云安全
2021-04-26 08:38:32 8 举报
AI智能生成
云计算安全的技术,是现在必不可少的技术。
作者其他创作
大纲/内容
4、云上网络安全
网络安全概述
tcp/ip协议介绍
网络通信五元组
源ip
源port
协议
目标ip
目标port
常见网络安全问题
广域网
监听
扫描
大流量
木马
城域网
黑客大流量扫描
城域网之间明文传输监听危险
接入网
明文传输
isp
idc
自身安全规范
局域网
病毒
email
员工
系统bug
流量缺陷
管理漏洞
网络攻击
攻击手段
网络钓鱼攻击
大流量DDos
cc/慢速攻击
安装木马后门
直接问题
业务中断
信息窃取
数据篡改
通信被监控
间接影响压力
监管方压力
社会舆论压力
法律追责压力
运营成本压力
现金流失
网络防火墙使用
安全组(多数云平台)
防火墙规则
安全组授权方式
安全组功能
不同用户网络隔离
系统默认安全组
安全组访问限制方向
安全组限制
安全专有网络vpc
经典网络
ip地址有平台分发
快速部署ecs
专有网络
逻辑隔离私有网络
自定义网络拓扑
网络管理员使用
vpc功能
自主可控网络
IP地址规划
自定义路由
公网访问
安全隔离
租户隔离
生产测试
访问控制
公网出入(一个vpc相当于一个私网段,vpc提供公网出入)
弹性公网ip
负载均衡(内往外均有,一般云平台内网免费,公网收费)
NAT网关
弹性ip和nat区别
eip
一个云主机绑定一个eip
管理麻烦
公网ip暴露主机
eip单独购买带宽
nat网关
一个公网ip映射内网所有云主机
nat可以和eip一样绑定一台云主机
nat网关可以通过端口映射内部云主机服务
nat网关和eip相反是可以共享带宽
私网互联
支持网络互通
同区域间vpc的私网互通
跨区域vpc私网互通
不同账号下vpc私网互通
DDos攻击介绍与防护措施
ddos供给介绍
分布式拒绝服务供给
攻击主要目标,使其无法正常服务
强大,最难防御之一
衍生DRDOS(分布式反射攻击)
ddos攻击原理
介绍一下tcp三次握手
ddos攻击原理示意图
使用tcp三次握手的原理
直到最后服务器无资源可用(宕机)
谁会面临ddos攻击
任何网络可达的网络或设备
门户网站、政府网站、网吧、银行
dns、城域网、骨干网、路由交换设备
ddos带来的危害
政府网无法访问
邮件服务器瘫痪
dns域名无法解析
电商网站
常见防护措施
隐藏服务器ip
多节点加速
异常流量清洗
防火墙合理配置
专有抗D设备(云设备)
云产品防护ddos攻击
基础防护ddos主要功能
攻击流量发现
牵引和自动处理
抵御所有基于网络层的ddos攻击
大数据分析实现全自动检测
攻击侧率全自动匹配
响应时间<2s
清洗设备99.99
基础防护ddos流程
网络入口
流量复制
ddos攻击预警模块
触发
ddos防护管理中心
清理路由器(到ddos清理集群)
为出触发
干净流量放行
5、云上数据安全
数据安全概述
常见的数据安全问题
数据泄露案例
彩票修改时间
数据丢失
数据问题
数据非法访问
正常用户无法访问
数据本身及数据防护安全
数据本身安全
保密性
完整性
可用性
加密、整数
完整性校验
主备实例、异地实例
数据防护安全
物理安全
安全防护
及时备份和恢复
数据访问授权和审批
产品保护数据
数据备份和容灾
云服务器快照
云数据备份实例和容灾实例
云存储多副本和异地备份
数据加密
云数据库加密存储
云存储加密存储
数据传输安全
https
dns防劫持
数据备份、恢复和容灾
常见不同级别备份
按地理位置
本地备份
同机房备份(不同机架)
同城备份
同一个城市不同数据中心
异地备份
备份到异地(至少距离300意外,不在同一个地震带)
按备份模式
物理备份(数据块级)
忽略文件结构,开销少, 性能高,实时备份,不收文件系统限制
逻辑备份(文件级)
备份灵活,磁盘开销大,不能实时备份
按时效性
热备
冷备
云主机快照
多种云平台均为增量快照
多种云平台都支持镜像创建新的云主机
云数据库备份恢复
数据备份
日志备份
手动备份
自动备份
常见的加密算法
对称加密
加密和解密使用相同秘钥
速度快,效率高
解密和加密要用相同秘钥,互相传送秘钥,不能保证安全性
加密算法:
Des
Aes
Idea
Rc4
非对称加密
加密和解密使用不同的秘钥
算法强度复杂,保密性好
取消对称加密传输秘钥的过程
RSA
Elgamal
背包算法
ECC
哈希(hash)
单向加密,没有解密
计算快速,信息完整校验
MD2
MD5
SHA
SHA-1
如何选择加密算法和秘钥
如何选择加密算法
数据、速度
量大速度快--对称加密
量小速度慢---非对称加密
签名
不可以还原密码存储、信息完整性校验
哈希加密
如何选择秘钥
秘钥越长,运行速度越慢
根据实际安全等级要求选择
RSA建议采用1024位
ECC建议采用160位
AES采用128位
风险
风险细化
数据劫持
问题
页面内容被篡改了,加塞内容强行加入广告
解决方案
ssl证书
md5校验
域名劫持
请求local dns解析域名,目标域名被恶意解析到其他ip地址
httpdns
https协议
http+ssl=https
http
常用传输协议
数据未加密
ssl
ssl安全套阶层
采用公开秘钥技术
消息完整西验证
http的安全版本
基于ssl的网站加密传输协议
有效的https安全传输
https+ssl证书=有效https安全传输
遵循ssl安全套阶层协议服务
不同云厂商会有自己的ssl云证书
有效的https传输
网站安装ssl证书
激活客户端到服务器之间ssl加密通道
双方验证失败,可用拒绝握手协议
云产品数据传输安全
负载均衡slb https支持
负载均衡提供https单向和双向认证
支持http回源
6、云上应用安全防护
web应用安全概念
web应用安全问题案例
web用用安全问题
应用资源消耗性
网站变卡、打不开
恶意海量肉鸡访问
web通用型攻击
网站数据被恶意爬取
数据接口被刷
短信榴莲滥刷网站用户信息
账号数据、资金损失
官网充值
商品交易
恶意免费
获取服务器管理员权限
利用0day漏洞
命令注入
owasp十大安全漏洞列表简单介绍
web组成部分及web安全分类
web服务器
通信协议http(s)
web客户端
web服务器安全
sql注入
文件上传
系统命令执行漏洞
权限漏洞
web客户端安全
xss漏洞
csrf漏洞
其他浏览器插件漏洞
应用安全防护方法
加强监测
检测用户访问web应用权限
检测用户对web应用的输入数据
实时监控
监控系统进程、性能、状态
监控不正常行为
识别并拦截
识别攻击行为
拦截攻击行为
修补漏洞
第一时间修补web漏洞
安全管理
加强开放服务器管理
加强任务操作审核
应用防护工具
WAF应用防火墙
针对于web应用程序
在应用层不是在网络层
web服务器之前串行介入
要求性能高,不能影响web服务器提供服务
可以辅助slb负载均衡一起工作
云waf保护应用安全
云产品要求
稳定快速
强大攻防能力
大数据安全分析
解决业务风控
云产品功能
0day漏洞防护
防cc攻击
防数据泄露
业务风控
云WAF优势
弹性扩容
天然容灾
攻击阈值大
大厂商优势
海量ip信誉库
网站正常模型
sql注入保护
什么是sql注入
常见的注入
os shell
LDAP
Xpath
sql注入攻击现象
数据泄露
猜测并授权数据库信息
破坏数据库信息
修改系统访问授权
私自添加、修改数据库账号
数据删除
数据库信息丢失
sql注入过程
选择数据价值高的网站
工具/脚本尝试扫描
通过页面返回判断有误漏洞
开始手工进行注入sql语句
入侵成功
sql注入防护手段
sql语句预编译和绑定变量
严格进行输入校验
使用安全函数
应用异常信息应该尽早给出可能少的提示
不要使用管理员权限的数据连接
不要把机密信息直接存放
采用一些工具或网络平台检测是否存在sql注入
云产品防护sql注入
模式
防护模式
预警模式
防护规则侧率
正常
宽松
严格
网站防篡改
什么是网站篡改
网站态势总览
.com
.net
.org
为什么篡改网站
纯炫耀黑客技术
增加自己的网站点击率
加入木马和病毒程序
发布虚假信息获利
骗取用户资料
政治性宣传
网站篡改的特点及危害
特点
受众人去多
传播速度快
无法预测、难以防范
难以追查攻击源头
危害
企业单位公信力及形象受影响
经济受损
成为不法分子的利用工具
传布社会不良信息
篡改网站原因
主观
密码管理不严格
为定期修改密码
强度不够
多人共享密码
补丁不及时更新
不同人员参与到应用开发
客观
系统复杂
漏洞频出(注入、csrf)
钓鱼、木马、间谍软件
网站篡改的过程
寻找高公信力的目标(金融、政府、信息发布平台)
进行渗透攻击寻找网站漏洞上传后门木马
政治、恶意、竞争对手:网站篡改
植入暗链
获取肉鸡:访问网页的用户
针对web服务器网页进行监控
人工对比
定期监控
缓存实时保护
云产品防篡改
cc攻击防护
什么是cc攻击
cc攻击是ddos的一种
单主机虚拟多ip地址
代理服务器攻击
僵尸网络攻击
cc攻击的特点
cc攻击来的ip都是真实且分散
cc攻击的数据包都是正常的数据包
cc攻击的请求,全部都是有效的请求且无法拒绝
cc攻击的都是页面,服务器什么都可以连接,ping都可以同,但是网页就是访问不了
cc攻击的原理及危害
勒索目标或竞争对手(电商、金融、互联网企业)
准备大量傀儡机器恶意集中访问网站
控制肉鸡机器同一时间内集中恶意访问
网站服务器cpu内存性能急剧下降,网站无法正常服务
防御cc攻击
禁止网站代理访问
尽量将网站做成静态页面
限制链接数量
修改最大超时时间
域名欺骗解析
更改web端口
waf
云waf的业务风控安全
业务欺诈
垃圾注册
平台推广新用户注册
新用户为不活跃用户
再向垃圾用户推广新活动
暴力破解
撞库
泄露账号隐私
盗用账户金额
冒用账号权限
营销作弊
刷软件
领红包
套现
售卖
话单
更多
自动完成任务软件
盗卡支付
垃圾内容
云产品风控
云安全
1、云概况基础
云架构和传统架构
传统架构演变至云架构
云架构和传统架构的对比
云的服务方式
iaas
paas
saas
企业云架构
allinone
应用与数据分离
应用集群部署
动静资源分离
云信息安全现状和趋势
重点安全事故
先去网上找例子
系统风险构成
什么是风险
云风险的产生
物理和环境
机房的供电
天气因素
网络和通信安全
网络冗余
通信加密
设备和计算机安全
恶意代码防范
身份鉴别
集中管理
应用和数据的安全
安全审计
数据完整性
云上安全服务方式
用户
客户数据
平台、应用、身份访问
操作系统,网络及防火墙
云平台
计算、存储、数据库、网络
全球基础设施,边缘服务
云上安全防护
allinone部署
登录安全
弱口令
账号授权管理
不同部门
服务器安全漏洞
服务器本身漏洞
及时打补丁
应用访问攻击
web安全(xss、xxe、ssrf、cstrf等)
ftp安全(默认走本地用户,警告弱口令)
数据备份加密
网络攻击风险
应用和数据分离
存在之前allinone的风险
网络通信安全
数据库访问白名单授权
数据库备份和容灾
以上都包含
服务器安全区域隔离
负载均衡加密访问
云存储数据备份和加密
云存储数据容灾
云主要的安全威胁
大规模非泵送拒绝攻击ddos、僵尸网络
网络也不可达
网站入侵、弱口令爆破
网站页面被篡改和植入后门
网站后门、数据库非法访问(拖库)
用户账号信息和敏感数据泄露
云计算(csa)top9
1、数据泄露
2、数据丢失
3、账号或服务流量劫持
4、不安全的编程接口
5、拒绝服务
6、恶意的内部员工
7、滥用云服务资源
8、没有足够尽职调查
9、多租户隔离失效
信息安全保护等级
1、数据丢失、篡改或泄露
2、不安全的接口
3、云服务终端
4、越权、滥用与误操作
5、滥用云服务资源
6、共享技术漏洞
7、安全责任界定不清
8、司法管辖范围受限
9、过度依赖
10、数据残留
11、审查不到位
产生安全风险主要原因
安全体系
技术实力
安全工具
管理平台
是否易用
isv
开发规范
测试规范
部署规范
运维规范
安全意识
安全习惯
加入黑产
管理流程
缺乏经验
云安全解决方案
产品
木马查杀
防止密码暴力破解
异地登录提醒
漏洞检测修复(提示也可以)
网络安全防护
安全组
专有网络vpc(二层网络防御)
基础ddos防护(低流量防御)
ddos高防(高流量防御)
应用安全保护
web应用防火墙(WAF)
云监控管理
云监控
态势感知(类似雷达。通过数据预算是否有威胁进行警告)
2、云平台使用和密码账号
账号安全
登录验证
配置密码强度
定期修改登录用户密码
账号授权
遵循最小权限原则
及时清理有权限的用户
权限分配
不要为根用户账号穿常见
将用户管理、权限管理与资源管理分离
账号安全策略
登录密码
手机绑定
密保问题
操作保护(修改密码、释放实例等高级操作)
3、云上服务器安全
云服务器面临的安全风险
服务器安全状态
健康
亚健康
不健康
安全挑战
自身脆弱
漏洞(包括训虚拟化层面)
错误的配置
账号权限
不开放的端口等
外部威胁
后门植入
木马传播
暴力破解攻击等
高危漏洞攻击举例(针对底层虚拟化)
高危XSA-123(XEN)
毒液漏洞(Xen,KVM,QEMU)
开放端口攻击
永恒之蓝(蠕虫)
木马攻击
Dyre(针对了多个国外银行信息)
云服务器管理的方式
及时针对服务器打补丁
windows自动最新的补丁
linux自己去网站上下载补丁包
修改服务器默认账号和密码
修改administrator别名
禁用不必要的账号
启用系统防火墙
windows自带防火墙
linux不同版本使用适合的防火墙
iptables
firewalld
关闭不用的端口
关闭服务器和端口
日志服务器
查看服务器日志信息
使用日志阅读工具自动化
使用云产品进行服务器漏洞检测
漏洞管理
系统软件漏洞
cms漏洞
基线检查
账号安全检测
弱口令检测
配置风险检测
入侵检测
异地登录(重点)
暴力破解联动(重点)
登录ip白名单
后门查杀
异常进程查杀
使用云产品进行服务器漏洞修复
系统漏洞
系统版本漏洞
植入木马
应用漏洞
应用程序漏洞
ftp
samba
web漏洞
xss
上传漏洞
软件漏洞
cve官方漏洞库
软件版本
组件型
配置型漏洞
自研漏洞补丁
针对cms一键修复
wordpess
phpstudy
0 条评论
回复 删除
下一页