人总是在一个不适当的时间被推上一个不适当的位置去做一件正确的事情。
——丘吉尔

前两天客户告诉我：他们把阿里云WAF用在了本地部署的网站上，挺好！解决了他们网站裸跑的问题。

进一步，他问我还有哪些阿里云安全产品支持本地环境，我稍微理了一下，结果吓了一跳，竟然发现：

阿里云等保安全产品几乎全线支持『非』阿里云环境部署。

（上图来自阿里云等级保护解决方案页面）

不相信？让我们一个个看：

• 阿里云WAF、阿里云WAF支持CNAME方式接入，WEB系统不管在不在啊里云上都可以通过修改DNS解析的方式接入到阿里云WAF。
• 阿里云安全中心、阿里云安全中心就是安全厂商经常念叨的态势感知，而且过去的云安全中心的前身之一就叫态势感知，态势感知和安骑士合并为云安全中心。通过将阿里云安全中心的agent部署到线下IDC或者其他云服务上即可实现接入。
• 阿里云堡垒机、阿里云堡垒机其实就是一个RDP/SSH的协议代理，在代理这些管理流量的同时实现操作审计，因此只要网络可达，再结合一些网络安全策略禁止所有非阿里云堡垒机对服务器管理端口的访问即可接入阿里云堡垒机。
• 阿里云数据库审计、数据库审计本身是一个旁路设备，通过网络抓包的方式收集数据库和应用服务器之间操作过程来实现审计功能，通过将阿里云数据库审计的agent部署在线下IDC或者其他云服务器上即可接入，数据库审计可以通过修改发送数据地址的方式支持公网接入，当然，这种部署最好能够在有VPN/专线的保护下实施，
• 阿里云DDOS高防IP、阿里云高防IP和阿里云WAF一样都支持CNAME方式接入，修改DNS解析即可实现非阿里云环境的接入。
• SSL证书、证书服务本身就不对部署环境有任何限制，云上，云下皆可部署。
• 漏洞扫描、只要通过修改DNS记录对扫描的主域名添加验证信息，无论网站是否部署在阿里云都可以用阿里云漏洞扫描进行漏洞发现。
• 安全管家、安全管家是阿里云提供的安全技术专家服务，包括应急版、护航版、企业版。
• DBS数据库备份、备份系统虽然不属于安全产品，但在等级保护中备份是一项非常重要的检查项目，阿里云DBS支持对非阿里云数据库服务器的备份，并且支持部署备份网关，从而避免将数据库服务器直接暴露在公网上，利用数据库网关还可以将备份到云端的数据库备份自动下载到本地保存。

在阿里云等级保护相关服务中只有一个云防火墙不支持『非』阿里云环境。

混合云等保，就缺一个防火墙。