阿里云ACP认证之云安全知识整理（考题占比 10%）

什么是阿里云安全？

责任分担，共建安全

不管是AWS还是阿里云，首要说明的就是责任分担模型。它是定义与识别云服务提供商与用户之间在网络安全上的承担范围。

阿里云安全产品

阿里云安全产品

DDoS高防

DDoS高防（Anti-DDoS Pro/Premium）是阿里云提供的DDos攻击代理防护服务。当用户的互联网服务器遭受大流量的DDos攻击时，DDoS高防可以保护其应用服务持续可用。DDoS高防通过DNS解析调度流量到阿里云高防网络，代理接入阿里云DDoS防护系统，抵御流量型和资源耗尽型DDoS攻击。

阿里云免费为用户提供最高5G的默认DDoS防护能力。在此基础上，阿里云推出了安全信誉防护联盟，将基于安全信誉分进一步提升DDoS防护能力，用户最高可获得100G以上的免费DDoS防护流量。

DDoS高防原理

DDoS高防支持通过DNS解析和IP直接指向两种引流方式，实现网站域名和业务端口的接入防护。根据用户在DDoS高防服务中为业务配置的转发规则，DDoS高防将业务的DNS域名解析或业务IP指向DDoS高防实例IP或CNAME地址进行引流。

来自公网的访问流量都将优先经过高防机房，恶意攻击流量将在高防流量清洗中心进行清洗过滤，正常的访问流量通过端口协议转发的方式返回给源站服务器，从而保障源站服务器的稳定访问。

DDoS高防计费

DDoS高防IP采用“预付费+后付费”的混合计费模式。其中，保底防护带宽部分以预付费方式进行计费，弹性防护部分按实际发生的攻击峰值计算生成后付费账单。

• 计费说明
  计费模式： 混合计费模式
  计费单位：人民币（RMB）
  计费项：保底防护 ＋ 弹性防护
  付费方式：预付费 ＋ 后付费
  计费周期：保底防护带宽（单位：Gbps）和 CC 防护能力（单位：QPS）按月/年计费。购买时，生成预付费订单进行付费。
  扣费周期：弹性防护带宽（单位：Gbps）和 CC 防护能力（单位：QPS）按日计费。按照前一日实际发生的DDoS攻击峰值或CC攻击峰值取较大的计费区间计算，生成后付费账单。

• 欠费说明

  • 欠费：当您的帐号余额不满防护上限一天的费用时，将会通过短信通知您，账户余额不足，并自动关闭弹性防护按量付费模式，防御能力下调到保底防护带宽能力。
  • 结清：当您将已产生的弹性防护费用结清后，弹性防护能力将自动恢复至欠费前所设置的弹性防护带宽。

安骑士

安骑士介绍

阿里云安骑士是一款经受百万级主机稳定性考验的主机安全加固产品，支持自动化实时入侵威胁检测、病毒查杀、漏洞智能修复、基线一键检查、网页防篡改等功能，是构建主机安全防线的统一管理平台。

安骑士功能列表

安骑士计费

安骑士企业版根据保有的服务器数量计费，包年包月费用为60元/台/月。网页防篡改为增值服务，需单独购买，费用为980元/台/月。
基础版用户需要升级到企业版购买网页防篡改，还需要增加安骑士企业版费用60元/台/月。

如果是通过弹性伸缩AS扩展的云服务器将会按照按量计费方式，按量付费用户目前无法购买防篡改服务，具体需求请提交工单。如果弹性伸缩AS扩展的云服务器ECS也需要有企业版网页防篡改功能，则请提前购买足够的包年包月保有量安骑士企业版授权。

云安全中心

云安全中心是一个实时识别、分析、预警安全威胁的统一安全管理系统，通过防勒索、防病毒、防篡改、合规检查等安全能力，帮助用户实现威胁检测、响应、溯源的自动化安全运营闭环，保护云上资产和本地主机并满足监管合规要求。

云安全中心功能

1. 安全预防
   1.1. 漏洞管理与修复
   主流系统、软件漏洞识别，并支持漏洞一键修复
   1.2. 云平台配置检查
   基于云平台安全实践，联动云产品能力形成安全闭环
   1.3. 基线检查
   基于阿里云最佳配置核查清单，降低配置不当引起的风险
2. 主动防御
   2.1. 防勒索、防病毒
   实时拦截已知勒索病毒、挖矿、蠕虫、DDoS等七类病毒
   2.2. 防篡改
   防止网站被植入涉恐涉政、暗链、后门等，保障网页正常
   2.3. 应用白名单
   防止未经授权的应用异常启动，影响业务正常运行
3. 威胁检测
   3.1 告警自动化分析关联
   自动关联告警、识别低危异常形成的入侵，提升运营效率
   3.2 自定义告警
   第三方数据上云实时分析关联聚合，自定义告警规则
   3.3 安全态势
   安全大屏知己、知彼、知威胁多维度展现网络安全态势
4. 调查&响应
   4.1 自动化攻击溯源
   自动溯源攻击源和原因，帮用户了解入侵威胁，快速响应
   4.2 日志分析&审计
   提供日志审计、分析能力，提供攻击追溯、合规的平台

云安全中心计费

云监控

云监控（CloudMonitor） 是一项针对阿里云资源和互联网应用进行监控的服务。

云监控为云上用户提供开箱即用的企业级开放型一站式监控解决方案。涵盖IT设施基础监控，外网网络质量拨测监控，基于事件、自定义指标、日志的业务监控。为您全方位提供更高效、全面、省钱的监控服务。通过提供跨产品、跨地域的应用分组管理模型和报警模板，帮助您快速构建支持几十种云产品、管理数万实例的高效监控报警管理体系。通过提供Dashboard，帮助您快速构建自定义业务监控大盘。使用云监控，不但可以帮助您提升系统服务可用时长，还可以降低企业IT运维监控成本。

云监控服务可用于收集阿里云资源或用户自定义的监控指标，探测服务可用性，以及针对指标设置警报。使您全面了解阿里云上的资源使用情况、业务的运行状况和健康度，并及时收到异常报警做出响应，保证应用程序顺畅运行。

云监控功能介绍

云监控主要具有以下功能：

• Dashboard：云监控的Dashboard功能为您提供自定义查看监控数据的功能。您可以在一张监控大盘中跨产品、跨实例查看监控数据，将相同业务的不同产品实例集中展现。
• 应用分组：提供跨云产品、跨地域的云产品资源分组管理功能，支持您从业务角度集中管理业务线涉及到的服务器、数据库、负载均衡、存储等资源。从而按业务线来管理报警规则、查看监控数据，可以迅速提升运维效率
• 主机监控：云监控主机监控服务通过在服务器上安装插件，为您提供CPU、内存、磁盘、网络等三十余种监控项，并对所有监控项提供报警功能，可以选择在实例、应用分组、全部资源三个角度设置报警规则。从业务的不同角度出发使用报警功能，满足服务器的基本监控与运维需求。目前支持Linux操作系统和Windows操作系统。
• 自定义监控：您可以针对自己关心的业务指标进行自定义监控，将采集到监控数据上报至云监控，由云监控来进行数据的处理，并根据处理结果进行报警。
• 站点监控：为您提供互联网网络探测的监控服务，主要用于通过遍布全国的互联网终端节点，发送模拟真实用户访问的探测请求，监控全国各省市运营商网络终端用户到您服务站点的访问情况。
• 云服务监控：为您提供查询购买的云服务实例各项性能指标情况，帮助您分析使用情况、统计业务趋势，及时发现以及诊断系统的相关问题。
• 事件监控：提供事件类型数据的上报、查询、报警功能，方便您将业务中的各类异常事件或重要变更事件收集上报到云监控，并在异常发生时接收报警。
• 报警服务：云监控为您提供监控数据的报警功能。您可以通过设置报警规则来定义报警系统如何检查监控数据，并在监控数据满足报警条件时发送报警通知。您对重要监控指标设置报警规则后，便可在第一时间得知指标数据发生异常，迅速处理故障。

云监控计费方式

• 云监控只针对站点监控、自定义监控、日志监控、自定义上报事件以及短信、电话报警通知等附加功能收费。
• 主机监控、各类云产品的监控和报警，以及应用分组、可用性监控、Dashboard等基础功能均不收费。

云监控按量付费价格说明

云监控包年包月价格说明

安骑士与云安全中心区别？

阿里云提供安骑士和云安全中心（态势感知全新升级版产品名称），帮助用户全面从主机以及系统层面防御风险和威胁，提升安全指数。

• 安骑士是阿里云提供的服务器安全服务产品，为您的主机提供实时防护。安骑士支持基础版（免费版）和企业版。

• 云安全中心是由态势感知全新升级而来，继承了态势感知的所有功能，并新增了安全评分总览、网页防篡改、病毒查杀、攻击分析、安全大屏等功能，是实时检测、分析和预警安全威胁的统一安全管理平台。

安骑士企业版升级到云安全中心高级版功能说明

安骑士企业版升级到云安全中心高级版后，会在原有安骑士企业版基础上增加云产品配置检查和安全评分的功能；相比原有的安骑士企业版，云安全中心高级版不支持资产指纹和基线检查的功能。