WEB安全架构

网络安全:

  • 按照网络维度不同,分为:外部网络安全;内部网络安全;主机安全

  • 外部网络安全:用于区分服务同互联网边界上的安全。如:专线(物理上网线区分);WAF(WEB应用防火墙)/DDoS分布式拒绝服务攻击(Distributed Denial of Service attack)

  • 内部网络安全:主要指服务内部的网络安全规划,防止用户攻破一点全部攻破(原来的航母只有外壳,开个洞就会沉;现在都是蜂巢设计)。主要工作是:VPC虚拟私有网络、安全组(逻辑上的拆分),并控制相互之间的网络ACL(Network Access Control List)

  • 运行主机和容器的安全:安全的操作系统,即使扫描和修补漏洞,防止后门等。比如可以购买华为云企业主机安全(Host Security Service,HSS)服务,安全容器服务CGS

应用系统安全:

  • 应用开发过程中需要注意的漏洞

  • 在代码层面解决掉。防止跨站脚本攻击(XSS),注入攻击,跨站请求伪造(CSRF),错误信息,HTML注释,文件上传,路径遍历等。

数据安全:

  • 存储安全:

  • 敏感数据加密

  • 对数据操作进行控制和进行审计

  • DB数据存储(操作审计; 敏感数据加密) 、OSS文件存储。各个云都有自己的数据库安全服务,可以购买

  • 数据备份方案

  • 传输安全:

  • 秘钥存储和加密算法

  • 采用SSL进行加密传输

运维安全:

  • 运维网络安全保障:使用专线或者VPN

  • 使用堡垒机操作:可对操作过程进行权限控制,审计日志记录,高危命令拦截等

VPN子网规划实践:

  1. 研发和正式子网分离

  2. VPC虚拟子网拆实践:

  • 数据VPC(RDS,OSS等)

  • 中间件VPC(Redis,Kafka等)

  • 后端服务VPC(部署后端服务)

  • 前端服务VPC(部署前端服务)

  • 其他公共服务(鉴权服务;发送消息等公用服务)

  1. 将运维相关服务独立VPC
  • 部署管理服务,运维堡垒机等

名词解释:

WAF的全称是Web Application Firewall(Web应用防火墙)‌

-- Web应用防火墙对网站或APP的业务流量进行恶意特征识别及防护,将清洗后的安全流量返回至服务器。避免服务器被恶意攻击及入侵,应用被挂马和篡改,保护核心数据安全,保障业务稳定运转。

DDoS攻击,全称为分布式拒绝服务攻击(Distributed Denial of Service attack)

是一种常见的网络安全攻击方式。这种攻击形式主要通过恶意流量消耗网络或网络设备的资源,从而导致网站无法正常运行或在线服务无法正常提供。

网络ACL(Network Access Control List)是专有网络VPC中的网络访问控制功能。您可以自定义设置网络ACL规则,并将网络ACL与交换机绑定,实现对交换机中云服务器ECS实例流量的访问控制。

专有网络VPC(Virtual Private Cloud)是用户基于阿里云创建的自定义私有网络, 不同的专有网络之间二层逻辑隔离,用户可以在自己创建的专有网络内创建和管理云产品实例,比如ECS、SLB、RDS等。

安全组:是一种虚拟防火墙,能够控制ECS实例的出入站流量。您可以将具有相同安全需求并相互信任的ECS实例放入相同的安全组,以划分安全域,保障云上资源的安全。本文介绍安全组的功能、分类、最佳实践和操作指引等。

https://help.aliyun.com/zh/ecs/user-guide/overview-44?spm=a2c4g.11186623.help-menu-25365.d_4_6_0.6dad6418Q3E2Jy

https://blog.csdn.net/c1c7lqbz/article/details/147834482

学习网站:

https://www.pdai.tech/md/arch/arch-x-security.html

相关推荐
qyhua6 小时前
【Linux运维实战】彻底修复 CVE-2011-5094 漏洞
linux·运维·安全
Andya_net7 小时前
网络安全 | 深入了解 X.509 证书及其应用
服务器·安全·web安全
可触的未来,发芽的智生7 小时前
新奇特:黑猫警长的纳米世界,忆阻器与神经网络的智慧
javascript·人工智能·python·神经网络·架构
悟乙己7 小时前
MLops | 基于AWS Lambda 架构构建强大的机器学习(ML)血缘关系
机器学习·架构·aws
007php0077 小时前
百度面试题解析:微服务架构、Dubbo、Redis及其一致性问题(一)
redis·百度·docker·微服务·容器·职场和发展·架构
尘世中一位迷途小书童13 小时前
版本管理实战:Changeset 工作流完全指南(含中英文对照)
前端·面试·架构
尘世中一位迷途小书童13 小时前
VitePress 文档站点:打造专业级组件文档(含交互式示例)
前端·架构·前端框架
m0_6515939113 小时前
Netty网络架构与Reactor模式深度解析
网络·架构
骥龙14 小时前
2.8、权限的终极目标:提权与持久化
安全·网络安全
SuperherRo16 小时前
JS逆向-安全辅助项目&Yakit热加载&魔术方法&模版插件语法&JSRpc进阶调用&接口联动
javascript·安全·yakit·jsrpc·热加载