a) 应用环境安全
• 漏洞扫描:自动发现其网站的关联资产,并进行高效精准的自动化漏洞渗透测 试和敏感内容监测,形成专业的风险扫描报告,并提出修复建议。
• 代码托管:云效服务提供了存放源代码等内容的 Git 库,并提供了严格的权限控 制机制。
• 代码审计:在云产品安全生命周期(SPLC)中,阿里云的安全专家在各个开发 节点中都会严格审核和评估代码的安全性,代码审计服务检查源代码中的缺点 和错误信息,分析并找到这些问题引发的安全漏洞并提供代码修订措施和建议。
• 安全加固:在获得客户授权委托的情况下,远程登录到客户的业务系统服务器 上,根据用户的资产情况和安全需求,对其外网或内网主机进行全方位的基线 加固和组件升级。
b) 应用配置安全 • ACM 配置加密:利用 ACM,用户可以在微服务、DevOps、大数据等场景下极 大减轻配置管理的工作量,并增强配置管理的服务能力。ACM 提供了创建加密 配置的功能,降低用户配置的泄露风险。
c) 应用保护 • WAF:基于云安全大数据和智能计算能力,通过防御 SQL 注入、XSS 跨站脚本、 常见 Web 服务器插件漏洞、木马上传、非授权核心资源访问等 OWASP 常见 web 攻击,过滤海量恶意访问,避免网站资产数据泄露;AI 深度学习在降低误 报率的同时有效地提高了检出率;基于用户业务访问端上的模型收集和大数据 分析能力准实时处理高危请求;提供自动报警和全局响应规则的同步下发和升 级功能。
5) 用户业务安全 对于用户的不同业务场景,阿里云也提供了相对应的安全能力。在业务安全层面, 阿里云为用户提供了身份认证、内容检测和业务风控的三个维度的安全功能。
a) 身份验证 • 实人认证:依托活体检测、人脸比对等生物识别技术、证件 OCR 识别技术等进 行的自然人真实身份的核验服务。
b) 内容检测 • 内容安全:基于深度学习技术及阿里巴巴多年的海量数据支撑,内容安全服务 提供图片、视频,文字等多媒体的内容风险智能识别服务,帮助用户降低色情、 暴恐、涉政等违规风险,大幅度降低人工审核成本。
c) 业务风控 • 风险识别:基于大数据、机器学习算法、流式计算等阿里巴巴的业务风控最佳 实践,为用户提供从 API 服务、到决策引擎平台的一站式智能风控解决方案, 解决企业类客户在用户注册、运营活动、交易、信贷审核等关键业务中面临的 欺诈问题。
• 爬虫风险管理:有效降低和解决外部恶意自动化工具对用户网站的业务影响, 主要防护场景包括航空占座、电商黄牛、恶意撞库、核心接口被刷、刷票刷积分 等。提供对 Web 网页端/H5 页面/APP/API 全方位防护,并通过云端共享海量 的威胁情报做到对爬虫类攻击的快速响应。
• 游戏盾:对大流量 DDoS 攻击(T 级别)进行有效防御外,还彻底解决游戏行业 特有的 TCP 协议资源耗尽型攻击(L4-CC 攻击)问题能力。
以上内容摘自《阿里云认证的解析与实战-云计算ACP认证》电子书,点击https://developer.aliyun.com/ebook/download/7808 可下载完整版
版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。