开发者学习笔记【阿里云云安全助理工程师认证(ACA)课程:1-基础设施安全-1-云上安全基础防护知识-ACA-2-阿里云产品安全(下)】
课程地址:https://edu.aliyun.com/course/3111981/lesson/18872
1-基础设施安全-1-云上安全基础防护知识-ACA-2-阿里云产品安全(下)
内容介绍
一、云产品安全-负载均衡SLB
二、云产品安全-云数据库RDS
三、云产品安全-内容分发网络CDN
一、云产品安全-负载均衡SLB
接下来学习负载均衡SLB这款云产品的安全能力,负载均衡是对多台云服务器进行流量分发的一款负载均衡服务,负载均衡通过流量分发扩展应用器对外的服务能力,通过消除的故障来提高应用或者说网站整体系统的可用性,所以说首先第一点就是SLB本身的应用的可能性,不能用单点故障,所以说就要具备高可用性,所以采用的是全有余的设计,无单点故障,并且根据应用的负载进行弹性的扩容。SLB目前已经在大部分地域部署了这种多可用区的形式的融跨机房级别的容灾,SLB本身是的集群形式存在的,所以说就没有这种单点故障的情况存在,高可用性的,还有就是健康检查,SLB是要设计成的跨机房的容灾,所以说要检查,首先第一点就是检查云服务器ecs。
后端的健康检查能力,而自动的隔离ECS不健康的状态,当某台ECS或者里面的业务出现故障的时候,要进行隔离,用户访问的时候,通过SLB,然后进行流量往下发的时候发到ECS是发给健康状态的ECS,这当ecs恢复正常以后,自动屏蔽就可以解除掉了。
第二个就是抗攻击能力了,天然的具备一些抗CC的能力,因为是基于的SLB是两种,现在有个叫ALB,CRB,CRB是基于LVS的四层存就不能。可以实时防御,这种实时防御的CC结合DDOS高仿产品,可以提供防DDOS攻击的能力,采用Pens作为负载均衡基层模块,也具备了这种多维度的抗CC攻击的能力,然后访问控制,访问控制,可以屏蔽后端服务器的IP地址,对外只提供虚拟IP,提供原IP黑白名单的功能,限制允许可信的云IP客户,通过SLB开发的服务,还有就是IM和STL这块,之前已经讲过了,也就是将用户云账号下的负载均衡资源进行管理权限下的授权给IM中的子用户利用STS中的令牌通过临时访问的took进行访问权限的一个管理。同时也支持的HTTPS,也就是传输加密,支持HTTP,SSL,TMS这种负载均衡功能,可以集中统一在的负载均衡SLB上的管理证书密钥解密,处理统一在SLB上进行,降低了后端ECS这种CPU开销,最后最重要的一点也是也有日志的功能,通过的控制台进行的负载均衡相关的操作日志的记录。
二、云产品安全-云数据库RDS
云数据库RDS这款云产品的安全
云数据库RDS是稳定可靠可弹性伸缩的在线数据库服务,这是基于阿里云分布式文件系统和高性能存储的一款产品,RDS支持MySQL、SQL Server这些数据库常见的数据库里,提供了容灾、备份、恢复、监控、迁移等多方面的全套数据库相关的解决方案,因为是数据库,数据库在企业里是核心的服务,所以安全整个的服务也是非常多的,从租户网络的隔离到高可用性到访问控制,数据加密、日志、审计实例,容灾软件升级等等全方位的一套解决方案。
首先来看租户隔离,这里其实和ECS类似,因为也存在这种多租户关系,所以说要通过虚拟化技术来进行租户的隔离。第二点,就是服务器的加固了,对运行数据库的服务器,进行了整体的安全加固,同时RDS也是存在VPC网络的,使用VPC来获取更高程度的网络网控控制,可以通过VPN或者专线将自建的IDC服务器资源接触到阿里云来进行的网络的这么更细力的控制。
然后第二个,就是高可用了数据库,也很在意高可用性,因为数据库一旦不能用,业务就停,所以说也支持实例的高可用,这里通过两个数据节点,进行组成的热备,服务可用性得高达99.95,并且,数据库也支持备份的,通过数据库备份的RDS可以根据备份策略将的数据库恢复到任意时刻,然后访问控制。首先这里有两点,一点就是数据库的权限,数据库的权限,也是用户可以自己设置用数据库的账户,还有针对于库表级别的读写权限,如果需要更细力度的权限控制,比如说表示图字段的权限,可以创建叫高权账户来再创建普通的数据库账户来通过命令来设定更细力度的,当然如果说不需要这么细力度的话,可以完全通过控制台进行创建,然后还有就是IP的白名单了,RDS默认实例的设置是不允许任何IP访问的,所以说想要使用RDS,在购买完RDS之后,一定要设置IP地址的白名单,只有添加了白名单的服务器才能访问RDS数据库。
然后第三个就不多说了,就是Im和STS,然后数据加密,在数据库数据也是核心的应用,所以也是非常重要的,支持STS和的SSL,TRS,这些的这些加密可以看到,数据加密主要是MSSL和TRS加密,提供了像my circlel server的这种全套的这种接入层协议,使用IDS提供的服务器端,跟证书来验证目标地址和端口的水库服务,还有也支持同样支持透明数据加密,以及数据的落盘加密等。然后日志和审计这里不多说了,其中一点比较特殊的就是也支持SQL洞察的功能,通过circle的审计日志记录对数据库执行的所有操作,从而对数据库的故障进行分析、行为分析和安全的审计,实例的容灾是数据库的一大特点,数据库服务支持同城容灾,多可领区的实例将物理服务器部署在不同的可用区。
然后当一个可用区出现故障时,流量可以在短时间内切到另外可区,整个切换过程对用户来讲是透明的,透明的意思就是用户感知不到,透明的,看不到,感知不到,直接就可以切过来,还有支持异地容灾,将比如说低于a的RDS实例a,然后通过的数据传输,异步复制到低于B的RDS实例B里来,实例B,是完整独立的RDS实例,数据库还有软件升级的功能,数据库就跟的ecs一样,系统也会进行升级,软件升级,用户主动的重启实例的时候,RDS实例会在被重启实例的six版本上升级到最新的兼容版本,少数情况下,是在比如重大BUG或安全漏洞的情况下,会进行这种设计,当然可以设置叫做可运维时间,正常情况下都在可运维时间段内发起升级,就是云数据库Rds整体,这款云产品的安全能力。
三、云产品安全-内容分发网络CDN
内容分发网络CDN这款产品能力
内容分发网络CDN,是建立井覆盖在承载网之上,由分布在不同地域的区域的边缘节点服务器集群组成的分布式网络,作用就是CDN将原站的内容发布到边缘节点,并进行精准的调度。
用户的请求原来请求到原站,而现在,请求可以分配到离用户引流最近的节点上来,使用户可以最快的速度来获取的内容,举简单的例子,比如说是做视频的网站,视频的话来讲都是比较大的,比如说是北京的用户,访问比如说上海电信的网络,网络传说的距离比较长,效果可能不是很好,和带宽的这种,比如说质量等等,就是没有太大关系,是距离太远了,就像访问国外的网站一样,哪怕家的带宽升级到了500兆,访宽速度可能依旧不理想,是因为距离的影响,CDN就是将视频,比如说北京的用户,将视频分发到了北京节点,北京的用户直接就近访问北京的节点,这样效率是最好的,速度是最快的,分发网络内容分发网络CDN也有相应的安全能力,比如说身份已健全,加密传输,租户隔离,内容安全和防范安全,身份健全,加密传输和租户的隔离,这里就不多说了,尤其是身份健全和加密传输,和之前提到的是类似的,然后租户隔离,是CDN上用户的缓存数据也同样进行按照每个用户进行这种打标签,然后进行隔离,然后将同用户,然后进行索引,然后存储也是这么去做的,主要是内容安全和防范安全了,内容安全主要是图片的鉴黄,要对海量的数据进行快速的检测,开通图片鉴黄功能之后,系统会自动的检测,通过CDN加速的图片,如果有违规图片,URL会被记录下来,供专业人员导出,然后进行删除,或者打标记,或进行一些相应的一些处理,然后访问安全,刚才提到了很多的用户,去访问的CDN,所以说时候也会有一些盗链的情况发生,同样可以通过配置的黑白名单来对访问者的身份进行识别和过滤同时,也支持IP的黑白名单,通过IP的黑白名单功能,当然也支持IP-V6,配置黑名单的,就黑名单内的IP无法访问cban上的当前的资源,这是白名单,也就是只有白名单的这些IP可以访问成员,白名单以外的IP无法访问资源,当然同一时间只支持一种方式的生效,还有UA的黑白名单,提供配置User-agent黑名单和白名单来实现对访客身份的识别和过滤,如果配置User-Agent黑名单,黑名单内的User-Agent字段均无法访问当前资源,如果配置User-Agent白名单,只有白名单内的User-Agent字段才能访问当前资源,白名单以外的User-Agent字段均无法访问当前资源,还有,就是HTTPS,的客户端通过HTTP协议访问阿里云的CDN,指定HTTPDNS服务端,获得域名解析结果并最终返回给客户端,这是访问安全,所以简单介绍内容分放网络CDN这款产品相关的安全能力
以上就是分小节的全部内容。