云安全一站式服務_專業的安全保護平臺【企商在線】

精心打造的功能

防護效果可視化

對風險及在線策略進行實時異動監控，并提供防護效果的匯總報表

實時監控

對風險及在線策略進行實時異動監控，可快速調整并優化策略，進行風險對抗。

報表匯總

多維度展示防護效果，讓客戶清晰了解業務的整體防護效果。

惡意Bot流量精準攔截

多維度刻畫并過濾Bot流量，防護業務避免遭受損失

黑白IP訪問控制

支持對指定IP或網段的封禁或者加白。

惡意特征精準組合

針對請求中的常見頭部字段，如IP，URL、UserAgent、Referer或者參數中出現的Bot惡意特征，進行組合配置和訪問控制。

定制化深度學習

提供定制Bot模型對抗，貼近業務風險的深度學習訓練。

APP端Bot識別技術方案

支持SDK快速集成至APP，進行接口合法性校驗，識別模擬器特征，并計算唯一的設備端指紋，作為IP或者UA易變異的升級。

云端共享威脅情報

利用云端優勢共享海量的威脅情報，并對行業內集中性攻擊做出快速對抗響應

IP黑灰產爬蟲情報

提供云上百萬級已知針對性風險的IP黑灰產數據，包括爬蟲IP池，IDC機房、貓池等數據。

阿里系生態風險情報

共享億級阿里系設備端的風險情報數據。

豐富的處置方式手段

針對疑似機器流量請求，可直接攔截，同時提供自定義UI滑塊驗證交互

阻斷攔截

針對惡意機器流量請求，可選擇直接攔截動作，防止惡意機器流量到達源站。

滑塊驗證交互

針對可疑機器流量請求，可選擇滑塊驗證交互，通過二次驗證來識別人機。

客戶實戰防護場景

航司占座

電商黃牛

核心接口被刷

航空行業防占座

黃牛利用爬蟲遍歷航空低價票，批量發起機器請求進行占座，導致航司座位資源被持續占用浪費，最終會引起航班空座率高的業務損失，并且影響正常用戶的利益。

能夠解決

爬蟲遍歷刷票

爬蟲遍歷低價票，引起服務器性能下降，查票成本提升

惡意占座

模擬下單請求占用座位資源

電商防交易黃牛、惡意秒殺、活動作弊

黃牛黨在電商活動時會針對有限的高價值商品，限時秒殺、優惠活動等可獲利場景，發起批量的機器請求來模擬正常的交易，再進行資源倒賣賺取差價，導致電商的營銷及資源都會無法觸達正常用戶，被黃牛牟取暴利。

能夠解決

惡意秒殺

黃牛用軟件工具發起批量機器請求參與秒殺，搶占資源

活動作弊

黑客模擬點擊批量領取紅包并變現，造成營銷資源損失

防止核心接口被刷、被濫用

登錄、注冊、短信等業務環節作為業務的關鍵節點，接口往往會被黑客利用，為欺詐行為做準備

能夠解決

短信接口濫用

黑客通過惡意調用短信接口，來做短信轟炸等惡意行為

惡意撞庫

黑客嘗試登錄外部泄漏賬密，進行網站業務的欺詐

垃圾注冊

黑客批量發起注冊請求，做欺詐行為的賬號儲備

航司占座
航司占座

黃牛利用爬蟲遍歷航空低價票，批量發起機器請求進行占座，導致航司座位資源被持續占用浪費，最終會引起航班空座率高的業務損失，并且影響正常用戶的利益。
- 爬蟲遍歷刷票
  
  爬蟲遍歷低價票，引起服務器性能下降，查票成本提升
- 惡意占座
  
  模擬下單請求占用座位資源
電商黃牛
電商黃牛

黃牛黨在電商活動時會針對有限的高價值商品，限時秒殺、優惠活動等可獲利場景，發起批量的機器請求來模擬正常的交易，再進行資源倒賣賺取差價，導致電商的營銷及資源都會無法觸達正常用戶，被黃牛牟取暴利。
- 惡意秒殺
  
  黃牛用軟件工具發起批量機器請求參與秒殺，搶占資源
- 活動作弊
  
  黑客模擬點擊批量領取紅包并變現，造成營銷資源損失
核心接口被刷
核心接口被刷

登錄、注冊、短信等業務環節作為業務的關鍵節點，接口往往會被黑客利用，為欺詐行為做準備
- 短信接口濫用
  
  黑客通過惡意調用短信接口，來做短信轟炸等惡意行為
- 惡意撞庫
  
  黑客嘗試登錄外部泄漏賬密，進行網站業務的欺詐
- 垃圾注冊
  
  黑客批量發起注冊請求，做欺詐行為的賬號儲備

產品功能

全方位的管理功能

通過豐富的功能支持對密鑰的管理任務

在KMS生成密鑰或者外部導入

您可以在KMS生成密鑰，或者導入您的自帶密鑰到托管密碼機中，也就是BYOK：Bring Your Own Key。通過BYOK，您線下保有額外的密鑰拷貝，托管密碼機保證導入的密鑰無法被導出。

生命周期管理和自動化輪轉

您可以禁用、啟用密鑰，也可以通過延遲刪除的方式銷毀密鑰；對于自帶密鑰，也可以立即刪除或者設置自動過期銷毀。KMS支持配置自定義輪轉策略，幫助您自動化加密密鑰的周期性輪轉，以增強密鑰應用的安全性

3A：認證、授權與審計

您可以通過RAM服務管理KMS用戶的認證和授權策略；通過ActionTrail服務追蹤和審計密鑰的使用情況，或者將使用日志輸出到OSS、日志服務用于長期存儲、數據分析、SIEM集成等更多的場景

完全托管的密碼機

托管密碼機對密鑰提供了高安全等級的保護機制

密碼模塊檢測認證與合規

根據不同監管需求，KMS在部分地域提供經中國國家密碼管理局檢測和認證的密碼機，支持符合國家和行業標準的商用密碼算法；在其他地域提供具備FIPS 140-2第三級認證的密碼機，且運行在FIPS許可的第三級模式下

密鑰的安全生成

通過使用托管密碼機，密鑰材料的產生基于安全、許可、且以高系統熵值為種子的隨機數生成算法，從而保護密鑰不被攻擊者恢復或者預判

密鑰的硬件保護

托管密碼機通過安全的硬件機制來保護KMS中的密鑰。密鑰的明文只會在密碼機的內部用于密碼運算，而不會離開密碼機硬件的安全邊界

和阿里云產品的集成

KMS和阿里云產品廣泛集成以提供原生的加密體驗和進階式安全能力

入門級“默認加密”

KMS允許每個云產品為您自動管理一個云產品專用的加密密鑰，默認情況下云產品使用此密鑰而用戶無需關心其生命周期和授權策略

自選加密密鑰

您可以在KMS自行創建密鑰，或者導入外部密鑰，并且授權云產品使用自選密鑰進行數據加密保護，因此您可以通過密鑰的權限和生命周期管理，而獲得完整的控制權

審計云產品對密鑰的使用

無論是使用云產品托管的密鑰，還是用戶托管的密鑰，您都可以審計云產品代理您調用KMS接口使用密鑰的情況

簡化而有效的密碼運算

KMS抽象了密碼技術概念，提供極簡的密碼計算接口

信封加密技術

KMS內建了信封加密技術，您可以通過單個API調用完成二級密鑰的生成和主密鑰加密保護這兩個動作

可認證加密

KMS封裝了可認證加密技術（AEAD），您可以通過使用加密上下文來為加密的數據提供額外的完整性和可認證性保證

數字簽名驗簽

KMS支持非對稱密鑰的托管和基于非對稱密鑰的數字簽名驗簽算法，可用于身份認證、代碼簽名、區塊鏈等廣泛業務場景

行業實戰場景

主密鑰加密敏感配置

高性能可擴展信封加密

構建安全可信的計算環境

云產品服務端加密

云端應用部署的DevSecOps最佳實踐

您在云服務器、容器、函數計算等服務部署的應用，需要諸如口令密碼、OAuth Secret、服務器證書私鑰等敏感數據。通過KMS在部署前加密，部署后或者使用時解密的方式，保證敏感數據在運維、傳輸、存儲等過程的安全性。

解決風險點

避免DevOps接觸敏感數據

運維系統僅向研發人員提供云上生產環境所需的敏感數據被加密后的密文，研發人員將密文打包到配置文件，或者作為函數計算的環境變量，控制企業內部泄露風險

避免云端落盤敏感數據明文

部署到云端的應用，僅在需要時從配置文件或者環境變量中解密敏感數據，其明文僅在內存中使用，降低在云服務環境中敏感數據泄露風險。

推薦搭配使用

云服務器

容器服務

函數計算

兩級密鑰結構支撐海量數據和高并發

使用信封加密技術，通過KMS產生兩級密鑰結構：主密鑰加密數據密鑰，應用通過JCE、OpenSSL等加密庫，使用數據密鑰本地加密業務數據，數據密鑰的密文和被加密的業務數據一同存儲。解密時，首先解密相應數據密鑰密文，獲得數據密鑰明文后本地解密業務數據。

解決的規模化場景

海量數據加密存儲OSS

您可以使用OSS客戶端加密SDK，用于在上傳之前完成對大量數據的加密操作。也可以自行調用KMS實現信封加密。

NoSQL高并發讀寫加密后的數據

按照空間或者時間化分，在一定范圍內（如：每個表或每5秒鐘）使用相同的數據密鑰加密，并且在內存中緩存數據密鑰明文，將其密文存入NoSQL存儲。

推薦搭配使用

Redis

TSDB

OSS

TableStore

KMS搭配裸金屬服務器構建安全計算環境

神龍裸金屬服務器提供安全物理隔離，支持芯片級可信執行環境(Intel? SGX) ，您可以搭建安全計算環境，在KMS和安全計算環境之間，通過信封加密傳遞數據密鑰；使用此數據密鑰，在安全計算環境內，對離開邊界的敏感業務數據進行加密保護，對進入邊界的業務數據密文進行解密。

能夠解決

敏感數據不出安全環境

敏感業務數據的明文僅在安全環境中存在，在進入持久化存儲之前，已經被KMS保護起來，并且加密的過程并不需要向KMS傳遞敏感的業務數據。

數據密鑰不出安全環境

從KMS獲取的數據密鑰，被安全計算環境保護，在環境內用于加解密進出邊界的持久化數據。數據密鑰的密文可以離開安全環境，和被其加密的業務數據一同持久化存儲。

推薦搭配使用

EBM

OSS

RDS

服務端集成KMS加密，您只需要配置密鑰和權限

云產品集成KMS，使用KMS中的主密鑰對云產品的數據進行加密保護。您只需要在云產品的加密配置中，指定所使用的KMS密鑰；隨后通過RAM配置密鑰的使用權限；在ActionTrail中審計云產品調用KMS的操作。

能夠解決

通過加密來控制分布式計算存儲環境

云上計算和存儲環境，是分布式和多租戶的。云產品加密將計算和存儲行為和KMS綁定起來。例如ECS實例的啟動需要解密被加密的云盤。而加密云盤在分布式存儲系統的多個冗余拷貝、從云盤自動生成的快照也都被KMS保護起來。

將海量數據的加密負載交給阿里云

如果您產生了海量數據，其數據的加密解密行為，會消耗大量的計算資源，對系統性能和吞吐量產生負面影響。通過云產品的服務端加密，您將加密負載交給了阿里云，而仍然保持對數據加密行為的可控和可見能力。

推薦搭配使用

OSS

RDS

ECS

NAS

主密鑰加密敏感配置
主密鑰加密敏感配置

您在云服務器、容器、函數計算等服務部署的應用，需要諸如口令密碼、OAuth Secret、服務器證書私鑰等敏感數據。通過KMS在部署前加密，部署后或者使用時解密的方式，保證敏感數據在運維、傳輸、存儲等過程的安全性。
- 避免DevOps接觸敏感數據
  
  運維系統僅向研發人員提供云上生產環境所需的敏感數據被加密后的密文，研發人員將密文打包到配置文件，或者作為函數計算的環境變量，控制企業內部泄露風險
- 避免云端落盤敏感數據明文
  
  部署到云端的應用，僅在需要時從配置文件或者環境變量中解密敏感數據，其明文僅在內存中使用，降低在云服務環境中敏感數據泄露風險。
高性能可擴展信封加密
高性能可擴展信封加密

使用信封加密技術，通過KMS產生兩級密鑰結構：主密鑰加密數據密鑰，應用通過JCE、OpenSSL等加密庫，使用數據密鑰本地加密業務數據，數據密鑰的密文和被加密的業務數據一同存儲。解密時，首先解密相應數據密鑰密文，獲得數據密鑰明文后本地解密業務數據。
- 海量數據加密存儲OSS
  
  您可以使用OSS客戶端加密SDK，用于在上傳之前完成對大量數據的加密操作。也可以自行調用KMS實現信封加密。
- NoSQL高并發讀寫加密后的數據
  
  按照空間或者時間化分，在一定范圍內（如：每個表或每5秒鐘）使用相同的數據密鑰加密，并且在內存中緩存數據密鑰明文，將其密文存入NoSQL存儲。
構建安全可信的計算環境
構建安全可信的計算環境

神龍裸金屬服務器提供安全物理隔離，支持芯片級可信執行環境(Intel? SGX) ，您可以搭建安全計算環境，在KMS和安全計算環境之間，通過信封加密傳遞數據密鑰；使用此數據密鑰，在安全計算環境內，對離開邊界的敏感業務數據進行加密保護，對進入邊界的業務數據密文進行解密。
- 敏感數據不出安全環境
  
  敏感業務數據的明文僅在安全環境中存在，在進入持久化存儲之前，已經被KMS保護起來，并且加密的過程并不需要向KMS傳遞敏感的業務數據。
- 數據密鑰不出安全環境
  
  從KMS獲取的數據密鑰，被安全計算環境保護，在環境內用于加解密進出邊界的持久化數據。數據密鑰的密文可以離開安全環境，和被其加密的業務數據一同持久化存儲。
云產品服務端加密
云產品服務端加密

云產品集成KMS，使用KMS中的主密鑰對云產品的數據進行加密保護。您只需要在云產品的加密配置中，指定所使用的KMS密鑰；隨后通過RAM配置密鑰的使用權限；在ActionTrail中審計云產品調用KMS的操作。
- 通過加密來控制分布式計算存儲環境
  
  云上計算和存儲環境，是分布式和多租戶的。云產品加密將計算和存儲行為和KMS綁定起來。例如ECS實例的啟動需要解密被加密的云盤。而加密云盤在分布式存儲系統的多個冗余拷貝、從云盤自動生成的快照也都被KMS保護起來。
- 將海量數據的加密負載交給阿里云
  
  如果您產生了海量數據，其數據的加密解密行為，會消耗大量的計算資源，對系統性能和吞吐量產生負面影響。通過云產品的服務端加密，您將加密負載交給了阿里云，而仍然保持對數據加密行為的可控和可見能力。

NETNIC云安全

NETNIC企商在線自主研發具備超強的攻擊防御平臺

精心打造的功能

客戶實戰防護場景

航司占座

電商黃牛

核心接口被刷

產品功能

行業實戰場景

主密鑰加密敏感配置

高性能可擴展信封加密

構建安全可信的計算環境

云產品服務端加密