小弟近期有去參加阿里雲雲安全的一些線上課程,以及報考他們的專科考試
分為以下四種,複習完這些題目及講解,也可以挑戰自己,試著考取阿里雲ACA雲安全相關證照。
Secure Your Data in Alibaba Cloud
Use Alibaba Cloud Anti-DDoS Basic And Pro To Defend DoS Attack
Best Practice To Protect Your Servers On Alibaba Cloud
Cloud Application Security
而以下內容為小弟近期參加阿里雲.雲安全項目考題中
依照我考試印象中有出的題目分享,看到一些可以分享給大家了解的資訊,讓其他人也能一起從中學習到知識以及遇到題目明白如何回答解決!
內容會不定期更新。
Secure
Your Data on Alibaba Cloud
快照,是某一個時間點上某一塊彈性區塊存放裝置(簡稱“磁碟”)的資料備份。快照的實現原理。
物理備份和邏輯備份?
物理備份:物理備份是磁片塊為基本組織將數據從主機複製到備機。
邏輯備份:邏輯備份是以檔案為基本組織將數據從主機複製到備機。
雲數據庫 RDS for SQL Server 實例上配置安全套接字層 (SSL) 加密。您必須在 RDS 實例上啟用 SSL 加密,並在您的應用程序上安裝由證書頒發機構 (CA) 頒發的 SSL 證書。SSL 用於傳輸層以加密網絡連接。這使您可以增強傳輸數據的安全性和完整性。但是,SSL 會增加響應時間。
SSL 證書的有效期為一年。在使用的 SSL 證書到期之前,您必須更新其有效期。此外,您必須下載所需的 SSL 證書文件並重新配置 SSL 證書。否則,客戶端無法通過加密連接連接到您的 RDS 實例。
另外阿里雲的安全證書服務,能夠輕鬆地幫你一次部屬證書在阿里雲的其他產品,例如CDN、WAF、OSS
可部屬產品連結可參考: https://help.aliyun.com/document_detail/28535.htm?spm=a2c4g.11186623.0.0.6c5365fclEVQAI#section-i5v-dd4-g4f
SSL 加密可能會導致 CPU 使用率顯著增加。我們建議您僅在您想要加密與 RDS 實例的公共端點的連接時啟用 SSL 加密。在大多數情況下,與 RDS 實例的內部端點的連接是安全的,不需要 SSL 加密。
SSL 加密啟用後無法禁用。謹慎行事。與您的 RDS 實例的讀寫分離端點的連接不支持 SSL 加密。
數據庫如果發生損壞或崩潰的情況,使用阿里雲的RDS由控制台可以以備份集、指定時間點的方式輕鬆進行備份還原
Use Alibaba Cloud Anti-DDoS
Service to Defend DoS Attack
DoS攻擊是一種對使用者進行的惡意攻擊,以影響其目標系統 (例如網站或應用程式) 運行。通攻擊者會產生大量的封包或請求,最終使得目標系統無法負荷。如果是分散式拒絕服務 (DDoS) 攻擊,攻擊者會使用多個IP或者系統主機來造成攻擊
Best Practice to Protect Your
Servers on Alibaba Cloud
使用阿里雲的Server Guard可以防止系統被暴露的風險,且異常登入時會有告警,另外隨時會有更新補丁來防止系統漏洞被黑客攻擊
會造成漏洞的主因主要是軟體本身可能設計上有所缺陷,或者語言指令在書寫時有錯誤
Cloud Application Security
使用WAF如果需要添加一條DNS並且將域名配對到WAF提供的IP 該DNS需為CNAME
WAF如果設定了數據風控,數據風控是針對整個網域(www.abc.com)開啟的,數據風控需要在該網站下的所有頁面插入JS(JavaScript)來判斷用戶行為是否可信。
防護請求URL注意事項
防護請求URL必須合理到實際請求URL,不支持模糊匹配。
例如,將www.test.com/test設置為防護請求URL,則數據風控只匹配測試路徑的訪問請求,不會匹配測試路徑下所有頁面的訪問請求。
數據風控支持對網頁目錄進行防護。
例如,您將防護請求URL設置為www.ab.com/book/*,檢測到www.abc.com/book路徑下所有頁面的請求實現數據風控防護。但是,不建議您為全站配置防護。屏蔽設置www.abc.com/*為防護請求URL,將導致用戶訪問網站首頁時也需要通過瀏覽驗證,影響用戶體驗。
直接請求數據風控已保護的URL一定會觸發滑塊驗證。因此,請確保所配置的防護請求URL在情況下不會被用戶直接請求,正常正常用戶通常需要經過隱私訪問後會請求該URL地址。
直接調用API接口的場景不適合使用數據風控進行防護。由於API調用是直接發起的機器行為,無法通過數據風控的人機識別。接口的情況,可以通過數據風控功能進行防護。
CC攻擊是所謂第七層-應用層的攻擊,與DDoS攻擊類似,主要是用來癱瘓網頁,會消耗伺服器大量的資源,以及模擬多個IP對用戶端發送請求來造成癱瘓。
如果要在阿里雲上架設WAF、CDN、Anti-ddos最佳的架設架構如下
客戶端 > DDoS 防護 > CDN > WAF > 負載均衡 > 站源。
可參考以下網站:
阿里雲的WAF保護模式總共分為三個等級
Loosa(鬆散) Normal(普通) Strict(嚴格)
HTTP FLOOD、CC攻擊的保護模式設定也可以分為以下兩種
Normal(普通) Emergency(緊急)
如果Linux系統想要查詢在ECS中使用的硬碟情況,可以於終端機輸入df –h 指令查詢
瀏覽網頁結果發現網頁跳出的錯誤代碼為Error404,其意思代表為網頁不存在、無法請求該網頁
參考文檔: 状态码说明 - 站点监控| 阿里云 (alibabacloud.com)
有些病毒的攻擊方式會由主機所開放的端口來發起攻擊,例如2017年曾經很流行的WannaCry(勒索病毒),主要攻擊端口 445,如果想防範這類型的攻擊,最簡單且有效的方式就是直接關閉端口445的使用
使用阿里雲的服務,有時候官方那邊會發現一些系統或安全的漏洞,會進行hotfix(熱修復)的行為,關於hotfix的部分是不需要重新啟動主機的,會於線上立刻修復
當阿里雲的“ Server Guard”檢測到遠程登錄行為時,“ Server Guard”控制台會告訴你檢測到遠程登入!
在阿里雲上管理伺服器的帳戶密碼,盡量使用大小寫英文字母及特殊符號跟數字搭配的密碼,除了一些主要管理系統的帳戶以外,其他帳戶能刪就刪,把名稱為管理員的改成其他暱稱防止駭客主要攻擊該帳戶或猜測密碼
雖然阿里雲中有Server Guard保護,不代表有了以後就可以在用戶密碼上鬆懈。
Server Guard 提供保護包含木馬檢測、密碼強弱度檢測、Linux系統漏洞掃描,但不包含敏感數據的加密
參考文檔:https://www.alibabacloud.com/blog/alibaba-cloud-server-guard-a-comprehensive-assessment_284390
如果您的公司有員工需要從公司網路通過Server Guard訪問ESC server,有時候會可能會被Server Guard 當成威脅,有攻擊性的IP,所以需要另外把訪問的IP在Server Guard那邊加入白名單
OSI模型分為七層,分別為以下。
第7層 應用層
第6層 表達層
第5層 會議層
第4層 傳輸層
第3層 網路層
第2層 資料連結層
第1層 實體層
在ISO / OSI 7層模型中 ftp、smtp、dns、www為應用層協議
參考文檔:https://www.alibabacloud.com/blog/installing-wireshark-on-alibaba-cloud_594915
Windows OS中,可以使用regedit指令來打開註冊表並編輯。
ARP協議專用於解析IP和MAC地址
在RedHat Linux Shell中使用df指令可用於檢查磁盤使用情況
參考文檔:https://blog.gtwang.org/linux/linux-df-command-check-disk-space-usage-tutorial-script-example/
WAF提供的功能包含SQL注入檢測、XSS攻擊檢測、未經授權的資源訪問阻止,但不包含DB加密的功能
參考文檔: https://www.alibabacloud.com/product/waf
在Linux OS中,777這個八進位數(-rwxrwxrwx)指令可對對所有者進行讀取,寫入和執行,
參考文檔:
https://blog.csdn.net/u013197629/article/details/73608613
https://www.cnblogs.com/huchong/p/9075201.html
常見的權限表示形式有:
-rw------- (600) 只有擁有者有讀寫權限。
-rw-r--r-- (644) 只有擁有者有讀寫權限;而屬組用戶和其他用戶只有讀權限。
-rwx------ (700) 只有擁有者有讀、寫、執行權限。
-rwxr-xr-x (755) 擁有者有讀、寫、執行權限;而屬組用戶和其他用戶只有讀、執行權限。
-rwx--x--x (711) 擁有者有讀、寫、執行權限;而屬組用戶和其他用戶只有執行權限。
-rw-rw-rw- (666) 所有用戶都有文件讀、寫權限。
-rwxrwxrwx (777) 所有用戶都有讀、寫、執行權限。
沒有留言:
張貼留言