1. 概述:
阿裡雲提供了 DDOS 高防、web 應用防火牆、堡壘機、雲安全中心(态勢感覺)等安全設施,其它産品比如 負載均衡SLB, 賬号體系 RAM,RDS 資料庫等提供通路控制,來維護應用的安全。
2. 對外服務安全設定
應用服務是容器服務叢集通過 SLB 負載均衡對外提供服務,為了防止 CC 攻擊等,建議采用 DDOS 高防和 web 應用防火牆,使用 SLB 通路控制來防止攻擊,具體配置流程如下圖:
![](https://img.laitimes.com/img/9ZDMuAjOiMmIsIjOiQnIsIyZuBnL0EWZ5ETZwkDO1IzYkhjYwcTOkFmN1YjZjJDOxEDZ1Q2Lc12bj5yYulWLuVXepxWYuIWdw1ycz9mL19Ga6dmbhhWLuNmLn1WatITY0F2Lc9CX6MHc0RHaiojIsJye.png)
2.1 七層協定服務:
如上圖所示,協定服務通過域名向外提供,配置順序為:
- 容器服務應用通過負載均衡 slb提供服務,配置 SLB 通路控制 IP 段 為 web 應用防火牆的回源 IP段,回源 IP 段資訊在 web 應用防火牆網站配置處擷取;
阿裡雲通用安全設施配置1. 概述:2. 對外服務安全設定3. 運維配置4. 通路控制 - web 應用防火牆網站配置增加域名,設定 http/https 協定,伺服器位址 IP 指向 SLB 負載均衡位址,WAF 前設定有七層代理;
阿裡雲通用安全設施配置1. 概述:2. 對外服務安全設定3. 運維配置4. 通路控制 - 拷貝 waf 配置後的 CNAME 域名,用以後續DDOS 高防配置使用。
- 配置 DDOS 高防接入-->網站-->添加域名做配置
-
阿裡雲通用安全設施配置1. 概述:2. 對外服務安全設定3. 運維配置4. 通路控制
-
- 配置域名服務指向 DDOS 高防的 CNAME 域名。
- 使用 web 應用防火牆設定通路控制。
2.2 四層協定服務:
四層通路協定服務,不支援 web 應用防火牆,其它配置與上文一樣,其中 WAF 的功能可以通過接入層改造接入 WAF 接口實作。
3. 運維配置
運維同學與開發人員,需要通路部署的應用伺服器,建議使用阿裡雲堡壘機配置通路伺服器,其中運維同學可以通路幾乎所用應用,設立 admin 賬戶,而應用開發同學隻能使用 kubectl 等用戶端指令通路自己負責開發的應用:
3.1 直連跳闆機運維:
運維同學通過證書直連跳闆機,運維線上環境,通過跳闆機的安全組,限定通路範圍在辦公區。
3.2 堡壘機運維:
需要根據應用分次元授權:
- 應用按照 namespace部署,一組業務應用一個 NameSpace;
- 堡壘機跳闆機上建立應用對應的使用者;
- 在 堡壘機跳闆機上使用Kubernetes-kubectl 工具 生成證書,該證書綁定應用的 namespace和使用者;
- 建立 role 和 roleBinding ,授予namespace 下隻讀權限給證書使用者;
- 堡壘機使用堡壘機跳闆機建立伺服器設定,并使用該應用對應的使用者建立登入憑證;
- 跳闆機上建立授權組,使用憑證登入堡壘機的跳闆機,并授權給相應使用者,包括開發人員等。
- 開發人員等登入堡壘機,使用授權組,隻讀通路其所屬應用的 namespace.
4. 通路控制
主要有以下幾類通路控制
- SLB 負載均衡通路控制:
- ECS 機器安全組通路控制:
- web 應用防火牆通路控制:
- Ram 使用者通路控制:
- DRDS/RDS 等雲資源通路控制
嚴格設定各類通路控制,僅僅開發必須的通路範圍。