阿里云怎样保障客户网络和数据安全的?
阿里云上的防御统一集成到云盾平台 ,这是一个包括网络和数据安全防御机制的生态
网络流量检测与响应
通过多种威胁检测引擎和威胁情报,检测互联网边界和内网边界流量中的网络攻击行为,并对攻击行为进行响应。
| 功能项 | 功能说明 |
|---|---|
| 流量统计分析 | 通过流量镜像方式,旁路对进出互联交换机(ISW)的流量进行统计,并生成流量图。 |
| 恶意主机识别 | 针对专有云内部的恶意主机对外发起的攻击行为进行检测,发现内部已经被控制的云服务器。 |
| 异常流量检测 | 通过流量镜像方式,旁路检测超过阈值的异常流量。 |
| Web应用攻击防护 | 根据默认的Web应用攻击检测规则,采用旁路阻断技术在网络层拦截常见的Web应用攻击。 |
漏洞扫描
结合人工智能技术帮助企业及时发现安全风险的智能安全产品。
| 功能项 | 功能说明 |
|---|---|
| 资产发现 | 系统内置资产学习模型,根据用户提供的已知资产,准确分辨资产来源,定期进行资产巡检以发现更多的未知资产,并添加至资产库中。 |
| 资产管理 | 系统支持资产导入、删除、分组及导出管理,资产归属及负责人管理,资产检索及监控管理。 |
| 资产监测 | 系统利用HTTP和ping方式对资产进行监测,通过自定义告警策略后,可查看该监控网站在被监控期间的可用性详情及监控基础信息。 |
| 漏洞扫描 | 系统支持基础漏洞扫描、弱口令扫描、安全漏洞扫描、漏洞自动化巡检、基线检测及CVE漏洞扫描。 |
| 漏洞管理 | 系统支持扫描后的漏洞与资产进行自动关联,使资产风险可视化,帮助企业及时发现和管理风险。 |
| 外部风险监测 | 外部风险监测基于员工行为特征和企业关键信息进行外部巡检。 |
安骑士
通过安骑士服务实现对ECS的入侵防范和恶意代码防范
| 功能项 | 功能说明 |
|---|---|
| 基线检查 | 对云服务器ECS中的安全基线进行检查,包括账户安全检测、弱口令检查、以及配置项风险检测等,以达到企业级服务器安全准入标准。 |
| 漏洞管理 | 对云服务器ECS进行扫描,发现主机软件漏洞并提供漏洞修复方案。 对云服务器ECS中的应用和操作系统的高危漏洞提供一键修复,包括Web应用漏洞修复、系统文件修复等。 |
| 网站后门查杀 | 通过规则匹配对云服务器中存在的脚本后门进行精准查杀,并可手动对脚本后门进行隔离。 |
| 暴力破解攻击拦截 | 对黑客进行暴力破解的行为进行实时检测和拦截。 |
| 异常登录告警 | 通过分析和比对用户常用登录设置,对疑似的非常用登录行为进行告警。 |
| 主机异常检测 | 检测诸如反弹Shell、JAVA进程执行CMD命令、Bash异常文件下载等进程异常行为。 |
| 资产指纹 | 对云服务器主机的端口、账号、进程、应用软件等进行清点,全面了解主机资产的运行状态并有效进行回溯分析。 |
| 日志检索 | 将散落的云服务器主机的进程、网络、系统登录等日志集中管理,帮助在主机出现问题时一站式搜索相关日志,快速定位问题根源。 |
安全审计
通过安全审计服务汇总和分析日志,以便安全审计员及时发现并消除安全隐患。
| 功能项 | 功能说明 |
|---|---|
| 原始日志采集 | 支持采集以下日志:1.数据库日志、主机日志。2.用户侧控制台操作日志、运维侧控制台操作日志。3.网络设备日志。 |
| 审计查询 | 根据审计类型、审计对象、操作类型、操作风险级别、是否告警和创建时间进行审计日志查询。同时,支持审计日志的全文检索。 |
| 策略设置 | 支持根据发起者、目标、命令、结果和原因参数设置审计规则,对原始日志进行高危操作识别并告警。 |
Web应用防火墙
通过Web应用防火墙防护恶意应用攻击,保障移动、PC等互联网用户的接入安全。
| 功能项 | 功能说明 |
|---|---|
| 防护总览 | 防护总览提供以下功能: 1. 防护总览:提供最近24小时,以及最近30天的防护统计信息。 2. 监控访问状态:实时展示Top 100请求访问信息。 3. 导出防护报告:支持导出日报、周报以及定时任务报告。 4. 统计攻击检测:提供攻击检测相关的数据统计信息。 |
| 防护日志 | 防护日志提供以下功能: 1. 攻击检测日志:提供攻击检测日志。攻击检测日志列表显示攻击的处理结果、被攻击地址、攻击类型、攻击者IP及攻击时间针对每条攻击日志,可进一步查看日志详情。 2. CC防护日志:提供CC防护日志。日志列表显示匹配中CC规则的日志记录,包括请求URL,命中的CC规则名称及命中时间,提供CC防护日志的条件查询功能,可根据事件生成时间和CC规则名称进行日志筛选。 3. 系统操作日志:提供系统的操作日志,内容包括用户名、具体操作行为以及IP等信息。 4. 访问日志:提供业务的访问日志,包括请求访问地址、目的IP、源IP、请求方法、响应码等信息。 |
| 防护配置 | 防护配置支持以下功能: 防护站点管理:支持添加、删除、修改、启用、禁用防护站点的功能转发代理。 自定义规则:支持新增、删除、启用、禁用自定义规则,可对站点进行HTTP细粒度的访问控制。 攻击防护策略: 支持URL解码、JSON解析、Base64解码、十六进制转换、斜杠反转义、XML解析、PHP序列化对象解析、UTF-7解码等多种解码方式。 支持SQL注入检测、XSS检测、情报、CSRF检测、SSRF检测、PHP反序列化检测、Java反序列化检测、ASP代码注入检测、文件包含攻击检测、文件上传攻击检测、PHP代码注入检测、命令注入检测,机器人爬虫检测和服务器响应检测模块。 内置5种模式防护模板( 默认防护策略、观察模式、高防模式、金融类客户、互联网客户),针对模板中的解码算法可自定义,攻击检测模块可单独开关或设置检测粒度支持自定义拦截响应状态码。 支持开启HTTP响应检测并设置响应BODY检测长度。 支持设置HTTP请求BODY的检测长度。 支持开启、关闭检测超时限制。 CC防护:支持设定针对域名和URL的访问频次控制规则,实现对违规IP、Session的访问控制,对满足条件的IP、Session进行访问频率限制或者封禁。对已知的IP、Session进行访问频率限制或者封禁,支持CC白名单功能,CC白名单中的用户(IP或Session)不能通过CC防护规则。 |
| 系统管理 | 支持展示节点的负载、网络、检测等多种状态。日志支持以Syslog发送,可以配置业务以及系统相关的告警阈值。 |
态势感知
通过态势感知服务实现流量监控、整体安全监控,实现安全审计与集中管控。
| 功能项 | 功能说明 |
|---|---|
| 安全总览 | 提供整体安全威胁概览信息,包括总体安全评分、防护资产状态、待处理风险告警、已处理风险等态势信息。 |
| 安全大屏 | 提供基于态势感知的大屏展示,将安全攻防数据转化并呈现到安全大屏上,展示包括资产、漏洞、基线、攻击来源、攻击分布等网络安全态势信息。 |
| 安全告警处理 | 查看和处理安全告警事件,包括进程异常行为,网站后门,异常登录,敏感文件篡改,恶意进程(云查杀),异常网络连接,Web应用威胁检测。 |
| 攻击分析 | 防护暴力破解攻击和常见的Web应用攻击。 |
| 云平台配置检查 | 从网络访问控制、数据安全两个维度提供云产品安全配置检查,支持手工启动检查以及周期性自动检查,并对检查结果进行验证或者加白操作。 |
| 应用白名单 | 通过AI智能学习将需要重点防御的服务器加入到白名单中,通过检测白名单中指定的应用程序区分可信、可疑和恶意程序,防止未经白名单授权的程序运行。 |
| 资产中心 | 服务器:提供服务器安全状态相关信息,统计区分所有服务器、存在风险的服务器、未受保护的服务器、未启动的服务器和新增服务器的资产数量。 云产品:提供云产品安全状态相关信息,支持负载均衡、NAT网关。 |
| 安全报告 | 提供报表查询功能,可根据报表名称检索历史报表。 |
云安全管理中心SOC
云原生的一体化安全运营中心,适用于云环境的整体安全运营管理,可以构建云环境风险预测发现、防御控制、检测分析、响应管理的闭环安全运营体系。
| 功能项 | 功能说明 |
|---|---|
| 运营中心 | 运营中心提供日常安全巡检、重保及护网期间安全监控、高实时攻防对抗等场景化运营能力。 |
| 态势监控 | 态势监控集中呈现云平台和所有云租户的全局安全态势,包括统计周期范围内的网络攻击统计、异常行为统计、资产脆弱性统计、云平台及租户安全风险趋势、异常行为类型分布、异常行为告警、网络攻击类型分布、网络攻击告警、资产类型分布等信息,主要应用于云环境网络安全的监控。 |
| 风险分析 | 风险分析是进行云环境全局风险识别、判定、溯源、取证的中心入口,具备IOC威胁事件研判、脆弱性风险分析、网络流量分析、威胁情报调查的能力。 |
| 资产管理 | 资产管理是云主机及虚拟化资产的风险管理中心入口,帮助云安全运营管理者全面掌握云环境中平台及租户的资产信息,以及资产遭受网络攻击、异常行为、脆弱性等安全风险。 |
| 响应编排 | 响应编排是SOC的核心功能组件,同时也可以作为独立产品单独输出提供了,自动化安全运营和安全分析处置的编排能力,针对云环境风险进行剧本化处理,在提升威胁响应速度,降低响应时间的同时,还能够释放重复性安全运营工作的资源投入。 |
| 日志管理 | 日志管理是所有接入SOC原始日志数据管理的核心入口,包括全量日志数据的概览统计、关联检索查询、日志审计、日志源接入、日志外发的配置管理。 |
| 报表管理 | 报表管理是面向云安全运营管理者提供的自动化报表导出能力,可创建日报、周报、月报三种周期的报表任务,当周期报表生成以后,自动发送到指定邮箱。 |
| 规则管理 | 规则管理是SOC检测规则和封禁规则的管理入口,云安全运营管理者可通过对相关规则的管理和应用,完成安全分析、安全处置等运营工作。 |
| 运营管理 | 运营管理是SOC平台的基础配置管理入口,主要包括专有云安全审计、存储管理和IP地址库。 |
安全运营驻场服务
以驻场形式对租户业务系统安全进行专业的运营管理,保障租户系统的安全性。
| 服务类别 | 服务项 | 服务内容 |
|---|---|---|
| 租户安全运营 | 租户资产调研 | 在租户授权的前提下,定期调研、整理云上租户业务清单,包括业务系统名称、ECS、RDS、IP地址、域名、责任人等信息。 |
| 租户准入安全检测 | 在租户新业务迁移上云前,通过自动化工具及人工方式对目标业务系统的系统漏洞、应用漏洞进行检测。 提供漏洞修复指导及漏洞修复后的验证服务 |
|
| 周期性租户业务安全检测 | 周期性通过自动化工具对租户已上线业务的系统漏洞、应用层漏洞及安全风险进行评估,确定存在的风险和漏洞。 针对安全检测结果提供风险处置建议,包括但不限于安全策略的设置、安全补丁更新、应用层漏洞改进建议等。 |
|
| 准入访问控制管理 | 租户新业务上云时,提供网络访问控制策略实施检测及指导。 | |
| 访问控制巡检 | 周期性对租户业务的访问控制风险进行巡检 | |
| 租户日常安全风险巡检 | 监控、巡检专有云云盾中出现的安全事件,核实安全事件后,通知并指导用户进行修复。 | |
| 云盾安全运营 | 云盾规则更新 | |
| 云盾接入服务 | 提供用户应用系统接入云盾产品的技术支持。 协助用户定制、优化云盾安全策略 |
|
| 应急响应 | 安全通告 | 同步阿里云的安全应急通告,并指导用户进行相关修复工作 |
| 安全事件处理 | 发生类似于黑客入侵等紧急安全事件时,及时提供安全应急响应服务。 |
DDoS流量清洗
通过DDoS防护服务提供网络链路可用性保证,提升业务连续性。
| 功能项 | 功能说明 |
|---|---|
| DDoS攻击清洗能力 | 检测并防御SYN Flood、ACK Flood、ICMP Flood、UDP Flood、NTP Flood、DNS Flood、HTTP Flood攻击 |
| DDoS攻击查看 | 可通过IP地址、状态、事件信息搜索到对应的DDoS攻击事件。 |
| DDoS流量分析 | 针对某DDoS攻击进行流量分析,可查看DDoS攻击的流量协议,并展示该事件的Top10主机IP。 |
云防火墙
通过云防火墙服务,统一管理互联网到业务以及业务之间的访问控制策略(东西向和南北向)。
| 功能项 | 功能说明 |
|---|---|
| 访问控制 | 1.统一管理互联网到业务以及业务之间的访问控制策略(东西向和南北向)。 2.同时控制入流量和出流量的访问。 3.支持基于域名的访问控制,严格控制主动外联的出流量。 4.支持主动外联分析,帮助用户主动发现主机的异常行为。 |
| 实时流量监控 | 1.可对主动外联行为进行监控。 2.支持对互联网访问流量进行分析。 3.支持业务可视,让用户全面了解资产的信息和访问关系,从而及时发现异常流量。 |
| 实时防御 | 1.支持入侵防御功能并同步进行智能阻断。支持被阻断访问分析,识别被云防火墙和IPS阻断的网络流量。 2.威胁情报联动:同步阿里云全网的恶意IP,如恶意访问源、扫描源、中控服务等,对威胁和入侵做到提前防御。 3.内置云平台攻防实战中积累的入侵防御规则,威胁识别率高、误报率小。 4.支持虚拟补丁,无需在业务系统上安装补丁即可实时修复。可对热门漏洞、高危0-day和N-day的利用进行精准防护。 |
| 行为回溯 | 1.提供事件日志,可实时查看被入侵防御模块检测和拦截到的威胁或入侵事件。 2.提供流量日志,可查看经过云防火墙的所有流量数据。用户可在威胁事件发生的时候通过查看流量日志进行流量和访问源分析,并查看配置的访问控制策略是否生效。 3.提供系统操作日志,可查看云防火墙所有的配置和操作记录。 |
堡垒机
通过堡垒机管理运维ECS,实现云上服务器的操作运维审计和账号权限管理。
| 功能项 | 功能说明 |
|---|---|
| 凭据托管、单点登录 | 支持托管云服务器ECS的账户和密码(或SSH密钥),运维人员只需要登录到云盾堡垒机后即可直接登录ECS云服务器,无需使用ECS云服务器的账户密码信息。 |
| 系统运维 | 支持Web端调用本地工具实现单点登录;支持“本地客户端登录堡垒机,再选择服务器”的方式进行运维。 |
| 运维监控及阻断 | 针对运维人员的操作过程进行实时监控,并支持以切断操作会话的方式阻断违规操作等异常行为。 |
| 日志回放、事后追溯 | 提供录像式日志回放、指令记录、图像记录、文件审计等功能。 |
敏感数据保护
通过敏感数据保护服务帮助用户防止数据泄露和满足合规要求。
| 功能项 | 功能说明 |
|---|---|
| 数据安全态势总览 | 支持敏感数据的整体安全情况查看。 |
| 异常检测与事件处理 | 检测敏感数据异常事件,人工核查后确认事件处理结果。 |
| 敏感数据识别 | 识别MaxCompute、OTS、OSS、ADS、RDS等产品的敏感数据。 |
| 静态脱敏 | 通过脱敏算法,为敏感数据进行静态脱敏。 |
| 智能审计 | 通过创建审计规则,智能审计OSS、MaxCompute和RDS等产品。 |
| 数据权限管理 | 支持层次化展示部门、人员关系;支持人员、账号的分类展示;支持账号级别的详细权限查询和管理。 |
| 数据流转监控 | 支持层次化展示部门、人员关系;支持人员、账号的分类展示;支持账号级别的详细权限查询和管理。 |
| 规则配置 | 配置敏感数据识别规则、风险等级、异常产出规则,通过规则发现敏感数据 |
| 访问授权 | 基于部门实现授权,敏感数据保护能够保护已授权部门所属的数据资产。 |
数据梳理
通过数据梳理服务帮助用户发现敏感数据,防止数据泄露和满足合规要求。
| 功能项 | 功能说明 |
|---|---|
| 数据库自动嗅探 | 系统提供自动搜索网内数据库的功能,也可以指定IP段和端口的范围进行搜索。 |
| 自动识别敏感数据 | 能够按照用户指定的一部分敏感数据或预定义的敏感数据特征,在执行任务过程中对抽取的数据进行自动的识别,发现敏感数据,并可以根据规则对发现的敏感数据进行导出清单。 |
| 权限梳理 | 能够对数据库中不同用户,不同对象的权限进行梳理并监控权限变化。如果权限发生了变更,能够及时向用户反馈。 |
| 资产使用分析 | 支持数据源访问分析、访问行为分析、资产访问热度分析,并给出分析结果。 |
| 任务管理 | 针对目标数据库,可以创建授权任务对该库进行敏感数据发现和权限梳理。 |
| 资产周期统计与对比分析 | 将数据资产梳理按日、周、月三个周期进行统计,用户可以看该周期内发现数据源分布、敏感数据、权限梳理以及资产使用情况。同时也支持将任意两个周期资产梳理结果对比分析,通过对比分析发现资产发现差异性。 |
| 丰富的报表与技术报告呈现 | 能够提供给用户丰富的专项报表供用户分析审核,管理员还可以利用报表自定义功能生成定制化的报告。 |
数据库审计
通过数据库审计服务实现对数据库的审计功能。
| 功能项 | 功能说明 |
|---|---|
| 审计内容 | 数据库审计的审计内容包括会话的终端信息、会话的主机信息、会话的其他信息、操作信息等。 |
| 审计过滤规则 | 数据库审计的审计过滤规则包含用户名、实例、字段、执行时长、客户端工具、查询的行数、返回结果集等审计策略要素。 |
| 审计信息展示 | 支持从会话、语句类型、风险三个维度进行导航展示,支持基于时间、客户端IP、数据库服务器IP、用户名、数据库操作命令、数据库表名/字段名等多种丰富的查询检索条件。 |
| 审计报表 | 1.支持系统级多数据库聚合报表展现和单数据库综合性报表展现。 2.基于总体概况、性能、会话、语句、风险多层面展现报表。 3.支持图表结合展现,支持柱形图、饼状图、条形图、双轴折线图等多种统计图展现形式。 4.支持报表定时推送功能,自定义推送周期以邮件形式推送报表文档。 5.支持日、周、月等综合性报表和自定义分析型报表功能。 |
数据发现与脱敏
通过数据发现与脱敏服务帮助用户对敏感数据进行脱敏,防止数据泄露和满足合规要求。
| 功能项 | 功能说明 |
|---|---|
| 自动识别敏感数据 | 按照指定的部分敏感数据特征或预定义的敏感数据特征,自动识别姓名、证件号、银行账户、金额、日期、住址、电话号码、Email地址、车牌号、车架号、企业名称、工商注册号、组织机构代码、纳税人识别号等敏感信息自动识别。 |
| 敏感数据管理 | 提供全面的敏感数据管理功能,实现有序、一致的可视化脱敏数据管理。 |
| 脱敏算法 | 通过屏蔽、变形、替换、随机、格式保留加密(FPE)和强加密算法(如AES),针对不同数据类型进行数据掩码扰乱。 |
| 数据子集管理 | 提供多种数据子集抽取方式对目标数据库中一部分数据进行脱敏,以适应不同场景下脱敏需求。 |
| 脱敏策略和方案管理 | 针对不同脱敏项目,可以配置定制化的脱敏策略,或实现脱敏算法的扩展;支持脱敏策略的导入导出,以实现策略复用。对于同一类应用场景,可将若干脱敏策略组合成为适用于该场景的脱敏方案。脱敏方案制定后,可被重复利用于该场景下不同批次数据的脱敏需求。 |
| 脱敏任务管理 | 可对脱敏任务进行停止、启动、重启、暂停、继续操作,支持任务并发。脱敏过程中可跳过异常数据,持续执行任务;并支持脱敏任务的中断续延。 |
| 脱敏数据验证 | 支持对脱敏后的数据进行“验证”,确定哪些数据是“漏网”的真实数据。 |
加密服务
通过加密服务满足金融、互联网等行业加密需求,保障业务数据隐私安全。| 功能项 | 功能说明 |
| ------------ | ------------ |
| 密码算法支持 | 全面支持国产算法以及部分国际通用密码算法,满足用户各种加密的算法需求。 |
|金融支付支持 | 符合中国人民银行标准和规范的金融行业定制加密需求,全面支持金融支付领域的加解密需求。 |
安全编排自动化响应
通过SOAR安全自动化编排,将安全事件运营自动化、流程化,提升安全响应速度。
| 功能项 | 功能说明 |
|---|---|
| 案件管理 | 用户可以在案件中执行调查指令获取安全事件在主机、网络、用户侧的相关数据,用于辅助用户进行安全分析。也可以在案件中执行封禁遏制动作,对恶意指标进行封禁,防止危害扩大。 |
| 联合作战室 | 通过联合作战室快速溯源分析、共享事件数据、下发响应指令、持续跟踪恶意指标。 |
| 任务列表 | 支持查看和SOAR执行的定期任务。查看任务执行记录和输出的数据。 |
| 响应动作 | 支持自定义作战室中的响应动作,并在作战室中调用,扩容事件响应的场景 |
| 剧本响应 | 内置多种安全运营剧本,并可以自定添加和编辑剧本,实现自动化管理 |
| 组件列表 | 可以扩展剧本支持组件 |
| 情报管理 | 持续对恶意指标进行跟踪,并对封禁策略进行管理,实现云内安全防护体系的情报层面的信息共享和联动防御。 |
| 知识管理 | 安全事件处置过程中积累的经验和知识,以及在后续事件中重复利用,提升工作效率。 |
容器防护
通过容器防护实现对阿里云上容器及其运行环境的入侵防范
| 功能项 | 功能说明 |
|---|---|
| 容器资产管理 | 容器防护为贴合不同用户的使用习惯,在集群视角中提供多种容器资产安全管理方案 |
| 镜像资产管理 | 容器防护在资产管理功能中提供基于镜像的风险追溯和防护能力 |
| 镜像安全扫描 | 镜像安全扫描功能支持对镜像中存在的高危系统漏洞、应用漏洞、恶意样本、配置风险和敏感数据进行检测和识别。 |
| 入侵事件告警 | 支持实时检测资产中的安全告警事件,覆盖网页防篡改、进程异常、网站后门、异常登录、恶意进程等安全告警类型 |
| 日志快速检索 | 提供登录流水、暴力破解、进程快照、网络连接、端口监听快照、账号快照、进程启动的日志查询,支持前缀模糊匹配查询。 |
更多关于阿里的技术
阿里 阿里云数据安全和隐私保护白皮书 2021
阿里云 阿里云安全白皮书 2019
阿里云 2021 低碳科技白皮书
阿里云 云网络白皮书
阿里达摩院 2020十大技术趋势白皮书