阿里云通用安全设施配置

本文涉及的产品
Web应用防火墙 3.0,每月20元额度 3个月
传统型负载均衡 CLB,每月750个小时 15LCU
.cn 域名,1个 12个月
简介: 1. 概述:        阿里云提供了 DDOS 高防、web 应用防火墙、堡垒机、云安全中心(态势感知)等安全设施,其它产品比如 负载均衡SLB, 账号体系 RAM,RDS 数据库等提供访问控制,来维护应用的安全。 2. 对外服务安全设置     应用服务是容器服务集群通过 SLB 负载均衡对外提供服务,为了防止 CC 攻击等,

1. 概述:

       阿里云提供了 DDOS 高防、web 应用防火墙、堡垒机、云安全中心(态势感知)等安全设施,其它产品比如 负载均衡SLB, 账号体系 RAM,RDS 数据库等提供访问控制,来维护应用的安全。

2. 对外服务安全设置

    应用服务是容器服务集群通过 SLB 负载均衡对外提供服务,为了防止 CC 攻击等,建议采用 DDOS 高防和 web 应用防火墙,使用 SLB 访问控制来防止攻击,具体配置流程如下图:

安全配置

2.1 七层协议服务:

         如上图所示,协议服务通过域名向外提供,配置顺序为:

  1. 容器服务应用通过负载均衡 slb提供服务,配置 SLB 访问控制 IP 段 为 web 应用防火墙的回源 IP段,回源 IP 段信息在 web 应用防火墙网站配置处获取;waf 回源 IP获取
  2. web 应用防火墙网站配置增加域名,设置 http/https 协议,服务器地址 IP 指向 SLB 负载均衡地址,WAF 前设置有七层代理;增加 WAF 域名
    1. 拷贝 waf 配置后的 CNAME 域名,用以后续DDOS 高防配置使用。
  3.  配置 DDOS 高防接入-->网站-->添加域名做配置
    1. Add DDOS
  4.  配置域名服务指向 DDOS 高防的 CNAME 域名。
  5. 使用 web 应用防火墙设置访问控制。

 

2.2 四层协议服务:

四层访问协议服务,不支持 web 应用防火墙,其它配置与上文一样,其中 WAF 的功能可以通过接入层改造接入 WAF 接口实现。

 

3. 运维配置

        运维同学与开发人员,需要访问部署的应用服务器,建议使用阿里云堡垒机配置访问服务器,其中运维同学可以访问几乎所用应用,设立 admin 账户,而应用开发同学只能使用 kubectl 等客户端命令访问自己负责开发的应用:

3.1 直连跳板机运维:

         运维同学通过证书直连跳板机,运维线上环境,通过跳板机的安全组,限定访问范围在办公区。

3.2 堡垒机运维:

         需要根据应用分维度授权:

  1. 应用按照 namespace部署,一组业务应用一个 NameSpace;
  2. 堡垒机跳板机上建立应用对应的用户;
  3. 在 堡垒机跳板机上使用Kubernetes-kubectl 工具  生成证书,该证书绑定应用的 namespace和用户;
  4. 建立 role 和 roleBinding ,授予namespace 下只读权限给证书用户;
  5. 堡垒机使用堡垒机跳板机建立服务器设置,并使用该应用对应的用户建立登录凭证;
  6. 跳板机上建立授权组,使用凭证登录堡垒机的跳板机,并授权给相应用户,包括开发人员等。
  7. 开发人员等登录堡垒机,使用授权组,只读访问其所属应用的 namespace.

 

4. 访问控制

主要有以下几类访问控制

  • SLB 负载均衡访问控制:
  • ECS 机器安全组访问控制:
  • web 应用防火墙访问控制:
  • Ram 用户访问控制:
  • DRDS/RDS 等云资源访问控制

严格设置各类访问控制,仅仅开发必须的访问范围。

 

目录
相关文章
阿里云最新产品手册——云基础产品与基础设施——计算——弹性裸金属服务器——产品功能
阿里云最新产品手册——云基础产品与基础设施——计算——弹性裸金属服务器——产品功能自制脑图
147 1
|
容器
阿里云最新产品手册——云基础产品与基础设施——计算——弹性容器实例——产品优势
阿里云最新产品手册——云基础产品与基础设施——计算——弹性容器实例——产品优势自制脑图
112 1
阿里云最新产品手册——云基础产品与基础设施——计算——弹性裸金属服务器——优点
阿里云最新产品手册——云基础产品与基础设施——计算——弹性裸金属服务器——优点自制脑图
93 2
|
数据中心
阿里云最新产品手册——阿里云核心产品——云数据中心专用处理器CIPU
阿里云最新产品手册——阿里云核心产品——云数据中心专用处理器CIPU自制脑图
118 1
|
存储 负载均衡 安全
云数据中心引入网络功能虚拟化NFV
网络功能的虚拟化正在改变大型数据中心的网络现状。服务器和桌面虚拟化,云计算和移动设备的集成使得数据中心网络的网络负担日益加重。
226 0
云数据中心引入网络功能虚拟化NFV
|
存储 Serverless 网络安全
阿里云-云开发平台网络篇——扩展应用提供的网络链路
阿里云-云开发平台网络篇——扩展应用提供的网络链路
248 0
阿里云-云开发平台网络篇——扩展应用提供的网络链路
|
传感器 安全 物联网
确保您的物联网部署具备5G功能
在COVID-19冠状病毒在全球蔓延等不确定时期,企业往往会坚持短期计划,推迟长期投资。在电信领域,我们已经看到了这方面的证据,运营商停止或放缓了5G投资计划。造成这种情况的部分原因是,人们怀疑基础设施供应商能否继续建造和交付“封锁”期间所需的设备,但也有一部分原因是为了节省资金。
463 0
确保您的物联网部署具备5G功能
|
运维 负载均衡 安全
阿里云通用安全设施配置
1. 概述:  阿里云提供了 DDOS 高防、web 应用防火墙、堡垒机、云安全中心(态势感知)等安全设施,其它产品比如 负载均衡SLB, 账号体系 RAM,RDS 数据库等提供访问控制,来维护应用的安全。
3977 0
|
芯片
光模块如何实现工业级标准?如何选购?
光模块是所有的网络连接部署中必不可少的组成部分。 作为一个光通信的从业者应该都要了解,光模块的工作温度会影响着整个光模块的各项参数。当光模块的应用环境温度发生改变,其工作电流会随着温度的变化而变化,同时会导致光模块的各项参数发生改变,从而影响整个光模块的正常传输。
1453 0