目录
https://support.huaweicloud.com/swp-sap/sap_03_0001.html
网络隔离与访问控制
SAP生产环境安全解决方案如图1 生产环境安全解决方案全景图所示。
根据业务特点,参考企业安全实践,建议将云上系统(生产环境、开发测试环境)划分为不同安全级别的多个子区域(以子网为粒度进行隔离),包括管理区、应用区、SAP DB区、DMZ区。
其中DMZ区较为特殊,其与Internet有交互,并且DMZ区为开发测试、生产共用区域。各区域建议采用相应的安全策略,限制区域间以及外部的访问。
- DMZ区:直接与Internet互联,承载公网用户以及SAP支持人员对业务系统的访问,安全级别最低,安全风险最高。
- 应用区:部署SAP应用,供企业内部(IDC)用户接入使用,以及与AD服务器等系统互联,安全级别高于DMZ区。
- SAP DB区:主要部署SAP DB,仅能被内网应用区、管理区等受限访问,安全级别最高。
- 管理区:部署运维堡垒机,作为系统运维人员(企业内部),管理、运维其它区域云主机及系统的中转区域。
各区域采用相应的安全策略(使用安全组、网络ACL实现),限制区域间以及外网的访问,策略的设置建议遵从“默认失败”、“最小化”原则:针对特定的访问源,仅开放业务必须的[IP]:[PORT]。
例如,对于企业内部管理员,可访问管理区堡垒机远程登录端口,而其他一般用户,或内部系统则无法访问。对于企业内部一般用户,应仅能访问内网应用区的SAP业务端口。系统内部各区域间(子网隔离),应使用网络ACL限制默认拒绝所有流量,业务必须流量已白名单方式添加。
本章节将主要描述生产环境内部区域间的访问控制策略,基于上文提到的两个原则,给出网络ACL及安全组的设置建议(开发测试环境较为特殊,为了保证IDC内用户对该区资源的访问效率以及网络灵活性,相比生产环境,内部采用稍弱的访问控制策略,详见第2节)。
安全策略
如图2 生产环境子网、网络ACL分布图所示,生产环境涉及8个子网,建议分别创建相应的网络ACL实例:NACL-DMZ-SAP-Router、NACL-PRD-DMZ、NACL-PRD-APP、NACL-PRD-SAPDB-BUSI、NACL-PRD-SAPDB-INTERNAL、NACL-PRD-MGMT。
网络ACL“NACL-DMZ-SAP-Router”,关联生产环境、开发测试环境公用的DEV&PRD-SAP-Router子网。通过策略限制,出方向限制可由SAP-Router访问生产环境SAP应用区、SAP-DB区指定的业务端口,入方向限制可由管理区堡垒机访问子网内服务器的管理端口(22等)。
说明:本节中提到的IP地址及端口号仅为示例,如有其它管理端口,可根据实际情况增加策略。本节仅涉及生产环境内部策略。
| 规则 # |
目的 IP |
协议 |
目的端口 |
允许/拒绝 |
说明 |
|---|---|---|---|---|---|
| 对PRD-应用区 |
172.22.8.0/24 |
TCP |
234 |
允许 |
允许SAP-Router服务器访问PRD-应用区域内服务器234业务端口。 |
| 对PRD-SAP-DB区 |
172.22.9.0/24 |
TCP |
345 |
允许 |
允许SAP-Router服务器访问PRD-SAP-DB区域内服务器345业务端口。 |
| * |
0.0.0.0/0 |
ANY |
ANY |
拒绝 |
拒绝所有未经前置规则处理的入站数据流。 |
| 规则 # |
源 IP |
协议 |
目的端口 |
允许/拒绝 |
说明 |
|---|---|---|---|---|---|
| 对PRD-管理区 |
172.22.6.0/24 |
TCP |
22 |
允许 |
允许生产环境管理区堡垒机访问本区域内服务器SSH端口。 |
| * |
0.0.0.0/0 |
ANY |
ANY |
拒绝 |
拒绝所有未经前置规则处理的入站数据流。 |
网络ACL“NACL-PRD-MGMT”,关联生产环境PRD-管理子网,出方向通过策略限制可由管理区堡垒机访问生产环境其它区域服务器的管理端口(22等),并拒绝由其它区域发起的对管理区堡垒机的连接。
| 规则 # |
目的 IP |
协议 |
目的端口 |
允许/拒绝 |
说明 |
|---|---|---|---|---|---|
| 对PRD-DMZ区 |
172.22.7.0/24 |
TCP |
22 |
允许 |
允许生产环境管理区堡垒机访问PRD-DMZ区服务器SSH端口。 |
| 对PRD-应用区 |
172.22.8.0/24 |
TCP |
22 |
允许 |
允许生产环境管理区堡垒机访问PRD-应用区服务器SSH端口。 |
| 对PRD-SAP-DB区 |
172.22.9.0/24 |
TCP |
22 |
允许 |
允许生产环境管理区堡垒机访问PRD-SAP-DB区服务器SSH端口。 |
| 对DEV&PRD-SAP-Router |
172.22.1.0/24 |
TCP |
22 |
允许 |
允许生产环境管理区堡垒机访问DEV&PRD-SAP-Router服务器SSH端口。 |
| * |
0.0.0.0/0 |
ANY |
ANY |
拒绝 |
拒绝所有未经前置规则处理的数据流。 |
| 规则 # |
源 IP |
协议 |
目的端口 |
允许/拒绝 |
说明 |
|---|---|---|---|---|---|
| * |
0.0.0.0/0 |
ANY |
ANY |
拒绝 |
拒绝所有未经前置规则处理的数据流。 |
网络ACL“NACL-PRD-DMZ”,关联生产环境PRD-DMZ区子网,入方向通过策略限制可由管理区堡垒机访问区域内服务器的管理端口(22等),出方向限制可由本子网访问PRD-应用区以及PRD-SAP-DB区必要的业务端口。
| 规则 # |
目的 IP |
协议 |
目的端口 |
允许/拒绝 |
说明 |
|---|---|---|---|---|---|
| 对PRD-应用区 |
172.22.8.0/24 |
TCP |
8080 |
允许 |
允许生产环境DMZ区主机访问PRD-应用区服务器8080业务端口。 |
| 对PRD-应用区 |
172.22.8.0/24 |
TCP |
8443 |
允许 |
允许生产环境DMZ区主机访问PRD-应用区服务器8443业务端口。 |
| 对PRD-SAP-DB区 |
172.22.9.0/24 |
TCP |
345 |
允许 |
允许生产环境DMZ区主机访问PRD-SAP-DB区服务器345业务端口。 |
| * |
0.0.0.0/0 |
ANY |
ANY |
拒绝 |
拒绝所有未经前置规则处理的数据流。 |
| 规则 # |
源 IP |
协议 |
目的端口 |
允许/拒绝 |
说明 |
|---|---|---|---|---|---|
| 对PRD-管理区 |
172.22.6.0/24 |
TCP |
22 |
允许 |
允许生产环境管理区堡垒机访问本区域内服务器SSH端口。 |
| * |
0.0.0.0/0 |
ANY |
ANY |
拒绝 |
拒绝所有未经前置规则处理的数据流。 |
网络ACL“NACL-PRD-APP”,关联生产环境PRD-应用区子网,入方向通过策略限制可由管理区堡垒机访问区域内服务器的管理端口(22等),限制可由SAP-Router、PRD-DMZ区访问本子网内服务器的业务端口;出方向限制可由本子网访问PRD-SAP-DB区必要的业务端口。
| 规则 # |
目的 IP |
协议 |
目的端口 |
允许/拒绝 |
说明 |
|---|---|---|---|---|---|
| 对PRD-SAP-DB区 |
172.22.9.0/24 |
TCP |
345 |
允许 |
允许生产环境应用区主机访问PRD-SAP-DB区服务器345业务端口。 |
| * |
0.0.0.0/0 |
ANY |
ANY |
拒绝 |
拒绝所有未经前置规则处理的数据流。 |
| 规则 # |
源 IP |
协议 |
目的端口 |
允许/拒绝 |
说明 |
|---|---|---|---|---|---|
| 对PRD-管理区 |
172.22.6.0/24 |
TCP |
22 |
允许 |
允许生产环境管理区堡垒机访问本区域内服务器SSH端口。 |
| 对DEV&PRD-SAP-Router |
172.22.1.0/24 |
TCP |
234 |
允许 |
允许SAP-Router服务器访问本PRD-应用区域内服务器234业务端口。 |
| 对PRD-DMZ区 |
172.22.7.0/24 |
TCP |
8080 |
允许 |
允许生产环境DMZ区主机访问PRD-应用区服务器8080业务端口。 |
| 对PRD-DMZ区 |
172.22.7.0/24 |
TCP |
8443 |
允许 |
允许生产环境DMZ区主机访问PRD-应用区服务器8443业务端口。 |
| * |
0.0.0.0/0 |
ANY |
ANY |
拒绝 |
拒绝所有未经前置规则处理的数据流。 |
网络ACL“NACL-PRD-SAPDB-BUSI”,关联生产环境PRD-SAP-DB区业务子网(172.22.9.0/24),入方向通过策略限制可由管理区堡垒机访问区域内服务器的管理端口(22等),限制可由SAP-Router、PRD-DMZ区、PRD-应用区访问本子网内服务器的业务端口。
| 规则 # |
目的 IP |
协议 |
目的端口 |
允许/拒绝 |
说明 |
|---|---|---|---|---|---|
| * |
0.0.0.0/0 |
ANY |
ANY |
拒绝 |
拒绝所有未经前置规则处理的数据流。 |
| 规则 # |
源 IP |
协议 |
目的端口 |
允许/拒绝 |
说明 |
|---|---|---|---|---|---|
| 对PRD-管理区 |
172.22.6.0/24 |
TCP |
22 |
允许 |
允许生产环境管理区堡垒机访问本区域内服务器SSH端口。 |
| 对DEV&PRD-SAP-Router |
172.22.1.0/24 |
TCP |
345 |
允许 |
允许SAP-Router服务器访问PRD-SAP-DB区服务器345业务端口。 |
| 对PRD-DMZ区 |
172.22.7.0/24 |
TCP |
345 |
允许 |
允许生产环境DMZ区主机访问PRD-SAP-DB区服务器345业务端口。 |
| 对PRD-应用区 |
172.22.8.0/24 |
TCP |
345 |
允许 |
允许生产环境应用区主机访问PRD-SAP-DB区服务器345业务端口。 |
| * |
0.0.0.0/0 |
ANY |
ANY |
拒绝 |
拒绝所有未经前置规则处理的数据流。 |
网络ACL“NACL-PRD-SAPDB-INTERNAL”,关联生产环境PRD-SAP-DB区内部通信子网(172.22.10-12.0/24),内部通信子网仅供涉及的子网内部通信,需通过网络ACL拒绝所有入站与出站流量。
| 规则 # |
目的 IP |
协议 |
目的端口 |
允许/拒绝 |
说明 |
|---|---|---|---|---|---|
| * |
0.0.0.0/0 |
ANY |
ANY |
拒绝 |
拒绝所有未经前置规则处理的数据流。 |
| 规则 # |
源 IP |
协议 |
目的端口 |
允许/拒绝 |
说明 |
|---|---|---|---|---|---|
| * |
0.0.0.0/0 |
ANY |
ANY |
拒绝 |
拒绝所有未经前置规则处理的数据流。 |
安全组,如SG_PRD_MGMT、SG_PRD_DB等(与公网无交互),关联生产环境中相应子网中的云服务器,需严格按照最小化的原则控云服务器机对外开放的端口范围,可参考以下图3 安全组策略示例(具体端口请根据实际情况设置)。对IP的访问控制策略,通过网络ACL实现。其它开发测试环境与公网无交互的安全组(详见图1 生产环境安全解决方案全景图),可参考实施。
安全组,如SG_SAP_ROUTER(与公网有交互),关联生产环境中相应子网中的云服务器,需严格按照最小化的原则控制云服务器对外开放的端口范围以及源IP范围,如公网IP较为固定,可参考以下图4 安全组策略示例(具体端口请根据实际情况设置)。
如公网IP不固定的场景,可根据业务需要(如模拟测试,技术支持),临时放通特定公网源IP,相应事务完成后删除策略。
安全组,如SG_PRD_SRM、SG_PRD_Hybrids(与公网有交互),业务端口需要对全网开放,可参考以下图5 安全组策略示例(具体端口请根据实际情况设置)。其中对22/3389等管理端口的源IP控制,将由网络ACL实现,控制只能由管理区堡垒机访问。80等业务端口将对Internet全网开放,不做源IP访问控制,建议采用合适的安全产品进行防护,详见1.2.1节。
网络边界安全
业务边界
根据业务特点,由于生产环境需对公网提供服务,同时也需要与其它IDC进行互联,需建立与企业内网(IDC)互联的VPN通道,同时需要设置云上与云下以及云上与互联网之间的访问控制策略。
针对DMZ区、内网应用区、管理区,由于能够被外部访问,建议采取相应的边界防护措施。
VPN
由于企业内部使用,多为静态连接需求,综合考虑安全性与时延,推荐的优先级为:专线(DC)>VPN(IPSec)>SSL VPN。
说明:华为VPN云服务当前仅提供专线和IPSec VPN形式,暂不支持SSL VPN,如需使用SSL VPN可选用第三方镜像产品自行部署。
安全策略
由于开发环境同时需要与企业内部通信,还需提供互联网的业务访问,综合考虑通过网络ACL进行相应的访问控制策略。
网络ACL “NACL-DMZ-SAP-Router”关联生产环境相应子网,需严格控制互联网访问的入方向策略,限制特定外网网段能够访问特定的[IP]:[PORT]。
说明:本节中提到的IP地址及端口号仅为示例,如公网IP不固定的场景,可根据业务需要(如技术支持),临时放通特定源IP,相应事务完成后删除策略。如有其它业务流,可根据实际情况增加策略。
| 规则 # |
目的 IP |
协议 |
目的端口 |
允许/拒绝 |
说明 |
|---|---|---|---|---|---|
| * |
0.0.0.0/0 |
ANY |
ANY |
拒绝 |
拒绝所有未经前置规则处理的入站数据流。 |
| 规则 # |
源 IP |
协议 |
目的端口 |
允许/拒绝 |
说明 |
|---|---|---|---|---|---|
| 对SAP技术支持人员,SAP GU/软件服务器I等 |
123.123.123.0/24 |
TCP |
3299 |
允许 |
允许互联网SAP技术支持人员(特定源IP),SAP GUI/软件服务器等访问开发测试环境中的DEV&PRD-SAP-Router,进而访问后端业务。 |
| * |
0.0.0.0/0 |
ANY |
ANY |
拒绝 |
拒绝所有未经前置规则处理的数据流。 |
网络ACL “NACL-PRD-DMZ”关联生产环境相应子网,需严格控制互联网/IDC访问的入方向策略,限制外部网络仅能访问开发测试环境特定的[IP]:[PORT]。
| 规则 # |
目的 IP |
协议 |
目的端口 |
允许/拒绝 |
说明 |
|---|---|---|---|---|---|
| 对AD/ADFS服务器 |
IDC-AD/ADFS网络 |
TCP |
AD/ADF端口 |
允许 |
允许与IDC内部AD/ADFS服务器进行对接。 |
| * |
0.0.0.0/0 |
ANY |
ANY |
拒绝 |
拒绝所有未经前置规则处理的数据流。 |
| 规则 # |
源 IP |
协议 |
目的端口 |
允许/拒绝 |
说明 |
|---|---|---|---|---|---|
| 对Internet用户 |
0.0.0.0/0 |
TCP |
80 |
允许 |
允许互联网用户、IDC内部用户,访问生产环境中的WEB服务。 |
| 对Internet用户 |
0.0.0.0/0 |
TCP |
443 |
允许 |
允许互联网用户、IDC内部用户,访问生产环境中的WEB服务。 |
| * |
0.0.0.0/0 |
ANY |
ANY |
拒绝 |
拒绝所有未经前置规则处理的数据流。 |
网络ACL “NACL-PRD-APP”关联生产环境相应子网,需严格控制IDC访问的入方向策略,限制特定IDC网络仅能访问开发测试环境特定的[IP]:[PORT],出方向策略同上。
| 规则 # |
目的 IP |
协议 |
目的端口 |
允许/拒绝 |
说明 |
|---|---|---|---|---|---|
| 对AD/ADFS服务器 |
IDC-AD/ADFS网络 |
TCP |
AD/ADF端口 |
允许 |
允许与IDC内部AD/ADFS服务器进行对接。 |
| * |
0.0.0.0/0 |
ANY |
ANY |
拒绝 |
拒绝所有未经前置规则处理的数据流。 |
| 规则 # |
源 IP |
协议 |
目的端口 |
允许/拒绝 |
说明 |
|---|---|---|---|---|---|
| 对IDC内部用户、顾问。 |
客户数据中心某子网-b |
TCP |
8080 |
允许 |
允许客户数据中心某子网-b中的内部用户、顾问,访问生产环境中的应用区8080业务端口。 |
| 对IDC内部用户、顾问。 |
客户数据中心某子网-b |
TCP |
8443 |
允许 |
允许客户数据中心某子网-b中的内部用户、顾问,访问生产环境中的应用区8443业务端口。 |
| * |
0.0.0.0/0 |
ANY |
ANY |
拒绝 |
拒绝所有未经前置规则处理的数据流。 |
对于网络ACL “NACL-PRD-SAPDB-BUSI/INTERNEL”,由于无与外部网络交互需求,只需根据1.1节设置内部访问控制策略即可。
安全组策略请见2.1节中相关内容。
安全服务
- Anti-DDoS
根据业务特点,由于生产环境有公网访问需求,需要针对SAP Router、SRM、Hybrids服务器部署Anti-DDoS防护,推荐使用华为云Anti-DDoS流量清洗服务,对相应的EIP进行DDoS防护。
- Web应用防火墙-WAF
根据业务特点,由于生产环境需向互联网提供Web应用服务,需要部署Web应用防火墙,应对诸如OWASP TOP10 Web攻击,推荐华为云Web应用防火墙服务,创建WAF实例防护相应EIP/ELB。
- 虚拟下一代防火墙-vNGFW
根据业务特点,SAP Router会提供给第三方使用并接入内部系统,开发测试环境SRM/Hybrids会对外方开放用于模拟测试。以上入口均面临网络攻击入侵风险,建议部署虚拟下一代防火墙对后端进行防护。
运维边界
由于管理区无公网访问需求,参考企业安全实践,仅需设置与IDC间的访问控制策略。
安全策略
如图2 生产环境子网、网络ACL分布图所示,网络ACL“NACL-PRD-MGMT”关联生产环境管理区子网,对于由IDC发起的对生产环境的入方向策略(管理员),可限制能够访问管理区主机的22/3389等管理端口。
说明:本节中提到的IP地址及端口号仅为示例,如有其它管理端口,可根据实际情况增加策略。
| 规则 # |
源 IP |
协议 |
目的端口 |
允许/拒绝 |
说明 |
|---|---|---|---|---|---|
| 对管理员 |
客户数据中心某子网-a |
TCP |
22 |
允许 |
允许客户数据中心某子网-a中的管理员访问生产环境管理区的VM。 |
| 对管理员 |
客户数据中心某子网-a |
TCP |
3389 |
允许 |
允许客户数据中心某子网-a中的管理员访问生产环境管理区的VM。 |
| * |
0.0.0.0/0 |
ANY |
ANY |
拒绝 |
拒绝所有未经前置规则处理的数据流。 |
| 规则 # |
目的 IP |
协议 |
目的端口 |
允许/拒绝 |
说明 |
|---|---|---|---|---|---|
| 1 |
0.0.0.0/0 |
ANY |
ANY |
允许 |
对于由管理区发起的出方向流量不做限制。 |
| * |
0.0.0.0/0 |
ANY |
ANY |
拒绝 |
拒绝所有未经前置规则处理的数据流。 |
安全服务
参考企业安全实践,通过堡垒机实现运维/运营人员不接触系统账户密码(各系统部件账号托管在堡垒机系统),对运维人员通过堡垒机进行的操作范围进行权限控制,限制高危操作权限,并对运维人员操作全流程审计记录,做到事件可监控、可追踪、可回溯。堡垒机以云服务器模式部署于管理区子网中。
与开发环境测试边界
由于测试环境仍属于安全级别较低的区域,安全风险较高,如需与生产环境互联,此边界需要特别关注,采用较严格的访问控制策略:由开发测试环境发起对生产环境的访问,需严格控制(默认失败),仅能访问生产环境中必要的[IP]:[PORT] (最小化);由生产环境发起的对开发测试环境的访问,可以采用稍弱的访问控制策略。
安全策略
网络ACL“NACL-PRD-DMZ/APP/SAPDB-BUSI”关联生产环境相应子网,需严格按照最小化的原则控制访问开发测试环境的入方向策略,限制其仅能访问生产环境中特定的[IP]:[PORT];对于由生产环境发起的对开发测试环境的出方向策略,这里可以根据实际情况设置稍弱的访问控制策略。
说明:强的、安全性高的、复杂的访问控制策略,会一定程度增加部署配置及运维成本,可以根据企业自身情况适当减少策略。
与开发测试环境边界的策略主要包括对DEV-DMZ区、对DEV-应用区、对DEV-DB区的策略,详细请参考表1、表2、表3、表4、表5和表6。
说明:本节中提到的IP地址及端口号仅为示例,如有其它业务流,可根据实际情况增加策略。本节仅涉及开发测试区与生产环境策略。
| 规则 # |
源 IP |
协议 |
目的端口 |
允许/拒绝 |
说明 |
|---|---|---|---|---|---|
| 对DEV-应用区 |
172.22.4.0/24 |
TCP |
2433 |
允许 |
允许测试环境DEV-应用区中的 VM访问生产环境PRD-应用区中服务器2433端口进行软件/代码推送更新。 |
| * |
0.0.0.0/0 |
ANY |
ANY |
拒绝 |
拒绝所有未经前置规则处理的入站数据流。 |
| 规则 # |
目的 IP |
协议 |
目的端口 |
允许/拒绝 |
说明 |
|---|---|---|---|---|---|
| 对DEV-应用区 |
172.22.8.0/24 |
TCP |
ANY |
允许 |
允许生产环境PRD-应用区中的 VM访问DEV-应用区域中服务器任意TCP端口。 |
| * |
0.0.0.0/0 |
ANY |
ANY |
拒绝 |
拒绝所有未经前置规则 (不可修改) 处理的出站数据流。 |
| 规则 # |
源 IP |
协议 |
目的端口 |
允许/拒绝 |
说明 |
|---|---|---|---|---|---|
| 对DEV-DMZ区 |
172.22.3.0/24 |
TCP |
1433 |
允许 |
允许测试环境DMZ区中的 VM访问生产环境PRD-DMZ区中服务器1433端口进行软件/代码推送更新。 |
| * |
0.0.0.0/0 |
ANY |
ANY |
拒绝 |
拒绝所有未经前置规则处理的入站数据流。 |
| 规则 # |
目的 IP |
协议 |
目的端口 |
允许/拒绝 |
说明 |
|---|---|---|---|---|---|
| 对DEV-DMZ区 |
172.22.4.0/24 |
TCP |
ANY |
允许 |
允许生产环境PRD-DMZ区中的 VM访问DEV-DMZ区域中服务器任意TCP端口。 |
| * |
0.0.0.0/0 |
ANY |
ANY |
拒绝 |
拒绝所有未经前置规则 (不可修改) 处理的出站数据流。 |
| 规则 # |
源 IP |
协议 |
目的端口 |
允许/拒绝 |
说明 |
|---|---|---|---|---|---|
| 对DEV-SAP DB区 |
172.22.5.0/24 |
TCP |
3433 |
允许 |
允许测试环境DEV-SAP DB区中的 VM访问生产环境PRD-SAP-DB区中服务器3433端口进行软件/代码推送更新。 |
| * |
0.0.0.0/0 |
ANY |
ANY |
拒绝 |
拒绝所有未经前置规则处理的入站数据流。 |
| 规则 # |
目的 IP |
协议 |
目的端口 |
允许/拒绝 |
说明 |
|---|---|---|---|---|---|
| 对DEV-SAP DB区 |
172.22.5.0/24 |
TCP |
ANY |
允许 |
允许生产环境PRD-SAP DB区中的 VM访问DEV- SAP DB区域中服务器任意TCP端口。 |
| * |
0.0.0.0/0 |
ANY |
ANY |
拒绝 |
拒绝所有未经前置规则 (不可修改) 处理的出站数据流。 |
安全管理
安全评估
对于Web站点及关键主机,建议定期进行安全评估(安全体检服务-专业安全评估),以及时发现、规避安全风险。
- 服务测试范围包括:
- 网站类:SQL注入、XSS跨站、文件包含、任意文件上传、任意文件下载、Web弱口令、服务弱口令。
- 主机类:远程漏洞扫描、弱口令扫描、高危端口识别、高危服务识别、基线检查。
- 华为安全专家团队会对专业机构提交的体检报告进行审核,引导专业机构提高服务质量,给客户更佳的用户体验。
- 提供准确的漏洞信息和对应的修复建议,并可为用户定制整体安全解决方案,帮助用户构筑完善的安全防御机制。
网站监控
- 非法篡改监控(监测网页篡改行为,特别是一些越权篡改、暗链篡改等)。
- 坏链检测(如链接目的页面已经删除或转移,网站搬家导致链接无效,设置静态链接导致原内文章链接地址无法访问等)。
- 脆弱性检测(SQL注入、XSS跨站、文件包含、敏感信息泄露、任意文件下载等)。
- 可用性检测(通过全国多地监测和DNS解析监测监控网站的可用性)。
- 对外服务开放监测(定期对网站开放服务进行扫描,检测是否开放多余服务)。
- 敏感内容审计(定期对网站内容进行检测,对出现敏感内容页面进行告警)。
- 协同预警(协同技术小组根据最新漏洞与威胁跟踪结果提供预警)
主机安全
- 与公网有交互的云服务器建议参考华为云主机防暴力破解解决方案进行相应的加固。主要涉及系统加固,以及主机安全产品(HIDS/AV等)的应用。
- 为了增加业务关键云主机的可靠性,建议(云服务器创建阶段)将同类的关键节点关联到一个云服务器组,将云主机尽量分散到不同的物理主机上(反亲和策略),提高业务可靠性。比如ELB的后端主机、SAP DB云主机等,可以设置相应的云服务器组。