阿里云云安全助理工程师ACA复习资料完结.docx
《阿里云云安全助理工程师ACA复习资料完结.docx》由会员分享,可在线阅读,更多相关《阿里云云安全助理工程师ACA复习资料完结.docx(25页珍藏版)》请在冰点文库上搜索。
阿里云云安全助理工程师ACA复习资料完结
阿里云云安全助理工程师复习资料
第一章云平台使用安全
主要介绍当前信息安全的现状和形势,如何利用云平台的优势降低风险,以及如何做好云上资产的安全管理等。
Part1典型IT系统架构介绍
基础架构演进的趋势:
大型机、PC机和小型机、互联网数据中心、云计算。
2.云计算的三种服务:
SAAS(软件即服务)(行业应用如CRMOAERP等)
PAAS(平台即服务)(云扩展服务,中间件、安全、大数据等)
IAAS(基础设施即服务)(虚拟服务器、存储、网络等)
3.企业上云常见架构:
ALLinone:
ECS(云服务器)
应用与数据分离:
ECSRDS(数据库)
应用集群部署:
SLB(负载均衡)一一ECS应用部署集群一一RDS
动静资源分离:
SLBECS应用部署集群一一OSS(文件存储,图片音视频等非结构化)
Part2信息安全现状及形式
对于云上攻击,一下三点会以安全检测报告形式列出来:
Ddos攻击:
大量请求造成拥塞
口令暴力破解:
SSHRDP协议为主,针对端口攻击
Web应用攻击:
SQL注入攻击为主,针对数据库。
(注:
SSHsecureshell安全外壳协议,建立在应用层基础上的安全协议;
RDPremotedesktopprotocol远程桌面协议
SQL结构化查询语言,数据库查询和程序设计语言。
)
2014年1月21日,互联网DNS大劫难,DNS被劫持;
2014年4月,Heartbleed漏洞,涉及网银、门户网站,,可被用于窃取服务器敏感信息,实时抓取用户信息。
Part3IT系统风险构成
1.按照等保划分维度:
物理和环境安全:
机房环境等;
网络和通信安全:
网络架构、边界保护、访问控制、入侵防范、通信加密等;
设备和计算安全:
入侵防范、恶意代码防范、访问控制、身份鉴别、集中管控和安全审计等;
应用和数据安全:
安全审计、数据完整性和保密性;
2.云上安全的服务方式:
责任分担,共建安全
用户负责“云中内容”的安全性:
客户数据;平台、应用程序、身份和访问管理;操作系统、网络和防火墙配置安全。
云平台负责云的安全性:
计算、存储、数据库、网络、全球基础设施、边缘节点。
Part4云上安全防护的关键点
1.各类架构注意事项
ALLinone部署:
注意1.登陆安全;
2.账号授权管理;
3.服务器安全漏洞;
4.应用访问攻击;
5.数据备份和加密;
6.
网络攻击风险;
2.网络通信安全;
3.数据库访问白名单授权;
4.
数据库的备份和容灾;
2.服务器安全区域隔离;(防止ECS之间被攻击)
3.负载均衡加密访问;(证书上传SLB,实现RDS访问)
2.
动静资源分离部署:
新增注意1.云存储数据备份加密
云存储数据容灾
2.云计算面临的安全威胁
可用性:
大规模分布式拒绝服务攻击(DDoS、僵尸网络(botnet)
影响:
网站业务不可用
完整性:
网站入侵、服务器口令暴力破解
影响:
网站页面被篡改和植入后门。
保密性:
网站后门、数据库非法访问(拖库)
影响:
用户的账户信息和敏感数据泄露。
2.产生安全风险的主要原因
云平台:
安全体系;技术实力;安全工具;管理平台;是否易用。
ISV:
开发规范;测试规范;部署规范;运维规范。
用户:
安全意识;安全习惯;加入黑产;管理流程;缺乏经验。
Part5阿里云解决方案
1.阿里云的服务器安全防护
安骑士是一款主机安全软件,通过安装在云服务器上轻量级的软件和云端安全中心的联动,为您提供漏洞管理,基线检查和入侵告警功能。
主要防护功能:
木马查杀;防密码暴力破解;异地登陆提醒;漏洞检测修复。
2.阿里云的网络安全防护
免费:
安全组、专有网络vpc、基础DDOS^护
收费:
DDOS#防IP。
3.阿里云的数据安全防护
数据备份和容灾一一相关服务:
云服务器快照;云数据库的备份实例和灾备实例;云存储多副本和异地备份。
数据加密——相关服务:
云数据库加密存储;云存储加密存储;加密机;
数据传输安全一一相关证书:
云盾证书;HTTPDNS
4.阿里云应用安全防护
1)Web防火墙(webapplicationfirewall,简称waf)是一款网站必备安全产品。
2)云盾web应用防火墙:
基于云安全大数据能力实现运营+数据+攻防体系、综合打造网站应用安全。
3)通过防御sql注入、xss跨站脚本、常见web服务器插件漏洞、木马上传、非授权核心资源访问等owasp常见攻击;过滤海量恶意cc攻击;禁止恶意的接口滥刷,数据爬取;
4)避免您的网站资产数据泄露,保障网站的安全与可用性。
5.阿里云的监控管理
云监控:
是一项针对阿里云资源和互联网应用进行监控的服务,云监控服务可用于收集获取阿里云资源的监控指标,探测互联网服务的可用性,以及针对指标设置警报。
态势感知:
是一个大数据安全分析平台,能对您云上所有资源产进行安全告警,并用机器学习来发现潜在的入侵和高隐蔽性攻击,回溯攻击历史,预测即将发生的安全事件。
Part6网络安全法
2017年6月1日网络安全法正式实施。
宏观层面:
网络安全同国土安全、经济安全等一样成为国家安全的一个重要组成部分。
微观层面:
网络运营者(网络所有者、管理者和网络服务者)必须担负起网络安全的责任。
Part7云平台使用的账号安全
1.云上账号安全的指导原则
账号安全:
1)登录验证:
配置强密码策略;定期轮转用户登录密码。
2)账号授权:
遵循最小授权原则;及时撤销不再需要的权限。
3)权限分配:
不要为根帐号创建访问密钥;将用户管理、权限管理与资源管理分
离。
2•阿里云账号安全策略
阿里云对租户账号提供账号登录双因素验证机制(MFA、密码安全策略、审计功
能,以确保云服务账号的安全性。
3•阿里云的账号权限管理
访问控制(RAM是阿里云为客户提供的用户身份管理与访问控制服务。
使用RAM可以创建、管理用户账号,并可以控制这些用户账号对名下资源具有的操作权限。
包括:
密钥、范围权限、资源访问方式。
RAM应用场景:
企业子账号管理与分权;不同企业之间的资源操作与授权管理;针对不可信客户端app的临时授权管理。
Part8云资源管理
1.云资源的管理方式:
web管理控制台;客户端工具;api
2.云资源的监控服务:
云监控是一项针对阿里云云资源进行监控的服务,可用于手机获取阿里云资源的监控指标,并针对指标设置报警的阀值。
第二章云上服务器安全
主要介绍云服务器主要面临的安全风险,并针对这些风险提供了切实可行的、免费的防护方案。
Part1服务器面临的安全挑战
自身脆弱性:
漏洞、错误的配置、账号权限、不该开放的端口等。
外部威胁:
后门、木马、暴力破解攻击等。
Part2服务器安全管理
1.服务器安全管理的五种方式:
及时对服务器安装系统补丁;
修改服务器默认的账号和密码;
在服务器上启动及配置防火墙;
关闭服务器不必要的服务及端口;
检测服务器系统日志。
Part3通过安骑士发现登录风险
安骑士是一款主机安全软件,通过安装在云服务器上轻量级的软件和云端安全中心的联动,为您提供漏洞管理、基线检查和入侵告警等功能。
漏洞管理:
系统软件漏洞;CMS!
洞。
基线检查:
账户安全检测;弱口令检测;配置风险检测。
入侵检测:
异地登录提醒;暴力破解联动;网站后门查杀;异常进程检测。
Part4通过安骑士修复常见漏洞
1.常见漏洞:
系统漏洞;应用漏洞(应用程序的漏洞,主要由于编写代码留下的漏洞,常见的有sql注入、xss漏洞、上传漏洞等)。
2.漏洞管理流程:
漏洞预警(获取权威漏洞信息)-漏洞检测(检测资产存在的漏
洞)-风险管理(结合资产定位风险)-漏洞修复(补丁系统联动)-漏洞审计(确认漏
洞风险)。
3.安骑士系统软件漏洞支持并检测服务器上的三大类软件漏洞:
系统软件漏洞、
Windows系统漏洞、web应用漏洞。
4.安骑士对于cms漏洞可通过及时获取最新的漏洞预警和相关补丁,并通过云端下发补丁更新,实现漏洞快速发现、快速修复的功能。
第三章云上网络安全
主要介绍网络风险产生的原理并学会使用阿里云的防护方案,最大限度避免或减少网络层攻击的危害。
Part1网络安全概述
TCP/IP协议,温顿瑟夫:
tcp/ip协议和互联网架构的联合设计者之一,互联网之父。
网络通信的五元组:
源IP、源端口、协议、目标端口、目标IP
各种网络攻击:
大流量DDos攻击、CC/慢速攻击、sql注入、xss攻击、暴力破解攻击、安装木马后门、网络钓鱼攻击
安全责任分担模型:
Part2网络防火墙的使用
1.安全组介绍:
安全组指定了一个或多个防火墙规则,规则包含容许访问的网络协议、端口、源ip等。
2.安全组功能
不同用户网络隔离;系统默认安全组;安全组限制方向;安全组限制数量。
Part3安全专有网络vpc
Vpc(virtualprivatecloud)虚拟私有云
Vpc功能:
自主可控的网络、公网出入、私网互联。
自主可同的网络:
1)网络规划:
ip地址规划、自定义路由、公网访问。
2)安全隔离:
租户隔离、生产测试、访问控制
公网出入三种形式:
1)弹性公网ip,简称EIP,是可以独立购买和持有的公网IP地址资源,能动态
绑定到不同的ecs实例上。
2)负载均衡
3)Nat网关(公网ip共享带宽、一个公网ip的不同端口可映射到不同的vpcecs、避免ecs被外界主动连接)
私网互联:
支持同region间、跨region、不同账户下vpc私网互通,支持客户IDC到阿里云间的私网互通。
Part4DDos攻击介绍及防护措施
1.DDos攻击介绍
DDos(distributeddenialofservice)分布式拒绝服务攻击
2.DDos攻击原理
对客户端的第三次响应(握手)不反馈,导致tcp资源耗尽。
3.DDos常见防护措施:
隐藏服务器IP;多节点加速;异常流量清洗;分布式集
群防御;防火墙合理配置;专有抗D设备
Part5如何使用阿里基础DDos防护
1.基础DDos防护的主要功能
1)攻击流量的发现、牵引和自动处理;
2)能有效防御所有各类基于网络层的各种DDos攻击,包括dnsqueryflood,
ntpreplyflood。
3)大数据分析技术实现全自动检测。
加入安全信誉防护联盟可以增加防御阀值,最高可到20G
Part6通过高防IP抵御大规模DDos攻击高防IP的原理:
ISP――四层清洗、七层清洗一一负载均衡一一云服务器高防IP的功能:
1)防护海量DDos攻击:
3个高防中心,电信、联通、BGP线路,总带宽超过
1000GbpSo
2)专业团队运营
3)源站IP隐藏:
高防服务可散列化业务IP,随时更换防护的IP,隐藏源站网络
4)弹性防护:
DDos防护阈值弹性调整,可以随时升级更高级别的防护,整个过程
服务无中断。
5)高可靠,高可用服务:
全自动检测和攻击策略匹配,试试防护,清洗服务可用
性%低时延,低网络抖动。
高防IP的接入:
1)DNS服务器更换对外服务IP(把原域名进行更换);
2)流量完成切换(客户端向源站的方位流量直接流向高防ip,安全防护由高防接
管)
3)回源正常用户(回注方式与传统方式不同,传统要打上vpn标签回注隔离主机
路由,阿里采用协议栈更换技术,把处理完成的流量再送给源站,实现回注)。
不光为用户实现了攻击防护,同时作为业务前置,把源站网络完全对外隐藏,降低安全风险。
第四章云上数据安全
主要介绍数据安全的防护原理,教会大家在阿里云上如何完美地解决数据安全问题,包括数据的安全存储、备份恢复、安全传输等。
Part1数据安全概述
1.数据本身及数据防护的安全
数据本身的安全:
保密性;——加密、证书。
完整性;一一完整性验证。
可用性;——主备实例,异地实例。
数据防护的安全:
物理安全;一一及时备份和恢复
安全防护。
一一数据访问授权和审批
2.阿里云的数据安全防护
1)数据备份和容灾
云服务器快照;云数据库的主备实例和灾备实例;云数据库导入导出;云存储多副本和异地备份。
2)数据加密
云数据库加密存储;云存储加密存储;加密机。
3)数据传输安全
云盾证书;HTTPDNS
Part2数据备份、恢复和容灾
1.常见不同级别的备份方法
按地理位置:
本地备份;同城备份;异地备份。
(理想状态:
两地三中心)
按备份模式:
物理备份(数据块级);逻辑备份(文件级)。
按时效性:
热备;冷备。
2.云服务器ECS快照
快照:
某一时间点上某一磁盘的数据备份。
阿里云提供了快照机制,通过为云盘创建快照,您可以保留某一个或者多个时间
点的磁盘数据拷贝,有计划地对磁盘创建快照,从而保证您的业务可持续运行。
3.云数据库RDS&份与恢复
可以通过设置备份策略调整RDS数据备份和日志备份的周期来实现自动备份。
4.云数据库RDS数据导入、导出。
数据备份、日志备份。
5.云数据库RDS主备实例、灾备实例。
主备实例:
RDS采用热备架构,物理服务器出现故障后服务秒级完成切换。
灾备实例:
主节点和呗节点均无法连接时,可将异地灾备实例切换为主实例。
6.云存储OSS多备本、异地备份
Part3数据加密
1.常见的加密算法:
对称加密算法;非对称加密算法;哈希(HASH摘要)算法
1)对称加密算法指加密和解密使用相同密钥加密。
特点:
算法公开、计算量小、加密速度快、加密效率高。
不足:
交易双方都使用同样的密钥,安全性得不到保证。
常见对称算法:
DESAESIDEARC4
2)非对称加密算法至加密和解密使用两个不同的密钥:
公开密钥
(publickey)和私有密钥(privatekey)。
特点:
算法强度复杂、保密性比较好、它消除了最终用户传输密钥的需要。
常见的非对称加密算法:
RSAelgamal、背包算法、ECC(椭圆曲线加密算
法)
3)哈希算法将任意长度的二进制值映射为较短的固定长度的二进制值,这个小的二进制值成为哈希值。
特点:
计算快速,常用在不可还原的密码存储、信息完整性校验。
。
常用的哈希加密算法:
MD2/MD4/MD5;CRC16/CRC32/CRC64;SHA/SHA-1
2.如何选择加密算法和密钥
如何选择加密算法:
数据量、速度:
量大速度快——对称加密;
量小速度慢一一非对称加密;
签名:
非对称加密
不可还原的密码存储、信息完整性校验——哈希算法
3.如何选择密钥
密钥越长,运行的速度就越慢,但安全等级越高。
Rsa建议采用1024位,ecc
建议采用160位,aes建议采用128位。
4.云数据库加密存储一一TDE透明数据加密
对实例数据文件执行实时I/O加密和解密,数据在写入磁盘前加密,从磁盘读入内存时解密;不会增加数据文件大小,开发人员无需更改任何应用程序;会增加CPU使用率。
5.云存储OSS加密存储一一客户端加密保护数据
用户数据在发送给远端服务器之前就完成加密;加密所用的密钥和明文只保留在本地。
6.云存储OSS数据完整性验证
数据在客户端和服务器之间传输有可能会出现数据丢失,OSS可对各种方式
上传的object返回其CRC64值,客户端可以和本地计算的CRC64值做对比。
7.阿里云加密服务
1)云上的数据安全加密方案;
2)服务底层使用经国家密码管理局检测认证的硬件密码机;
3)密码算法:
全面支持国产算法以及部分国际通用密码算法(对称、非对称、摘要)
4)金融支付领域的加解密支持
5)权限认证:
设备与敏感信息管理分离
6)高可用性保障
Part4数据传输安全方案
1.数据传输安全风险认识
2.
流量劫持是目前最典型的数据传输安全风险
3.HTTPS协议
HTTP协议+SSL协议=HTTP助议
1)HTTP的安全版,基于SSL协议的网站加密传输协议。
2)SSL安全套阶层协议,采用公开密钥技术,为网络连接提供数据加密、服务器认证、消息完整性以及可选的客户机认证。
3)遵循SSL安全套阶层协议的服务器数字证书,具有身份验证功能。
网站安装SSL证书后,使用HTTPS加密协议访问,可激活客户端到服务器之间的
“SSL加密通道”(SSL协议),实现高强度双向加密传输,识别网站真实身份,防止传输数据被泄露或篡改。
4.云盾证书服务,是和有资质的CA中心或代理商共同在阿里云为客户提供直接申请购买管理SSL证书的产品。
在云上签发symantec、gobalsign、Geotrust证书,实现网站HTTPS化,使网站可信、防劫持、防篡改、防监
听。
并对云上证书进行统一生命周期管理,简化证书部署,一键分发到云上产品。
原理,使用HTTP协议进行域名解析,代替现有基于UDP的DNS协议,域名解析请求直接发送到阿里云的HTTPDN服务器,从而绕过运营商的LocalDNS,能够避免LocalDNS造成的域名劫持问题和调度不精准问题。
概念及特点:
HTTPDN是阿里云面向移动开发者推出的一款域名解析产品,具有域名防劫持、精准调度的特性。
Part5阿里云的数据传输安全实践
1.负载均衡SLBHTTPS支持
负载均衡提供了HTTPS单向和双向认证;支持http回源。
2.WAFHTTP支持
WAF提供了HTTPS支持。
3.云数据库RDS的传输安全一一SSL加密
在传输层对网络连接加密,提升数据传输的安全性和完整性。
第五章云上应用安全
主要介绍Web应用和APP面临的主要安全风险,以及防御方案、原理和最佳防护实践。
Part1web应用安全概述
1.web应用安全问题:
网站变卡、打不开;
网站数据被恶意爬取,短信流量被滥刷;
账号数据、资金损失;
获取服务器管理员权限,篡改网站数据、页面。
2.owasp(openwebapplicationsecurityproject)开放式web应用程序安全项
目组织
3.web组成及web安全分类
web服务器端通过通信协议http(s)与web客户端通信。
Web服务端安全问题:
sql注入、文件上传、系统命令执行漏洞、权限漏洞。
Web客户端安全问题:
xss漏洞、csrf漏洞、其他浏览器或插件漏洞
4.应用安全防护工具:
web应用防火墙(WAF,通过执行一系列针对HTTP/HTTPS的安全策略来专门为web应用提供保护的一款产品。
Part2通过阿里云WAF保护应用安全
1.阿里云WAF基于云安全大数据能力实现运营+数据+攻防体系,综合打造网站应
用安全。
通过方旭SQL注入、网页防篡改、xss跨站脚本、常见web服务器插件漏洞、木马上传、非授权核心资源方位等owasp常见攻击;过滤海量恶意cc
攻击;禁止恶意的接口滥刷、数据爬取;避免网站数据泄露。
2.WAF核心能力:
Oday漏洞防护、放数据泄密、防cc攻击、业务风控。
3.WAF竞争优势一一资源能力:
弹性扩容、天然容灾、攻击阈值大。
数据模型:
海量IP信誉库、网站正常模型
4.阿里云WAF应用防火墙安全检测流程:
流量经过web应用防火墙时,首先依次
匹配精准访问控制中的规则、再进行CC攻击的检测、最后进行web应用攻击防
护。
5.云盾WAF包括高级版、企业版、旗舰版三个版本。
Part3SQL注入及防护
1.什么是SQL注入攻击通过把SQL命令插入到web表单递交或输入域名或页面
请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。
2.SQL注入攻击的现象:
数据泄露一一猜测并非授权获得数据库信息;
数据篡改——破坏数据库信息;
数据删除一一数据库信息丢失;
修改系统访问授权一一私自添加、修改系统或数据库账号,甚至对数据库服务器的完全控制
4.SQL注入的过程:
黑客对网站进行扫描,发现页面存在注入风险,通过手工构造SQL注入语句,渗透入侵数据库,获取网站相关核心数据。
5.SQL注入产生的原因:
注入攻击的原因是web应用程序中存在漏洞,开发人员编
写的应用程序缺乏对数据库相关的输入数据进行合法性检查,导致应用程序按
照攻击者的意图执行。
6.SQL注入防护手段:
SQL语句预编译和绑定变量;
严格进行输入校验,检查参数的数据类型;
使用安全函数;
应用的异常信息应该给出尽可能少的提示;
不要使用管理员权限的数据库连接;
不要把机密信息直接存放;
采用一些工具或网络平台检测是否存在SQL注
入。
7.通过阿里云WAF防护SQL注入一一web应用攻击防护,防护SQL注入、XSS跨站等常见web应用攻击、实时生效。
模式:
防护模式,预警模式。
防护规则策略:
正常、宽松、严格。
Part4网站防篡改
1.网站篡改——攻击者利用网站漏洞恶意修改web页面内容的攻击事件。
2.网站篡改的动机:
纯粹炫耀黑客技术;增加自己网站点击率;加入木马的病毒程
序;发布虚假信息获利;骗取用户资料;政治性宣传。
3.网站篡改的特点及危害:
特点:
被篡改的网站页面阅读人群多;传播速度快;影响深远且事后难以消除;无法预先检查,难以防范;难以追查攻击源;攻击工具简单且趋向智能化发展。
危害:
企事业单位公信力及形象受影响;经济损失;成为不法分子利用的工具;在社会上进行不当信息的传播。
4.网站篡改的原因
主观:
密码管理不严格;未定期修改;多人共用同一密码;补丁不及时更新;不
同人员参与到应用开发。
客观:
系统复杂、漏洞频出、各种应用漏洞(注入、CSRF身份认证失效、安全
配置错误、页面代码泄露等)都有可能造成网站被篡改;漏洞发现、补丁公布的时间均过长;钓鱼、木马、间谍软件。
5.网站篡改的过程:
黑客对网站进行渗透注入,获取管理员权限留下的木马后门,在网站页面中留下暗链或者篡改网站页面内容,损害企业对外的公众形象或是造成经济损失。
6.网页防篡改基本原理:
对web服务器上的页面文件进行监控,发现更改行为时及时组织或者恢复。
7.阿里云WAF防网页篡改:
WAF在高级版及以上版本上支持页面防篡改功能,可以
对制定的敏感页面进行缓存。
缓存后,即使源站页面内容被恶意篡改,WAI也会返回预先缓存号的页面内容,
从而确保正常用户看到正确的页面。
开启网页防篡改k配置规则*手动打开防护开关
手动更新缓存
Part5CC攻击防护
1.CC攻击
CC攻击是DDos攻击的一种,主要用来攻击页面,分为:
单主机虚拟多IP地
址、代理服务器攻击、僵尸网络攻击
特点:
CC攻击来的IP都是真实的、分散的;CC攻击的数据包都是正常的数据包;CC攻击的请求,全都是有效的请求,无法拒绝的请求;CC攻击的网页,
服务器什么都可以连接,ping也没问题,但是网页就是访问不了。
2.CC攻击的原理及危害
网站被竞争对手攻击或者是黑客敲诈勒索,发起大量的恶意CC请求,长时
间占用消耗服务器的核心资源,造成服务器性能瓶颈,如CPU内存、贷款,导致
网站业务响
升级会员 