網際網路的構成
TCP/IP協定介紹
TCP/IP協定是目前最流行的網際網路協定,沒有TCP/IP協定,就沒有網際網路
網絡通信五元組
網絡通信五元組:源IP,源端口,協定,目标端口,目标IP
端口的打開需要遵循資訊安全最小化的原則
廣域網的構成
網際網路的風險
安全相關的概念
和網際網路相關的一些安全概念包括:
- 基礎營運商:電信,聯通,移動
- 骨幹網
- IDC 資料中心
- BGP協定:邊際網關協定
- ABTN:阿裡巴巴骨幹網
- 路由器
- 交換機
- 防火牆
- 安全政策
各種網絡攻擊
- DDoS:拒絕服務式攻擊,業務被沖斷
- CC慢速攻擊
- SQL注入攻擊
- 網絡釣魚攻擊
- XSS攻擊
- 暴力密碼破解攻擊
TCP三向交握及DDoS攻擊示意圖
DDoS攻擊原理:TCP的三次握手始終不能成功
OWASP Top N 攻擊詳解
OWASP 釋出的 Top 攻擊
什麼是應用程式安全風險
基于OWASP風險等級排序方法的簡單評級方案
A1: 注入
注入:将不受信任的資料作為指令的或查詢的一部分發送到解析器時,會産生注入SQL注入,NoSQL注入,OS注入和LDAP注入的注入缺陷。攻擊者的惡意資料可以誘使解析器再沒有适當授權的情況下執行非預期指令或通路資料
A2:失效的身份認證
通常,通過錯誤使用應用程式的身份認證和會話管理功能,攻擊者能夠破譯密碼,密鑰或會話令牌,或者利用其它開發缺陷來暫時性或永久性冒充其它使用者的身份
A3:敏感資料洩露
許多web應用程式和API都無法正確定護敏感資料,例如:财務資料,醫療資料和PII資料。攻擊者可以通過竊取或修改未加密的資料來實施信用卡詐騙,身份盜竊或其它犯罪行為。未加密的敏感資料容易受到破壞,是以,我們需要對敏感資料加密,這些資料包括:傳輸過程中的資料,存儲的資料以及浏覽器的互動資料
A4:XML外部實體(XXE)
許多較早的或配置錯誤的XML處理器評估了XML檔案中的外部實體引用。攻擊者可以利用外部實體竊取使用URI檔案處理器的内部檔案和共享檔案,監聽内部掃描端口,執行遠端代碼和實施拒絕服務攻擊
A5:失效的通路控制
應用程式未對通過身份驗證的使用者實施恰當的通路控制。攻擊者可以利用這些缺陷通路未經授權的功能或資料,例如:通路其它使用者的賬戶,檢視敏感檔案,修改其它使用者的資料,更改通路權限等
A6:安全配置錯誤
安全配置錯誤是最常見的安全問題,通常是由于不安全的預設配置,不完整的臨時配置,開源雲存儲,錯誤的HTTP标頭配置以及包含敏感資訊的詳細錯誤資訊所造成的。因為,我們不僅需要對所有作業系統,架構,庫和應用程式進行安全配置,而且必須及時修補和更新它們。
A7:跨站腳本XSS
當應用程式的新網頁種包含不受信任的,未經恰當驗證或轉義的資料時,或者使用可以建立HTML或者JavaScript的浏覽器API更新現有的網頁時,就會出現XSS缺陷。XSS讓攻擊者能夠在受害者的浏覽器種執行腳本,并劫持使用者會話,破壞網站或者将使用者重定向到惡意站點。
A8:不安全的反序列化
不安全的反序列化會導緻遠端代碼執行。即使反序列化缺陷不會導緻遠端代碼執行,攻擊者也可以利用它們來執行攻擊,包括:重播攻擊,注入攻擊和特權更新攻擊。
A9:使用含有已知漏洞給的元件
元件(例如:庫,架構和其它軟體子產品)擁有和應用程式相同的權限。如果應用程式中含有已知漏洞的元件被攻擊者利用,可能會造成嚴重的資料丢失或伺服器接管。同時,使用含有已知漏洞的元件的應用程式和API可能會破壞應用程式防禦,造成各種攻擊并産生嚴重營銷。
A10:不足的日志記錄和監控
不足的日記記錄和監控,以及事件響應缺失或無效的內建,使攻擊者能夠進一步攻擊系統,保持持續性或轉向更多系統,以及篡改、提取或銷毀資料。大多數缺陷研究顯示,缺陷被檢測出的時間超過200天,且通常通過外部檢測方檢測,而不是通過内部流程或監控檢測。
雲上基礎安全防護内容簡介
阿裡雲使用者基礎安全主要包括:主機安全,容器安全,網絡安全3個方面,主要是使用者使用的計算資源以及連通計算資源的網絡方面的安全防護和隔離
主機安全
- 入侵檢測:異常登入檢測,網站後門清除,主機異常行為檢測(程序的異常行為,異常網絡連接配接的檢測),主機系統、關鍵檔案是否被篡改,賬号是否異常檢測等
- 病毒檢測:主流勒索,挖礦,DDoS,木馬等病毒的實時攔截能力
- 漏洞管理:主流的windows系統漏洞,linux管理漏洞,web cms漏洞,應用漏洞,以及網絡上突然出現的緊急漏洞的應急檢測和修複
- OS/鏡像加強:
- 當機遷移:主控端故障,系統進行保護性遷移,把雲伺服器遷移到正常的主控端
入侵檢測,病毒檢測和漏洞管理 可以通過使用雲安全中心進階版安騎士來實作。
容器安全
- 安全沙箱容器:阿裡雲容器服務ACK基于阿裡雲沙箱技術實作,不同與傳統的Docker共用核心的架構,每個安全容器都有獨享的核心。對網絡,記憶體,IO實作更強的隔離。
- 入侵檢測:支援基于雲安全中心的入侵檢測,對于容器内web cms漏洞檢測和修複,web shell的檢測和修複,雲清除等
- 鏡像掃描:提供鏡像安全掃描,發現漏洞資訊,提出漏洞修複建議
- 鏡像簽名
網絡安全
- VPC:借用隧道技術,實作了資料鍊路層的網絡隔離。每個VPC是一張獨立隔離的網絡環境
- 安全組:阿裡雲提供的執行個體級别的虛拟化防火牆,具備狀态檢測和資料包過濾的功能。使用安全組可以實作單台或多台ECS雲伺服器的網絡通路控制
- 雲防火牆:公共雲環境下的SaaS化的防火牆,可以管理網際網路到業務的南北向的通路政策,以及業務和業務之間東西向的通路隔離的政策
- DDoS防禦:支援防護全類型的DDoS的攻擊
主機:傳統的虛拟機技術
容器:比傳統的虛拟機更輕便
雲上主要基礎安全威脅分析
雲上基礎安全的防護1--主機威脅:
挖礦病毒,感染性病毒,木馬程式是企業面臨的主要主機安全威脅。勒索病毒引起的損失也是很巨大的。
勒索病毒
2017年5月12日晚,新型“蠕蟲式”勒索病毒 WannaCry在全球爆發,攻擊各國政府,學校,醫院等網路, 利用windows開放的445端口發起的攻擊,需要及時關閉該端口進行防護
挖礦病毒
挖礦是通過投入大量的運算資源來賺取比特币、門羅币等虛拟貨币,由于挖礦運算過程中,需要消耗大量的電力和計算資源, 黑客為了節省成本,就希望用别人的主機來進行挖礦計算,就産生了挖礦病毒。
利用“新冠病毒”郵件傳播的LemonDuck挖礦病毒和臭名昭著的“黑球”攻擊尤為值得關注,它們會僞裝成“新冠病毒”相關郵件,給受感染主機的聯系人發送電子郵件,利用好奇心誘導收件人點選攜帶了挖礦病毒的郵件附件。在感染後會首先試圖結束防毒軟體程序,繼而進行挖礦程式。
雲上基礎安全的防護2--主機漏洞
主機漏洞是導緻企業被入侵的源頭。高危漏洞是對企業造成損失最大的移類漏洞。
高危漏洞舉例:
熱修複:不會影響到上層雲平台的業務使用
雲上基礎安全的防護3--網絡威脅
DDoS攻擊和Web應用攻擊都是網際網路安全的主要威脅
雲上基礎安全的防護4--安全基線
定期對主機安全基線的檢查。主機安全基線檢查,主要對作業系統,資料庫,中間件的身份鑒别,通路控制,服務配置,安全審計,入侵防範等基礎安全配置以及登入弱密碼進行風險檢測
安全基礎知識及雲盾概覽網際網路的構成網際網路的風險OWASP Top N 攻擊詳解雲上基礎安全防護内容簡介 雲上主要基礎安全威脅分析阿裡雲安全體系雲盾的安全防護
阿裡雲安全體系
阿裡雲雲平台安全概況
- 雲産品通過安全評估才能上線
- 漏洞熱修複,平台熱更新
- 内置雲盾基礎安全服務,縱深防禦
- 全球首個CSA-STAR金牌認證雲平台
- 全國首個等級保護三級認證雲平添
阿裡雲雲安全體系
雲安全體系包括兩個重要的方面:
- 雲安全産品:雲盾
- 雲産品的安全:阿裡雲雲産品的開發遵從了安全開發規範
責任分擔,共建安全(公有雲)
雲盾的安全防護
雲盾起源