人總是在一個不適當的時間被推上一個不適當的位置去做一件正確的事情。
——丘吉爾
前兩天客戶告訴我:他們把阿里雲WAF用在了本地部署的網站上,挺好!解決了他們網站裸跑的問題。
進一步,他問我還有哪些阿里雲安全產品支持本地環境,我稍微理了一下,結果嚇了一跳,竟然發現:
阿里雲等保安全產品幾乎全線支持『非』阿里雲環境部署。
(上圖來自阿里雲等級保護解決方案頁面)
不相信?讓我們一個個看:
- 阿里雲WAF、阿里雲WAF支持CNAME方式接入,WEB系統不管在不在啊裡雲上都可以通過修改DNS解析的方式接入到阿里雲WAF。
- 阿里雲安全中心、阿里雲安全中心就是安全廠商經常唸叨的態勢感知,而且過去的雲安全中心的前身之一就叫態勢感知,態勢感知和安騎士合併為雲安全中心。通過將阿里雲安全中心的agent部署到線下IDC或者其他雲服務上即可實現接入。
- 阿里雲堡壘機、阿里雲堡壘機其實就是一個RDP/SSH的協議代理,在代理這些管理流量的同時實現操作審計,因此只要網絡可達,再結合一些網絡安全策略禁止所有非阿里雲堡壘機對服務器管理端口的訪問即可接入阿里雲堡壘機。
- 阿里雲數據庫審計、數據庫審計本身是一個旁路設備,通過網絡抓包的方式收集數據庫和應用服務器之間操作過程來實現審計功能,通過將阿里雲數據庫審計的agent部署在線下IDC或者其他雲服務器上即可接入,數據庫審計可以通過修改發送數據地址的方式支持公網接入,當然,這種部署最好能夠在有VPN/專線的保護下實施,
- 阿里雲DDOS高防IP、阿里雲高防IP和阿里雲WAF一樣都支持CNAME方式接入,修改DNS解析即可實現非阿里雲環境的接入。
- SSL證書、證書服務本身就不對部署環境有任何限制,雲上,雲下皆可部署。
- 漏洞掃描、只要通過修改DNS記錄對掃描的主域名添加驗證信息,無論網站是否部署在阿里雲都可以用阿里雲漏洞掃描進行漏洞發現。
- 安全管家、安全管家是阿里雲提供的安全技術專家服務,包括應急版、護航版、企業版。
- DBS數據庫備份、備份系統雖然不屬於安全產品,但在等級保護中備份是一項非常重要的檢查項目,阿里雲DBS支持對非阿里雲數據庫服務器的備份,並且支持部署備份網關,從而避免將數據庫服務器直接暴露在公網上,利用數據庫網關還可以將備份到雲端的數據庫備份自動下載到本地保存。
在阿里雲等級保護相關服務中只有一個雲防火牆不支持『非』阿里雲環境。
混合雲等保,就缺一個防火牆。