Web應用防火墻(Web Application Firewall,簡稱WAF)的資產中心功能幫助您梳理阿里云云上、云下的域名資產,并根據資產在云上的攻擊態勢,進行風險等級評估,幫助您掌握業務的整體防護狀態。您可以為風險等級較高的域名資產開啟防護,提升整體安全防護水平。
背景信息
網絡應用資產是安全管理體系中最基礎的載體,同時也是業務系統中最基本的組成單元。隨著企業業務的高速發展,各類業務系統平臺逐年增多,同時也存在員工私建站點、測試環境未及時回收等情況,導致可能產生大量“僵尸”資產。信息安全領域存在典型的木桶效應,即安全防護的水位由企業最薄弱的一環決定。由于無人管理,“僵尸”資產往往使用了低版本的開源系統、組件、Web框架等,導致一些薄弱環節暴露在攻擊者的視野下,攻擊者可以利用這些站點作為“跳板”,繞過企業的網絡邊界防護,進而使得整個企業內網淪陷。
WAF資產識別功能通過獲取阿里云域名服務、云解析DNS、SSL證書等服務的配置信息,結合大數據關聯分析能力,幫助您主動發現云上與云下的域名資產,為您提供全局資產視角,避免在安全防護中出現資產遺漏。同時,資產識別基于阿里云默認Web攻擊檢測能力,結合威脅情報,為您計算出云上域名的安全分值,幫助您發現被攻擊者關注的域名,并支持為域名開啟防護,避免域名遭受入侵。
資產識別支持檢測的域名資源包含阿里云域名和非阿里云域名,且非阿里云域名包括解析至非阿里云服務器的域名和線下IDC機房使用的域名。
步驟一:訪問資產中心并授權WAF訪問云資源
登錄Web應用防火墻3.0控制臺。在頂部菜單欄,選擇WAF實例的資源組和地域(中國內地、非中國內地)。
在左側導航欄,單擊資產中心。
在資產中心頁面,單擊立即開啟。
說明使用WAF期間,您只需執行一次授權操作。如果您已經授權過,可跳過該步驟。
首次開通資產中心后,阿里云將自動為您創建WAF服務關聯角色(AliyunServiceRoleForWAF)。您可以登錄RAM控制臺,查看阿里云為WAF自動創建的服務關聯角色。具體操作,請參見查看RAM角色。
只有創建服務關聯角色AliyunServiceRoleForWAF后,您的WAF實例才能訪問云服務器ECS、負載均衡SLB、云解析DNS、CDN、數字證書管理服務、日志服務SLS等關聯云服務的資源。
獲取WAF訪問云資源的授權后,WAF將自動檢測與您的阿里云賬號相關的域名資產,并在資產中心頁面展示檢測到的域名資產信息。
說明資產中心支持識別的域名資源包含阿里云域名和非阿里云域名,非阿里云域名包括解析至非阿里云服務器的域名和線下IDC機房使用的域名。
為了使資產中心的識別結果更準確,WAF默認開啟主動指紋掃描。針對已接入WAF的資產,采用被動流量學習和主動探測的方式識別資產指紋。主動指紋掃描每兩周進行一次,建議您保持開關的開啟狀態。
步驟二:添加資產
如果您關注的主域名資產未在資產列表中,您可以通過添加資產,手動添加主域名。
在資產中心的概覽頁簽,單擊資產列表右上角的
圖標。
在添加資產對話框,填寫網站域名,并完成域名的歸屬權驗證。
如果您是首次添加該域名,需要驗證是否擁有該域名的歸屬權。通過后,才能添加域名。具體操作,請參見驗證域名歸屬權。
完成上述配置后,單擊添加。
手動添加資產后,資產中心列表會在T+1顯示添加的資產。
步驟三:查看資產
在資產中心頁面,查看域名資產的詳細信息。
數據類型 | 說明 | 相關操作 |
域名資產數據(圖示①區域) | 展示您的阿里云賬號相關的域名資產數據,包括主域名數、子域名數及較昨日變化數、未防護子域名數(包括未防護高風險域名數、中風險域名數和低風險域名數)。 | 無 |
域名資產詳情(圖示②區域) | WAF將檢測發現的域名資產根據主域名進行聚合展示。每個主域名包含以下信息:
|
|
圖標,通過設置配置狀態、風險級別,篩選要子域名。子域名包含以下信息:步驟四:導出資產
在資產中心的概覽頁簽,選中需要導出的主域名,并單擊右上角的
圖標,開啟域名資產下載功能。在資產中心的導出記錄頁簽,單擊下載,下載域名資產文檔。
您導出的文件生成后會暫存在阿里云上,三天后會自動刪除,請在有效期內下載查看。
說明主賬號支持下載資產列表,子賬號暫不支持該功能。