本文從提升訪問作業系統的安全性、安全強化作業系統以及作業系統安全進階等方面介紹Elastic Compute Service如何保證作業系統的安全性。
提升訪問作業系統安全性
在提升訪問作業系統安全性上,快速提升訪問ECS執行個體作業系統的安全性主要分三部分,使用金鑰組登入執行個體、使用會話管理免密登入執行個體以及避免連接埠0.0.0.0/0的授權。
使用金鑰組登入執行個體
金鑰組(由公有密鑰和私人密鑰組成)是一組安全憑證,可在串連ECS執行個體時用來證明您的身份,避免弱密碼可能造成的安全風險。阿里雲的金鑰組預設採用的是RSA 2048位的密碼編譯演算法產生了包括公開金鑰和私密金鑰,使用公開金鑰和私密金鑰認證的方式登入執行個體,是一種安全便捷的登入方式。相對於傳統的帳號密碼登入方式有如下優勢:
常規的使用者口令容易被爆破,金鑰組杜絕了暴力破解的風險。
金鑰組登入方式更加簡便, 一次配置,後續再也不需要輸入密碼。
更多資訊,請參見通過密碼或密鑰認證登入Linux執行個體、通過密鑰認證登入Linux執行個體。
使用會話管理免密登入執行個體
除了使用金鑰組登入ECS執行個體外,還可以使用會話管理免密登入執行個體。會話管理是由雲助手提供的功能,相比於金鑰組、VNC 等方式,可以更便捷地遠端連線ECS執行個體,且兼具安全性。使用會話管理端串連執行個體的優勢如下:
會話管理用戶端與雲助手服務端、雲助手服務端與ECS雲助手用戶端之間通訊時,會通過WSS協議建立WebSocket長串連,WSS使用SSL加密WebSocket長串連,能夠保障資料的安全。
會話管理採用RAM進行鑒權,無需管理密碼,避免密碼因儲存不善而導致泄露的安全風險。
會話管理使用雲助手用戶端與雲助手服務端之間通過WebSocket串連,因此不需要開啟ECS執行個體的入方向連接埠,進一步提高了ECS執行個體的安全性。
更多資訊,請參見通過會話管理串連執行個體。
避免敏感連接埠0.0.0.0/0授權
Linux作業系統使用了SSH終端串連,預設使用22連接埠,Windows作業系統使用RDP遠端桌面,預設使用的是3389連接埠。通常情況下,未限制連接埠訪問(0.0.0.0/0授權)允許任意來源的訪問可能導致駭客或攻擊者在未經過您的授權的情況下,通過這些連接埠登入到作業系統中。阿里雲免費為您提供了執行個體層級的虛擬化防火牆(安全性群組),它可以設定單台或多台ECS執行個體網路存取控制,是重要的安全隔離手段。更多資訊,請參見安全性群組概述、安全性群組關聯資源管理。
安全強化作業系統
使用OOS補丁基準自動更新安全補丁
阿里雲系統營運管理OOS能夠自動化管理和執行任務。OOS的補丁基準支援使用者根據預設或自訂的補丁基準對ECS執行個體的補丁進行掃描和安裝。在這個過程中,使用者可以選擇安全相關或其他類型的更新,自動修複相應的ECS執行個體。更多資訊,請參見補丁管理概述。
Alibaba Cloud Linux作業系統核心熱補丁
Alibaba Cloud Linux作業系統為核心熱補丁的高危安全性漏洞(CVE)以及重要的錯誤修複(Bugfix)提供了熱補丁支援,核心熱補丁可以在保證服務的安全性以及穩定性的情況下,平滑且快速地為核心更新高危安全性漏洞以及重要的錯誤修複的補丁。它具備不需要重啟伺服器以及任何業務相關的任務進程、不需要等待長時間啟動並執行任務完成、不需要使用者登出登入、不需要進行業務遷移等優勢。更多資訊,請參見核心熱補丁使用說明。
使用免費的基礎安全服務
在使用公用鏡像新購ECS執行個體時,阿里雲預設會為您提供較為豐富的基礎安全服務(Security Center免費版)。您也可以選擇取消該能力,但是強烈建議您開啟該能力,它能夠為您提供基礎的安全強化能力,包括主流的伺服器漏洞掃描、雲產品安全設定基準核查、登入異常警示、AK異常調用、合規檢查等。Security Center免費版是完全免費的服務,不收取任何費用。如果有更多需求,可以購買進階版、企業版以及旗艦版。更多資訊,請參見基礎安全服務。
提升作業系統安全性
除了訪問作業系統安全以及作業系統安全強化外, 一些等保合規、審計情境都會有更多的安全要求。以下從日誌審計、等保合規等方面介紹ECS如何提升系統安全性。
日誌審計
開啟登入審計
建議您使用會話管理登入執行個體,在您使用會話管理登入執行個體時,建議同時啟用會話管理操作記錄投遞能力,它允許使用者將會話管理操作記錄投遞到您的儲存物件或者Log Service中進行持久化儲存,以便以續對操作記錄進行進一步的查詢、分析、審計。具體操作,請參見會話操作記錄投遞。
開啟Action Trail
Elastic Compute Service已與Action Trail(ActionTrail)服務整合,您可以在Action Trail中查詢使用者操作Elastic Compute Service產生的管控事件。Action Trail支援將管控事件投遞到Log ServiceSLS的LogStore或Object Storage Service的儲存空間中,滿足即時審計、問題回溯分析等需求。更多資訊,請參見Elastic Compute Service的審計事件。
開啟日誌審計
除了登入審計以及Action Trail外,建議您開啟日誌審計服務。日誌審計服務在繼承現有Log ServiceSLS的功能之外,還支援多帳號下即時自動化、中心化採集雲產品的日誌進行審計,同時還支援審計所需要的儲存、查詢以及資訊匯總。
等保合規
三級等保合規鏡像
除了Bastionhost之外,阿里雲還提供了符合國家等保2.0三級版本的鏡像,您可以在新購ECS執行個體時選擇公用鏡像,會自動提示滿足等保合規的鏡像,這些鏡像天然符合三級等保合規的要求,包括了身份鑒別、存取控制、入侵防禦、惡意代碼防範等對應的要求。
合規檢查
另外Security Center中還支援合規檢查功能,合規檢查功能提供了等保合規檢查以及ISO 27001合規檢查認證,您可以使用該功能檢查系統中是否符合等保合規要求,以及ISO27001國際資訊安全管理體系的認證標準。更多資訊,請參見安全檢查。