阿里云WAF如何保证上传证书及密钥的安全性?是否会解密HTTPS流量并记录访问请求的内容?
阿里云Web应用防火墙在防护HTTPS业务时,需要您上传对应的SSL证书及密钥,用于解密HTTPS流量并检测流量中的攻击特征。我们使用了专用的证书服务器(Key Server)来存储和管理密钥。Key Server依托于阿里云密钥管理系统KMS(Key Management Service),能够保护证书和密钥的数据安全性、完整性和可用性,符合监管和等保合规要求。关于KMS的详细介绍,请参见什么是密钥管理服务。
WAF使用您上传的SSL证书及密钥解密HTTPS业务流量,只用于实时检测。我们只会记录包含攻击特征(payload)的部分请求内容,用于攻击报表展示、数据统计等,不会在您未授权的情况下,记录全量的请求或响应内容。
阿里云Web应用防火墙已通过ISO 9001、ISO 20000、ISO 22301、ISO 27001、ISO 27017、ISO 27018、ISO 27701、ISO 29151、BS 10012、CSA STAR、等保三级、SOC 1/2/3、C5、HK金融、OSPAR、PCI DSS等多项国际权威认证,且作为标准的阿里云云产品,在云平台层面具备与阿里云同等水平的安全合规资质。详细内容,请参见阿里云信任中心。
说明使用WAF防护HTTPS业务时,您也可以选择双证书方案,即在WAF上使用一套证书及密钥,在源站服务器上使用另一套证书及密钥(两套证书及密钥必须都是合法的),以便将上传到WAF的证书及密钥与源站服务器的证书及密钥分开管理。
https://ds.fanyaozu.com/tag/2021%e5%85%a8%e5%9b%bd%e7%bd%91%e4%b8%8a%e5%b9%b4%e8%b4%a7%e8%8a%82%e5%b0%86%e4%ba%8e1%e6%9c%8820%e6%97%a5%e5%90%af%e5%8a%a8
转载请注明:电商实战教程 » 阿里云WAF如何保证上传证书及密钥的安全性?是否会解密HTTPS流量并记录访问请求的内容?