邊緣雲(ENS)聚焦於為客戶業務拓展提供一站式覆蓋全球、算力彈性、網路優質的分布式全球化邊緣基礎設施,在面對安全需求時,更多是藉助阿里雲中心雲的安全防護能力。本方案將介紹如何通過Security Center、邊緣雲網路安全能力、營運資訊安全中心(Bastionhost)和DDoS高防在邊緣雲上構建業務的安全體系。
一、主機安全(Security Center)
阿里雲Security Center充分利用雲原生架構優勢、多年雲上安全防護經驗和前沿的安全攻防技術,提供涵蓋雲資產管理、安全配置核查、主動防禦、安全強化、雲產品配置評估和安全可視化等關鍵領域的全面的安全解決方案。包含基準配置風險、合規風險、漏洞風險、AK泄露風險、身份和許可權管理風險等方面的即時檢測能力,有效防禦勒索軟體、挖礦病毒、木馬、Webshell等惡意行為,以及網頁篡改等攻擊。Security Center詳細介紹請參考:Security Center。
Security Center支援邊緣雲(ENS)的安全能力
功能分類 | 左側導覽列路徑 | 功能 |
資產中心 | 資產中心> 資產總覽 | 資產總覽 |
資產中心> 主機資產 | 同步最新資產 | |
多雲資產接入 | ||
安全檢查 | ||
用戶端問題排查 | ||
資產採集 | ||
批量營運和CloudMonitor(需安裝雲助手) | ||
開啟保護或暫停保護 | ||
解除綁定 | ||
資產指紋調查 | ||
風險治理 | 風險治理> 漏洞管理 | Linux軟體漏洞(檢測 / 修複) |
Windows系統漏洞(檢測 / 修複) | ||
Web-CMS漏洞(檢測 / 修複) | ||
應急漏洞(檢測) | ||
應用漏洞(SCA檢測) | ||
風險治理> 基準檢查 | 基準檢查(檢查 / 修複) | |
風險治理> 雲蜜罐 | 主機蜜罐 | |
風險治理> 惡意檔案檢測SDK | 惡意檔案檢測SDK | |
風險治理> 日誌分析 | 主機日誌 | |
安全日誌 | ||
檢測響應 | 檢測響應> 安全警示 | Web目錄定義 |
警示處置規則 | ||
資料歸檔 | ||
查看和恢複隔離檔案 | ||
檢測響應> 攻擊分析 | 攻擊分析 | |
防護配置 | 防護配置> 主機防護> 防勒索 | 防勒索 |
防護配置> 主機防護> 病毒查殺 | 病毒查殺 | |
防護配置> 主機防護> 網頁防篡改 | 網頁防篡改 | |
防護配置> 主機防護> 主機規則管理 | 惡意行為防禦 | |
常用登入管理 | ||
防護配置> 容器防護> 鏡像安全掃描 | 鏡像系統漏洞掃描 | |
鏡像應用漏洞掃描 | ||
鏡像基準檢查掃描 | ||
鏡像惡意樣本掃描 | ||
鏡像系統漏洞修複 | ||
鏡像應用漏洞修複 | ||
鏡像惡意樣本修複 | ||
防護配置> 容器防護> 容器主動防禦 | 容器主動防禦 | |
防護配置> 容器防護> 容器檔案防禦 | 容器防火牆 | |
防護配置> 應用防護 | 應用防護 | |
系統配置 | 系統配置> 安全報告 | 安全報告 |
系統配置> 功能設定 | 功能設定 | |
系統配置> 通知設定 | 通知設定 |
Security Center開通及部署
購買Security Center:
您可以在阿里雲官網的Security Center產品頁直接購買Security Center產品,Security Center針對不同情境下的安全防護需求,提供了多個版本的基礎防護服務和增值服務。您可以根據自身的安全需求,靈活購買所需的版本和增值服務。詳情請參見:購買Security Center。
在ENS執行個體上安裝Security Center用戶端:
Edge Node Service計算執行個體只有安裝用戶端後,才能使用Security Center的安全防護能力。Security Center用戶端是安裝在計算執行個體中的軟體程式,用於收集和分析多種日誌和資料,以監控和檢測執行個體中潛在的安全威脅。
在安裝Security Center用戶端前,請先確認您的Edge Node Service計算執行個體可以訪問公網。
登入ENS計算執行個體,使用管理員或者root許可權執行用戶端安裝命令。
Linux系統安裝命令
wget "https://aegis.alicdn.com/download/install/2.0/linux/AliAqsInstall.sh" && chmod +x AliAqsInstall.sh && ./AliAqsInstall.sh -k=v342lkWindows系統CMD安裝命令
powershell -executionpolicy bypass -c "(New-Object Net.WebClient).DownloadFile('http://aegis.alicdn.com/download/install/2.0/windows/AliAqsInstall.exe',$ExecutionContext.SessionState.Path.GetUnresolvedProviderPathFromPSPath('.\AliAqsInstall.exe'))"; "./AliAqsInstall.exe -k=Az481e"
驗證用戶端是否安裝成功:
安裝用戶端後,Security Center會在您的伺服器中下載用戶端相關檔案,並啟動相應進程。您可以通過確認用戶端進程的狀態或在Security Center控制台上查看用戶端狀態,判斷用戶端是否安裝成功。
如圖所示,您可以查看到一個Edge Node Service計算執行個體已經納入Security Center的主機資產管理中。
說明因邊緣雲算力是分散在阿里雲中心雲之外的節點上,所以在Security Center中顯示為雲外主機。
二、節點內網路安全
1.安全性群組
安全性群組是Edge Node Service在邊緣節點提供的一種虛擬防火牆能力,能夠控制ENS執行個體的出入站流量。安全性群組的入方向規則控制ENS執行個體的入站流量,出方向規則控制ENS執行個體的出站流量。
安全性群組的使用流程分四步:
建立安全性群組:
邊緣雲的安全性群組建立與中心雲安全性群組建立是存在差異的,在建立邊緣雲安全性群組時只需錄入安全性群組名稱即可。邊緣雲安全性群組不歸屬於任何節點以及任何VPC網路,安全性群組及其規則可以在全域任意節點及VPC生效。
添加安全性群組規則:
安全性群組規則用來控制ENS執行個體的出入站流量。適用於允許或拒絕特定網路流量、封鎖不必要的連接埠、限制特定協議的流量和配置應用程式存取權限等使用情境。
您可以在建立安全性群組時同步添加安全性群組規則,也可以在安全性群組建立後再添加安全性群組規則。
ENS執行個體加入安全性群組:
建立ENS執行個體時,您至多可以指定加入一個安全性群組。後續可以根據業務需求,在ENS執行個體列表頁將執行個體加入多個安全性群組,在決定ENS執行個體的流量能否通過時,會將ENS執行個體多個安全性群組的規則匯總在一起,按照固定的策略排序,並與安全性群組對流量的預設存取控制規則一起,作用於ENS執行個體,決定允許或拒絕流量通過。
管理安全性群組規則:
安全性群組規則設定不當可能導致嚴重的安全隱患。您可結合自身實際業務需求管理安全性群組規則,以保障ENS執行個體的網路安全。
您可以在安全性群組詳情頁進行安全性群組出入向規則的修改操作,一旦安全性群組規則修改,會作用於邊緣雲全部節點上加入該安全性群組的所有ENS執行個體。
2.網路ACL
網路ACL是Virtual Private Cloud中的網路存取控制功能。您可以自訂設定網路ACL規則,並將網路ACL與VPC網路綁定,實現對邊緣雲VPC中ENS計算執行個體流量的存取控制。
網路ACL與安全性群組都是控制流程入和流出流量的網路能力,但網路ACL是作用到整個VPC網路的,網路ACL規則會控制VPC網路下的所有ENS執行個體出入VPC的資料流;安全性群組是作用到具體的ENS執行個體,僅控制加入該安全性群組下的ENS執行個體出入向資料流。
如果您部署在邊緣雲VPC內的業務對公網的訪問規則一致,可以通過配置網路ACL實現全部ENS執行個體的流量控制;如果您部署在邊緣雲VPC內的業務具有多樣性,可以通過更細粒度的安全性群組實現具體ENS執行個體的流量控制。
三、營運安全(營運資訊安全中心)
營運資訊安全中心是阿里雲提供的營運和安全審計管控平台,可集中管理營運許可權,全程管控操作行為,即時還原營運情境,保障營運行為身份可鑒別、許可權可管控、操作可審計,解決資產多、難管理、營運職責許可權不清晰以及營運事件難追溯等問題,助力企業滿足等保合規需求。營運資訊安全中心詳細介紹請參考:營運資訊安全中心(Bastionhost)。
營運資訊安全中心支援邊緣雲(ENS)的能力
營運Edge Node Service資源,需要使用營運資訊安全中心的企業雙引擎版本,通過網路域代理模式實現邊緣雲資產的統一營運管控。
功能 | 描述 |
使用者管理 | 支援多種使用者角色(管理員、營運員、審計員等)。 |
支援建立單個使用者及通過檔案大量匯入使用者。 | |
支援自動同步RAM使用者、AD/LDAP使用者。 | |
支援對接IDaaS使用者,將DingTalk、Azure AD等多種身份認證來源使用者同步為Bastionhost使用者。 | |
支援使用者狀態標記,包括已到期、鎖定、長時間未登入等多種狀態。 | |
支援設定使用者鎖定、密碼有效期間等策略。 | |
資產管理 |
|
支援對MySQL、SQL Server、PostgreSQL、Oracle類型的RDS和自建資料庫進行營運管控和審計。 | |
支援手動建立以及一鍵匯入阿里雲和第三方雲資產。 | |
支援資產賬密(密碼/密鑰)託管,營運人員無需感知資產密碼即可對資產營運訪問。 | |
支援資產狀態檢測,對ECS、RDS執行個體以及網路連通性狀態進行定期或手動檢測。 | |
可聯動Security Center資產風險監控狀況,及時提醒包含警示、漏洞、基準等風險狀態及數量,並支援快速跳轉至Security Center處理風險閉環。 | |
支援多雲、雲上及線下IDC伺服器等混合情境統一營運。 | |
支援網路域代理模式,Bastionhost可通過Proxy 伺服器與其他內網環境的資產網路連通。 | |
支援對Linux伺服器手動或者定期執行改密任務。 | |
營運管控 | 支援簡訊、郵箱、手機TOTP令牌及DingTalk雙因子認證。 |
支援Mstsc、Xshell、SecureCRT、Putty等用戶端工具登入Bastionhost訪問主機。 | |
使用本地WinSCP、Xftp、SecureFX等SFTP用戶端工具登入Bastionhost進行檔案傳輸。 | |
支援獨立營運門戶介面。 | |
支援網頁端訪問主機。 | |
支援即時監控進行中的會話,並可隨時阻斷會話。 | |
支援對RDP營運時,粘貼板上傳或下載、磁碟映射等操作進行控制。 | |
支援SSH營運時,設定命令黑白名單阻斷及審批策略,控制高危、敏感命令執行。 | |
支援在營運過程中,對檔案的上傳、下載、刪除、重新命名、檔案夾的建立、刪除等操作進行控制。 | |
支援啟用營運二次審批,只有在管理員批准後,營運員才能訪問資產。 | |
支援限制登入Bastionhost的使用者、資產的來源IP及登入時段。 | |
支援設定營運空閑時間長度限制及總時間長度限制。 | |
日誌審計 | 支援針對營運操作全程進行日誌及錄影審計,可通過錄影清晰地還原並追溯營運過程。 |
支援對檔案傳輸進行審計。 | |
支援產生營運報表,可匯出PDF、HTML、WORD三種格式的報表。 | |
支援將會話審計日誌轉存至SLS及通過記錄備份下載到本地。 | |
介面 | 支援OpenAPI介面調用。 |
營運資訊安全中心開通及部署
購買營運資訊安全中心:
您可以在阿里雲官網的營運資訊安全中心產品頁直接購買營運資訊安全中心產品,營運資訊安全中心針對不同情境下的營運安全需求,提供了多個版本的Bastionhost服務。詳情請參見:開通免費試用。
管理Edge Node Service計算執行個體:
在營運資訊安全中心購買雲Bastionhost後,可進入雲Bastionhost管理介面進行管理。
建立網路域:
雲Bastionhost運行在阿里雲中心雲上,邊緣雲算力分散在阿里雲中心雲之外的節點上,因此邊緣雲算力與雲Bastionhost所在Virtual Private Cloud的內網是不互連的,在營運Edge Node Service執行個體時推薦使用雲Bastionhost的網路域功能。
您可以為Edge Node Service資產配置一台Proxy 伺服器,然後在雲Bastionhost中建立網路域並添加Proxy 伺服器,將資產加入該網路域後即可通過雲Bastionhost營運資產。
在網路域列表頁建立網路域,配置連結方式為代理,並配置主Proxy 伺服器資訊。
主Proxy 伺服器需要配置代理方式、伺服器位址、伺服器連接埠、主機賬戶及密碼相關資訊。代理方式支援SSH代理、HTTP代理、SOCKS5代理三種方式。
資產管理-匯入Edge Node Service計算執行個體:
在主機列表頁選擇匯入其他來源主機,通過建立主機方式納管ENS執行個體。
建立主機需要配置作業系統、主機IP、主機名稱、網路域等相關資訊。
如果網路域選擇代理方式,主機IP配置內網IP,如果網路域選擇直連方式,主機IP配置公網IP。
資產管理-建立主機賬戶:
將ENS計算執行個體匯入為主機資產後,可在主機列表頁的操作列點擊建立主機賬戶,配置訪問協議、登入名稱、認證類型及對應的密碼或密鑰,用於日常營運訪問。
人員管理-授權主機:
在主機被匯入後,可進入人員管理>使用者列表頁,為RAM使用者授權可營運的主機資源。
資產營運:
被授權的RAM使用者登入後,可在資產營運>主機營運列表頁下查看到被授權營運的主機資源,可通過遠端連線方式進行主機營運操作。
四、攻擊防護(DDoS高防)
DDoS高防(Anti-DDoS)是阿里雲提供的DDoS攻擊代理防護服務,可以抵禦流量型和資源耗盡型DDoS攻擊,支援防護阿里雲、非阿里雲或雲外的伺服器。業務接入DDoS高防後,當遭受大流量DDoS攻擊時,DDoS高防通過DNS解析將流量調度到高防機房進行清洗,並將乾淨流量轉寄給伺服器。
DDoS高防詳細介紹請參考:什麼是DDoS高防。
DDoS高防支援邊緣雲(ENS)的能力
根據商務服務器部署地區的不同,DDoS高防提供DDoS高防(中國內地)和DDoS高防(非中國內地)。
DDoS高防(中國內地):適用於商務服務器部署在中國內地的情境。採用中國內地專屬的T級八線BGP頻寬資源,為接入防護的業務防禦超大流量的DDoS攻擊。提供專業版和進階版兩種執行個體類型。
DDoS高防(非中國內地):適用於商務服務部署在非中國內地的情境。依託先進的分布式近源清洗能力,為接入防護的業務提供不設上限的DDoS攻擊全力防護能力。
功能分類 | DDoS高防(中國內地) | DDoS高防(非中國內地) | ||
IPv4高防 | IPv6高防 | |||
業務接入方式 | 網域名稱接入 |
|
|
|
連接埠接入 |
|
|
| |
流量調度器 | 具體支援:
| 具體支援:
| 具體支援:
| |
基礎設施DDoS防護 | 設定全域防護策略 |
|
|
|
設定黑白名單(針對高防執行個體IP) |
|
|
| |
設定地區封鎖 | 僅防護套餐為增強版時支援 | × | 僅防護套餐為增強版時支援 | |
解除黑洞 |
| × | × | |
設定近源流量壓制 |
| × | × | |
設定UDP反射攻擊防護 | 僅防護套餐為增強版時支援 | × | 僅防護套餐為增強版時支援) | |
網站業務DDoS防護 | 設定AI智能防護 |
|
|
|
設定DDoS全域防護策略 |
|
|
| |
設定黑白名單(針對網域名稱) |
|
|
| |
設定地區封鎖(針對網域名稱) | 僅防護套餐為增強版時支援 | 僅防護套餐為增強版時支援 | 僅防護套餐為增強版時支援) | |
設定CC安全防護 |
|
|
| |
非網站業務DDoS防護 | 設定四層AI智能防護 |
| × |
|
虛假源 |
|
|
| |
進階攻擊防護 僅支援防護TCP連接埠業務。 |
|
|
| |
目的限速 |
|
|
| |
包長度過濾 |
|
|
| |
源限速 |
| × |
| |
定製情境策略 |
|
|
| |
防護分析 | 攻擊分析 |
| × |
|
全量日誌分析 |
|
|
| |
系統日誌 |
|
|
| |
動作記錄 |
|
|
| |
進階防護日誌 |
|
|
| |
CloudMonitor警示 |
|
|
| |
DDoS高防開通及部署
購買DDoS高防:
您可以在阿里雲官網的DDoS高防產品頁直接購買DDoS高防產品。詳情請參見:DDoS高防。
接入管理:
網域名稱接入
如果是網站業務,可將網站網域名稱配置到DDoS高防,DDoS高防會為網站產生一個CNAME地址,您需要將網站網域名稱的DNS解析指向高防CNAME地址,DDoS高防才能轉寄業務流量為網站防禦DDoS攻擊。
連接埠接入
非網站業務(例如用戶端應用程式)接入DDoS高防時,需要配置連接埠轉寄規則,使業務流量先經過DDoS高防清洗,再轉寄到來源站點伺服器。
配置驗證:
成功添加DDoS高防網站或連接埠配置後,DDoS高防預期會把請求高防IP對應連接埠的報文轉寄到來源站點(真實伺服器)的對應連接埠。為了保證業務的穩定,我們建議您在進行業務接入高防配置前先完成本地驗證,保證式轉送配置已經生效。