WEB安全架构
网络安全:
- 按照网络维度不同,分为:外部网络安全;内部网络安全;主机安全
- 外部网络安全:用于区分服务同互联网边界上的安全。如:专线(物理上网线区分);WAF(WEB应用防火墙)/DDoS分布式拒绝服务攻击(Distributed Denial of Service attack)
- 内部网络安全:主要指服务内部的网络安全规划,防止用户攻破一点全部攻破(原来的航母只有外壳,开个洞就会沉;现在都是蜂巢设计)。主要工作是:VPC虚拟私有网络、安全组(逻辑上的拆分),并控制相互之间的网络ACL(Network Access Control List)
- 运行主机和容器的安全:安全的操作系统,即使扫描和修补漏洞,防止后门等。比如可以购买华为云企业主机安全(Host Security Service,HSS)服务,安全容器服务CGS
应用系统安全:
- 应用开发过程中需要注意的漏洞
- 在代码层面解决掉。防止跨站脚本攻击(XSS),注入攻击,跨站请求伪造(CSRF),错误信息,HTML注释,文件上传,路径遍历等。
数据安全:
- 存储安全:
- 敏感数据加密
- 对数据操作进行控制和进行审计
- DB数据存储(操作审计; 敏感数据加密) 、OSS文件存储。各个云都有自己的数据库安全服务,可以购买
- 数据备份方案
- 传输安全:
- 秘钥存储和加密算法
- 采用SSL进行加密传输
运维安全:
- 运维网络安全保障:使用专线或者VPN
- 使用堡垒机操作:可对操作过程进行权限控制,审计日志记录,高危命令拦截等
-
VPN子网规划实践:
1. 研发和正式子网分离
2. VPC虚拟子网拆实践:
- 数据VPC(RDS,OSS等)
- 中间件VPC(Redis,Kafka等)
- 后端服务VPC(部署后端服务)
- 前端服务VPC(部署前端服务)
- 其他公共服务(鉴权服务;发送消息等公用服务)
3. 将运维相关服务独立VPC
- 部署管理服务,运维堡垒机等
名词解释:
WAF的全称是Web Application Firewall(Web应用防火墙)
-- Web应用防火墙对网站或APP的业务流量进行恶意特征识别及防护,将清洗后的安全流量返回至服务器。避免服务器被恶意攻击及入侵,应用被挂马和篡改,保护核心数据安全,保障业务稳定运转。
DDoS攻击,全称为分布式拒绝服务攻击(Distributed Denial of Service attack)
是一种常见的网络安全攻击方式。这种攻击形式主要通过恶意流量消耗网络或网络设备的资源,从而导致网站无法正常运行或在线服务无法正常提供。
网络ACL(Network Access Control List)是专有网络VPC中的网络访问控制功能。您可以自定义设置网络ACL规则,并将网络ACL与交换机绑定,实现对交换机中云服务器ECS实例流量的访问控制。
专有网络VPC(Virtual Private Cloud)是用户基于阿里云创建的自定义私有网络, 不同的专有网络之间二层逻辑隔离,用户可以在自己创建的专有网络内创建和管理云产品实例,比如ECS、SLB、RDS等。
安全组:是一种虚拟防火墙,能够控制ECS实例的出入站流量。您可以将具有相同安全需求并相互信任的ECS实例放入相同的安全组,以划分安全域,保障云上资源的安全。本文介绍安全组的功能、分类、最佳实践和操作指引等。
https://help.aliyun.com/zh/ecs/user-guide/overview-44?spm=a2c4g.11186623.help-menu-25365.d_4_6_0.6dad6418Q3E2Jy
https://blog.csdn.net/c1c7lqbz/article/details/147834482
学习网站:
https://www.pdai.tech/md/arch/arch-x-security.html