阿里云Web應(yīng)用防火墻在防護HTTPS業(yè)務(wù)時���,需要您上傳對應(yīng)的SSL證書及密鑰��,用于解密HTTPS流量并檢測流量中的攻擊特征��。我們使用了專用的證書服務(wù)器(Key Server)來存儲和管理密鑰�。Key Server依托于阿里云密鑰管理系統(tǒng)KMS(Key Management Service)�����,能夠保護證書和密鑰的數(shù)據(jù)安全性�����、完整性和可用性��,符合監(jiān)管和等保合規(guī)要求���。關(guān)于KMS的詳細介紹���,請參見什么是密鑰管理服務(wù)�����。
WAF使用您上傳的SSL證書及密鑰解密HTTPS業(yè)務(wù)流量�,只用于實時檢測�����。我們只會記錄包含攻擊特征(payload)的部分請求內(nèi)容�,用于攻擊報表展示、數(shù)據(jù)統(tǒng)計等�,不會在您未授權(quán)的情況下,記錄全量的請求或響應(yīng)內(nèi)容�����。
阿里云Web應(yīng)用防火墻已通過ISO 9001����、ISO 20000���、ISO 22301�、ISO 27001、ISO 27017����、ISO 27018、ISO 27701����、ISO 29151、BS 10012����、CSA STAR、等保三級�����、SOC 1/2/3���、C5����、HK金融����、OSPAR�、PCI DSS等多項國際權(quán)威認證��,且作為標準的阿里云云產(chǎn)品�����,在云平臺層面具備與阿里云同等水平的安全合規(guī)資質(zhì)����。詳細內(nèi)容,請參見阿里云信任中心��。
說明 使用WAF防護HTTPS業(yè)務(wù)時���,您也可以選擇雙證書方案�����,即在WAF上使用一套證書及密鑰,在源站服務(wù)器上使用另一套證書及密鑰(兩套證書及密鑰必須都是合法的)����,以便將上傳到WAF的證書及密鑰與源站服務(wù)器的證書及密鑰分開管理。
謝朗
閩公網(wǎng)安備 35010202001226號
