全部產品
Search
文件中心

Elastic Compute Service:Elastic Compute Service安全性

更新時間:Sep 26, 2024

本文介紹阿里雲在面對當前的網路安全形勢和挑戰時所採取的措施,以及提高使用者在使用帳號、執行個體、作業系統和資源等方面的安全性所具備的能力。

背景資訊

安全涵蓋的範圍廣泛,阿里雲保證自身雲基礎設施和服務的安全,例如機房、虛擬化平台等,但您在使用雲產品的過程中遵循安全實踐同樣重要,例如阿里雲帳號安全、機密資訊保管、許可權控制等。

雲產品安全形勢

網路安全威脅態勢

近年來網路安全威脅越來越多,各種安全事件頻出,根據Splunk發布的2022年全球網路安全態勢報告資料顯示:

  • 49%的企業表示,他們在過去兩年中遭受了資料泄露,比一年前調查中的39%有所增加。

  • 79%的受訪者表示,他們遇到過勒索軟體攻擊,35%的受訪者承認曾有一次或多次受到攻擊導致其無法訪問資料和系統。

  • 59%的安全團隊表示,他們必須投入大量時間和資源進行補救,這一比例高於一年前的42%。

  • 因網路安全事件而遭受計劃外停機的業務關鍵型工作負載的平均恢復為14小時,受訪者估計這種停機的平均損失約為每小時20萬美元。

傳統IT結構向雲化架構轉變,也會帶來新的安全挑戰。可能一個誤操作就會讓自己的應用從內網訪問變為公網訪問或者泄露了自己的密鑰導致資訊安全事件。安全和合規是數字化轉型的基石,也是上雲的第一步。

雲上資訊資產保護的前提

您需要明確安全戰略的地位,提高足夠的重視度,系統和應用安全不是一蹴而就的,需要大量精力持續投入、持續建設。

  • 需要制定一個全域的安全戰略,並規劃完整的安全防禦策略,以使用合適的安全工具以及控制項進行保護。

  • 安全性整合到DevOps中。

  • 自動化系統安全防禦體系。

  • 深入瞭解雲環境安全合規性標準。

除此之外,您需要明確以下內容:

  • 對所有資訊資產做識別、定義和分類。

  • 定義需要被保護的資產資料。

  • 定義被保護的資產資料的訪問,以及明確訪問的目的是什麼。

如何保護雲上資訊資產

通常意義上的雲端運算安全或雲安全是指通過一系列策略、控制和技術,共同確保資料、基礎設施和應用的安全,保護雲端運算環境免受外部和內部網路安全威脅和漏洞的影響。越來越多的企業更加重視雲安全合規,雲上安全合規需要有自上而下的頂層設計,要以安全為出發點構建雲上應用。

根據目前的安全趨勢,阿里雲推薦您使用如下表所示的安全最佳實務來保護雲上資訊資產的安全。

安全項

最佳實務

說明

帳號安全

阿里雲帳號安全

  • 開啟MFA多因素帳號認證

  • 使用RAM使用者而不是阿里雲帳號,併合理設定權限原則

  • 雲產品API調用使用執行個體角色而不是AK

  • AK防泄密

  • 帳號、密碼管理安全建議

應用資源管理

規模化資訊資產管理

  • 使用標籤規模化管理資源

  • 使用雲助手自動化營運資源通道

  • 使用配置審計(Config)對資源進行合規審計

  • 使用Application Configuration ManangementACM集中管理所有應用配置

資訊資料安全

建立執行個體時啟用安全合規特性

  • 高安全要求業務使用增強計算執行個體

  • 使用更安全的鏡像

  • 雲端硬碟資料加密

  • 快照容災備份

  • 加固模式下訪問執行個體中繼資料

網路環境安全

合理設定網路資源許可權隔離

  • 網路資源隔離的安全建議

  • 搭建安全的網路環境

應用防護安全

使用雲安全產品構建安全防禦體系

  • 網路流量攻擊防護:基礎DDoS防禦(免費)與DDoS高防

  • 系統漏洞攻擊防護:Security Center(免費版)

  • 應用漏洞攻擊防護:Security CenterWeb防火牆

執行個體內GuestOS應用系統安全

執行個體GuestOS系統內應用安全

  • 執行個體登入安全配置

  • 資料轉送加密

  • 日誌異常監控與審計

阿里雲帳號安全

開啟MFA多因素帳號認證

建議為阿里雲帳號啟用MFA多因素認證,即在使用者名稱和密碼(第一層安全要素)的基礎上,增加了MFA安全碼(第二層安全要素,MFA裝置產生的動態驗證碼),以提高帳號的安全性。

使用RAM使用者而不是阿里雲帳號,併合理設定權限原則

確保使用者訪問ECS資源時使用最小化許可權,避免共用帳號或過於寬泛的授權。使用存取控制RAM時,建議直接使用阿里雲帳號建立RAM使用者(使用者組)並授予特定權限原則,實現在帳號維度上對Elastic Compute Service資源進行細粒度的存取控制。更多資訊,請參見授權RAM使用者使用ECS資源

  • RAM使用者

    如果您購買了多台Elastic Compute Service執行個體,您的組織裡有多個使用者(例如員工、系統或應用程式)需要使用這些執行個體,您可以建立多個子使用者並通過授權的方式使部分使用者能夠有許可權使用這些執行個體,從而避免了將同一個AccessKey分發給多人的安全風險。

  • 使用者組

    • 您可以建立多個使用者組,並授予不同的權限原則,以提高批量管理的效率。例如,為了加強網路安全控制,您可以給某個使用者組授權一個權限原則,該策略可以規定:如果使用者的IP地址不是來自商業網路,則拒絕此類使用者請求訪問相關的ECS資源。

    • 您可以建立多個使用者組來管理不同工作職責的人員。例如,如果某開發人員的工作職責發生轉變,成為一名系統管理員,您可以將其從Developers使用者組移到SysAdmins使用者組。

  • 使用者組的策略

    • SysAdmins:該使用者組需要建立和系統管理權限。您可以給SysAdmins組授予一個權限原則,該策略授予使用者群組成員執行所有ECS操作的許可權,包括ECS執行個體、鏡像、快照和安全性群組等。

    • Developers:該使用者組需要使用執行個體的許可權。您可以給Developers組授予一個權限原則,該策略授予使用者群組成員調用DescribeInstancesStartInstancesStopInstancesRunInstancesDeleteInstance等許可權。

雲產品API調用使用執行個體角色而不是AK

一般情況下,ECS執行個體的應用程式是通過阿里雲帳號或者RAM使用者的AccessKey訪問阿里雲各產品的API。為了滿足調用需求,需要直接把AccessKey固化在執行個體中,例如寫在設定檔中。但是這種方式許可權過高,存在泄露資訊和難以維護等問題。因此,阿里雲推出了執行個體RAM角色解決這些問題,一方面可以保證AccessKey安全,另一方面也可以藉助RAM實現許可權的精細化控制和管理。

執行個體RAM角色(推薦使用加固模式訪問中繼資料)允許您將一個角色關聯到ECS執行個體,在執行個體內部基於STS(Security Token Service)臨時憑證(臨時憑證將周期性更新)訪問其他雲產品的API。更多資訊,請參見執行個體RAM角色概述

AK防泄密

阿里雲帳號AccessKey是客戶訪問阿里雲API的密鑰,請務必妥善保管。請勿通過任何方式(如GitHub等)將AccessKey公開至外部渠道,以免被惡意利用而造成安全威脅。AccessKey泄露會威脅所有資源的安全,根據如下AK資訊使用的安全建議,可以有效降低AccessKey泄露的風險。

您在使用阿里雲產品過程中需要遵循以下幾點AK資訊使用安全建議,以降低憑證泄露造成的影響:

  • 不要將AccessKey內嵌程式碼中。

  • 定期輪換AccessKey。

  • 定期吊銷不需要的AccessKey。

  • 遵循最小許可權原則,使用RAM使用者。

  • 開啟動作記錄審計,並將其投遞至OSS和SLS儲存和審計。

  • 可以開啟acs:SourceIp限定公網IP網段訪問阿里雲API。

  • 通過設定acs:SecureTransport取值為true,表示通過HTTPS方式訪問阿里雲。

帳號、密碼管理安全建議

類別

策略說明

阿里雲帳號

  • 管理員帳號必須開啟MFA認證。

  • 帳號分級使用權限設定,最小許可權授權原則。

  • 禁用root帳號訪問API或常用要求方法。

密鑰、憑據

  • 到期的認證、憑據禁止使用。

  • 根帳號需要刪除存取金鑰。

  • 定期清理30天以上不再使用的密鑰、憑據。

  • 監控密鑰、憑據的最新使用方式。

  • 定期自動掃描您的Git倉庫和記錄,排查密鑰泄露的可能性。

密碼

  • 定期修改密碼、設定密碼時需符合密碼強度校正。

  • 密碼複雜度策略強制實施。

  • 設定與其他平台不一致的複雜帳號密碼,避免不慎泄露後影響多個平台中資源的安全。

  • 建議AK以及其他帳號密碼資訊使用KMS安全託管,避免明文落盤儲存。

  • 主機上不同帳號之間不應共用密碼或金鑰組。

機密資訊使用KMS安全強化託管

機密資料明文落盤儲存會導致泄露風險,建議您提前開通Key Management Service,無需自行研發和營運密碼設施,即可在雲端服務中使用資料加密功能,例如在Elastic Compute Service中使用雲端硬碟加密、執行個體可信啟動等功能。

規模化資訊資產管理

規模化、自動化營運與審計雲上資源,避免因錯誤的配置變更造成例外或單點資產保護遺漏情況。建議您統一執行個體、安全性群組的命名規範與部署約定,定期檢測、提醒或刪除不符合命名規範的安全性群組和執行個體。使用標籤規模化管理資源、使用雲助手自動化營運資源通道、使用配置審計對資源進行合規審計、使用Application Configuration ManangementACM集中管理所有應用配置。

使用標籤規模化管理資源

  • 使用標籤可以規模化識別、分類和定位雲資源。在發生安全事件時,通過標籤可以快速定位安全事件的作用範圍和影響程度。

  • 在配置安全性原則時,例如安全性群組,可以批量為指定標籤的資源配置安全性群組,避免單個資源配置的遺漏。

更多資訊,請參見標籤

使用雲助手自動化營運資源通道

傳統的營運通道需要藉助SSH取得密鑰進行管理,並開放相應的網路連接埠。密鑰管理不當以及網路連接埠暴露都會對雲上資源帶來很大的安全隱患。雲助手是專為Elastic Compute Service打造的原生自動化營運工具,通過免密碼、免登入、無需使用跳板機的形式,在ECS執行個體上實現批量營運、執行命令(Shell、Powershell和Bat)和傳送檔案等操作。典型的使用情境包括:安裝卸載軟體、啟動或停止服務、分發設定檔和執行一般的命令(或指令碼)等。可以協助客戶安全、高效地營運雲上資源。通過雲助手,可以在Elastic Compute Service上實現批量營運、執行命令和傳送檔案等操作;通過雲助手Session Manager,可以互動式營運ECS執行個體。以上營運操作都無需密碼、無需登入,ECS執行個體不需要使用公網,也不需要通過跳板機。通過雲助手以下安全機制保證營運通道的安全性:

  • 許可權控制:雲助手通過RAM策略,從執行個體、資源群組、標籤、源IP地址等多個維度控制使用者對執行個體的存取權限。只有具有許可權的使用者才能通過雲助手通道營運ECS執行個體。

  • 鏈路可靠:全鏈路採用HTTPS協議進行互動,傳輸過程中對資料進行加密。ECS執行個體入方向採用內部安全管控鏈路,無需使用者開放連接埠,降低被入侵的風險;出方向通過內網進行通訊,無需暴露公網即可使用。

  • Alibaba Content Security Service:通過雲助手通道傳輸的命令內容,通過加密及簽名校正的方式,確保傳輸過程中無法被篡改,保證命令內容的安全性。

  • 日誌審計:通過雲助手通道傳輸的命令、檔案都可以通過API進行審計,使用者可以查詢執行的時間、身份、執行內容、執行結果等資訊。同時支援將日誌投遞到儲存(OSS)或日誌(SLS)等系統中,提供日誌歸檔、分析能力。

更多資訊,請參見雲助手

使用配置審計(Config)對資源進行合規審計

配置審計(Config)是面向雲上資源的審計服務,為使用者提供跨地區的資源清單和檢索能力,記錄資源的歷史配置快照,形成配置時間軸。當資源發生配置變更時,自動觸發合規評估,並針對不合規配置發出警示。使使用者能夠實現對海量雲上資源合規性的自主監控,應對企業內部和外部合規的需要。更多資訊,請參見配置審計

使用Application Configuration ManangementACM集中管理所有應用配置

Application Configuration ManangementACM(Application Configuration Management)是一款在分布式架構環境中對應用配置進行集中管理和推送的產品。憑藉配置變更、配置推送、歷史版本管理、灰階發布、配置變更審計等組態管理工具,ACM能協助您集中管理所有應用環境中的配置,降低分布式系統中管理配置的成本,並降低因錯誤的配置變更造成可用性下降甚至發生故障的風險。更多資訊,請參見Application Configuration ManangementACM

建立執行個體時啟用安全合規特性

高安全要求業務使用增強計算執行個體

如果您的業務面向高安全可信要求的情境,可以使用安全增強型執行個體,保障執行個體的可信啟動和執行個體中隱私資料的安全。

  • 支援Intel®SGX加密計算、支援加密記憶體,保障關鍵代碼和資料的機密性與完整性不受惡意軟體的破壞。

  • 依託TPM/TCM晶片,從底層伺服器硬體到GuestOS的啟動鏈均進行度量和驗證,實現可信啟動。

例如,選擇c6t規格。關於安全增強型執行個體的更多資訊,請參見安全增強型執行個體

instance-type

使用更安全的鏡像

  • 使用公用鏡像並開啟鏡像安全強化

    • 使用官方提供的公用鏡像。

    • 公用執行個體鏡像啟用免費安全強化能力,提供網站漏洞檢查、雲產品安全配置檢查、主機登入異常警示等安全功能。

    image-security-enhanced

  • 使用加密的自訂鏡像

    使用國際標準認證的AES-256演算法對鏡像進行加密,避免鏡像丟失後資料泄露風險。使用者可選擇建立加密的系統硬碟、資料盤,如果雲端硬碟是加密雲端硬碟,使用該雲端硬碟建立的快照也是加密鏡像,或者在對已有的未加密鏡像拷貝時選擇加密,產生的新鏡像為加密鏡像。如果自訂加密鏡像需要共用給其他阿里雲帳號時,建議使用者為共用加密鏡像建立獨立的BYOK密鑰,避免KMS密鑰泄露導致安全風險。更多資訊,請參見複製鏡像

雲端硬碟資料加密(需開啟KMS)

選擇雲端硬碟資料加密,能夠最大限度保護您的資料安全,您的業務和應用程式無需做額外的改動。同時,該雲端硬碟產生的快照及這些快照建立的雲端硬碟將自動延續加密屬性。資料加密適用於資料安全或法規合規等情境,協助您加密保護儲存在阿里雲ECS上的資料。無需自建和維護密鑰管理基礎設施,您就能保護資料的隱私性和自主性,為業務資料提供安全邊界。被加密的雲端硬碟可以是系統硬碟和資料盤。更多資訊,請參見加密雲端硬碟disk-encryption

快照容災備份

  • 使用快照備份

    資料備份是容災的基礎,可以降低因系統故障、操作失誤以及安全問題而導致資料丟失的風險。ECS內建的快照功能可滿足大部分使用者資料備份的需求。您可根據自身業務需求選擇建立快照的方式。具體操作,請參見建立快照

    建議您每日建立一次自動快照,每個快照至少保留7天。養成良好的備份習慣,在故障發生時可以快速恢複重要資料,減少損失。

    image.png

  • 使用加密的快照

    ECS加密採用行業標準的AES-256密碼編譯演算法,使用祕密金鑰加密快照,避免快照丟失後資料泄露風險。您可以選擇建立加密的雲端硬碟,如果雲端硬碟是加密雲端硬碟,使用該雲端硬碟建立的快照也是加密快照。

加固模式下訪問執行個體中繼資料

執行個體中繼資料套件含了ECS執行個體在阿里雲系統中的資訊,您可以在運行中的執行個體內方便地查看執行個體中繼資料,並基於執行個體中繼資料配置或管理執行個體。更多資訊,請參見ECS執行個體中繼資料概述

建議您在加固模式下使用執行個體中繼資料,加固模式下執行個體和執行個體中繼資料服務器之間建立一個會話,並在查看執行個體中繼資料時通過Token驗證身份,超過有效期間後關閉會話並清除Token。Token具有以下特點:

  • 僅適用於一台執行個體。如果將Token檔案複製到其他執行個體使用,會被拒絕訪問。

  • 必須定義Token的有效期間,範圍為1秒~21600秒(6小時)。在有效期間內可以重複使用,方便您平衡安全性和使用者體驗。

  • 不接受代理訪問,如果建立Token的請求中包含X-Forwarded-For標題,則拒絕簽發Token。

  • 向執行個體簽發的Token數量沒有限制。

合理設定網路資源許可權隔離

雲端運算利用Virtual Private Cloud(Virtual Private Cloud)來抽象物理網路並建立網路資源池,實現資料連結層的隔離,為每個使用者提供一張獨立隔離的安全網路環境。不同VPC之間內部網路完全隔離,只能通過對外映射的IP互連。在VPC內部,使用者可以自訂IP位址範圍、網段、路由表和網關等。此外,使用者可以通過VPN網關、Express Connect物理專線、Smart Access Gateway等服務將本機資料中心和雲上VPC打通,也可以通過雲企業網實現全球網路互連,從而形成一個按需定製的網路環境,實現應用的平滑遷移上雲和對資料中心的擴充。

此外,網路是所有雲端服務的基礎要素,網路攻擊種類多、危害大,是最難防護的風險之一。雲端運算平台會提供一套成熟的網路安全架構,以應對來自互連網的各種威脅。在阿里雲上,可以通過安全性群組、網路ACL、路由策略或網路專線來控制虛擬網路的存取權限。除了對內網網路訪問的控制之外,還需要配置Cloud Firewall、應用程式防火牆、DDoS防護等安全措施,針對各種外部網路安全威脅進行安全防護。

網路資源隔離的安全建議

網路資源隔離的安全建議如下:

  • 建立網路系統管理員,統一管理安全性群組、網路ACL以及流量日誌。

  • 使用ACL限制不需要公開的任何內容。

  • 網路資源隔離,預設較大的子網,避免子網重疊使用。

  • 圍繞訪問點而不是資源配置安全性群組。

搭建安全的網路環境

  • 合理設定安全性群組,網路隔離減少攻擊面

    安全性群組是重要的網路安全隔離手段,用於設定單台或多台雲端服務器的網路存取控制。通過設定安全性群組規則,可以在網路層過濾伺服器的主動/被動訪問行為,限定伺服器對外/對內的連接埠訪問,授權訪問地址,從而減少攻擊面,保護伺服器的安全。

    例如Linux系統預設遠端管理連接埠22,不建議直接向外網開放,可以通過配置ECS公網存取控制,只授權本地固定IP對伺服器進行訪問。如果您對存取控制有更高要求,可以使用第三方VPN產品對登入行為進行資料加密。以下是安全性群組實踐的安全建議:

    安全建議

    說明

    參考文檔

    最小原則

    安全性群組應該是白名單性質的,所以需盡量開放和暴露最少的連接埠,同時儘可能少地分配公網IP。如果需要訪問線上機器進行任務日誌或錯誤排查的時,盡量通過VPN或Bastionhost方式登入。如果配置不當可能導致業務的連接埠或者IP暴露在互連網,造成安全威脅。

    • 利用安全性群組限制,禁止私網訪問,公網安全性群組和私網安全性群組都只保留業務需要使用的連接埠。

    • ECS上安裝的高危服務連接埠,需要限制只允許本機訪問或者利用安全性群組限制訪問來源IP。

    • HTTP服務的管理後台,需要利用安全性群組限制訪問來源IP。HTTP服務網域名稱則需要開啟Security CenterWeb Application FirewallWAF(Web Application Firewall)功能。

    安全性群組應用案例

    避免設定0.0.0.0/0授權對象

    允許全部入網訪問是經常犯的錯誤。使用0.0.0.0/0意味著所有的連接埠都對外暴露了存取權限,這是非常不安全的。正確的做法是,拒絕所有的連接埠對外開放,設定安全性群組白名單訪問。例如,如果您需要暴露Web服務,預設情況下只開放80、8080和443等常用TCP連接埠,其他連接埠都應關閉。

    添加安全性群組規則

    關閉不需要的入網規則

    如果您當前使用的入規則已經包含了0.0.0.0/0,您需要重新審視自己的應用需要對外暴露的連接埠和服務。如果確定不需要讓某些連接埠直接對外提供服務,您可以添加一條拒絕的規則。例如,您的伺服器上安裝了MySQL資料庫服務,預設情況下不應該將3306連接埠暴露到公網,此時,您可以添加一條拒絕規則,並將其優先順序設定為100,即優先順序最低。

    添加安全性群組規則

    以安全性群組為授權對象添加規則

    不同的安全性群組按照最小原則開放相應的出入規則。對於不同的應用分層,應該使用不同的安全性群組,不同的安全性群組應有相應的出入規則。

    • 例如,如果是分布式應用,您會區分不同的安全性群組,但是不同的安全性群組可能網路不通,此時您不應該直接授權IP或者CIDR網段,而是直接授權另一個安全性群組ID,所有的資源都可以直接存取。

    • 例如,您的應用對Web、Database分別建立了不同的安全性群組sg-web和sg-database。在sg-database中,您可以添加規則,授權所有的sg-web安全性群組的資源訪問您的3306連接埠。

    添加安全性群組規則

    傳統網路的內網安全性群組規則不要使用CIDR或者IP授權

    對於傳統網路類型的ECS執行個體,阿里雲預設不開啟任何內網的入站規則。內網的授權一定要謹慎。

    安全性群組規則

    定義合理的安全性群組名稱和標籤

    合理的安全性群組名稱和描述有助於您快速識別當前複雜的規則群組合,您可以通過修改名稱和描述來協助自己識別安全性群組。

    您也可以通過為安全性群組設定標籤來分組管理自己的安全性群組。您可以在控制台直接設定標籤,也可以通過API設定標籤。

    將需要互相通訊的ECS執行個體加入同一個安全性群組

    一個ECS執行個體最多可以加入5個安全性群組,而同一安全性群組內的ECS執行個體之間是網路互連的。如果您在規劃時已經有多個安全性群組,且直接設定多個安全規則過於複雜,您可以建立一個安全性群組,然後將需要內網通訊的ECS執行個體加入這個新的安全性群組。

    不建議您將所有的ECS執行個體都加入同一個安全性群組,對於一個中大型應用來說,每個伺服器所扮演的角色不同,合理地規劃每個伺服器的入方向請求和出方向請求是非常有必要的。

    安全性群組與ECS執行個體關聯的管理

    安全性群組內執行個體間隔離

    安全性群組是一種虛擬防火牆,具備狀態檢測和包過濾功能。安全性群組由同一個地區內具有相同安全保護需求並相互信任的執行個體組成。為了滿足同安全性群組內執行個體之間網路隔離的需求,阿里雲豐富了安全性群組網路連通策略,支援安全性群組內實現網路隔離。

    普通安全性群組內網路隔離

    使用安全性群組五元組規則

    安全性群組用於設定單台或多台ECS執行個體的網路存取控制,它是重要的網路安全隔離手段,用於在雲端劃分安全域。安全性群組五元組規則能精確控制源IP、源連接埠、目的IP、目的連接埠以及傳輸層協議。

    安全性群組五元組規則

    公網服務的雲端服務器和內網伺服器盡量屬於不同的安全性群組

    是否對外提供公網服務,包括主動暴露某些連接埠對外部存取(例如80、443等),被動地提供連接埠轉寄規則(例如雲端服務器具有公網IP、EIP、NAT連接埠轉寄規則等),都會導致自己的應用可能被公網訪問。

    • 兩種情境的雲端服務器所屬的安全性群組規則要採用最嚴格的規則,預設情況下應當關閉所有的連接埠和協議,僅僅暴露對外提供需要服務的連接埠,例如80、443。由於僅對屬於對外公網訪問的伺服器編組,調整安全性群組規則時也比較容易控制。

    • 對於對外提供伺服器編組的職責應該比較明晰和簡單,避免在同樣的伺服器上對外提供其他服務。例如MySQL、Redis等,建議將這些服務安裝在沒有公網存取權限的雲端服務器上,然後通過安全性群組的組組授權來訪問。

    添加安全性群組規則

  • 合理配置安全域隔離企業內部不同安全等級服務

    您可以基於VPC專用網路,構建自訂專屬網路,隔離企業內部不同安全層級的伺服器,避免互連網路環境下受其他伺服器影響。建議您建立一個專用網路,選擇自有IP位址範圍、劃分網段、配置路由表和網關等。然後將重要的資料存放區在一個跟互連網網路完全隔離的內網環境,日常可以用Elastic IP Address(EIP)或者跳板機的方式對資料進行管理。具體操作,請參見建立和管理專用網路

  • 使用跳板機或Bastionhost防禦內部和外部入侵破壞

    跳板機由於其自身的許可權巨大,需要通過工具做好審計記錄,建議直接使用Bastionhost,保障網路和資料不受來自外部和內部使用者的入侵和破壞,而運用各種技術手段監控和記錄營運人員對網路內的伺服器、網路裝置、安全裝置、資料庫等裝置的操作行為,以便集中警示、及時處理及審計定責。

    在專用網路中,建議將跳板機分配在專有的虛擬交換器中,並為其提供相應的EIP或者NAT連接埠轉寄表。首先建立專有的安全性群組SG_BRIDGE,例如開放相應的連接埠,如Linux TCP(22) 或者Windows RDP(3389)。為了限制安全性群組的入網規則,可以將能登入的授權對象限制為企業的公網出口範圍,減少被登入和掃描的機率。然後將作為跳板機的雲端服務器加入到該安全性群組中。為了讓該機器能訪問相應的雲端服務器,可以配置相應的組授權。例如在SG_CURRENT添加一條規則允許SG_BRIDGE訪問某些連接埠和協議。使用跳板機SSH時,建議您優先使用金鑰組而不是密碼登入。關於金鑰組的更多資訊,請參見SSH金鑰組

  • 公網IP合理分配,降低公網攻擊風險

    不論是傳統網路還是Virtual Private Cloud中,合理地分配公網IP可以讓系統更加方便地進行公網管理,同時減少系統受攻擊的風險。在專用網路的情境下,建立虛擬交換器時,建議您盡量將需要公網訪問的服務區的IP地址區間放在固定的幾個交換器(子網CIDR)中,方便審計和區分,避免不小心暴露公網訪問。

    • 在分布式應用中,大多數應用都有不同的分層和分組,對於不提供公網訪問的雲端服務器,盡量不提供公網IP,如果有多台伺服器提供公網訪問,建議您配置公網流量分發的負載平衡服務來提供公網服務,以提升系統的可用性。更多資訊,請參見Server Load Balancer

    • 當您的雲端服務器需要訪問公網時,優先建議您使用NAT Gateway,用於為VPC內無公網IP的ECS執行個體提供訪問互連網的代理服務,您只需要配置相應的SNAT規則即可為具體的CIDR網段或子網提供公網訪問能力,避免因只需要訪問公網的能力而在分配了公網IP(EIP)之後也向公網暴露了服務。更多資訊,請參見VPN網關

使用雲安全產品構建安全防禦體系

網路流量攻擊防護:基礎DDoS防禦(免費)與DDoS高防

DDoS(Distributed Denial of Service,即分散式阻斷服務)攻擊指藉助於客戶、伺服器技術,聯合多個電腦作為攻擊平台,對一個或多個目標發動攻擊,成倍地提高拒絕服務的攻擊的威力,影響業務和應用對使用者提供服務。阿里雲Security Center可以防護SYN Flood、UDP Flood、ACK Flood、ICMP Flood、DNS Flood、CC攻擊等3到7層DDoS的攻擊。DDoS基礎防護免費提供高達5 GB的預設DDoS防護能力。

ECS執行個體預設開啟DDoS基礎防護服務。使用DDoS基礎防護服務,無需採購昂貴的清洗裝置,受到DDoS攻擊時不會影響訪問速度,頻寬充足不會被其他使用者連帶影響,保證業務的可用性和穩定性。ECS執行個體建立後,您可以設定清洗閾值,具體操作,請參見設定流量清洗閾值

系統漏洞攻擊防護:Security Center(免費版)

Security Center是一個即時識別、分析、預警安全威脅的統一安全管理系統,通過防勒索、防病毒、防篡改、合規檢查等安全能力,實現威脅檢測、響應、溯源的自動化安全營運閉環,保護雲上資產和本地主機,並滿足監管合規要求。

Security Center自動為您開通免費版功能。免費版僅提供主機異常登入檢測、漏洞檢測、雲產品安全配置項檢測,如需更多進階威脅檢測、漏洞修複、病毒查殺等功能,請前往Security Center控制台購買付費版。更多資訊,請參見Security Center免費版簡介

應用漏洞攻擊防護:Security CenterWeb防火牆

Security CenterWeb Application Firewall(Web Application Firewall,簡稱WAF)雲端式安全巨量資料能力實現,通過防禦SQL注入、XSS跨站指令碼、常見Web伺服器外掛程式漏洞、木馬上傳、非授權核心資源訪問等OWASP常見攻擊,過濾海量惡意CC攻擊,避免您的網站資產資料泄露,保證網站的安全與可用性。更多資訊,請參見什麼是Web Application Firewall

接入Web Application Firewall的好處如下:

  • 無需安裝任何軟體、硬體,也無需更改網站配置和代碼,它可以輕鬆應對各類Web應用攻擊,確保網站的Web安全與可用性。除了具有強大的Web防禦能力外,還可以為指定的網站提供專屬防護。適用於金融、電商、O2O、互連網+、遊戲、政府、保險等各類網站的Web應用安全防護。

  • 如果缺少WAF,只有前面介紹的防護措施,會存在短板,例如在面對資料泄露、惡意CC、木馬上傳篡改網頁等攻擊時,不能全面地防護,可能會導致Web入侵。

接入Web Application Firewall的具體操作,請參見快速使用WAF

執行個體GuestOS系統內應用安全

執行個體登入安全配置

執行個體登入帳號許可權預設為非root許可權,使用者需要在本地通過su或sudo提權至root,預設狀態不支援root直接使用pem密鑰檔案登入。建議使用安全的存取控制協議訪問ECS主機,並根據鏡像類型選擇不同的登入憑證。Linux系統建議配置只支援RSA金鑰組的方式登入,不支援在控制台建立口令。Windows系統建議使用8位以上、包含特殊字元的複雜密碼作為登入憑證。

Linux執行個體:

  • 預設非root帳號登入執行個體

    如果您使用系統使用者root登入Linux作業系統的ECS執行個體,則可以獲得系統最高許可權。該方式雖然便於您進行系統營運操作,但如果ECS執行個體遭到入侵,就會面臨嚴重的資料安全風險。建議您使用公用雲鏡像Anolis OS 8.4或Ubuntu 20.04,這些鏡像支援將普通使用者ecs-user設定為登入使用者名稱。非root登入

  • 使用臨時下發的SSH金鑰組登入執行個體

    ECS推薦使用config_ecs_instance_connect外掛程式串連Linux執行個體,可以將SSH公開金鑰發送到指定執行個體內部供指定使用者使用,密鑰保留60秒。在60秒內,您可以通過SSH公開金鑰登入的方式進入執行個體,無需輸入密碼。更多資訊,請參見通過config_ecs_instance_connect外掛程式註冊公開金鑰免密串連Linux執行個體

    SSH金鑰組通過密碼編譯演算法產生一對密鑰,預設採用RSA 2048位的加密方式。相較於使用者名稱和密碼認證方式,SSH金鑰組具有以下優勢:

    • SSH金鑰組登入認證更為安全可靠。

    • 金鑰組的安全強度遠高於常規使用者口令,可以杜絕暴力破解威脅。

    • 不可能通過公開金鑰推匯出私密金鑰。

    • 便捷性:

      • 如果您將公開金鑰配置在Linux執行個體中,在本地或者另外一台執行個體中,您可以使用私密金鑰通過SSH命令或相關工具登入目標執行個體,而不需要輸入密碼。

      • 便於遠程登入大量Linux執行個體,方便管理。如果您需要批量維護多台Linux執行個體,推薦使用這種方式登入。要使用SSH金鑰組登入Linux執行個體,您必須先建立一個金鑰組,並在建立執行個體時指定金鑰組或者建立執行個體後綁定金鑰組,然後使用私密金鑰串連執行個體。

    建議配置sshd_config預設禁止密碼登入,只支援RSA金鑰組的方式登入。在SSH設定檔中修改與密碼登入相關的配置選項。

Windows執行個體:

  • 設定複雜的密碼並定期更換。弱口令一直是資料泄露的一個大問題,因為弱口令是最容易出現的也是最容易被利用的漏洞之一。伺服器的口令建議至少8位以上,從字元種類上增加口令複雜度,如包含大小寫字母、數字和特殊字元等,並且要定期更新口令,養成良好的安全營運習慣。

  • ECS設定為強密碼:長度為8~30個字元,且必須同時包含大寫字母、小寫字母、數字、特殊字元中的任意三種,特殊字元為 ()`~!@#$%^&*_-+=|{}[]:;'<>,.?/ ,其中Windows執行個體不能以正斜線(/)為首字元。

資料轉送加密

配置安全性群組或防火牆,僅允許已經對資料加密的網路服務的連接埠之間進行通訊。可使用傳輸層安全性(TLS1.2及以上版本)等加密協議加密在用戶端和執行個體之間傳輸的敏感性資料。

日誌異常監控與審計

根據FireEye M-Trends 2018報告,企業安全防護管理能力薄弱,尤其是亞太地區。全球範圍內企業組織的攻擊從發生到發現所需時間長度平均101天,而亞太地區地區平均需要498天。企業需要可靠、無篡改的日誌記錄與審計支援來持續縮短這個時間。

建議您使用CloudMonitor、Action Trail、日誌審計、VPC流日誌、應用日誌等構建一套異常資源、許可權訪問監控警示體系,對及時發現問題、止損、最佳化安全防禦體系具有至關重要的意義。

  • 使用CloudMonitor設定賬單警示,防止DDoS攻擊。更多資訊,請參見CloudMonitor

  • 使用Action TrailActionTrail監控未授權的訪問、識別潛在安全配置錯誤、威脅或意外行為,也用於支援品質流程、法律或合規義務,還可以用於威脅識別和響應工作,請使用MFA限制ActionTrail存取權限。更多資訊,請參見Action Trail

  • 啟用配置VPC流日誌記錄VPC網路中彈性網卡ENI傳入和傳出的流量資訊,協助您快速、有效地分析VPC流日誌。

  • 使用日誌審計服務,Log Service提供一站式資料擷取、清洗、分析、可視化和警示功能,支援DevOps、營運、安全、審計等Log Service相關情境。更多資訊,請參見日誌審計服務

  • 跟蹤應用事件記錄、API調用日誌。

  • 所有日誌定期同步到SLS、OSS儲存,並設定好存取權限。

  • 添加執行個體ID、地區、可用性區域、環境(測試、生產)的附加資訊到日誌中儲存,便於排查問題。