邊緣雲安全解決方案

一、主機安全（Security Center）

阿里雲Security Center充分利用雲原生架構優勢、多年雲上安全防護經驗和前沿的安全攻防技術，提供涵蓋雲資產管理、安全配置核查、主動防禦、安全強化、雲產品配置評估和安全可視化等關鍵領域的全面的安全解決方案。包含基準配置風險、合規風險、漏洞風險、AK泄露風險、身份和許可權管理風險等方面的即時檢測能力，有效防禦勒索軟體、挖礦病毒、木馬、Webshell等惡意行為，以及網頁篡改等攻擊。Security Center詳細介紹請參考：Security Center。

Security Center支援邊緣雲（ENS）的安全能力

Security Center開通及部署

1. 購買Security Center：

   您可以在阿里雲官網的Security Center產品頁直接購買Security Center產品，Security Center針對不同情境下的安全防護需求，提供了多個版本的基礎防護服務和增值服務。您可以根據自身的安全需求，靈活購買所需的版本和增值服務。詳情請參見：購買Security Center。

2. 在ENS執行個體上安裝Security Center用戶端：

   Edge Node Service計算執行個體只有安裝用戶端後，才能使用Security Center的安全防護能力。Security Center用戶端是安裝在計算執行個體中的軟體程式，用於收集和分析多種日誌和資料，以監控和檢測執行個體中潛在的安全威脅。

   1. 在安裝Security Center用戶端前，請先確認您的Edge Node Service計算執行個體可以訪問公網。

   2. 登入ENS計算執行個體，使用管理員或者root許可權執行用戶端安裝命令。

      1. Linux系統安裝命令

         wget "https://aegis.alicdn.com/download/install/2.0/linux/AliAqsInstall.sh" && chmod +x AliAqsInstall.sh && ./AliAqsInstall.sh -k=v342lk

      2. Windows系統CMD安裝命令

         powershell -executionpolicy bypass -c "(New-Object Net.WebClient).DownloadFile('http://aegis.alicdn.com/download/install/2.0/windows/AliAqsInstall.exe',$ExecutionContext.SessionState.Path.GetUnresolvedProviderPathFromPSPath('.\AliAqsInstall.exe'))"; "./AliAqsInstall.exe -k=Az481e"

3. 驗證用戶端是否安裝成功：

   安裝用戶端後，Security Center會在您的伺服器中下載用戶端相關檔案，並啟動相應進程。您可以通過確認用戶端進程的狀態或在Security Center控制台上查看用戶端狀態，判斷用戶端是否安裝成功。

   如圖所示，您可以查看到一個Edge Node Service計算執行個體已經納入Security Center的主機資產管理中。

   

   說明

   因邊緣雲算力是分散在阿里雲中心雲之外的節點上，所以在Security Center中顯示為雲外主機。

二、節點內網路安全

三、營運安全（營運資訊安全中心）

營運資訊安全中心是阿里雲提供的營運和安全審計管控平台，可集中管理營運許可權，全程管控操作行為，即時還原營運情境，保障營運行為身份可鑒別、許可權可管控、操作可審計，解決資產多、難管理、營運職責許可權不清晰以及營運事件難追溯等問題，助力企業滿足等保合規需求。營運資訊安全中心詳細介紹請參考：營運資訊安全中心（Bastionhost）。

營運資訊安全中心支援邊緣雲（ENS）的能力

營運Edge Node Service資源，需要使用營運資訊安全中心的企業雙引擎版本，通過網路域代理模式實現邊緣雲資產的統一營運管控。

營運資訊安全中心開通及部署

1. 購買營運資訊安全中心：

   您可以在阿里雲官網的營運資訊安全中心產品頁直接購買營運資訊安全中心產品，營運資訊安全中心針對不同情境下的營運安全需求，提供了多個版本的Bastionhost服務。詳情請參見：開通免費試用。

2. 管理Edge Node Service計算執行個體：

   在營運資訊安全中心購買雲Bastionhost後，可進入雲Bastionhost管理介面進行管理。

   1. 建立網路域：

      • 雲Bastionhost運行在阿里雲中心雲上，邊緣雲算力分散在阿里雲中心雲之外的節點上，因此邊緣雲算力與雲Bastionhost所在Virtual Private Cloud的內網是不互連的，在營運Edge Node Service執行個體時推薦使用雲Bastionhost的網路域功能。

      • 您可以為Edge Node Service資產配置一台Proxy 伺服器，然後在雲Bastionhost中建立網路域並添加Proxy 伺服器，將資產加入該網路域後即可通過雲Bastionhost營運資產。

      • 在網路域列表頁建立網路域，配置串連方式為代理，並配置主Proxy 伺服器資訊。

        

      • 主Proxy 伺服器需要配置代理方式、伺服器位址、伺服器連接埠、主機賬戶及密碼相關資訊。代理方式支援SSH代理、HTTP代理、SOCKS5代理三種方式。

        

   2. 資產管理-匯入Edge Node Service計算執行個體：

      • 在主機列表頁選擇匯入其他來源主機，通過建立主機方式納管ENS執行個體。

      • 建立主機需要配置作業系統、主機IP、主機名稱、網路域等相關資訊。

      • 如果網路域選擇代理方式，主機IP配置內網IP，如果網路域選擇直連方式，主機IP配置公網IP。

        

   3. 資產管理-建立主機賬戶：

      將ENS計算執行個體匯入為主機資產後，可在主機列表頁的操作列點擊建立主機賬戶，配置訪問協議、登入名稱、認證類型及對應的密碼或密鑰，用於日常營運訪問。

      

   4. 人員管理-授權主機：

      在主機被匯入後，可進入人員管理>使用者列表頁，為RAM使用者授權可營運的主機資源。

      

   5. 資產營運：

      被授權的RAM使用者登入後，可在資產營運>主機營運列表頁下查看到被授權營運的主機資源，可通過遠端連線方式進行主機營運操作。

      

四、攻擊防護（DDoS高防）

DDoS高防（Anti-DDoS）是阿里雲提供的DDoS攻擊代理防護服務，可以抵禦流量型和資源耗盡型DDoS攻擊，支援防護阿里雲、非阿里雲或雲外的伺服器。業務接入DDoS高防後，當遭受大流量DDoS攻擊時，DDoS高防通過DNS解析將流量調度到高防機房進行清洗，並將乾淨流量轉寄給伺服器。

DDoS高防詳細介紹請參考：什麼是DDoS高防。

DDoS高防支援邊緣雲（ENS）的能力

根據商務服務器部署地區的不同，DDoS高防提供DDoS高防（中國內地）和DDoS高防（非中國內地）。

• DDoS高防（中國內地）：適用於商務服務器部署在中國內地的情境。採用中國內地專屬的T級八線BGP頻寬資源，為接入防護的業務防禦超大流量的DDoS攻擊。提供專業版和進階版兩種執行個體類型。

• DDoS高防（非中國內地）：適用於商務服務部署在非中國內地的情境。依託先進的分布式近源清洗能力，為接入防護的業務提供不設上限的DDoS攻擊全力防護能力。

DDoS高防開通及部署

1. 購買DDoS高防：

   您可以在阿里雲官網的DDoS高防產品頁直接購買DDoS高防產品。詳情請參見：DDoS高防。

2. 接入管理：

   1. 網域名稱接入

      如果是網站業務，可將網站網域名稱配置到DDoS高防，DDoS高防會為網站產生一個CNAME地址，您需要將網站網域名稱的DNS解析指向高防CNAME地址，DDoS高防才能轉寄業務流量為網站防禦DDoS攻擊。

      

   2. 連接埠接入

      非網站業務（例如用戶端應用程式）接入DDoS高防時，需要配置連接埠轉寄規則，使業務流量先經過DDoS高防清洗，再轉寄到來源站點伺服器。

      

3. 配置驗證：

   成功添加DDoS高防網站或連接埠配置後，DDoS高防預期會把請求高防IP對應連接埠的報文轉寄到來源站點（真實伺服器）的對應連接埠。為了保證業務的穩定，我們建議您在進行業務接入高防配置前先完成本地驗證，保證式轉送配置已經生效。