NETNIC企商在线自主研发具备超强的攻击防御平台

为用户提供轻量高效、可靠稳定的云安全产品及全方位的安全服务

产品介绍
企商云Web应用防火墙提供多种安全入侵防护,使云端数据更加可靠。
产品功能
  • 防攻击

    企商云Web应用防火墙提供多种防护策略,SQL注入、非法HTTP请求等常见Web服务器漏洞攻击

  • 防篡改

    针对网页内容进行替身,防止网页篡改给企业带来严重损失

  • 防劫持

    对域名进行DNS验证,避免用户被恶意劫持给企业带来数据窃取

  • 漏洞探测

    通过对Web服务器漏洞探测扫描,及时发现漏洞隐患,并更新漏洞补丁

产品功能
  • 互联网站

    有效过滤各种攻击和垃圾流量,提高网站高可用,提升客户体验效果

  • 电商平台

    防止黑客通过恶意爬虫非法获取电商平台商品信息,通过反爬虫、防注入等有效保护网站安全

  • 金融企业网站

    金融业对业务的高安全性要求,必须具备Web安全防护能力,企商云应用防火墙可有效保障网站高安全性

产品介绍
专业检测高级爬虫,降低爬虫、自动化工具对网站的业务影响,提供对Web网页端/H5页面/APP/API全方位防护。主要防护场景:航空占座、电商黄牛、恶意撞库、核心接口被刷、刷票刷积分、游戏作弊等。

精心打造的功能

防护效果可视化

对风险及在线策略进行实时异动监控,并提供防护效果的汇总报表

实时监控

对风险及在线策略进行实时异动监控,可快速调整并优化策略,进行风险对抗。

报表汇总

多维度展示防护效果,让客户清晰了解业务的整体防护效果。

恶意Bot流量精准拦截

多维度刻画并过滤Bot流量,防护业务避免遭受损失

黑白IP访问控制

支持对指定IP或网段的封禁或者加白。

恶意特征精准组合

针对请求中的常见头部字段,如IP,URL、UserAgent、Referer或者参数中出现的Bot恶意特征,进行组合配置和访问控制。

定制化深度学习

提供定制Bot模型对抗,贴近业务风险的深度学习训练。

APP端Bot识别技术方案

支持SDK快速集成至APP,进行接口合法性校验,识别模拟器特征,并计算唯一的设备端指纹,作为IP或者UA易变异的升级。

云端共享威胁情报

利用云端优势共享海量的威胁情报,并对行业内集中性攻击做出快速对抗响应

IP黑灰产爬虫情报

提供云上百万级已知针对性风险的IP黑灰产数据,包括爬虫IP池,IDC机房、猫池等数据。

阿里系生态风险情报

共享亿级阿里系设备端的风险情报数据。

丰富的处置方式手段

针对疑似机器流量请求,可直接拦截,同时提供自定义UI滑块验证交互

阻断拦截

针对恶意机器流量请求,可选择直接拦截动作,防止恶意机器流量到达源站。

滑块验证交互

针对可疑机器流量请求,可选择滑块验证交互,通过二次验证来识别人机。

客户实战防护场景

航司占座

电商黄牛

核心接口被刷

航空行业防占座
黄牛利用爬虫遍历航空低价票,批量发起机器请求进行占座,导致航司座位资源被持续占用浪费,最终会引起航班空座率高的业务损失,并且影响正常用户的利益。
能够解决

爬虫遍历刷票

爬虫遍历低价票,引起服务器性能下降,查票成本提升

恶意占座

模拟下单请求占用座位资源

电商防交易黄牛、恶意秒杀、活动作弊
黄牛党在电商活动时会针对有限的高价值商品,限时秒杀、优惠活动等可获利场景,发起批量的机器请求来模拟正常的交易,再进行资源倒卖赚取差价,导致电商的营销及资源都会无法触达正常用户,被黄牛牟取暴利。
能够解决

恶意秒杀

黄牛用软件工具发起批量机器请求参与秒杀,抢占资源

活动作弊

黑客模拟点击批量领取红包并变现,造成营销资源损失

防止核心接口被刷、被滥用
登录、注册、短信等业务环节作为业务的关键节点,接口往往会被黑客利用,为欺诈行为做准备
能够解决

短信接口滥用

黑客通过恶意调用短信接口,来做短信轰炸等恶意行为

恶意撞库

黑客尝试登录外部泄漏账密,进行网站业务的欺诈

垃圾注册

黑客批量发起注册请求,做欺诈行为的账号储备

  • 航司占座
  • 电商黄牛
  • 核心接口被刷

    核心接口被刷

    登录、注册、短信等业务环节作为业务的关键节点,接口往往会被黑客利用,为欺诈行为做准备

    • 短信接口滥用

      黑客通过恶意调用短信接口,来做短信轰炸等恶意行为

    • 恶意撞库

      黑客尝试登录外部泄漏账密,进行网站业务的欺诈

    • 垃圾注册

      黑客批量发起注册请求,做欺诈行为的账号储备

产品介绍
密钥管理服务(KMS)提供安全合规的密钥托管和密码服务,助您轻松使用密钥来加密保护敏感的数据资产,控制云上的分布式计算和存储环境。您可以追踪密钥的使用情况,配置密钥的自动轮转策略,以及利用托管密码机所具备的中国国家密码管理局或者FIPS认证资质,来满足您的监管合规需求。
产品优势
完全托管
KMS为您提供了密钥托管和密码服务,阿里云负责密码基础设施的完全托管,保证服务和设施的可用性,安全性以及可靠性。您只需要专注于密钥的生命周期和权限策略等管理任务,以及数据加解密和数字签名验签等业务场景。
可用、可靠、弹性
KMS在每个地域构建了多可用区冗余的密码计算能力,保证向KMS发起的请求可以得到低延迟处理。您可以根据需要,在不同地域的KMS创建足够的密钥,而不必担心底层设施的扩容或缩容。您还可以通过BYOK的方式,保持一份密钥的拷贝从而获得更多的持久性。
安全与合规
KMS经过严格的安全设计和审核,保证您的密钥在阿里云得到最严格的保护。通过使用具备中国国家密码管理局或FIPS认证资质的托管密码机、配置自定义密钥轮转策略、在访问控制服务管理身份和权限、在操作审计服务追踪密钥的使用情况,您可以快速满足相应的监管与合规要求。如果您将密钥的使用日志从操作审计服务输出到对象存储或日志服务,则可以进一步和SIEM解决方案进行集成获得额外的分析和威胁检测能力。
云产品集成加密
KMS和云服务器、云数据库、对象存储、文件存储、大数据计算等阿里云产品广泛集成。您可以使用KMS中的密钥加密这些产品中的数据,帮助您保持对云上分布式计算和存储环境的控制,而您只需要付出密钥的管理成本,无需实现复杂的加密能力。您也可以通过对象存储SSE、数据库TDE等服务端加密方式,将原本需要在应用系统实现的数据加密的工作负载转移到云端,通过KMS和RAM来控制服务端加密的行为。
轻松自定义加密和数字签名
KMS对密码技术和HSM接口进行了抽象,通过简单易用的接口,帮助您实现自定义的数据加密保护,让安全与合规需求与业务系统紧密融合,进一步减小恶意者对敏感数据的攻击面。您还可以通过非对称的密钥对,实现数字签名来保护关键数据或者消息的完整性。
节省成本
使用KMS,您无需支付采购硬件密码设备的初始成本以及对硬件系统进行运维、修补、老旧替换的持续开销,也可以避免自建密钥管理设施所需的研发和维护成本,只需要按需使用、按量付费。

产品功能

全方位的管理功能

通过丰富的功能支持对密钥的管理任务

在KMS生成密钥或者外部导入

您可以在KMS生成密钥,或者导入您的自带密钥到托管密码机中,也就是BYOK:Bring Your Own Key。通过BYOK,您线下保有额外的密钥拷贝,托管密码机保证导入的密钥无法被导出。

生命周期管理和自动化轮转

您可以禁用、启用密钥,也可以通过延迟删除的方式销毁密钥;对于自带密钥,也可以立即删除或者设置自动过期销毁。KMS支持配置自定义轮转策略,帮助您自动化加密密钥的周期性轮转,以增强密钥应用的安全性

3A:认证、授权与审计

您可以通过RAM服务管理KMS用户的认证和授权策略;通过ActionTrail服务追踪和审计密钥的使用情况,或者将使用日志输出到OSS、日志服务用于长期存储、数据分析、SIEM集成等更多的场景

完全托管的密码机

托管密码机对密钥提供了高安全等级的保护机制

密码模块检测认证与合规

根据不同监管需求,KMS在部分地域提供经中国国家密码管理局检测和认证的密码机,支持符合国家和行业标准的商用密码算法;在其他地域提供具备FIPS 140-2第三级认证的密码机,且运行在FIPS许可的第三级模式下

密钥的安全生成

通过使用托管密码机,密钥材料的产生基于安全、许可、且以高系统熵值为种子的随机数生成算法,从而保护密钥不被攻击者恢复或者预判

密钥的硬件保护

托管密码机通过安全的硬件机制来保护KMS中的密钥。密钥的明文只会在密码机的内部用于密码运算,而不会离开密码机硬件的安全边界

和阿里云产品的集成

KMS和阿里云产品广泛集成以提供原生的加密体验和进阶式安全能力

入门级“默认加密”

KMS允许每个云产品为您自动管理一个云产品专用的加密密钥,默认情况下云产品使用此密钥而用户无需关心其生命周期和授权策略

自选加密密钥

您可以在KMS自行创建密钥,或者导入外部密钥,并且授权云产品使用自选密钥进行数据加密保护,因此您可以通过密钥的权限和生命周期管理,而获得完整的控制权

审计云产品对密钥的使用

无论是使用云产品托管的密钥,还是用户托管的密钥,您都可以审计云产品代理您调用KMS接口使用密钥的情况

简化而有效的密码运算

KMS抽象了密码技术概念,提供极简的密码计算接口

信封加密技术

KMS内建了信封加密技术,您可以通过单个API调用完成二级密钥的生成和主密钥加密保护这两个动作

可认证加密

KMS封装了可认证加密技术(AEAD),您可以通过使用加密上下文来为加密的数据提供额外的完整性和可认证性保证

数字签名验签

KMS支持非对称密钥的托管和基于非对称密钥的数字签名验签算法,可用于身份认证、代码签名、区块链等广泛业务场景

行业实战场景

主密钥加密敏感配置

高性能可扩展信封加密

构建安全可信的计算环境

云产品服务端加密

云端应用部署的DevSecOps最佳实践
您在云服务器、容器、函数计算等服务部署的应用,需要诸如口令密码、OAuth Secret、服务器证书私钥等敏感数据。通过KMS在部署前加密,部署后或者使用时解密的方式,保证敏感数据在运维、传输、存储等过程的安全性。
解决风险点

避免DevOps接触敏感数据

运维系统仅向研发人员提供云上生产环境所需的敏感数据被加密后的密文,研发人员将密文打包到配置文件,或者作为函数计算的环境变量,控制企业内部泄露风险

避免云端落盘敏感数据明文

部署到云端的应用,仅在需要时从配置文件或者环境变量中解密敏感数据,其明文仅在内存中使用,降低在云服务环境中敏感数据泄露风险。

两级密钥结构支撑海量数据和高并发
使用信封加密技术,通过KMS产生两级密钥结构:主密钥加密数据密钥,应用通过JCE、OpenSSL等加密库,使用数据密钥本地加密业务数据,数据密钥的密文和被加密的业务数据一同存储。解密时,首先解密相应数据密钥密文,获得数据密钥明文后本地解密业务数据。
解决的规模化场景

海量数据加密存储OSS

您可以使用OSS客户端加密SDK,用于在上传之前完成对大量数据的加密操作。也可以自行调用KMS实现信封加密。

NoSQL高并发读写加密后的数据

按照空间或者时间化分,在一定范围内(如:每个表或每5秒钟)使用相同的数据密钥加密,并且在内存中缓存数据密钥明文,将其密文存入NoSQL存储。

KMS搭配裸金属服务器构建安全计算环境
神龙裸金属服务器提供安全物理隔离,支持芯片级可信执行环境(Intel® SGX) ,您可以搭建安全计算环境,在KMS和安全计算环境之间,通过信封加密传递数据密钥;使用此数据密钥,在安全计算环境内,对离开边界的敏感业务数据进行加密保护,对进入边界的业务数据密文进行解密。
能够解决

敏感数据不出安全环境

敏感业务数据的明文仅在安全环境中存在,在进入持久化存储之前,已经被KMS保护起来,并且加密的过程并不需要向KMS传递敏感的业务数据。

数据密钥不出安全环境

从KMS获取的数据密钥,被安全计算环境保护,在环境内用于加解密进出边界的持久化数据。数据密钥的密文可以离开安全环境,和被其加密的业务数据一同持久化存储。

推荐搭配使用
服务端集成KMS加密,您只需要配置密钥和权限
云产品集成KMS,使用KMS中的主密钥对云产品的数据进行加密保护。您只需要在云产品的加密配置中,指定所使用的KMS密钥;随后通过RAM配置密钥的使用权限;在ActionTrail中审计云产品调用KMS的操作。
能够解决

通过加密来控制分布式计算存储环境

云上计算和存储环境,是分布式和多租户的。云产品加密将计算和存储行为和KMS绑定起来。例如ECS实例的启动需要解密被加密的云盘。而加密云盘在分布式存储系统的多个冗余拷贝、从云盘自动生成的快照也都被KMS保护起来。

将海量数据的加密负载交给阿里云

如果您产生了海量数据,其数据的加密解密行为,会消耗大量的计算资源,对系统性能和吞吐量产生负面影响。通过云产品的服务端加密,您将加密负载交给了阿里云,而仍然保持对数据加密行为的可控和可见能力。

推荐搭配使用
  • 主密钥加密敏感配置

    主密钥加密敏感配置

    您在云服务器、容器、函数计算等服务部署的应用,需要诸如口令密码、OAuth Secret、服务器证书私钥等敏感数据。通过KMS在部署前加密,部署后或者使用时解密的方式,保证敏感数据在运维、传输、存储等过程的安全性。

    • 避免DevOps接触敏感数据

      运维系统仅向研发人员提供云上生产环境所需的敏感数据被加密后的密文,研发人员将密文打包到配置文件,或者作为函数计算的环境变量,控制企业内部泄露风险

    • 避免云端落盘敏感数据明文

      部署到云端的应用,仅在需要时从配置文件或者环境变量中解密敏感数据,其明文仅在内存中使用,降低在云服务环境中敏感数据泄露风险。

  • 高性能可扩展信封加密
  • 构建安全可信的计算环境
  • 云产品服务端加密