阿裡雲通用安全設施配置

1. 概述：

       阿裡雲提供了 DDOS 高防、web 應用防火牆、堡壘機、雲安全中心(态勢感覺)等安全設施，其它産品比如 負載均衡SLB, 賬号體系 RAM，RDS 資料庫等提供通路控制，來維護應用的安全。

2. 對外服務安全設定

    應用服務是容器服務叢集通過 SLB 負載均衡對外提供服務，為了防止 CC 攻擊等，建議采用 DDOS 高防和 web 應用防火牆，使用 SLB 通路控制來防止攻擊，具體配置流程如下圖：

2.1 七層協定服務：

         如上圖所示，協定服務通過域名向外提供，配置順序為：

1. 容器服務應用通過負載均衡 slb提供服務，配置 SLB 通路控制 IP 段 為 web 應用防火牆的回源 IP段，回源 IP 段資訊在 web 應用防火牆網站配置處擷取；

   

2. web 應用防火牆網站配置增加域名，設定 http/https 協定，伺服器位址 IP 指向 SLB 負載均衡位址，WAF 前設定有七層代理；

   

   1. 拷貝 waf 配置後的 CNAME 域名，用以後續DDOS 高防配置使用。
3.  配置 DDOS 高防接入-->網站-->添加域名做配置

   1. 

4.  配置域名服務指向 DDOS 高防的 CNAME 域名。
5. 使用 web 應用防火牆設定通路控制。

2.2 四層協定服務：

四層通路協定服務，不支援 web 應用防火牆，其它配置與上文一樣，其中 WAF 的功能可以通過接入層改造接入 WAF 接口實作。

3. 運維配置

        運維同學與開發人員，需要通路部署的應用伺服器，建議使用阿裡雲堡壘機配置通路伺服器，其中運維同學可以通路幾乎所用應用，設立 admin 賬戶，而應用開發同學隻能使用 kubectl 等用戶端指令通路自己負責開發的應用:

3.1 直連跳闆機運維：

         運維同學通過證書直連跳闆機，運維線上環境，通過跳闆機的安全組，限定通路範圍在辦公區。

3.2 堡壘機運維：

         需要根據應用分次元授權：

1. 應用按照 namespace部署，一組業務應用一個 NameSpace;
2. 堡壘機跳闆機上建立應用對應的使用者；
3. 在 堡壘機跳闆機上使用Kubernetes-kubectl 工具  生成證書，該證書綁定應用的 namespace和使用者；
4. 建立 role 和 roleBinding ,授予namespace 下隻讀權限給證書使用者；
5. 堡壘機使用堡壘機跳闆機建立伺服器設定，并使用該應用對應的使用者建立登入憑證；
6. 跳闆機上建立授權組，使用憑證登入堡壘機的跳闆機，并授權給相應使用者，包括開發人員等。
7. 開發人員等登入堡壘機，使用授權組，隻讀通路其所屬應用的 namespace.

4. 通路控制

主要有以下幾類通路控制

• SLB 負載均衡通路控制：
• ECS 機器安全組通路控制：
• web 應用防火牆通路控制：
• Ram 使用者通路控制：
• DRDS/RDS 等雲資源通路控制

嚴格設定各類通路控制，僅僅開發必須的通路範圍。