阿里云通用安全设施配置-阿里云开发者社区

开发者社区> joezxh> 正文

阿里云通用安全设施配置

简介: 1. 概述:  阿里云提供了 DDOS 高防、web 应用防火墙、堡垒机、云安全中心(态势感知)等安全设施,其它产品比如 负载均衡SLB, 账号体系 RAM,RDS 数据库等提供访问控制,来维护应用的安全。
+关注继续查看

1. 概述:

 阿里云提供了 DDOS 高防、web 应用防火墙、堡垒机、云安全中心(态势感知)等安全设施,其它产品比如 负载均衡SLB, 账号体系 RAM,RDS 数据库等提供访问控制,来维护应用的安全。

2. 对外服务安全设置

 应用服务是容器服务集群通过 SLB 负载均衡对外提供服务,为了防止 CC 攻击等,建议采用 DDOS 高防和 web 应用防火墙,使用 SLB 访问控制来防止攻击,具体配置流程如下图:
_

2.1 七层协议服务:

  如上图所示,协议服务通过域名向外提供,配置顺序为:
  容器服务应用通过负载均衡 slb提供服务,配置 SLB 访问控制 IP 段 为 web 应用防火墙的回源 IP段,回源 IP 段信息在 web 应用防火墙网站配置处获取;waf 回源 IP获取。
配置回源IP

  web 应用防火墙网站配置增加域名,设置 http/https 协议,服务器地址 IP 指向 SLB 负载均衡地址,WAF 前设置有七层代理;
配置域名与 IP

  拷贝 waf 配置后的 CNAME 域名,用以后续DDOS 高防配置使用。
  配置 DDOS 高防接入-->网站-->添加域名做配置
0431006e64131ab05a4420a5a5809e56

配置域名服务指向 DDOS 高防的 CNAME 域名。
使用 web 应用防火墙设置访问控制。

2.2 四层协议服务:

 四层访问协议服务,不支持 web 应用防火墙,其它配置与上文一样,其中 WAF 的功能可以通过接入层改造接入 WAF 接口实现。

3. 运维配置

 运维同学与开发人员,需要访问部署的应用服务器,建议使用阿里云堡垒机配置访问服务器,其中运维同学可以访问几乎所用应用,设立 admin 账户,而应用开发同学只能使用 kubectl 等客户端命令访问自己负责开发的应用:

_

3.1 直连跳板机运维:

 运维同学通过证书直连跳板机,运维线上环境,通过跳板机的安全组,限定访问范围在办公区。

3.2 堡垒机运维:

 需要根据应用分维度授权:

  • 应用按照 namespace部署,一组业务应用一个 NameSpace;
  • 堡垒机跳板机上建立应用对应的用户;
  • 在堡垒机跳板机上使用Kubernetes-kubectl 工具 生成证书,该证书绑定应用的 namespace和用户;
  • 建立role 和 roleBinding ,授予namespace 下只读权限给证书用户;
  • 堡垒机使用堡垒机跳板机建立服务器设置,并使用该应用对应的用户建立登录凭证;
  • 跳板机上建立授权组,使用凭证登录堡垒机的跳板机,并授权给相应用户,包括开发人员等。
  • 开发人员等登录堡垒机,使用授权组,只读访问其所属应用的 namespace.

4. 访问控制

 主要有以下几类访问控制

  • SLB 负载均衡访问控制:
  • ECS 机器安全组访问控制:
  • web 应用防火墙访问控制:
  • Ram 用户访问控制:
  • DRDS/RDS 等云资源访问控制
  • 严格设置各类访问控制,仅仅开发必须的访问范围。

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
Nginx 安装 SSL证书 配置 HTTPS 协议全过程
说到nginx服务器,个人认为最大特点就是轻量级和高性能。通过在几台不同的服务器上进行测试,发现它的并发能力特别强,并且相对而言吃的内存少很多。目前已是绝大多数站长的首选 HTTP 和反向代理服务器。站长自己的网站,包括承接企业服务器运维服务所采用的都是 Nginx,Apache 当然也可以。
1210 0
阿里云服务器怎么设置密码?怎么停机?怎么重启服务器?
如果在创建实例时没有设置密码,或者密码丢失,您可以在控制台上重新设置实例的登录密码。本文仅描述如何在 ECS 管理控制台上修改实例登录密码。
9458 0
安全管理最佳实践系列:给ECS实例配置一个RAM角色身份(使用动态STS-Token访问云服务API)
如果你的应用程序部署在ECS实例中,你可能会苦恼于应用程序的AK配置安全问题及管理难的问题。为此阿里云提供了给ECS实例配置RAM角色的解决方案,使得运行ECS实例中的应用程序将不再需要配置AK,而只需要从ECS Metadata服务中获取StsToken就可以访问阿里云服务API,让你不再担心应用程序的AK配置安全问题和难管理的问题。
6700 0
阿里云服务器端口号设置
阿里云服务器初级使用者可能面临的问题之一. 使用tomcat或者其他服务器软件设置端口号后,比如 一些不是默认的, mysql的 3306, mssql的1433,有时候打不开网页, 原因是没有在ecs安全组去设置这个端口号. 解决: 点击ecs下网络和安全下的安全组 在弹出的安全组中,如果没有就新建安全组,然后点击配置规则 最后如上图点击添加...或快速创建.   have fun!  将编程看作是一门艺术,而不单单是个技术。
10836 0
宝塔面板如何配置网站ssl安全证书(支持https访问)
宝塔面板如何配置网站ssl安全证书(支持https访问)
1341 0
阿里云服务器如何登录?阿里云服务器的三种登录方法
购买阿里云ECS云服务器后如何登录?场景不同,阿里云优惠总结大概有三种登录方式: 登录到ECS云服务器控制台 在ECS云服务器控制台用户可以更改密码、更换系.
13131 0
+关注
joezxh
写代码写到60岁
33
文章
0
问答
文章排行榜
最热
最新
相关电子书
更多
《2021云上架构与运维峰会演讲合集》
立即下载
《零基础CSS入门教程》
立即下载
《零基础HTML入门教程》
立即下载