (16) 4.2.1远程安全巡检 (16) 4.2.2机房安全巡检 (16) 4.2.3设备故障处理 (17) 3.2.4设备权限检查 (17) 4.3安全策略运维 (17) 4.3.1安全策略信息维护 (17) 4.3.2安全策略开通 (17) 4.3.3 安全漏洞扫描 (18) 4.3.4 安全策略清理 (18) 4.3.5网络和端口梳理 (18) 4.3.6 日志审计 (19)
4.4安全报告输出 (19) 4.4.1安全方案输出 (19) 4.4.2安全运维月报输出 (19) 4.5重大事件保障 (19) 4.6工作实施方案 (20) 第五章安全基线 (20) 5.1云数据库安全基线 (20) 5.1.1 账号管理 (20) 5.1.2主机操作系统权限 (20) 5.1.3 数据库优化 (21) 5.2 LINUX安全基线 (21) 5.2.1 账号管理 (21) 5.2.2 可疑文件 (21) 5.2.3 访问控制 (21) 5.2.4 系统优化 (22) 5.2.5 SSH安全 (22) 5.2.6 其他项目 (22) 5.3网络设备安全基线 (23) 5.3.1 数据层面 (23) 5.3.2 控制层面 (23) 5.3.3 监控层面 (23) 5.3.4 管理层面 (24) 5.4 WINDOWS安全基线 (24) 5.4.1 日志配置操作 (24) 5.4.2 IP协议安全配置 (24) 5.4.3 设备其他配置操作 (25) 5.5防火墙安全基线 (25) 5.5.1 账号认证 (25) 5.5.2 日志配置 (25) 5.5.3 安全策略配置 (26) 5.5.4 IP协议安全要求 (27)
阿里云云计算工程师培训
阿里云认证路线为阿里云Apsara Clouder技能认证、阿里云助理工程师ACA(Alibaba Cloud Certified Associate)认证、阿里云专业工程师 ACP(Alibaba Cloud Certified Professional)认证、阿里云专项认证、阿里云高级工程师ACE(Alibaba Cloud Certified Expert)认证几个层级。 通过该技术认证可以有效证明该认证人员具备以下能力: 1、具备IT、云计算及网络安全相关从业的基础知识:能够根据企业的业务需求,基于阿里云的产品快速实现业务上云; 2、能够使用和操作阿里云的云服务器ECS、负载均衡SLB、对象存储OSS、云盾及云监控产品; 3、能够诊断基于阿里云基础产品构建的业务系统在运行中出现的常见问题 认证价值: 培训和认证的过程能够提升个人对云计算产品技术的理解,可以对这些产品进行基本的日常管理,也可以基于这些产品进行应用的部署。从而证明您在云计算领域的专业能力,获得更多就业机会。 课程形式: 28课时视频教程+ 10个配套实验+ 在线考试,考试通过即可获得阿里云云计算助理工程师认证(ACA)证书 课程主要内容:
阿里云简介 主要介绍阿里云产品与技术概览、基础架构以及云安全体系等。 掌握云服务器ECS 主要介绍云服务器ECS概念以及实例、磁盘、快照的基本操作,配套2个实验,教你掌握ECS的使用。 掌握云数据库RDS 主要介绍云数据库RDS的实例管理、数据库管理、数据迁移上云等操作,配套2个实验,教你掌握RDS的使用。 掌握云存储OSS 主要介绍阿里云对象存储OSS的概念、基本操作、API和SDK的使用、静态网站托管等,配套2个实验,教你掌握OSS的使用。 掌握负载均衡SLB 主要介绍负载均衡SLB的产品概述、基本操作和相关问题等,配套2个实验,教你掌握SLB的使用。 掌握云安全 主要介绍互联网常见的安全威胁、阿里云安全体系,以及云盾、安骑士、云监控相关功能等,配套2个实验,教你掌握云上安全防护。
阿里云云计算认证ACP模拟题(第13套)
阿里云云计算认证ACP模拟题(第13套) 1. 以下创建ECS镜像时,哪个步骤的描述有错?(B) A. 输入的自定义镜像描述可以为空 B. 选择全部快照,可以看到快照的列表 C. 输入自定义镜像名称,可以为空 D. 登陆阿里云的控制台来创建ECS镜像 2. RAM中可授权的SLB资源类型是哪个?(A) A. LoadBalancer B. BackendServer C. Listener D. Region 3. 当阿里云用户想要通过API进行ECS实例删除的操作的时候,必须保证ECS实例状态为____,才可以进行删除操作,删除后实例的状态变为____?(A) A. Stopped;Deleted B. Stopped;Starting C. Stopping;Deleted D. Stopping;Starting 4. 下列哪个参数代表的是SLB实例的唯一标识?(A) A. LoadBalancerId B. RegionId C. Address D. LoadBalancerName 5. 在对ECS实例进行续费操作时,无法实现以下哪个操作?(D) A. 增加CPU规格 B. 带宽升级 C. 增加内存空间 D. 无需重启即可享受升级后的配置 6. 下列关于ECS连接实例的说法错误的是?(D) A. Windows 2008默认允许最多2个session远程连接 B. 可以通过两种方式连接和管理用户实例:远程连接客户端和阿里云ECS控制台 C. Linux或Mac OS X环境连接Linux实例,直接使用ssh命令 D. 如果用户使用远程连接的工具访问ECS实例,使用公网和私网IP的实例都能被远程连接 7. 用户通过CES管理控制台查看其拥有的某个区域拥有的所有ECS实例的步骤包括:a. 进入ECS管理控制台;b.选择地域;c.选择ECS实例管理,则正确的排列顺序是?(C) A. b;a;c B. a;b;c
阿里云云安全助理工程师ACA复习资料(完结)演示教学
阿里云云安全助理工程师A C A复习资料 (完结)
阿里云云安全助理工程师复习资料 第一章云平台使用安全 主要介绍当前信息安全的现状和形势,如何利用云平台的优势降低风险,以及如何做好云上资产的安全管理等。 Part 1 典型IT系统架构介绍 1.IT基础架构演进的趋势:大型机、PC机和小型机、互联网数据中心、云计算。 2.云计算的三种服务: SAAS(软件即服务)(行业应用如CRM、OA、ERP等) PAAS(平台即服务)(云扩展服务,中间件、安全、大数据等) IAAS(基础设施即服务)(虚拟服务器、存储、网络等) 3.企业上云常见架构: ALL in one:ECS(云服务器) 应用与数据分离:ECS——RDS(数据库) 应用集群部署:SLB(负载均衡)——ECS应用部署集群——RDS 动静资源分离:SLB——ECS应用部署集群——OSS(文件存储,图片音视频等非结构化) RDS Part 2信息安全现状及形式 对于云上攻击,一下三点会以安全检测报告形式列出来: Ddos攻击:大量请求造成拥塞 口令暴力破解:SSH、RDP协议为主,针对端口攻击。 Web应用攻击:SQL注入攻击为主,针对数据库。 (注:SSH secure shell安全外壳协议,建立在应用层基础上的安全协议; RDP remote desktop protocol 远程桌面协议 SQL 结构化查询语言,数据库查询和程序设计语言。) 2014年1月21日,互联网DNS大劫难,DNS被劫持; 2014年4月,Heartbleed漏洞,涉及网银、门户网站,,可被用于窃取服务器敏感信息,实时抓取用户信息。 Part 3 IT系统风险构成 1.按照等保划分维度: 物理和环境安全:机房环境等; 网络和通信安全:网络架构、边界保护、访问控制、入侵防范、通信加密等; 设备和计算安全:入侵防范、恶意代码防范、访问控制、身份鉴别、集中管控和安 全审计等; 应用和数据安全:安全审计、数据完整性和保密性;