阿里云WAF如何保證上傳證書及密鑰的安全性?是否會(huì)解密HTTPS流量并記錄訪問(wèn)請(qǐng)求的內(nèi)容?
阿里云Web應(yīng)用防火墻在防護(hù)HTTPS業(yè)務(wù)時(shí),需要您上傳對(duì)應(yīng)的SSL證書及密鑰,用于解密HTTPS流量并檢測(cè)流量中的攻擊特征。我們使用了專用的證書服務(wù)器(Key Server)來(lái)存儲(chǔ)和管理密鑰。Key Server依托于阿里云密鑰管理系統(tǒng)KMS(Key Management Service),能夠保護(hù)證書和密鑰的數(shù)據(jù)安全性、完整性和可用性,符合監(jiān)管和等保合規(guī)要求。關(guān)于KMS的詳細(xì)介紹,請(qǐng)參見什么是密鑰管理服務(wù)。
WAF使用您上傳的SSL證書及密鑰解密HTTPS業(yè)務(wù)流量,只用于實(shí)時(shí)檢測(cè)。我們只會(huì)記錄包含攻擊特征(payload)的部分請(qǐng)求內(nèi)容,用于攻擊報(bào)表展示、數(shù)據(jù)統(tǒng)計(jì)等,不會(huì)在您未授權(quán)的情況下,記錄全量的請(qǐng)求或響應(yīng)內(nèi)容。
阿里云Web應(yīng)用防火墻已通過(guò)ISO 9001、ISO 20000、ISO 22301、ISO 27001、ISO 27017、ISO 27018、ISO 27701、ISO 29151、BS 10012、CSA STAR、等保三級(jí)、SOC 1/2/3、C5、HK金融、OSPAR、PCI DSS等多項(xiàng)國(guó)際權(quán)威認(rèn)證,且作為標(biāo)準(zhǔn)的阿里云云產(chǎn)品,在云平臺(tái)層面具備與阿里云同等水平的安全合規(guī)資質(zhì)。詳細(xì)內(nèi)容,請(qǐng)參見阿里云信任中心。
說(shuō)明 使用WAF防護(hù)HTTPS業(yè)務(wù)時(shí),您也可以選擇雙證書方案,即在WAF上使用一套證書及密鑰,在源站服務(wù)器上使用另一套證書及密鑰(兩套證書及密鑰必須都是合法的),以便將上傳到WAF的證書及密鑰與源站服務(wù)器的證書及密鑰分開管理。