边缘云(ENS)聚焦于为客户业务拓展提供一站式覆盖全球、算力弹性、网络优质的分布式全球化边缘基础设施,在面对安全需求时,更多是借助阿里云中心云的安全防护能力。本方案将介绍如何通过云安全中心、边缘云网络安全能力、运维安全中心(堡垒机)和DDoS高防在边缘云上构建业务的安全体系。
一、主机安全(云安全中心)
阿里云云安全中心充分利用云原生架构优势、多年云上安全防护经验和前沿的安全攻防技术,提供涵盖云资产管理、安全配置核查、主动防御、安全加固、云产品配置评估和安全可视化等关键领域的全面的安全解决方案。包含基线配置风险、合规风险、漏洞风险、AK泄露风险、身份和权限管理风险等方面的实时检测能力,有效防御勒索软件、挖矿病毒、木马、Webshell等恶意行为,以及网页篡改等攻击。云安全中心详细介绍请参考:云安全中心。
云安全中心支持边缘云(ENS)的安全能力
功能分类 | 左侧导航栏路径 | 功能 |
资产中心 | 资产中心> 资产总览 | 资产总览 |
资产中心> 主机资产 | 同步最新资产 | |
多云资产接入 | ||
安全检查 | ||
客户端问题排查 | ||
资产采集 | ||
批量运维和云监控(需安装云助手) | ||
开启保护或暂停保护 | ||
解除绑定 | ||
资产指纹调查 | ||
风险治理 | 风险治理> 漏洞管理 | Linux软件漏洞(检测 / 修复) |
Windows系统漏洞(检测 / 修复) | ||
Web-CMS漏洞(检测 / 修复) | ||
应急漏洞(检测) | ||
应用漏洞(SCA检测) | ||
风险治理> 基线检查 | 基线检查(检查 / 修复) | |
风险治理> 云蜜罐 | 主机蜜罐 | |
风险治理> 恶意文件检测SDK | 恶意文件检测SDK | |
风险治理> 日志分析 | 主机日志 | |
安全日志 | ||
检测响应 | 检测响应> 安全告警 | Web目录定义 |
告警处置规则 | ||
数据归档 | ||
查看和恢复隔离文件 | ||
检测响应> 攻击分析 | 攻击分析 | |
防护配置 | 防护配置> 主机防护> 防勒索 | 防勒索 |
防护配置> 主机防护> 病毒查杀 | 病毒查杀 | |
防护配置> 主机防护> 网页防篡改 | 网页防篡改 | |
防护配置> 主机防护> 主机规则管理 | 恶意行为防御 | |
常用登录管理 | ||
防护配置> 容器防护> 镜像安全扫描 | 镜像系统漏洞扫描 | |
镜像应用漏洞扫描 | ||
镜像基线检查扫描 | ||
镜像恶意样本扫描 | ||
镜像系统漏洞修复 | ||
镜像应用漏洞修复 | ||
镜像恶意样本修复 | ||
防护配置> 容器防护> 容器主动防御 | 容器主动防御 | |
防护配置> 容器防护> 容器文件防御 | 容器防火墙 | |
防护配置> 应用防护 | 应用防护 | |
系统配置 | 系统配置> 安全报告 | 安全报告 |
系统配置> 功能设置 | 功能设置 | |
系统配置> 通知设置 | 通知设置 |
云安全中心开通及部署
购买云安全中心:
您可以在阿里云官网的云安全中心产品页直接购买云安全中心产品,云安全中心针对不同场景下的安全防护需求,提供了多个版本的基础防护服务和增值服务。您可以根据自身的安全需求,灵活购买所需的版本和增值服务。详情请参见:购买云安全中心。
在ENS实例上安装云安全中心客户端:
边缘节点服务 ENS计算实例只有安装客户端后,才能使用云安全中心的安全防护能力。云安全中心客户端是安装在计算实例中的软件程序,用于收集和分析多种日志和数据,以监控和检测实例中潜在的安全威胁。
在安装云安全中心客户端前,请先确认您的边缘节点服务 ENS计算实例可以访问公网。
登录ENS计算实例,使用管理员或者root权限执行客户端安装命令。
Linux系统安装命令
wget "https://aegis.alicdn.com/download/install/2.0/linux/AliAqsInstall.sh" && chmod +x AliAqsInstall.sh && ./AliAqsInstall.sh -k=v342lkWindows系统CMD安装命令
powershell -executionpolicy bypass -c "(New-Object Net.WebClient).DownloadFile('http://aegis.alicdn.com/download/install/2.0/windows/AliAqsInstall.exe',$ExecutionContext.SessionState.Path.GetUnresolvedProviderPathFromPSPath('.\AliAqsInstall.exe'))"; "./AliAqsInstall.exe -k=Az481e"
验证客户端是否安装成功:
安装客户端后,云安全中心会在您的服务器中下载客户端相关文件,并启动相应进程。您可以通过确认客户端进程的状态或在云安全中心控制台上查看客户端状态,判断客户端是否安装成功。
如图所示,您可以查看到一个边缘节点服务 ENS计算实例已经纳入云安全中心的主机资产管理中。
说明因边缘云算力是分散在阿里云中心云之外的节点上,所以在云安全中心中显示为云外主机。
二、节点内网络安全
1.安全组
安全组是边缘节点服务 ENS在边缘节点提供的一种虚拟防火墙能力,能够控制ENS实例的出入站流量。安全组的入方向规则控制ENS实例的入站流量,出方向规则控制ENS实例的出站流量。
安全组的使用流程分四步:
创建安全组:
边缘云的安全组创建与中心云安全组创建是存在差异的,在创建边缘云安全组时只需录入安全组名称即可。边缘云安全组不归属于任何节点以及任何VPC网络,安全组及其规则可以在全局任意节点及VPC生效。
添加安全组规则:
安全组规则用来控制ENS实例的出入站流量。适用于允许或拒绝特定网络流量、封锁不必要的端口、限制特定协议的流量和配置应用程序访问权限等使用场景。
您可以在创建安全组时同步添加安全组规则,也可以在安全组创建后再添加安全组规则。
ENS实例加入安全组:
创建ENS实例时,您至多可以指定加入一个安全组。后续可以根据业务需求,在ENS实例列表页将实例加入多个安全组,在决定ENS实例的流量能否通过时,会将ENS实例多个安全组的规则汇总在一起,按照固定的策略排序,并与安全组对流量的默认访问控制规则一起,作用于ENS实例,决定允许或拒绝流量通过。
管理安全组规则:
安全组规则设置不当可能导致严重的安全隐患。您可结合自身实际业务需求管理安全组规则,以保障ENS实例的网络安全。
您可以在安全组详情页进行安全组出入向规则的修改操作,一旦安全组规则修改,会作用于边缘云全部节点上加入该安全组的所有ENS实例。
2.网络ACL
网络ACL是专有网络VPC中的网络访问控制功能。您可以自定义设置网络ACL规则,并将网络ACL与VPC网络绑定,实现对边缘云VPC中ENS计算实例流量的访问控制。
网络ACL与安全组都是控制流入和流出流量的网络能力,但网络ACL是作用到整个VPC网络的,网络ACL规则会控制VPC网络下的所有ENS实例出入VPC的数据流;安全组是作用到具体的ENS实例,仅控制加入该安全组下的ENS实例出入向数据流。
如果您部署在边缘云VPC内的业务对公网的访问规则一致,可以通过配置网络ACL实现全部ENS实例的流量控制;如果您部署在边缘云VPC内的业务具有多样性,可以通过更细粒度的安全组实现具体ENS实例的流量控制。
三、运维安全(运维安全中心)
运维安全中心是阿里云提供的运维和安全审计管控平台,可集中管理运维权限,全程管控操作行为,实时还原运维场景,保障运维行为身份可鉴别、权限可管控、操作可审计,解决资产多、难管理、运维职责权限不清晰以及运维事件难追溯等问题,助力企业满足等保合规需求。运维安全中心详细介绍请参考:运维安全中心(堡垒机)。
运维安全中心支持边缘云(ENS)的能力
运维边缘节点服务 ENS资源,需要使用运维安全中心的企业双引擎版本,通过网络域代理模式实现边缘云资产的统一运维管控。
功能 | 描述 |
用户管理 | 支持多种用户角色(管理员、运维员、审计员等)。 |
支持新建单个用户及通过文件批量导入用户。 | |
支持自动同步RAM用户、AD/LDAP用户。 | |
支持对接IDaaS用户,将钉钉、Azure AD等多种身份认证来源用户同步为堡垒机用户。 | |
支持用户状态标记,包括已过期、锁定、长时间未登录等多种状态。 | |
支持设置用户锁定、密码有效期等策略。 | |
资产管理 |
|
支持对MySQL、SQL Server、PostgreSQL、Oracle类型的RDS和自建数据库进行运维管控和审计。 | |
支持手动新建以及一键导入阿里云和第三方云资产。 | |
支持资产账密(密码/密钥)托管,运维人员无需感知资产密码即可对资产运维访问。 | |
支持资产状态检测,对ECS、RDS实例以及网络连通性状态进行定期或手动检测。 | |
可联动云安全中心资产风险监控状况,及时提醒包含告警、漏洞、基线等风险状态及数量,并支持快速跳转至云安全中心处理风险闭环。 | |
支持多云、云上及线下IDC服务器等混合场景统一运维。 | |
支持网络域代理模式,堡垒机可通过代理服务器与其他内网环境的资产网络连通。 | |
支持对Linux服务器手动或者定期执行改密任务。 | |
运维管控 | 支持短信、邮箱、手机TOTP令牌及钉钉双因子认证。 |
支持Mstsc、Xshell、SecureCRT、Putty等客户端工具登录堡垒机访问主机。 | |
使用本地WinSCP、Xftp、SecureFX等SFTP客户端工具登录堡垒机进行文件传输。 | |
支持独立运维门户界面。 | |
支持网页端访问主机。 | |
支持实时监控正在进行的会话,并可随时阻断会话。 | |
支持对RDP运维时,粘贴板上传或下载、磁盘映射等操作进行控制。 | |
支持SSH运维时,设置命令黑白名单阻断及审批策略,控制高危、敏感命令执行。 | |
支持在运维过程中,对文件的上传、下载、删除、重命名、文件夹的创建、删除等操作进行控制。 | |
支持启用运维二次审批,只有在管理员批准后,运维员才能访问资产。 | |
支持限制登录堡垒机的用户、资产的来源IP及登录时段。 | |
支持设置运维空闲时长限制及总时长限制。 | |
日志审计 | 支持针对运维操作全程进行日志及录像审计,可通过录像清晰地还原并追溯运维过程。 |
支持对文件传输进行审计。 | |
支持生成运维报表,可导出PDF、HTML、WORD三种格式的报表。 | |
支持将会话审计日志转存至SLS及通过日志备份下载到本地。 | |
接口 | 支持OpenAPI接口调用。 |
运维安全中心开通及部署
购买运维安全中心:
您可以在阿里云官网的运维安全中心产品页直接购买运维安全中心产品,运维安全中心针对不同场景下的运维安全需求,提供了多个版本的堡垒机服务。详情请参见:开通免费试用。
管理边缘节点服务 ENS计算实例:
在运维安全中心购买云堡垒机后,可进入云堡垒机管理界面进行管理。
新建网络域:
云堡垒机运行在阿里云中心云上,边缘云算力分散在阿里云中心云之外的节点上,因此边缘云算力与云堡垒机所在专有网络VPC的内网是不互通的,在运维边缘节点服务 ENS实例时推荐使用云堡垒机的网络域功能。
您可以为边缘节点服务 ENS资产配置一台代理服务器,然后在云堡垒机中新建网络域并添加代理服务器,将资产加入该网络域后即可通过云堡垒机运维资产。
在网络域列表页新建网络域,配置链接方式为代理,并配置主代理服务器信息。
主代理服务器需要配置代理方式、服务器地址、服务器端口、主机账户及密码相关信息。代理方式支持SSH代理、HTTP代理、SOCKS5代理三种方式。
资产管理-导入边缘节点服务 ENS计算实例:
在主机列表页选择导入其他来源主机,通过新建主机方式纳管ENS实例。
新建主机需要配置操作系统、主机IP、主机名、网络域等相关信息。
如果网络域选择代理方式,主机IP配置内网IP,如果网络域选择直连方式,主机IP配置公网IP。
资产管理-新建主机账户:
将ENS计算实例导入为主机资产后,可在主机列表页的操作列点击新建主机账户,配置访问协议、登录名、认证类型及对应的密码或密钥,用于日常运维访问。
人员管理-授权主机:
在主机被导入后,可进入人员管理>用户列表页,为RAM用户授权可运维的主机资源。
资产运维:
被授权的RAM用户登录后,可在资产运维>主机运维列表页下查看到被授权运维的主机资源,可通过远程连接方式进行主机运维操作。
四、攻击防护(DDoS高防)
DDoS高防(Anti-DDoS)是阿里云提供的DDoS攻击代理防护服务,可以抵御流量型和资源耗尽型DDoS攻击,支持防护阿里云、非阿里云或云外的服务器。业务接入DDoS高防后,当遭受大流量DDoS攻击时,DDoS高防通过DNS解析将流量调度到高防机房进行清洗,并将干净流量转发给服务器。
DDoS高防详细介绍请参考:什么是DDoS高防。
DDoS高防支持边缘云(ENS)的能力
根据业务服务器部署地域的不同,DDoS高防提供DDoS高防(中国内地)和DDoS高防(非中国内地)。
DDoS高防(中国内地):适用于业务服务器部署在中国内地的场景。采用中国内地独有的T级八线BGP带宽资源,为接入防护的业务防御超大流量的DDoS攻击。提供专业版和高级版两种实例类型。
DDoS高防(非中国内地):适用于业务服务部署在非中国内地的场景。依托先进的分布式近源清洗能力,为接入防护的业务提供不设上限的DDoS攻击全力防护能力。
功能分类 | DDoS高防(中国内地) | DDoS高防(非中国内地) | ||
IPv4高防 | IPv6高防 | |||
业务接入方式 | 域名接入 |
|
|
|
端口接入 |
|
|
| |
流量调度器 | 具体支持:
| 具体支持:
| 具体支持:
| |
基础设施DDoS防护 | 设置全局防护策略 |
|
|
|
设置黑白名单(针对高防实例IP) |
|
|
| |
设置区域封禁 | 仅防护套餐为增强版时支持 | × | 仅防护套餐为增强版时支持 | |
黑洞解封 |
| × | × | |
设置近源流量压制 |
| × | × | |
设置UDP反射攻击防护 | 仅防护套餐为增强版时支持 | × | 仅防护套餐为增强版时支持) | |
网站业务DDoS防护 | 设置AI智能防护 |
|
|
|
设置DDoS全局防护策略 |
|
|
| |
设置黑白名单(针对域名) |
|
|
| |
设置区域封禁(针对域名) | 仅防护套餐为增强版时支持 | 仅防护套餐为增强版时支持 | 仅防护套餐为增强版时支持) | |
设置CC安全防护 |
|
|
| |
非网站业务DDoS防护 | 设置四层AI智能防护 |
| × |
|
虚假源 |
|
|
| |
高级攻击防护 仅支持防护TCP端口业务。 |
|
|
| |
目的限速 |
|
|
| |
包长度过滤 |
|
|
| |
源限速 |
| × |
| |
定制场景策略 |
|
|
| |
防护分析 | 攻击分析 |
| × |
|
全量日志分析 |
|
|
| |
系统日志 |
|
|
| |
操作日志 |
|
|
| |
高级防护日志 |
|
|
| |
云监控告警 |
|
|
| |
DDoS高防开通及部署
购买DDoS高防:
您可以在阿里云官网的DDoS高防产品页直接购买DDoS高防产品。详情请参见:DDoS高防(新BGP)。
接入管理:
域名接入
如果是网站业务,可将网站域名配置到DDoS高防,DDoS高防会为网站生成一个CNAME地址,您需要将网站域名的DNS解析指向高防CNAME地址,DDoS高防才能转发业务流量为网站防御DDoS攻击。
端口接入
非网站业务(例如客户端应用程序)接入DDoS高防时,需要配置端口转发规则,使业务流量先经过DDoS高防清洗,再转发到源站服务器。
配置验证:
成功添加DDoS高防网站或端口配置后,DDoS高防预期会把请求高防IP对应端口的报文转发到源站(真实服务器)的对应端口。为了保证业务的稳定,我们建议您在进行业务接入高防配置前先完成本地验证,确保转发配置已经生效。