全部产品
云市场

安全

更新时间:2018-12-07 13:40:17

面向 AWS 专业人员的阿里云

目录

本文讨论 AWS 与阿里云安全服务之间的主要区别和相似之处。具体涵盖如下产品:

Feature AWS 阿里云
Web Application Firewall (WAF) AWS WAF 阿里云 WAF
DDoS防护 AWS Shield DDoS防护
证书服务 AWS Certificate Manager 阿里云SSL证书服务
移动安全 N/A 移动安全
服务器安全 N/A 安骑士 (服务器安全)

1. WAF

阿里云 WAF 是可以保护 Web 应用使其免遭漏洞攻击的 Web 应用防火墙,此类漏洞攻击包括 SQL 注入、XSS 和恶意僵尸主机攻击等。阿里云 WAF 具有许多与 AWS WAF 类似的功能和技术,但它在防御功能方面拥有独特的优势。

1.1 服务模式比较

AWS WAF 可部署在 AWS CloudFront (CDN)、Web 服务器或 Web 服务器的负载均衡器中。阿里云 WAF 通过配置域名解析服务来部署。

1.2 访问控制

在部署 AWS WAF 之前,您需要创建 Web ACL 并定义规则。阿里云 WAF 允许在配置域名后进行 ACL 规则配置,并且支持组合不同 HTTP 字段(如 IP、URL、Referer 和用户代理)来实现精准的访问控制。访问控制策略可应用于诸如防盗链和网站管理后台保护等场景。

1.3 Web 攻击防御

AWS WAF 提供简单的 Web 应用保护策略,来防御 SQL 攻击和跨站脚本攻击。阿里云 WAF 可针对 OWASP 等 10 种最常见的威胁提供保护,可根据不同网站业务针对 GET、POST 和其他常见 HTTP 请求提供高/中/低策略,包括避免向攻击者公开网站地址网站的隐藏功能,以及实施针对零时差漏洞的常规补丁更新和全局补丁更新。

1.4 业务风险控制

数据风险控制是基于阿里云的 WAF 的大数据功能,使用行业领先的风险引擎和人/机识别技术来为特定业务场景实现风险控制。阿里云 WAF 的大数据功能是运用我们向客户提供一流安全性的经验开发出来的。这些经验包括托管 37% 的基于中国的网站、维护在中国最常被访问的 IP 数据库、每天化解 8 亿次攻击。

通常,数据风险控制可以针对欺骗行为有效保护关键业务,其中包括但不限于垃圾邮件注册、短信验证码泛洪攻击、库命中和密码暴力破解、恶意购买、机器人购票和垃圾邮件。

1.5 控制台配置

与 AWS WAF 管理控制台类似,阿里云 WAF 控制台支持域名配置以及组合不同策略来实现访问控制,与 AWS WAF 一样精准。

阿里云 WAF 还提供强大而友好的可视化控制台,用于分析和监控攻击,包括业务分析和安全概况。业务分析会查看最近对不同域名的访问。安全概况会提供一个总体分数,该分数是根据最近攻击的严重性、攻击者威胁以及保护规则和策略得出的。最新的 Web 攻击和 CC 攻击以图形方式显示,常见攻击风险则提前发出警告并报告。

1.6 定价

AWS WAF 定价取决于您创建的 Web 访问控制列表 (Web ACL) 数、您为每个 Web ACL 添加的规则数以及您收到的 Web 请求数。AWS WAF 无需前期承诺。阿里云 WAF 定价基于包月购买,提供具有不同特性规格的不同套餐。了解有关 阿里云 WAF 定价的更多信息。

1.7 特征比较

AWS 和阿里云 WAF 服务的比较可以总结如下:

Feature AWS WAF 阿里云 WAF
部署模式 部署在 AWS CloudFront 或 ELB 中,位于 Web 服务器之前 部署在客户端 CDN 和负载均衡器之间,并配置域名解析服务来建立连接
配置 Web ACL 策略 支持 支持
自定义规则 支持 支持
Web 攻击类型 SQL 检测和预防、SQL 注入、跨站脚本 (XSS) 和其他常见攻击 常见 OWASP 漏洞,包括 SQL 注入、XSS、网站后门上传、后门隔离、命令注入、非法 HTTP 协议请求、常见 Web 服务器漏洞攻击、未授权访问核心文件、路径遍历和扫描保护
HTTP 泛洪防护 支持 支持
风险警告 不支持 支持
规则配置 支持 支持
攻击监控 支持 支持
安全报告 支持 支持
业务分析 不支持 支持

1.8 核心卖点

特性 阿里云 WAF AWS WAF 应用场景
资源优势 (1)海量业务 & 攻击防护能力:支持超大能力的业务防护能力, 可支持高达100万QPS的业务接入;可支持按天的弹性QPS/带宽扩容;支持1000个域名防护、不限一级、二级;(2)资源独享,部署灵活:资源独享、不受其他用户影响,稳定性有保障;支持全国多地部署、海外多地部署,自动容灾调度; 资源保障,可以覆盖任意大小体量的业务规模,帮助客户抵抗与防护小型或大型的恶意流量攻击。
易用性 (1)加密算法、防护端口灵活:可自定义支持的HTTPS加密强度算法,如不支持TLS1.0等不安全算法、满足相关合规需求支持任意非标端口的HTTP、HTTPS防护;并支持做任意端口的回源;(2)支持恶意IP库一键封禁:支持针对域名粒度的整体限流功能,保障到达后端服务器的流量平稳,避免造成源站宕机;(3)自定义Web防护规则,定制专属防护;也可定制与客户业务匹配的响应页面,提升用户体验。包括防护策略拦截、滑块验证码、响应超时页面等; 灵活的防护规则,全方位检测与保护客户业务系统远离互联网恶意攻击。
服务 专属产品管家服务,进行产品托管服务、提供产品代维、业务主动监控异常&攻击应急响应能力; N/A 在客户身边,保证客户问题第一时间能够得到反馈,提高用户体验。

2. DDoS 防护服务

为了保护数据和应用使其免受 DDoS 攻击,阿里云和 AWS 都提供了基于云的 DDoS 防护服务,以确保应用可用性和云中资产的性能。在本节中,我们将讨论 Amazon Shield 和阿里云 DDoS 防护安全服务。

2.1 服务模式比较

与 AWS Shield Standard 和 Advanced 类似,阿里云提供了免费的和企业级的 DDoS 防护服务,它们分别属于两个级别:DDoS 基础防护和 DDoS 专业防护。

级别 AWS Shield 阿里云安全
级别 AWS Shield Standard 阿里云 DDoS 基础防护
高级 AWS Shield Advanced 阿里云 DDoS 专业防护

AWS Shield Standard 和阿里云 DDoS 基础防护均不会产生附加费用,可针对网络层(第 3 层)和传输层(第 4 层)DDoS 攻击提供保护。对于 Web 应用保护,用户可以订阅阿里云 WAF 服务,以尽量减少 HTTP/HTTPS 泛洪和 DDoS 攻击等 Web 攻击。

与 AWS Shield 类似,阿里云 DDoS 专业防护可针对第 3 层/第 4 层/第 7 层 DDoS 攻击提供保护。但是,这两种服务的技术并不相同。

AWS Shield Advanced 使用路由技术将攻击分散到不同的 AWS 节点,以防御大型 DDoS 攻击。

阿里云 DDoS 基础防护支持重定向技术。主要保护方法是自动清理,并以主动缓解作为补充。该服务代表用户托管整个攻击防护操作。

与 AWS Shield Advanced 不同,阿里云 DDoS 专业防护用户需要将非 Web 服务的域名解析为 DDoS 专业防护 IP 地址。然后,DDoS 专业防护会将所有公共网络流量定向至 DDoS 防护服务器机房。基于协议的端口转发会将用户访问流量转发至源站 IP。同时,DDoS 专业防护服务会清除并过滤掉恶意攻击流量,而将正常流量返回至源站 IP。

2.2 黑洞策略

阿里云 DDoS 防护有一个叫作黑洞的特殊概念。黑洞是指在到服务器的攻击流量超出指定阈值时限制服务器访问。用户可以配置服务器的黑洞阈值,阿里云将阻止对服务器的外部网络访问。

对于阿里云 DDoS 基础防护,默认阈值设置 适用于 ECS、负载均衡器和 EIP。除默认黑洞阈值外,DDoS 专业防护还可为 DDoS 缓解提供更高容量。

2.3 大型 DDoS 防御

与 AWS Shield Advanced 类似,阿里云 DDoS 专业防护可缓解大型 DDoS 攻击。阿里云安全最多可提供 300 Gbps(中国大陆)和 100 Gbps(中国香港特别行政区和新加坡)的 DDoS 缓解,可缓解 SYN 泛洪、ACK 泛洪、ICMP 泛洪、UDP 泛洪、NTP 泛洪、SSDP 泛洪、DNS 泛洪、HTTP 泛洪和 CC 攻击。

2.4 监控&报告

监控和报告是安全服务的重要部分。AWS Shield 和阿里云 DDoS 防护均提供网络流量监控,用于自动检查异常的流量包。

在阿里云 DDoS 专业防护中,网络流量会得到实时监控。它还提供过去攻击的详细安全报告。

2.5 部署架构

AWS Shield Advanced 可以部署在 Amazon CloudFront 和 Amazon Route 53 边缘站点中。通过部署在 Amazon CloudFront 中,可以确保 Web 应用的安全。

DDoS 专业防护的部署架构如下:

网络流量路由:DDoS 专业防护(入门级 DDoS 防护)—> CDN(静态资源加速)—> WAF(中间层和应用层保护)—> 源站 (ECS/SLB/VPC/IDC…)。即使删除任何产品,此架构仍将保持不变。

2.6 定价

与 AWS Shield Standard 类似,DDoS 基础防护针对 DDoS 攻击提供保护时不会产生任何附加费用。

AWS Shield Advanced 需要 1 年包年承诺,按月收取费用,另外还根据从 Amazon CloudFront、弹性负载均衡 (ELB) 和 Amazon 弹性计算 (EC2) 传出的数据收取使用费。

DDoS 专业防护是付费服务,基于保护容量和运营商网络收取使用费。它提供两种付费方式:预付费、后付费。了解有关 DDoS 防护 计算方法的更多信息。

2.7 特征比较

AWS Shield 与阿里云 DDoS 防护的特性和术语对应关系如下:

特性 AWS Shield 阿里云 DDoS 防护
DDoS 攻击类型 UDP 反射攻击、SYN 泛洪、DNS 查询泛洪、HTTP 泛洪/缓存中断(第 7 层)攻击 UDP 反射攻击、SYN 泛洪、DNS 查询泛洪、HTTP 泛洪/缓存中断(第 7 层)攻击
应用层保护 支持(与 AWS WAF 结合使用) 支持
大型 DDoS 缓解功能 支持 (AWS Shield Advanced) 支持(DDoS 专业防护)
防护容量 容量未披露 DDoS 基础防护可为不同区域提供 500 Mbps ~ 5 Gbps 容量,DDoS 专业防护最多可提供 1000 Gbps 容量的防护
技术架构 路由技术 (Shield Advanced) Defense room (DDoS 专业防护)
服务集成 EC2, ELB, CloudFront, Route53 支持云内外的服务

2.8 核心卖点

阿里云 AWS 应用场景
特性 (1)既支持防护阿里云上资源,也支持防护客户自建资源,可以配置回源到任何公网IP地址。(2)全自动检测和攻击策略匹配,攻击检测时间在1秒内,帮助客户极速侦测DDoS攻击事件并立即启动防护。(3)能力全面,有效抵御所有各类基于网络层、传输层及应用层的DDoS攻击,能够应对新的攻击手法。 (1)对于非AWS上的服务器防护,需通过关联CDN服务来实现。(2)根据AWS官网文档,有部分攻击的检测时间在分钟级别
服务 对于非基础防护服务的付费客户,联合生态合作伙伴,通过在线工单、电话、VIP客户专属钉群等方式,为客户提供7*24 专业的DDoS防护的咨询和技术支持服务 根据客户购买的支持级别,AWS DDoS Response Team提供相应支持。
国内特有 主推产品:新BGP高防IP (1)优质资源——中国8大清洗中心(非CDN节点)、五星级机房,单节点防御能力1T。覆盖中国电信、中国联通、中国移动、教育网和其他二线运营商,BGP线路8线接入,网络延迟仅25ms左右。(2)相对于单线的DDoS高防服务,对于防护客户在阿里云上的业务,提供专线回源,回源延时可忽略不计,同时不受ECS资源被黑洞的影响(对于防护客户非阿里云业务,仍通过互联网回源)。(3)相对于单线的DDoS高防服务,仅需配置1个IP地址;可通过BGP路由实现流量自动调度,3分钟故障响应切换。(4)拥有丰富的高流量DDoS防护经验,日均防DDoS峰值大于1T,日均防CC攻击2亿+次。(5)支持定制化防护,如封禁海外,封禁跨运营商,封禁UDP和反射,封禁IDC机房发起的攻击等。 AWS中国区域不提供DDoS防护服务,包括Standard和Advanced。 中国国内业务的DDoS防护
国际特有 主推产品:DDoS高防(国际)(1)近源清洗——通过Anycast模式充分利用全球各地阿里云流量清洗中心的能力,并将DDoS攻击流量自动牵引至距离攻击源最近的流量清洗中心进行过滤,在将全球防护能力进行整合实现最大化的同时也具备多区域机房备份容灾的能力。(2)国际高防流量清洗中心的总能力超过2Tbps,可对阿里云全球所有区域提供服务。 (1)目前AWS Shield Advanced主要覆盖美国、爱尔兰、德国、日本、澳大利亚区域。(2)虽然未披露,但总体流量清洗容量应低于阿里云。 国际业务的DDoS防护

3. 证书服务

与 AWS Certificate Manager (ACM) 类似,阿里云 SSL 证书服务允许用户在阿里云购买、配置和管理 SSL/TSL 证书。

3.1 服务模式

阿里云 SSL 证书服务提供证书购买、部署和吊销。发放证书后,用户可以通过一次单击将数字证书部署到其他阿里云服务。

3.2 服务集成

AWS 用户不能使用 AWS Certificate Manager (ACM) 直接在基于 AWS 的网站或应用中安装 ACM 证书。ACM 与以下服务集成,以便在云中部署 ACM 证书:弹性负载均衡、Amazon CloudFront、AWS Elastic Beanstalk、Amazon API 网关和 CloudFormation。例如,要通过 SSL/TLS 在 CloudFront 中提供安全内容,您需要在 CloudFront 分发或后端内容源中安装 SSL/TLS 证书。

与 ACM 类似,如果您已购买阿里云的 CDN、DDoS 专业防护 IP、WAF 或负载均衡,则需提前启用对这些云产品的 HTTPS 安全访问。然后,使用阿里云 SSL 证书服务通过一键式部署将购买的数字证书部署到这些产品中。

3.3 续费

ACM 会在 ACM 证书过期之前尝试自动续订这些证书,与 Route 53 私有托管区域关联的证书除外。如果 ACM 无法自动续订证书,它将向用户发送需要手动续费的通知。

您需要在阿里云证书服务中手动续订证书。在完成续费和审核后,将发放新证书。您可以在服务器上安装这一新证书,以替代即将过期的证书。

3.4 定价

通过 AWS Certificate Manager 配置的 SSL/TLS 证书是免费的。您只需为以运行应用为目的而创建的 AWS 资源付费。

阿里云证书服务不仅提供免费、可信的证书,而且允许从阿里云平台直接购买高度安全的证书。

3.5 特征比较

AWS ACM 与阿里云 SSL 证书服务的特性和术语对应关系如下:

特性 AWS Certificate Manager (ACM) 阿里云 SSL 证书
使用现有证书 支持 支持
导入第三方证书 支持 支持
免费证书 支持 支持
付费证书 不支持 支持
续费 支持 支持
集成的服务 AWS Elastic Beanstalk, CloudFormation, CloudFront, APIs on API Gateway 内容分发网络、DDoS 专业防护、WAF 和负载均衡
自动部署 支持 支持
管理 管理控制台、ACM API、SDK、CLI 控制台

4. 移动安全

移动安全

4.1 风险检测

通过上传 APK 资源包来扫描恶意代码和漏洞,实现风险检测。扫描结果包括漏洞的详细信息,如漏洞数量、名称、类型和修复建议。

4.2 安全防护

安全防护旨在加固应用和连接安全组件。加固应用以提供 SO 加壳,对 DEX 文件加壳以针对不同类型的分析工具提供防护。此特性可添加安全组件并将正在使用的组件应用于新上传的应用,以防范攻击、客户端信息泄露和伪造的请求。

4.3 威胁情报

威胁情报可基于大数据检测网络范围的应用的伪造和风险,并关注论坛的网络磁盘,以实现多维伪造检测。

4.4 定价

阿里云移动安全服务提供两个版本:基本版(免费试用)和专业版(付费版本)。对于专业版,移动安全服务费用基于两种服务类型:漏洞扫描和应用加固。

5. 安骑士

目前,AWS 尚未发布涵盖主机安全的安全产品。阿里云的安骑士是在服务器上安装的轻型代理。安骑士与云威胁情报关联,以实现漏洞管理、基线检测、异常检测和资产管理,从而形成深度防御系统。

5.1 漏洞管理

检测系统软件 CVE 漏洞、Windows 漏洞、Web-CMS 漏洞和其他高风险漏洞。

5.2 基线检测

基线检测可检查帐户安全性、弱密码和配置风险。

5.3 入侵检测

通过分析用户行为,入侵检测可检测异地登录和交易信息、密码暴力破解以及网站后门。

5.4 定价

安骑士的基本版本现在可以免费使用。购买 ECS 实例后,您只需在登录服务器安全管理控制台之前同意我们的许可协议即可。安骑士的高级版本是付费服务,可为企业提供附加功能,将于 2018 年年中推出。