應用安全是指確保應用程式在部署及運行過程中免受威脅和攻擊的一系列措施和技術。它旨在保護軟體及其資料不受未授權訪問、篡改或破壞,從而保障商務持續性和使用者資訊的安全。本文從主機安全、漏洞管理、Web應用的網路安全和Web應用的流量安全等幾方面介紹ECS執行個體在應用安全方面支援的防護能力。
大多數業務都需要各種類型的主機來提供計算能力,並且主機也是各類Web應用、資料庫、OSS等雲上服務交匯貫通的核心樞紐,因此,保護主機安全是雲上應用安全的重要部分。選擇有效主機安全產品可以確保主機具備合格的反病毒和威脅檢測能力,從而有效預防病毒和駭客攻擊造成的破壞。
漏洞已成為應用安全的入侵方式之一,選擇Security Center的漏洞管理以確保發現ECS執行個體的漏洞並進行修複,同時可以通過系統營運管理OOS的補丁管理對ECS執行個體進行批量修補、掃描並自動安裝所有缺失的補丁。
可以通過配置Cloud Firewall或安全性群組,保證即使在破壞入侵的情況下,也只能在小範圍之內實現攻擊,而不會影響到整體業務。
Web應用攻擊依然是互連網安全威脅來源之一,除了傳統的網頁和應用,API和各種小程式也作為了新的流量入口快速崛起,更多的流量入口和更易用的調用方式,對應的安全攻擊形式也隨之增加。我們需要選擇有效Web Application Firewall和防DDoS攻擊產品,以有效阻擋來自網路的流量或漏洞攻擊,避免攻擊造成業務中斷。
可以通過Action Trail的事件進行統一的風險分析、異常分析和行為分析,回溯所有的應用安全操作鏈結路是否完整、是否有缺陷,並進行調整,進而保證雲上處於安全狀態。
做好主機安全
功能介紹
Elastic Compute Service可以通過Security Center免費版提供的安全防護功能保護ECS的主機安全。Security Center免費版提供漏洞掃描、異常登入檢測、AK泄露檢測、合規檢查等基礎功能。更多資訊,請參見Security Center免費版簡介。
說明如果您需要使用漏洞修複、防勒索、網頁防篡改等更多安全防護能力,您可以購買安全防護服務。更多資訊,請參見購買Security Center。
配置方式
ECS管理主控台:您在購買ECS執行個體時,預設選中免費安全強化選項,Security Center會對您的ECS執行個體提供免費的漏洞掃描、合規檢查等安全防護。
說明您也可以在調用API介面RunInstances時通過設定
SecurityEnhancementStrategy=Active,為建立ECS執行個體啟用安全強化。Security Center控制台:手動為已建立的ECS執行個體安裝用戶端使用Security Center的安全防護能力。具體操作,請參見安裝用戶端。
查看ECS執行個體的主機狀態
ECS管理主控台:在ECS執行個體列表,將滑鼠移至上方在目標執行個體的
表徵圖上方,即可查看當前執行個體安全狀態。您可以單擊待處理任務對應的立即處理,查看警示詳情。如果存在高危風險,建議您根據頁面提示及時處理,避免影響業務安全。
Security Center控制台:在頁面查看目標ECS執行個體的安全詳情。更多資訊,請參見管理伺服器。
做好漏洞管理
掃描和處理漏洞
使用補丁基準自動更新安全補丁
功能介紹
阿里雲系統營運管理OOS的補丁管理可以使用安全相關更新及其他更新類型自動修補相應的ECS執行個體。您可以使用補丁管理模組在Windows執行個體上安裝ServicePack、在Linux執行個體上執行作業系統小版本升級、按作業系統類型同時對多台ECS執行個體進行批量修補、掃描並自動安裝所有缺失的補丁等多種方式。更多資訊,請參見補丁管理概述。
配置方式
建議您對ECS執行個體使用補丁管理功能,自動掃描執行個體內的系統補丁,並完成補丁的下載和安裝,保障系統安全與穩定。
保障Web應用的網路安全
配置Cloud Firewall
功能介紹
阿里雲Cloud Firewall是一款雲平台SaaS化的產品,具備自己的營運和管控平台,可針對您雲上網路資產的互連網邊界、VPC邊界及主機邊界,實現三位一體的統一安全隔離管控,是您業務上雲的第一道網路防線。更多資訊,請參見什麼是Cloud Firewall。
配置方式
您可以根據網路邊界配置對應的防火牆,以便進行邏輯分層以及後續維護。
如果您只有公網流量防護需求,只需要在互連網邊界防火牆配置出方向或入方向的存取原則。具體操作,請參見配置互連網邊界存取控制策略。
如果您需要限制VPC內資源(例如ECS、ECI等)通過NAT Gateway訪問互連網的出方向流量時,您可以為NAT Gateway開啟NAT邊界防火牆,並配置NAT邊界存取控制策略,精細化管控私網資源到互連網的訪問。具體操作,請參見配置互連網邊界存取控制策略。
如果您在防護公網流量的同時,還需要防護ECS執行個體之間的流量,除了配置互連網邊界防火牆,還需要再配置VPC邊界防火牆。具體操作,請參見配置主機邊界存取控制策略。
如果您在防護公網流量的同時,還需要防護VPC之間、VPC與IDC之間的流量,除了配置互連網邊界防火牆,還需要再配置VPC邊界防火牆。具體操作,請參見配置VPC邊界存取控制策略。
配置安全性群組
功能介紹
安全性群組是一種虛擬防火牆,能夠控制ECS執行個體的出入站流量。安全性群組的入方向規則控制ECS執行個體的入站流量,出方向規則控制ECS執行個體的出站流量。更多資訊,請參見安全性群組概述。
配置方式
您可以在建立ECS執行個體時指定一個或多個安全性群組。也可以在ECS建立完成後,將ECS執行個體加入一個或多個安全性群組。更多資訊,請參見安全性群組與ECS執行個體關聯的管理。
保障Web應用的流量安全
配置Web Application Firewall
功能介紹
Web Application Firewall可以對網站或App的業務流量進行惡意特徵識別及防護,在對流量清洗和過濾後,將正常、安全的流量返回給伺服器,避免網站伺服器被惡意入侵導致效能異常等問題,從而保障網站的業務安全和資料安全。更多資訊,請參見什麼是Web Application Firewall。
配置方式
如果您已建立ECS執行個體,您可以將執行個體的引流連接埠添加到Web Application Firewall,將Web業務引流到WAF防護。將ECS執行個體接入WAF後,執行個體所有的Web業務流量將被指定網關引導到WAF進行檢測。WAF過濾Web應用攻擊後,將正常的業務流量轉寄回ECS伺服器。具體操作,請參見為ECS開啟WAF防護。
DDoS基礎防護
功能介紹
阿里雲為ECS免費提供500 Mbps~5 Gbps的DDoS基礎防護能力,可有效防止ECS執行個體受到惡意程式發起的DDoS攻擊。更多資訊,請參見什麼是DDoS基礎防護。
說明如果DDoS基礎防護無法滿足需求,您可以選擇DDoS原生防護或DDoS高防等更進階別的防護產品。更多資訊,請參見什麼是DDoS原生防護、什麼是DDoS高防。
啟用DDoS基礎防護後,DDoS基礎防護會即時監控進入ECS執行個體的流量。當ECS執行個體公網IP的網路流量超過設定的清洗閾值時,DDoS基礎防護服務將自動對該IP的流量進行清洗,儘可能地保障您的正常業務免受DDoS攻擊影響。
配置方式
DDoS基礎防護預設開啟且不支援關閉,無需手動設定。
進行週期性Action Trail
功能介紹
Action Trail(ActionTrail)是阿里雲提供的雲帳號資源操作記錄的查詢和投遞服務,可用於安全分析、資源變更追蹤以及合規性審計等情境。Action Trail支援將管控事件投遞到Log ServiceSLS的LogStore或Object Storage Service的儲存空間中,滿足即時審計、問題回溯分析等需求。更多資訊,請參見什麼是Action Trail。
您可以在Action Trail中查詢您操作Elastic Compute Service產生的管控事件,請參見Elastic Compute Service的審計事件。當ECS操作出現異常時,您可以快速查詢事件並擷取事件發生的時間、地區、ECS執行個體等資訊,以便快速解決您的問題。
配置方式
Elastic Compute Service預設已與Action Trail服務整合,預設開啟,無需手動設定。