阿里云云安全助理工程师ACA复习资料完结.docx

1、阿里云云安全助理工程师ACA复习资料完结阿里云云安全助理工程师复习资料第一章 云平台使用安全主要介绍当前信息安全的现状和形势，如何利用云平台的优势降低风险，以及如 何做好云上资产的安全管理等。Part 1 典型IT系统架构介绍基础架构演进的趋势：大型机 、PC机和小型机、互联网数据中心、云计算。2.云计算的三种服务：SAAS（软件即服务）（行业应用如 CRM OA ERP等）PAAS（平台即服务）（云扩展服务，中间件、安全、大数据等）IAAS （基础设施即服务）（虚拟服务器、存储、网络等）3.企业上云常见架构：ALL in one : ECS（云服务器）应用与数据分离：ECSRDS （数据库）

2、应用集群部署：SLB（负载均衡）一一ECS应用部署集群一一RDS动静资源分离：SLBECS应用部署集群一一OSS（文件存储，图片音视频等非结构 化）Part 2信息安全现状及形式对于云上攻击，一下三点会以安全检测报告形式列出来：Ddos攻击：大量请求造成拥塞口令暴力破解：SSH RDP协议为主，针对端口攻击Web应用攻击：SQL注入攻击为主，针对数据库。（注：SSH secure shell安全外壳协议，建立在应用层基础上的安全协议；RDP remote desktop protocol 远程桌面协议SQL结构化查询语言，数据库查询和程序设计语言。）2014年1月21日，互联网DNS大劫难，D

3、NS被劫持；2014年4月，Heartbleed漏洞，涉及网银、门户网站，可被用于窃取服务器敏感信 息，实时抓取用户信息。Part 3 IT 系统风险构成1.按照等保划分维度：物理和环境安全：机房环境等；网络和通信安全：网络架构、边界保护、访问控制、入侵防范、通信加密等；设备和计算安全：入侵防范、恶意代码防范、访问控制、身份鉴别、集中管控和安 全审计等；应用和数据安全：安全审计、数据完整性和保密性；2.云上安全的服务方式：责任分担，共建安全用户负责“云中内容”的安全性：客户数据；平台、应用程序、身份和访问管 理；操作系统、网络和防火墙配置安全。云平台负责云的安全性：计算、存储、数据库、网络、全

4、球基础设施、边缘节 点。Part 4 云上安全防护的关键点1.各类架构注意事项ALL in one部署：注意1.登陆安全；2.账号授权管理;3.服务器安全漏洞；4.应用访问攻击;5.数据备份和加密;6.网络攻击风险；2.网络通信安全；3.数据库访问白名单授权;4.数据库的备份和容灾;2.服务器安全区域隔离；（防止ECS之间被攻击）3.负载均衡加密访问；（证书上传 SLB,实现RDS访问）2.动静资源分离部署：新增注意 1.云存储数据备份加密云存储数据容灾2.云计算面临的安全威胁可用性：大规模分布式拒绝服务攻击（ DDoS、僵尸网络（botnet）影响：网站业务不可用完整性：网站入侵、服务器口令

5、暴力破解影响：网站页面被篡改和植入后门。保密性：网站后门、数据库非法访问（拖库）影响：用户的账户信息和敏感数据泄露。2.产生安全风险的主要原因云平台：安全体系；技术实力；安全工具；管理平台；是否易用。ISV:开发规范；测试规范；部署规范；运维规范。用户：安全意识；安全习惯；加入黑产；管理流程；缺乏经验。Part 5阿里云解决方案1.阿里云的服务器安全防护安骑士是一款主机安全软件，通过安装在云服务器上轻量级的软件和云端安全中心的 联动，为您提供漏洞管理，基线检查和入侵告警功能。主要防护功能：木马查杀；防密码暴力破解；异地登陆提醒；漏洞检测修复。2.阿里云的网络安全防护免费：安全组、专有网络 vp

6、c、基础DDOS护收费：DDOS#防IP。3.阿里云的数据安全防护数据备份和容灾一一相关服务：云服务器快照；云数据库的备份实例和灾备实 例；云存储多副本和异地备份。数据加密相关服务：云数据库加密存储；云存储加密存储；加密机；数据传输安全一一相关证书：云盾证书； HTTPDNS4.阿里云应用安全防护1） Web防火墙（web application firewall ，简称 waf ）是一款网站必备安全产 品。2） 云盾web应用防火墙：基于云安全大数据能力实现运营 +数据+攻防体系、综合 打造网站应用安全。3） 通过防御sql注入、xss跨站脚本、常见 web服务器插件漏洞、木马上传、非 授权

7、核心资源访问等 owasp常见攻击；过滤海量恶意 cc攻击；禁止恶意的接口滥 刷，数据爬取；4） 避免您的网站资产数据泄露，保障网站的安全与可用性。5.阿里云的监控管理云监控：是一项针对阿里云资源和互联网应用进行监控的服务，云监控服务可 用于收集获取阿里云资源的监控指标，探测互联网服务的可用性，以及针对指标设置 警报。态势感知：是一个大数据安全分析平台，能对您云上所有资源产进行安全告 警，并用机器学习来发现潜在的入侵和高隐蔽性攻击，回溯攻击历史，预测即将发生 的安全事件。Part 6 网络安全法2017年6月1日网络安全法正式实施。宏观层面：网络安全同国土安全、经济安全等一样成为国家安全的一个

8、重要组成 部分。微观层面：网络运营者（网络所有者、管理者和网络服务者）必须担负起网络安 全的责任。Part 7云平台使用的账号安全1.云上账号安全的指导原则账号安全：1） 登录验证：配置强密码策略；定期轮转用户登录密码。2） 账号授权：遵循最小授权原则；及时撤销不再需要的权限。3） 权限分配：不要为根帐号创建访问密钥；将用户管理、权限管理与资源管理分离。2阿里云账号安全策略阿里云对租户账号提供账号登录双因素验证机制（ MFA、密码安全策略、审计功能，以确保云服务账号的安全性。3阿里云的账号权限管理访问控制（RAM是阿里云为客户提供的用户身份管理与访问控制服务。使用 RAM可以创建、管理用户账号

9、，并可以控制这些用户账号对名下资源具有的操作 权限。包括：密钥、范围权限、资源访问方式。RAM应用场景：企业子账号管理与分权；不同企业之间的资源操作与授权管理；针对不可信客 户端app的临时授权管理。Part 8 云资源管理1.云资源的管理方式：web管理控制台；客户端工具； api2.云资源的监控服务：云监控是一项针对阿里云云资源进行监控的服务，可用于手机 获取阿里云资源的监控指标，并针对指标设置报警的阀值。第二章云上服务器安全主要介绍云服务器主要面临的安全风险，并针对这些风险提供了切实可行的、免 费的防护方案。Part 1服务器面临的安全挑战自身脆弱性：漏洞、错误的配置、账号权限、不该开放

10、的端口等。外部威胁：后门、木马、暴力破解攻击等。Part 2服务器安全管理1.服务器安全管理的五种方式：及时对服务器安装系统补丁；修改服务器默认的账号和密码；在服务器上启动及配置防火墙；关闭服务器不必要的服务及端口；检测服务器系统日志。Part 3 通过安骑士发现登录风险安骑士是一款主机安全软件，通过安装在云服务器上轻量级的软件和云端安 全中心的联动，为您提供漏洞管理、基线检查和入侵告警等功能。漏洞管理：系统软件漏洞； CMS!洞。基线检查：账户安全检测；弱口令检测；配置风险检测。入侵检测：异地登录提醒；暴力破解联动；网站后门查杀；异常进程检测。Part 4 通过安骑士修复常见漏洞1.常见漏洞

11、：系统漏洞；应用漏洞（应用程序的漏洞，主要由于编写代码留下的漏 洞，常见的有sql注入、xss漏洞、上传漏洞等）。2.漏洞管理流程：漏洞预警（获取权威漏洞信息） -漏洞检测（检测资产存在的漏洞）-风险管理（结合资产定位风险） -漏洞修复（补丁系统联动）-漏洞审计（确认漏洞风险）。3.安骑士系统软件漏洞支持并检测服务器上的三大类软件漏洞：系统软件漏洞、Win dows系统漏洞、web应用漏洞。4.安骑士对于cms漏洞可通过及时获取最新的漏洞预警和相关补丁，并通过云端 下发补丁更新，实现漏洞快速发现、快速修复的功能。第三章云上网络安全主要介绍网络风险产生的原理并学会使用阿里云的防护方案，最大限度避

12、免或减 少网络层攻击的危害。Part 1网络安全概述TCP/IP 协议， 温顿 瑟夫：tcp/ip 协议和互联网架构的联合设计者之一，互联 网之父。网络通信的五元组：源IP、源端口、协议、目标端口、目标 IP各种网络攻击：大流量 DDos攻击、CC/慢速攻击、sql注入、xss攻击、暴力破解攻 击、安装木马后门、网络钓鱼攻击安全责任分担模型：Part 2网络防火墙的使用1.安全组介绍：安全组指定了一个或多个防火墙规则，规则包含容许访问的网络 协议、端口、源ip等。2.安全组功能不同用户网络隔离；系统默认安全组；安全组限制方向；安全组限制数量。Part 3 安全专有网络vpcVpc（ virtu

13、al private cloud ） 虚拟私有云Vpc功能：自主可控的网络、公网出入、私网互联。自主可同的网络：1） 网络规划：ip地址规划、自定义路由、公网访问。2） 安全隔离：租户隔离、生产测试、访问控制公网出入三种形式：1） 弹性公网ip，简称EIP，是可以独立购买和持有的公网 IP地址资源，能动态绑定到不同的ecs实例上。2） 负载均衡3） Nat网关（公网ip共享带宽、一个公网ip的不同端口可映射到不同的 vpc ecs、避免ecs被外界主动连接）私网互联：支持同region间、跨region、不同账户下 vpc私网互通，支持客户IDC到阿里云 间的私网互通。Part 4 DDos

14、攻击介绍及防护措施1.DDos攻击介绍DDos （distributed denial of service ）分布式拒绝服务攻击2.DDos攻击原理对客户端的第三次响应（握手）不反馈，导致 tcp资源耗尽。3.DDos常见防护措施：隐藏服务器 IP ;多节点加速；异常流量清洗；分布式集群防御；防火墙合理配置；专有抗 D设备Part 5 如何使用阿里基础 DDos防护1.基础DDos防护的主要功能1） 攻击流量的发现、牵引和自动处理；2） 能有效防御所有各类基于网络层的各种 DDos攻击，包括dns query flood ，ntp reply flood 。3） 大数据分析技术实现全自动检测

15、。加入安全信誉防护联盟可以增加防御阀值，最高可到 20GPart 6 通过高防IP抵御大规模DDos攻击 高防IP的原理：ISP四层清洗、七层清洗一一负载均衡一一云服务器 高防IP的功能:1） 防护海量DDos攻击：3个高防中心，电信、联通、 BGP线路，总带宽超过1000GbpSo2） 专业团队运营3） 源站IP隐藏：高防服务可散列化业务 IP，随时更换防护的IP，隐藏源站网络4） 弹性防护：DDos防护阈值弹性调整，可以随时升级更高级别的防护，整个过程服务无中断。5） 高可靠，高可用服务：全自动检测和攻击策略匹配，试试防护，清洗服务可用性%低时延，低网络抖动。高防IP的接入：1） DNS服

16、务器更换对外服务IP （把原域名进行更换）；2） 流量完成切换（客户端向源站的方位流量直接流向高防 ip，安全防护由高防接管）3)回源正常用户(回注方式与传统方式不同，传统要打上 vpn标签回注隔离主机路由，阿里采用协议栈更换技术，把处理完成的流量再送给源站，实现回 注)。不光为用户实现了攻击防护，同时作为业务前置，把源站网络完全对外隐藏， 降低安全风险。第四章 云上数据安全主要介绍数据安全的防护原理，教会大家在阿里云上如何完美地解决数据安全问 题，包括数据的安全存储、备份恢复、安全传输等。Part 1 数据安全概述1.数据本身及数据防护的安全数据本身的安全：保密性；加密、证书。完整性；一一完

17、整性验证。可用性； 主备实例，异地实例。数据防护的安全：物理安全；一一及时备份和恢复安全防护。一一数据访问授权和审批2.阿里云的数据安全防护1)数据备份和容灾云服务器快照；云数据库的主备实例和灾备实例；云数据库导入导出；云存储 多副本和异地备份。2)数据加密云数据库加密存储；云存储加密存储；加密机。3)数据传输安全云盾证书；HTTPDNSPart 2 数据备份、恢复和容灾1.常见不同级别的备份方法按地理位置：本地备份；同城备份；异地备份。（理想状态：两地三中心）按备份模式：物理备份（数据块级）；逻辑备份（文件级）。按时效性：热备；冷备。2.云服务器ECS快照快照：某一时间点上某一磁盘的数据备份

18、。阿里云提供了快照机制，通过为云盘创建快照，您可以保留某一个或者多个时间点的磁盘数据拷贝，有计划地对磁盘创建快照，从而保证您的业务可持续运行。3.云数据库RDS&份与恢复可以通过设置备份策略调整 RDS数据备份和日志备份的周期来实现自动备份。4.云数据库RDS数据导入、导出。数据备份、日志备份。5.云数据库RDS主备实例、灾备实例。主备实例：RDS采用热备架构，物理服务器出现故障后服务秒级完成切换。 灾备实例：主节点和呗节点均无法连接时，可将异地灾备实例切换为主实例。6.云存储OSS多备本、异地备份Part 3数据加密1.常见的加密算法：对称加密算法；非对称加密算法；哈希（ HASH摘要）算法

19、1）对称加密算法指加密和解密使用相同密钥加密。特点：算法公开、计算量小、加密速度快、加密效率高。不足：交易双方都使用同样的密钥，安全性得不到保证。常见对称算法：DES AES IDEA RC42)非对称加密算法至加密和解密使用两个不同的密钥：公开密钥(publickey )和私有密钥(privatekey )。特点：算法强度复杂、保密性比较好、它消除了最终用户传输密钥的需要。常见的非对称加密算法： RSA elgamal、背包算法、ECC(椭圆曲线加密算法)3)哈希算法将任意长度的二进制值映射为较短的固定长度的二进制值，这个 小的二进制值成为哈希值。特点：计算快速，常用在不可还原的密码存储、信

20、息完整性校验。常用的哈希加密算法： MD2/ MD4/ MD5; CRC 16/CRC32/CRC64;SHA/SHA-12.如何选择加密算法和密钥如何选择加密算法：数据量、速度：量大速度快对称加密；量小速度慢一一非对称加密；签名：非对称加密不可还原的密码存储、信息完整性校验哈希算法3.如何选择密钥密钥越长，运行的速度就越慢，但安全等级越高。 Rsa建议采用1024位，ecc建议采用160位，aes建议采用128位。4.云数据库加密存储一一TDE透明数据加密对实例数据文件执行实时I/O加密和解密，数据在写入磁盘前加密，从磁盘读 入内存时解密；不会增加数据文件大小，开发人员无需更改任何应用程序；

21、会 增加CPU使用率。5.云存储OSS加密存储一一客户端加密保护数据用户数据在发送给远端服务器之前就完成加密；加密所用的密钥和明文只保留 在本地。6.云存储OSS数据完整性验证数据在客户端和服务器之间传输有可能会出现数据丢失， OSS可对各种方式上传的object返回其CRC64值，客户端可以和本地计算的 CRC64值做对比。7.阿里云加密服务1） 云上的数据安全加密方案；2） 服务底层使用经国家密码管理局检测认证的硬件密码机；3） 密码算法：全面支持国产算法以及部分国际通用密码算法（对称、非对 称、摘要）4） 金融支付领域的加解密支持5） 权限认证：设备与敏感信息管理分离6） 高可用性保障P

22、art 4数据传输安全方案1.数据传输安全风险认识2.流量劫持是目前最典型的数据传输安全风险3.HTTPS协议HTTP协议+SSL协议=HTTP助议1） HTTP的安全版，基于SSL协议的网站加密传输协议。2） SSL安全套阶层协议，采用公开密钥技术，为网络连接提供数据加密、服 务器认证、消息完整性以及可选的客户机认证。3） 遵循SSL安全套阶层协议的服务器数字证书，具有身份验证功能。网站安 装SSL证书后，使用HTTPS加密协议访问，可激活客户端到服务器之间的“SSL加密通道” （SSL协议），实现高强度双向加密传输，识别网站真实身 份，防止传输数据被泄露或篡改。4.云盾证书服务，是和有资质

23、的 CA中心或代理商共同在阿里云为客户提供直 接申请购买管理 SSL证书的产品。在云上签发 symantec、gobalsign、 Geotrust证书，实现网站HTTPS化，使网站可信、防劫持、防篡改、防监听。并对云上证书进行统一生命周期管理，简化证书部署，一键分发到云上产 品。原理，使用HTTP协议进行域名解析，代替现有基于 UDP的DNS协议，域名解 析请求直接发送到阿里云的 HTTPDN服务器，从而绕过运营商的 Local DNS， 能够避免Local DNS造成的域名劫持问题和调度不精准问题。概念及特点：HTTPDN是阿里云面向移动开发者推出的一款域名解析产品，具 有域名防劫持、精准

24、调度的特性。Part 5 阿里云的数据传输安全实践1.负载均衡SLB HTTPS支持负载均衡提供了 HTTPS单向和双向认证；支持 http回源。2.WAF HTTP支持WAF提供了 HTTPS支持。3.云数据库RDS的传输安全一一SSL加密在传输层对网络连接加密，提升数据传输的安全性和完整性。第五章 云上应用安全主要介绍 Web应用和APP面临的主要安全风险，以及防御方案、原理和最佳防护 实践。Part 1 web应用安全概述1.web应用安全问题：网站变卡、打不开；网站数据被恶意爬取，短信流量被滥刷；账号数据、资金损失；获取服务器管理员权限，篡改网站数据、页面。2.owasp （open

25、web application security project ） 开放式 web应用程序安全项目组织3.web组成及web安全分类web服务器端通过通信协议 http （ s）与web客户端通信。Web服务端安全问题：sql注入、文件上传、系统命令执行漏洞、权限漏洞。Web客户端安全问题：xss漏洞、csrf漏洞、其他浏览器或插件漏洞4.应用安全防护工具： web应用防火墙（WAF,通过执行一系列针对 HTTP/HTTPS 的安全策略来专门为web应用提供保护的一款产品。Part 2 通过阿里云WAF保护应用安全1.阿里云 WAF基于云安全大数据能力实现运营 +数据+攻防体系，综合打造网站

26、应用安全。通过方旭 SQL注入、网页防篡改、xss跨站脚本、常见 web服务器插 件漏洞、木马上传、非授权核心资源方位等 owasp常见攻击；过滤海量恶意 cc攻击；禁止恶意的接口滥刷、数据爬取；避免网站数据泄露。2.WAF核心能力：Oday漏洞防护、放数据泄密、防 cc攻击、业务风控。3.WAF竞争优势一一资源能力：弹性扩容、天然容灾、攻击阈值大。数据模型：海量IP信誉库、网站正常模型4.阿里云WAF应用防火墙安全检测流程：流量经过 web应用防火墙时，首先依次匹配精准访问控制中的规则、再进行 CC攻击的检测、最后进行 web应用攻击防护。5.云盾WAF包括高级版、企业版、旗舰版三个版本。P

27、art 3 SQL注入及防护1.什么是SQL注入攻击通过把SQL命令插入到web表单递交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的 SQL命令。2.SQL注入攻击的现象：数据泄露一一猜测并非授权获得数据库信息；数据篡改破坏数据库信息；数据删除一一数据库信息丢失；修改系统访问授权一一私自添加、修 改系统或数据库账号，甚至对数据库服 务器的完全控制4.SQL注入的过程：黑客对网站进行扫描，发现页面存在注入风险，通过手工构造 SQL注入语句，渗透入侵数据库，获取网站相关核心数据。5.SQL注入产生的原因：注入攻击的原因是 web应用程序中存在漏洞，开发人员编写的应用程序缺乏对数据

28、库相关的输入数据进行合法性检查，导致应用程序按照攻击者的意图执行。6.SQL注入防护手段：SQL语句预编译和绑定变量；严格进行输入校验，检查参数的数据类型；使用安全函数；应用的异常信息应该给出尽可能少的提示；不要使用管理员权限的数据库连接；不要把机密信息直接存放；采用一些工具或网络平台检测是否存在 SQL注入。7.通过阿里云WAF防护SQL注入一一web应用攻击防护，防护SQL注入、XSS跨站 等常见web应用攻击、实时生效。模式：防护模式，预警模式。防护规则策略：正常、宽松、严格。Part 4 网站防篡改1.网站篡改攻击者利用网站漏洞恶意修改 web页面内容的攻击事件。2.网站篡改的动机：纯

29、粹炫耀黑客技术；增加自己网站点击率；加入木马的病毒程序；发布虚假信息获利；骗取用户资料；政治性宣传。3.网站篡改的特点及危害：特点：被篡改的网站页面阅读人群多；传播速度快；影响深远且事后难以消除； 无法预先检查，难以防范；难以追查攻击源；攻击工具简单且趋向智能化发展。危害：企事业单位公信力及形象受影响；经济损失；成为不法分子利用的工具； 在社会上进行不当信息的传播。4.网站篡改的原因主观：密码管理不严格；未定期修改；多人共用同一密码；补丁不及时更新；不同人员参与到应用开发。客观：系统复杂、漏洞频出、各种应用漏洞（注入、 CSRF身份认证失效、安全配置错误、页面代码泄露等）都有可能造成网站被篡改

30、；漏洞发现、补丁公布的 时间均过长；钓鱼、木马、间谍软件。5.网站篡改的过程：黑客对网站进行渗透注入，获取管理员权限留下的木马后门， 在网站页面中留下暗链或者篡改网站页面内容，损害企业对外的公众形象或是造 成经济损失。6.网页防篡改基本原理：对 web服务器上的页面文件进行监控，发现更改行为时及 时组织或者恢复。7.阿里云WAF防网页篡改：WAF在高级版及以上版本上支持页面防篡改功能，可以对制定的敏感页面进行缓存。缓存后，即使源站页面内容被恶意篡改， WAI也会返回预先缓存号的页面内容,从而确保正常用户看到正确的页面。开启网页防篡改 k 配置规则* 手动打开防护开关手动更新缓存Part 5 CC 攻击防护1.CC攻击CC攻击是DDos攻击的一种，主要用来攻击页面，分为：单主机虚拟多 IP地址、代理服务器攻击、僵尸网络攻击特点：CC攻击来的IP都是真实的、分散的；CC攻击的数据包都是正常的数据 包；CC攻击的请求，全都是有效的请求，无法拒绝的请求； CC攻击的网页，服务器什么都可以连接，ping也没问题，但是网页就是访问不了。2.CC攻击的原理及危害网站被竞争对手攻击或者是黑客敲诈勒索，发起大量的恶意 CC请求，长时间占用消耗服务器的核心资源，造成服务器性能瓶颈，如 CPU内存、贷款，导致网站业务响