阿里云云安全助理工程师ACA复习资料.docx

阿里云云安全助理工程师ACA复习资料.docx

《阿里云云安全助理工程师ACA复习资料.docx》由会员分享，可在线阅读，更多相关《阿里云云安全助理工程师ACA复习资料.docx（20页珍藏版）》请在冰豆网上搜索。

阿里云云安全助理工程师ACA复习资料

第一章云平台使用安全

主要介绍当前信息安全的现状和形势，如何利用云平台的优势降低风险，以及如何做好云上资产的安全管理等。

Part1典型IT系统架构介绍

基础架构演进的趋势：

大型机、PC机和小型机、互联网数据中心、云计算。

2.云计算的三种服务：

SAAS（软件即服务）（行业应用如CRM、OA、ERP等）

PAAS（平台即服务）（云扩展服务，中间件、安全、大数据等）

IAAS（基础设施即服务）（虚拟服务器、存储、网络等）

3.企业上云常见架构：

ALLinone：

ECS（云服务器）

应用与数据分离：

ECS——RDS（数据库）

应用集群部署：

SLB（负载均衡）——ECS应用部署集群——RDS

动静资源分离：

SLB——ECS应用部署集群——OSS（文件存储，图片音视频等非结构化）RDS

Part2信息安全现状及形式

对于云上攻击，一下三点会以安全检测报告形式列出来：

Ddos攻击：

大量请求造成拥塞

口令暴力破解：

SSH、RDP协议为主，针对端口攻击。

Web应用攻击：

SQL注入攻击为主，针对数据库。

（注：

SSHsecureshell安全外壳协议，建立在应用层基础上的安全协议；

RDPremotedesktopprotocol远程桌面协议

SQL结构化查询语言，数据库查询和程序设计语言。

）

2014年1月21日，互联网DNS大劫难，DNS被劫持；

2014年4月，Heartbleed漏洞，涉及网银、门户网站，，可被用于窃取服务器敏感信息，实时抓取用户信息。

Part3IT系统风险构成

1.按照等保划分维度：

物理和环境安全：

机房环境等；

网络和通信安全：

网络架构、边界保护、访问控制、入侵防范、通信加密等；

设备和计算安全：

入侵防范、恶意代码防范、访问控制、身份鉴别、集中管控和安全审计等；

应用和数据安全：

安全审计、数据完整性和保密性；

2.云上安全的服务方式：

责任分担，共建安全

用户负责“云中内容”的安全性：

客户数据；平台、应用程序、身份和访问管理；操作系统、网络和防火墙配置安全。

云平台负责云的安全性：

计算、存储、数据库、网络、全球基础设施、边缘节点。

Part4云上安全防护的关键点

1.各类架构注意事项

ALLinone部署：

注意1.登陆安全；

2.账号授权管理；

3.服务器安全漏洞；

4.应用访问攻击；

5.数据备份和加密；

6.网络攻击风险；

应用与数据分离：

新增注意1.数据通信安全；

2.网络通信安全；

3.数据库访问白名单授权；

4.数据库的备份和容灾；

应用集群部署：

新增注意1.服务器访问授权；（授权SLB）

2.服务器安全区域隔离；（防止ECS之间被攻击）

3.负载均衡加密访问；（证书上传SLB,实现RDS访问）

动静资源分离部署：

新增注意1.云存储数据备份加密

2.云存储数据容灾

2.云计算面临的安全威胁

可用性：

大规模分布式拒绝服务攻击（DDos）、僵尸网络（botnet）

影响：

网站业务不可用

完整性：

网站入侵、服务器口令暴力破解

影响：

网站页面被篡改和植入后门。

保密性：

网站后门、数据库非法访问（拖库）

影响：

用户的账户信息和敏感数据泄露。

2.产生安全风险的主要原因

云平台：

安全体系；技术实力；安全工具；管理平台；是否易用。

ISV:

开发规范；测试规范；部署规范；运维规范。

用户：

安全意识；安全习惯；加入黑产；管理流程；缺乏经验。

Part5阿里云解决方案

1.阿里云的服务器安全防护

安骑士是一款主机安全软件，通过安装在云服务器上轻量级的软件和云端安全中心的联动，为您提供漏洞管理，基线检查和入侵告警功能。

主要防护功能：

木马查杀；防密码暴力破解；异地登陆提醒；漏洞检测修复。

2.阿里云的网络安全防护

免费：

安全组、专有网络vpc、基础DDOS防护

收费：

DDOS高防IP。

3.阿里云的数据安全防护

数据备份和容灾——相关服务：

云服务器快照；云数据库的备份实例和灾备实例；云存储多副本和异地备份。

数据加密——相关服务：

云数据库加密存储；云存储加密存储；加密机；

数据传输安全——相关证书：

云盾证书；HTTPDNS。

4.阿里云应用安全防护

1）Web防火墙（webapplicationfirewall，简称waf）是一款网站必备安全产品。

2）云盾web应用防火墙：

基于云安全大数据能力实现运营+数据+攻防体系、综合打造网站应用安全。

3）通过防御sql注入、xss跨站脚本、常见web服务器插件漏洞、木马上传、非授权核心资源访问等owasp常见攻击；过滤海量恶意cc攻击；禁止恶意的接口滥刷，数据爬取；

4）避免您的网站资产数据泄露，保障网站的安全与可用性。

5.阿里云的监控管理

云监控：

是一项针对阿里云资源和互联网应用进行监控的服务，云监控服务可用于收集获取阿里云资源的监控指标，探测互联网服务的可用性，以及针对指标设置警报。

态势感知：

是一个大数据安全分析平台，能对您云上所有资源产进行安全告警，并用机器学习来发现潜在的入侵和高隐蔽性攻击，回溯攻击历史，预测即将发生的安全事件。

Part6网络安全法

2017年6月1日网络安全法正式实施。

宏观层面：

网络安全同国土安全、经济安全等一样成为国家安全的一个重要组成部分。

微观层面：

网络运营者（网络所有者、管理者和网络服务者）必须担负起网络安全的责任。

Part7云平台使用的账号安全

1.云上账号安全的指导原则

账号安全：

1）登录验证：

配置强密码策略；定期轮转用户登录密码。

2）账号授权：

遵循最小授权原则；及时撤销不再需要的权限。

3）权限分配：

不要为根帐号创建访问密钥；将用户管理、权限管理与资源管理分离。

2.阿里云账号安全策略

阿里云对租户账号提供账号登录双因素验证机制（MFA）、密码安全策略、审计功能，以确保云服务账号的安全性。

3.阿里云的账号权限管理

访问控制（RAM）是阿里云为客户提供的用户身份管理与访问控制服务。

使用RAM，可以创建、管理用户账号，并可以控制这些用户账号对名下资源具有的操作权限。

包括：

密钥、范围权限、资源访问方式。

RAM应用场景：

企业子账号管理与分权；不同企业之间的资源操作与授权管理；针对不可信客户端app的临时授权管理。

Part8云资源管理

1.云资源的管理方式：

web管理控制台；客户端工具；api

2.云资源的监控服务：

云监控是一项针对阿里云云资源进行监控的服务，可用于手机获取阿里云资源的监控指标，并针对指标设置报警的阀值。

第二章云上服务器安全

主要介绍云服务器主要面临的安全风险，并针对这些风险提供了切实可行的、免费的防护方案。

Part1服务器面临的安全挑战

自身脆弱性：

漏洞、错误的配置、账号权限、不该开放的端口等。

外部威胁：

后门、木马、暴力破解攻击等。

Part2服务器安全管理

1.服务器安全管理的五种方式：

及时对服务器安装系统补丁；

修改服务器默认的账号和密码；

在服务器上启动及配置防火墙；

关闭服务器不必要的服务及端口；

检测服务器系统日志。

Part3通过安骑士发现登录风险

安骑士是一款主机安全软件，通过安装在云服务器上轻量级的软件和云端安全中心的联动，为您提供漏洞管理、基线检查和入侵告警等功能。

漏洞管理：

系统软件漏洞；CMS漏洞。

基线检查：

账户安全检测；弱口令检测；配置风险检测。

入侵检测：

异地登录提醒；暴力破解联动；网站后门查杀；异常进程检测。

Part4通过安骑士修复常见漏洞

1.常见漏洞：

系统漏洞；应用漏洞（应用程序的漏洞，主要由于编写代码留下的漏洞，常见的有sql注入、xss漏洞、上传漏洞等）。

2.漏洞管理流程：

漏洞预警（获取权威漏洞信息）-漏洞检测（检测资产存在的漏洞）-风险管理（结合资产定位风险）-漏洞修复（补丁系统联动）-漏洞审计（确认漏洞风险）。

3.安骑士系统软件漏洞支持并检测服务器上的三大类软件漏洞：

系统软件漏洞、Windows系统漏洞、web应用漏洞。

4.安骑士对于cms漏洞可通过及时获取最新的漏洞预警和相关补丁，并通过云端下发补丁更新，实现漏洞快速发现、快速修复的功能。

第三章云上网络安全

主要介绍网络风险产生的原理并学会使用阿里云的防护方案，最大限度避免或减少网络层攻击的危害。

Part1网络安全概述

TCP/IP协议，温顿瑟夫：

tcp/ip协议和互联网架构的联合设计者之一，互联网之父。

网络通信的五元组：

源IP、源端口、协议、目标端口、目标IP

各种网络攻击：

大流量DDos攻击、CC/慢速攻击、sql注入、xss攻击、暴力破解攻击、安装木马后门、网络钓鱼攻击

安全责任分担模型：

Part2网络防火墙的使用

1.安全组介绍：

安全组指定了一个或多个防火墙规则，规则包含容许访问的网络协议、端口、源ip等。

2.安全组功能

不同用户网络隔离；系统默认安全组；安全组限制方向；安全组限制数量。

Part3安全专有网络vpc

Vpc（virtualprivatecloud）虚拟私有云

Vpc功能：

自主可控的网络、公网出入、私网互联。

自主可同的网络：

1）网络规划：

ip地址规划、自定义路由、公网访问。

2）安全隔离：

租户隔离、生产测试、访问控制

公网出入三种形式：

1）弹性公网ip，简称EIP，是可以独立购买和持有的公网IP地址资源，能动态绑定到不同的ecs实例上。

2）负载均衡

3）Nat网关（公网ip共享带宽、一个公网ip的不同端口可映射到不同的vpcecs、避免ecs被外界主动连接）

私网互联：

支持同region间、跨region、不同账户下vpc私网互通，支持客户IDC到阿里云间的私网互通。

Part4DDos攻击介绍及防护措施

1.DDos攻击介绍

DDos（distributeddenialofservice）分布式拒绝服务攻击

2.DDos攻击原理

对客户端的第三次响应（握手）不反馈，导致tcp资源耗尽。

3.DDos常见防护措施：

隐藏服务器IP；多节点加速；异常流量清洗；分布式集群防御；防火墙合理配置；专有抗D设备

Part5如何使用阿里基础DDos防护

1.基础DDos防护的主要功能

1）攻击流量的发现、牵引和自动处理；

2）能有效防御所有各类基于网络层的各种DDos攻击，包括dnsqueryflood，ntpreplyflood。

3）大数据分析技术实现全自动检测。

加入安全信誉防护联盟可以增加防御阀值，最高可到20G

Part6通过高防IP抵御大规模DDos攻击

高防IP的原理：

ISP——四层清洗、七层清洗——负载均衡——云服务器

高防IP的功能：

1）防护海量DDos攻击：

3个高防中心，电信、联通、BGP线路，总带宽超过1000Gbps。

2）专业团队运营

3）源站IP隐藏：

高防服务可散列化业务IP，随时更换防护的IP，隐藏源站网络

4）弹性防护：

DDos防护阈值弹性调整，可以随时升级更高级别的防护，整个过程服务无中断。

5）高可靠，高可用服务：

全自动检测和攻击策略匹配，试试防护，清洗服务可用性%，低时延，低网络抖动。

高防IP的接入：

1）DNS服务器更换对外服务IP（把原域名进行更换）；

2）流量完成切换（客户端向源站的方位流量直接流向高防ip，安全防护由高防接管）

3）回源正常用户（回注方式与传统方式不同，传统要打上vpn标签回注隔离主机路由，阿里采用协议栈更换技术，把处理完成的流量再送给源站，实现回注）。

不光为用户实现了攻击防护，同时作为业务前置，把源站网络完全对外隐藏，降低安全风险。

第四章云上数据安全

主要介绍数据安全的防护原理，教会大家在阿里云上如何完美地解决数据安全问题，包括数据的安全存储、备份恢复、安全传输等。

Part1数据安全概述

1.数据本身及数据防护的安全

数据本身的安全：

保密性；——加密、证书。

完整性；——完整性验证。

可用性；——主备实例，异地实例。

数据防护的安全：

物理安全；——及时备份和恢复

安全防护。

——数据访问授权和审批

2.阿里云的数据安全防护

1）数据备份和容灾

云服务器快照；云数据库的主备实例和灾备实例；云数据库导入导出；云存储多副本和异地备份。

2）数据加密

云数据库加密存储；云存储加密存储；加密机。

3）数据传输安全

云盾证书；HTTPDNS。

Part2数据备份、恢复和容灾

1.常见不同级别的备份方法

按地理位置：

本地备份；同城备份；异地备份。

（理想状态：

两地三中心）

按备份模式：

物理备份（数据块级）；逻辑备份（文件级）。

按时效性：

热备；冷备。

2.云服务器ECS快照

快照：

某一时间点上某一磁盘的数据备份。

阿里云提供了快照机制，通过为云盘创建快照，您可以保留某一个或者多个时间点的磁盘数据拷贝，有计划地对磁盘创建快照，从而保证您的业务可持续运行。

3.云数据库RDS备份与恢复

可以通过设置备份策略调整RDS数据备份和日志备份的周期来实现自动备份。

4.云数据库RDS数据导入、导出。

数据备份、日志备份。

5.云数据库RDS主备实例、灾备实例。

主备实例：

RDS采用热备架构，物理服务器出现故障后服务秒级完成切换。

灾备实例：

主节点和呗节点均无法连接时，可将异地灾备实例切换为主实例。

6.云存储OSS多备本、异地备份

Part3数据加密

1.常见的加密算法：

对称加密算法；非对称加密算法；哈希（HASH、摘要）算法

1）对称加密算法指加密和解密使用相同密钥加密。

特点：

算法公开、计算量小、加密速度快、加密效率高。

不足：

交易双方都使用同样的密钥，安全性得不到保证。

常见对称算法：

DESAESIDEARC4

2）非对称加密算法至加密和解密使用两个不同的密钥：

公开密钥（publickey）和私有密钥（privatekey）。

特点：

算法强度复杂、保密性比较好、它消除了最终用户传输密钥的需要。

常见的非对称加密算法：

RSA、elgamal、背包算法、ECC（椭圆曲线加密算法）

3）哈希算法将任意长度的二进制值映射为较短的固定长度的二进制值，这个小的二进制值成为哈希值。

特点：

计算快速，常用在不可还原的密码存储、信息完整性校验。

。

常用的哈希加密算法：

MD2/MD4/MD5;CRC16/CRC32/CRC64;SHA/SHA-1

2.如何选择加密算法和密钥

如何选择加密算法：

数据量、速度：

量大速度快——对称加密；

量小速度慢——非对称加密；

签名：

非对称加密

不可还原的密码存储、信息完整性校验——哈希算法

3.如何选择密钥

密钥越长，运行的速度就越慢，但安全等级越高。

Rsa建议采用1024位，ecc建议采用160位，aes建议采用128位。

4.云数据库加密存储——TDE透明数据加密

对实例数据文件执行实时I/O加密和解密，数据在写入磁盘前加密，从磁盘读入内存时解密；不会增加数据文件大小，开发人员无需更改任何应用程序；会增加CPU使用率。

5.云存储OSS加密存储——客户端加密保护数据

用户数据在发送给远端服务器之前就完成加密；加密所用的密钥和明文只保留在本地。

6.云存储OSS数据完整性验证

数据在客户端和服务器之间传输有可能会出现数据丢失，OSS可对各种方式上传的object返回其CRC64值，客户端可以和本地计算的CRC64值做对比。

7.阿里云加密服务

1）云上的数据安全加密方案；

2）服务底层使用经国家密码管理局检测认证的硬件密码机；

3）密码算法：

全面支持国产算法以及部分国际通用密码算法（对称、非对称、摘要）

4）金融支付领域的加解密支持

5）权限认证：

设备与敏感信息管理分离

6）高可用性保障

Part4数据传输安全方案

1.数据传输安全风险认识

流量劫持是目前最典型的数据传输安全风险。

2.HTTPS协议

HTTP协议+SSL协议=HTTPS协议

1）HTTP的安全版，基于SSL协议的网站加密传输协议。

2）SSL安全套阶层协议，采用公开密钥技术，为网络连接提供数据加密、服务器认证、消息完整性以及可选的客户机认证。

3）遵循SSL安全套阶层协议的服务器数字证书，具有身份验证功能。

网站安装SSL证书后，使用HTTPS加密协议访问，可激活客户端到服务器之间的“SSL加密通道”（SSL协议），实现高强度双向加密传输，识别网站真实身份，防止传输数据被泄露或篡改。

3.云盾证书服务，是和有资质的CA中心或代理商共同在阿里云为客户提供直接申请购买管理SSL证书的产品。

在云上签发symantec、gobalsign、Geotrust证书，实现网站HTTPS化，使网站可信、防劫持、防篡改、防监听。

并对云上证书进行统一生命周期管理，简化证书部署，一键分发到云上产品。

原理，使用HTTP协议进行域名解析，代替现有基于UDP的DNS协议，域名解析请求直接发送到阿里云的HTTPDNS服务器，从而绕过运营商的LocalDNS，能够避免LocalDNS造成的域名劫持问题和调度不精准问题。

概念及特点：

HTTPDNS是阿里云面向移动开发者推出的一款域名解析产品，具有域名防劫持、精准调度的特性。

Part5阿里云的数据传输安全实践

1.负载均衡SLBHTTPS支持

负载均衡提供了HTTPS单向和双向认证；支持http回源。

2.WAFHTTPS支持

WAF提供了HTTPS支持。

3.云数据库RDS的传输安全——SSL加密

在传输层对网络连接加密，提升数据传输的安全性和完整性。

第五章云上应用安全

主要介绍Web应用和APP面临的主要安全风险，以及防御方案、原理和最佳防护实践。

Part1web应用安全概述

1.web应用安全问题：

网站变卡、打不开；

网站数据被恶意爬取，短信流量被滥刷；

账号数据、资金损失；

获取服务器管理员权限，篡改网站数据、页面。

2.owasp（openwebapplicationsecurityproject）开放式web应用程序安全项目组织

3.web组成及web安全分类

web服务器端通过通信协议http（s）与web客户端通信。

Web服务端安全问题：

sql注入、文件上传、系统命令执行漏洞、权限漏洞。

Web客户端安全问题：

xss漏洞、csrf漏洞、其他浏览器或插件漏洞

4.应用安全防护工具：

web应用防火墙（WAF），通过执行一系列针对HTTP/HTTPS的安全策略来专门为web应用提供保护的一款产品。

Part2通过阿里云WAF保护应用安全

1.阿里云WAF基于云安全大数据能力实现运营+数据+攻防体系，综合打造网站应用安全。

通过方旭SQL注入、网页防篡改、xss跨站脚本、常见web服务器插件漏洞、木马上传、非授权核心资源方位等owasp常见攻击；过滤海量恶意cc攻击；禁止恶意的接口滥刷、数据爬取；避免网站数据泄露。

2.WAF核心能力：

0day漏洞防护、放数据泄密、防cc攻击、业务风控。

3.WAF竞争优势——资源能力：

弹性扩容、天然容灾、攻击阈值大。

——数据模型：

海量IP信誉库、网站正常模型

4.阿里云WAF应用防火墙安全检测流程：

流量经过web应用防火墙时，首先依次匹配精准访问控制中的规则、再进行CC攻击的检测、最后进行web应用攻击防护。

5.云盾WAF包括高级版、企业版、旗舰版三个版本。

Part3SQL注入及防护

1.什么是SQL注入攻击通过把SQL命令插入到web表单递交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令。

2.SQL注入攻击的现象：

数据泄露——猜测并非授权获得数据库信息；

数据篡改——破坏数据库信息；

数据删除——数据库信息丢失；

修改系统访问授权——私自添加、修改系统或数据库账号，甚至对数据库服务器的完全控制

4.SQL注入的过程：

黑客对网站进行扫描，发现页面存在注入风险，通过手工构造SQL注入语句，渗透入侵数据库，获取网站相关核心数据。

5.SQL注入产生的原因：

注入攻击的原因是web应用程序中存在漏洞，开发人员编写的应用程序缺乏对数据库相关的输入数据进行合法性检查，导致应用程序按照攻击者的意图执行。

6.SQL注入防护手段：

SQL语句预编译和绑定变量；

严格进行输入校验，检查参数的数据类型；

使用安全函数；

应用的异常信息应该给出尽可能少的提示；

不要使用管理员权限的数据库连接；

不要把机密信息直接存放；

采用一些工具或网络平台检测是否存在SQL注入。

7.通过阿里云WAF防护SQL注入——web应用攻击防护，防护SQL注入、XSS跨站等常见web应用攻击、实时生效。

模式：

防护模式，预警模式。

防护规则策略：

正常、宽松、严格。

Part4网站防篡改

1.网站篡改——攻击者利用网站漏洞恶意修改web页面内容的攻击事件。

2.网站篡改的动机：

纯粹炫耀黑客技术；增加自己网站点击率；加入木马的病毒程序；发布虚假信息获利；骗取用户资料；政治性宣传。

3.网站篡改的特点及危害：

特点：

被篡改的网站页面阅读人群多；传播速度快；影响深远且事后难以消除；无法预先检查，难以防范；难以追查攻击源；攻击工具简单且趋向智能化发展。

危害：

企事业单位公信力及形象受影响；经济损失；成为不法分子利用的工具；在社会上进行不当信息的传播。

4.网站篡改的原因

主观：

密码管理不严格；未定期修改；多人共用同一密码；补丁不及时更新；不同人员参与到应用开发。

客观：

系统复杂、漏洞频出、各种应用漏洞（注入、CSRF、身份认证失效、安全配置错误、页面代码泄露等）都有可能造成网站被篡改；漏洞发现、补丁公布的时间均过长；钓鱼、木马、间谍软件。

5.网站篡改的过程：

黑客对网站进行渗透注入，获取管理员权限留下的木马后门，在网站页面中留下暗链或者篡改网站页面内容，损害企业对外的公众形象或是造成经济损失。

6.网页防篡改基本原理：

对web服务器上的页面文件进行监控，发现更改行为时及时组织或者恢复。

7.阿里云WAF防网页篡改：

WAF在高级版及以上版本上支持页面防篡改功能，可以对制定的敏感页面进行缓存。

缓存后，即使源站页面内容被恶意篡改，WAF也会返回预先缓存号的页面内容，从而确保正常用户看到正确的页面。

开启网页防篡改配置规则手动打开防护开关手动更新缓存

Part5CC攻击防护

1.CC攻击

CC攻击是DDos攻击的一种，主要用来攻击页面，分为：

单主机虚拟多IP地址、代理服务器攻击、僵尸网络攻击

特点：

CC攻击来的IP都是真实的、分散的；CC攻击的数据包都是正常的数据包；CC攻击的请求，全都是有效的请求，无法拒绝的请求；CC攻击的网页，服务器什么都可以连接，ping也没问题，但是网页就是访问不了。

2.CC攻击的原理及危害

网站被竞争对手攻击或者是黑客敲诈勒索，发起大量的恶意CC请求，长时间占用消耗服务器的核心资源，造成服务器性能瓶颈，如CPU、内存、贷款，导致网站业务响应缓慢或是无法正常提供服务。

3.防御CC攻击的方法：

禁止网站代理访问；尽量将网站做成静态页面；限制连接数量；修改最大超时时