一、背景
公司上市不到两周,便遭受到了黑客攻击,其中笔者团队的验证码比较容易识别,攻击者通过ORC识别刷了10几万的短信,除了造成一笔资金开销外,也给服务器带来了很大的压力;
并且在阿里云的控制台当中每天都能看到很多攻击信息,却没有拦截,原因是没有购买WAF防火墙,售后也频繁催促购买其安全设施;所以技术负负责人也开始重视起安全问题来,笔者因为懂一些安全技术,所以老大希望笔者在这方面做一些规划指导,周末花了点时间根据公司的现状做了一下规划设想,下文便是当时的口述汇报,后来整理成了文字版,给读者做一些参考吧。
二、安全产品
阿里云提供的安全产品比较齐全,不过价格比较贵,而目前我们没有专门负责安全的人来维护,因此选择的安全产品方向为能直接提升安全,这样才能发挥最大价值,否则便成了手有宝刀,却无刀法,下面是三个必要的安全产品:
1. 安骑士
前面提到了主机安全,主机安全不会经常变动,因此应对的是一些通用风险,安骑士提供一键修复通用主机漏洞的能力,可以快速修补主机安全,避免人工去修复并不知道如何去修,或者修复不及时。
2. WAF防火墙
WAF防火墙对应的是应用层安全,可以针对一些代码级的安全漏洞做一些安全防护,应用层变化最大,因此必要性比较大,不过要注意的是WAF防火墙只能处理代码级的漏洞,而逻辑层的却无能为力,比如上次的刷验证码,防火墙则只能将频率非常高的IP封锁,但无法阻挡刷验证码的漏洞问题。
3. CA证书
CA证书的作用是HTTPS,是用来对传输过程加密,比如服务器提交数据到服务器过程不被攻击者拦截,又或者我们服务器的数据不被一些网络运营商插入广告等,因此重要性也是十分重要。
另外针对阿里云的安全产品较贵的,可以参考也可以参考其他家的安全产品,比如百度的云加速,就带有了WAF防火墙和防DDOS功能,地址为 su.baidu.com
三、新书推荐
如果对笔者的实战文章较为感兴趣,可以关注笔者新书《PHP Web安全开发实战》,现已在各大平台上架销售,封面如下图所示
