Ali cloud, Tencent cloud, Jin Shanyun, UCLOUD security product research static data

前言伴随国内公有云市场的快速发展,入局的厂商越来越多,我们挑选了几家公有云厂商,针对他们提供的安全能力进行了横向对比。挑选的公有云厂商为阿里云、腾讯云、金山云、ucloud。本次调研以安全产品的技术参数以网站公布的白皮书为准,作为静态数据比较,下篇讲通过实际case进行动态对比。
基础安全能力目前基础安全能力主要为WAF防护、DDoS防护、云主机防护。
WAF防护阿里云功能Web常见攻击防护
防御OWASP 常见威胁:针对GET、POST常见HTTP请求,给不同的网站业务提供高、中、低三种规则策略,进行SQL注入、XSS跨站、Webshell上传、后门隔离保护、命令注入、非法HTTP协议请求、常见Web服务器漏洞攻击、核心文件非授权访问、路径穿越、扫描防护等安全防护;0day补丁定期及时更新:防护规则与淘宝同步,及时更新最新漏洞补丁、第一时间全球同步下发最新补丁,对网站进行安全防护;
缓解CC攻击
精准访问控制
业务风控防护实时解决垃圾注册、刷库撞库、活动作弊、论坛灌水等严重业务风险最佳用户体验、无需网站修改源码/调用API接口等繁琐操作即可实现快速上线防护
收费区分免费版和收费版
腾讯云功能漏洞攻击防护
网站安全防护目前可拦截常见的web漏洞攻击,例如SQL注入、XSS跨站、获取敏感信息、利用 开源组件漏洞的攻击等常见的攻击行为。
虚拟补丁
网站安全防护可提供0Day,NDay漏洞防护。当发现有未公开的0Day漏洞,或者刚公开但未修复的 NDay漏洞被利用时,WAF可以在发现漏洞到用户修复漏洞这段空档期对漏洞增加虚拟补丁,抵挡黑客的攻击 ,防护网站安全。
收费免费
UCLOUD功能web常见攻击防护
支持识别并阻拦常见的web攻击,比如SQL注入、XSS跨站、HTTP协议异常、HTTP协议畸形、命令注入、非法扫描等。
网站隐身
支持隐藏站点地址,防止对源站的直接攻击。
0day补丁定期及时更新
24小时内及时更新最新漏洞补丁,并及时更新防护规则,防护快黑客一步。
告警不阻断的观察模式
提供告警且不阻断的观察模式,用户可以使用此模式先观察WAF的误报情况和拦截情况,使用更放心。
自定义规则
支持根据自身业务和自身情况定义防护规则,精准拦截恶意流量或者放行合法请求。
收费区分免费版和收费版
金山云功能Web基础漏洞防护
全面检测SQL注入、XSS跨站脚本、文件包含、命令执行等OWASP常见威胁
扫描工具屏蔽

屏蔽SqlMap等常见扫描工具
历史日志查询
为用户聚合提供七天攻击数据,满足安全运维需求
自定义防护设置
自主选择防护规则
收费区分免费版和收费版
DDoS防护阿里云功能海量DDoS清洗能力
1000G+的DDoS清洗能力,可以防御SYN Flood、ACK Flood、ICMP Flood、UDP Flood、NTP Flood 、SSDP Flood、DNS Flood、HTTP Flood、CC攻击
应用层防护
高防IP提供实时具备应用层抗DDoS攻击的能力,重认证、身份识别、验证码等多种手段精确识别恶意访问和真实访问者,针对网站类CC和游戏类CC攻击均可防御。适合电商促销、金融行业推广、游戏发布等重大活动中的安全预防场景

收费免费防护到多少G没有找到文献,高防IP收费
腾讯云功能BGP高防可为腾讯云客户提供超大带宽的DDoS和CC防护,最高支持800Gbps防护。近20线BGP线路接入,消除跨网时延,带来极速顺滑的访问体验。
收费免费2G,高于2G需要收费,BGP防御峰值800G
UCLOUD功能网站高防功能
针对域名进行海量DDoS清洗能力
能够从背景流量中精确的区分攻击流量,通过集成的检测和阻断机制对DDoS攻击实时响应。
支持HTTPS加密
支持HTTPS业务的防护支持全链路过程加密传输(回源链路也加密)
支持自动调度
当检测到正在遭受攻击的时候,自动将域名调度到高防进行防护。当发现攻击已经结束,则将域名切回到源站,保证访问的质量。
支持CC攻击防护
自动识别CC攻击并进行拦截,支持用户自定义白名单。
通用高防功能
针对IP进行海量DDoS清洗能力
能够从背景流量中精确的区分攻击流量,通过集成的检测和阻断机制对DDoS攻击实时响应。
收费免费防护到多少G没有找到文献,防御峰值400G
金山云功能完善的DDoS攻击防护类型
可以提供完整的4-7层攻击防御,包括TCP flood, UDP flood, CC等
迅速的响应时间
高性能设备秒级检测和清洗,极高的检测准确率
攻击日志及流量图表
详细的攻击日志和流量图表,提供透明的攻击状况展示
自定义报警、清洗阈值
用户可以根据自己的业务,灵活定义流量报警、清洗的阈值
高防DDoS
支持https业务防护,可以防御高达300Gbps的攻击流量,支持包月和弹性购买,付费方式灵活
收费免费5G,高于5G收费,防御峰值单结点为300G
主机防护阿里云功能登录安全,识别异常和非法登录并上报拦截
木马查杀,一键清除网站后门维护服务器环境纯净
补丁管理,云端一键批量修复高危漏洞
安全巡检,全面快速对服务器进行体检

信息网络论文参考部队信息网络安全新管理工程措施

四层TCP、UDP访问控制
七层HTTP自定义Web攻击拦截策略
控制台批量下发脚本,轻松管控海量服务器
收费基础版免费,企业版收费
腾讯云功能木马查杀
实时查杀各类木马恶意文件,包括 PHP、ASP、JSP、.NET、JAVA等程序语言编写的webshell,对检测出来的后门进行访问控制和隔离操作,防止木马文件的再次利用。
密码破解拦截
对大多数互联网用户来说,密码安全是令人头痛的事,安全级别较低的网站使用相同的密码倒无所谓,但是对安全级别较高的网络应用如电子商务,要使用不同的密码,不过,要记住这些不同的密码也是一件不小的挑战。
针对常见的黑客密码破解事件,云镜对恶意破解行为进行精准拦截; 共享全网恶意拦截库,自动化实施拦截策略。
登录检测
在服务器异常登录事件中,有超过半数事件是入侵或者攻击行为。根据登录情况,识别常用的登录区域,对可疑的登录行为提供实时告警通知。
收费免费
UCLOUD功能安全概览
对全网安全状况进行整体评估,提供综合评估分数,帮助用户掌握全局情况。评估范围涵盖DDoS攻击、暴力破解、异地登录、Web应用攻击和IPS入侵攻击。
暴力破解识别
通过强大的检测算法,庞大的后台大数据分析,快速实时地分析,识别黑客暴力破解行为,提供暴力破解的明细信息如破解的攻击来源、来源地址、攻击时间等。您可以选择有针对性的将攻击源拉入黑名单,防止造成破坏和损失。并为Linux云主机实时检测SSH的访问动态,及时检测并上报非正常的访问行为。
异地登录提醒
异地登录有可能是密码外泄被黑客登陆导致,通过强大的检测算法,庞大的后台大数据分析,实时检测登录动态,快速识别并上报非常用地登录,发现可能存在的黑客入侵。您可以根据自身情况判断异地登录的是自己的行为还是潜在的黑客盗密码的异地登录行为。
收费免费
金山云功能数据库权限检测
避免数据库用户以系统权限启动带来的安全风险
安全优化与加固
提供服务器高危漏洞、网页后门及病毒检测,清除安全隐患
暴力破解防护
抵御口令暴力破解攻击
网站安全防护
实时检测SQL注入及XSS跨站脚本攻击,主动拦截Webshell上传,防盗链
CC攻击防护
高效的主动防御系统有效抵挡CC攻击及各类流量攻击
收费免费
增值安全能力仅统计公有云厂商自己提供的服务,第三方不统计。
阿里云加密服务
云上的数据安全加密解决方案。服务底层使用经国家密码管理局检测认证的硬件密码机,通过虚拟化技术,帮助用户满足数据安全方面的监管合规要求,保护云上业务数据的隐私和机密。借助加密服务,用户能够对密钥进行安全可靠的管理,也能使用多种加密算法来对数据进行可靠的加解密运算。
业务风控
业务风控,包含:注册防控、登陆防控、活动防控、消息防控和其他风险防控,通过用户行为、软硬件环境信息、设备指纹、业务基础信息综合判定用户请求的风险程度。
WEB网页:页面引入JS脚本,服务端调用业务风险防控API获得风险结果。
移动端HTML5页面:页面引入JS脚本,服务端调用业务风险防控API获得风险结果。
Android/iOS:客户端集成SDK组件,服务端调用业务风险防控API获得风险结果。
移动安全
移动安全(Mobile Security)基于阿里聚安全的核心技术,为移动应用(APP)提供全生命周期的安全服务,其能够准确发现应用的安全漏洞,恶意代码,仿冒应用等安全风险;通过应用加固和安全组件等功能,大幅提高应用反逆向、反破解能力。护航手机淘宝,支付宝等超级应用,历经多次双11实战考验。
腾讯云天御业务安全防护
为开发者提供论坛、电商等多场景的业务安全防护,包括消息过滤、验证码、活动防刷等服务
应用乐固CR
应用乐固(Cloud Reinforcement)是移动应用一站式安全服务平台,涵盖应用加固、安全评测、渠道监控、安全SDK、适配分析、质量跟踪等服务。可防止应用被盗版破解、及时发现应用漏洞、监控应用正盗版分发等,有效捍卫应用开发者利益。
DNS劫持检测ADH
DNS劫持检测(AntiDNSHijacking)是针对本地网络运营商更改域名解析结果的情况推出的增值服务。利用分布在全国各地的数千个检测节点,大禹产品可帮助您检查您的网站在某个地区是否受到当地网络运营商的劫持,并及时通知。
UCLOUD云加密服务 UEncrypt
云加密服务(UCloud encrypt service)通过使用经国家密码管理局检测认证的硬件密码机,帮助用户满足数据安全方面的监管合规要求,保护云上业务数据的隐私性和机密性。借助加密服务,用户可以进行安全的密钥管理,并使用多种加密算法来进行加密运算。
业务安全 UBSEC
业务安全UBSEC(UCloud Business Security)是用于发现可能会对网站业务造成影响的危险行为,比如撞库攻击、暴力破解、恶意注册等。业务安全系统不用植入代码到网站中也不影响业务的正常运行,采用旁路镜像流量分析的方式感知恶意的安全危险事件。
数据库审计系统 UDAS
数据库审计系统(UCloud Database Audit System)是针对UCloud云数据库安全运维管理的解决方案。可详细完整记录数据库的访问行为,识别越权等违规操作,并可追踪溯源,为数据库安全管理及性能优化提供决策依据。同时提供符合法律法规的报告,满足等级保护、企业内控等审计要求。
安全生态安全生态指的公有云合作的第三方云安全厂商。这部分阿里云、腾讯云、UCLOUD做的不错,应用商店里面安全厂商估计几十家是有。
总结很可喜的看到调研的几家公有云厂商在基础安全防护能力上没有明显的短板,均为云客户提供了基础的WAF防护、DDoS防护、云主机防护能力,金山云这方面起步晚,但是动作很快。UCLOUD的安全产品线也非常丰富。
阿里云和腾讯云的基础安全防护能力基础上提供了差异化能力,比如阿里云WAF的轻量级风控能力,腾讯云的800GBGP高防,在这个同质化严重的领域做出了自己的亮点
阿里云和腾讯云、UCLOUD均提供了具有各自特色的专业风控、app加固服务、加密等服务,在web安全至上还提供了新的安全能力。
阿里云和腾讯云、UCLOUD基于公有云平台初步建立了安全生态环境,为第三方云安全厂商建立了服务平台,但是公有云市场目前主要用户还是集中在中小客户,对于安全产品的付费意愿偏弱,如何能让第三方厂商真正在云上获得较高收入,还需要市场培养。目前公有云厂商提供的基础防护服务还是以免费为主,伴随各家营利压力的增加,未来区分免费版和收费版,诱导用户升级到收费版将成为主流,长期高防和WAF将还是主要收入源。
参考文献https://www.aliyun.com/product/aegis?spm=5176.7967425.416540.111.jFSXxM
https://www.qcloud.com/product/wad
https://www.ucloud.cn/site/product/uads.html
http://www.ksyun.com/proservice/waf

微信扫一扫关注该公众号
Introduction with the rapid development of the domestic public cloud market, more and more manufacturers into the Bureau, we pick a few Gong Youyun manufacturers, for their security capabilities to provide a horizontal comparison. Selected public cloud vendors for Ali cloud, Tencent cloud, Jin Shanyun, ucloud. The investigation on technical parameters of security products to published on the website of the white paper as the standard, as compared with the static data, the dynamic contrast about the actual case.
Based on the current security capabilities of the basic security capabilities for WAF protection, DDoS protection, cloud host protection.
WAF protection Ali cloud function Web common attack protection
OWASP common defense threat: for GET, POST common HTTP request to a different site to provide high, medium and low three rules strategy, SQL injection, XSS cross site, Webshell upload, backdoor, command injection, isolation and protection of illegal HTTP protocol request, common Web server vulnerabilities, unauthorized access, core file path through scanning, safety protection; regular update: 0day patch protection rules and Taobao sync, keep updated with the latest patches, the first time the global synchronization issued the latest patch on the site for security protection;
Ease CC attack
Precision access control
Business risk control to solve the garbage door real-time registration, brush library hit the library, cheating, irrigation and other serious forum activities business risk the best user experience, no need to modify the source code \/ website called API interface and other complicated operation can realize fast on-line protection
Toll free and free version
Tencent cloud vulnerability protection
Website security is currently common web vulnerability attack interception, attacks such as SQL injection, cross site XSS, obtain sensitive information, the use of open source components and other common vulnerabilities.
Virtual Patching
Website security protection can provide 0Day, NDay vulnerability protection. When there is undisclosed 0Day vulnerabilities, or just open but not repair NDay vulnerabilities are used, WAF can increase the virtual patch for the vulnerability discovered vulnerabilities to user bug fixes this gap, withstand hacker attacks, website security protection.
Free charge
UCLOUD function web common attack protection
Support the identification and stop common web attacks, such as SQL injection, cross site XSS HTTP protocol, HTTP protocol, abnormal deformity, command injection, illegal scanning etc..
Website Cloaking
Support hidden site address, to prevent direct attacks on the source station.
0day patches regularly updated in a timely manner
Within 24 hours to update the latest vulnerability patches, and timely update the protection rules, the protection of a quick hack.
Alarm non blocking mode of observation
To provide an alarm and do not block the observation mode, the user can use this mode to observe the situation of WAF false positives and interception, the use of more confidence.
Custom rules
Support according to their own business and their own conditions to define the protection rules, precision intercept malicious traffic or release legitimate requests.
Toll free and free version
Jin Shanyun function Web foundation vulnerability protection
Comprehensive detection of SQL XSS injection, cross site scripting, and OWASP file contains the command execution and other common threats
Scanning tool shield
Shielding SqlMap and other common scanning tools
History log query

怀仁县”四个坚持”抓实抓好危爆物品安全管控工作

For the user to provide seven days of data aggregation to meet the needs of security operation and maintenance
厦门海沧自贸园区生物医药产业发展良好
Custom protection settings
Self selection protection rule
Toll free and free version
DDoS protection Ali cloud features massive DDoS cleaning capacity
1000G DDoS cleaning ability, you can defend SYN Flood, ACK Flood, ICMP Flood, UDP Flood, NTP Flood, SSDP Flood, DNS Flood, HTTP Flood, CC attacks
Application layer protection
High anti IP ability to provide real-time application layer with anti DDoS attack, re authentication and identification, verification code and other means to accurately identify malicious access and real visitors, for the site class CC and class CC can attack defense game. Suitable for electricity supplier promotion, financial industry promotion, game release and other major activities in the security precautions
Toll free protection to how much G did not find the literature, high anti IP charges
Tencent cloud function BGP high protection for Tencent cloud customers can provide ultra wide bandwidth DDoS and CC protection, the maximum support for 800Gbps protection. Nearly 20 lines BGP line access, eliminating the delay across the network, the speed of the smooth access experience.
Toll free 2G, higher than 2G need to charge, BGP defense peak 800G
UCLOUD function website high prevention function
For domain name massive DDoS cleaning ability
It can accurately distinguish the attack traffic from the background traffic, and real-time response to the DDoS attack by the integrated detection and blocking mechanism.
Support HTTPS encryption
Support for HTTPS services supports full link process encrypted transmission (back source link encryption)
Support automatic scheduling
When the attack is detected, the domain name will be automatically deployed to prevent high protection. When the attack is over, the domain name is returned to the source station to ensure the quality of the visit.
Support CC attack protection
Automatic identification of CC attacks and interception, support for user-defined white list.
General high anti function

公司应该根据内部控制与审计的要求,保存信息系统相关日志,并采取适当措施确保日志内容不被删除、修改或覆盖。

猜您喜欢

Spark,实用和颜值齐飞的邮箱客户端
门可罗雀的公司安全部门
网络安全宣传——保护信息设备资产安全
“领投鸟”受邀出席金融科技与大数据应用发展高峰论坛
JOSPOKER GERANIMO
信息安全意识培训系统及课件