应用安全是指确保应用程序在部署及运行过程中免受威胁和攻击的一系列措施和技术。它旨在保护软件及其数据不受未授权访问、篡改或破坏,从而保障业务连续性和用户信息的安全。本文从主机安全、漏洞管理、Web应用的网络安全和Web应用的流量安全等几方面介绍ECS实例在应用安全方面支持的防护能力。
大多数业务都需要各种类型的主机来提供计算能力,并且主机也是各类Web应用、数据库、OSS等云上服务交汇贯通的核心枢纽,因此,保护主机安全是云上应用安全的重要部分。选择有效的主机安全产品可以确保主机具备合格的反病毒和威胁检测能力,从而有效预防病毒和黑客攻击造成的破坏。
漏洞已成为应用安全的入侵方式之一,选择云安全中心的漏洞管理以确保发现ECS实例的漏洞并进行修复,同时可以通过系统运维管理OOS的补丁管理对ECS实例进行批量修补、扫描并自动安装所有缺失的补丁。
可以通过配置云防火墙或安全组,保证即使在病毒入侵的情况下,也只能在小范围之内实现攻击,而不会影响到整体业务。
Web应用攻击依然是互联网安全威胁来源之一,除了传统的网页和应用,API和各种小程序也作为了新的流量入口快速崛起,更多的流量入口和更易用的调用方式,对应的安全攻击形式也随之增加。我们需要选择有效的Web应用防火墙和防DDoS攻击产品,以有效阻挡来自网络的流量或漏洞攻击,避免攻击造成业务中断。
可以通过操作审计的事件进行统一的风险分析、异常分析和行为分析,回溯所有的应用安全操作链路是否完整、是否有缺陷,并进行调整,进而保证云上处于安全状态。
做好主机安全
功能介绍
云服务器ECS可以通过云安全中心免费版提供的安全防护功能保护ECS的主机安全。云安全中心免费版提供漏洞扫描、异常登录检测、AK泄露检测、合规检查等基础功能。更多信息,请参见云安全中心免费版简介。
说明如果您需要使用漏洞修复、防勒索、网页防篡改等更多安全防护能力,您可以购买安全防护服务。更多信息,请参见购买云安全中心。
配置方式
ECS管理控制台:您在购买ECS实例时,默认选中免费安全加固选项,云安全中心会对您的ECS实例提供免费的漏洞扫描、合规检查等安全防护。
说明您也可以在调用API接口RunInstances时通过设置
SecurityEnhancementStrategy=Active,为新建ECS实例启用安全加固。
查看ECS实例的主机状态
图标上方,即可查看当前实例安全状态。您可以单击待处理任务对应的立即处理,查看告警详情。如果存在高危风险,建议您根据页面提示及时处理,避免影响业务安全。
做好漏洞管理
扫描和处理漏洞
使用补丁基线自动更新安全补丁
功能介绍
阿里云系统运维管理OOS的补丁管理可以使用安全相关更新及其他更新类型自动修补相应的ECS实例。您可以使用补丁管理模块在Windows实例上安装ServicePack、在Linux实例上执行操作系统小版本升级、按操作系统类型同时对多台ECS实例进行批量修补、扫描并自动安装所有缺失的补丁等多种方式。更多信息,请参见补丁管理概述。
配置方式
建议您对ECS实例使用补丁管理功能,自动扫描实例内的系统补丁,并完成补丁的下载和安装,保障系统安全与稳定。
保障Web应用的网络安全
配置云防火墙
功能介绍
阿里云云防火墙是一款云平台SaaS化的产品,具备自己的运维和管控平台,可针对您云上网络资产的互联网边界、VPC边界及主机边界,实现三位一体的统一安全隔离管控,是您业务上云的第一道网络防线。更多信息,请参见什么是云防火墙。
配置方式
您可以根据网络边界配置对应的防火墙,以便进行逻辑分层以及后续维护。
如果您只有公网流量防护需求,只需要在互联网边界防火墙配置出方向或入方向的访问策略。具体操作,请参见配置互联网边界访问控制策略。
如果您需要限制VPC内资源(例如ECS、ECI等)通过NAT网关访问互联网的出方向流量时,您可以为NAT网关开启NAT边界防火墙,并配置NAT边界访问控制策略,精细化管控私网资源到互联网的访问。具体操作,请参见配置互联网边界访问控制策略。
如果您在防护公网流量的同时,还需要防护ECS实例之间的流量,除了配置互联网边界防火墙,还需要再配置VPC边界防火墙。具体操作,请参见配置主机边界访问控制策略。
如果您在防护公网流量的同时,还需要防护VPC之间、VPC与IDC之间的流量,除了配置互联网边界防火墙,还需要再配置VPC边界防火墙。具体操作,请参见配置VPC边界访问控制策略。
配置安全组
功能介绍
安全组是一种虚拟防火墙,能够控制ECS实例的出入站流量。安全组的入方向规则控制ECS实例的入站流量,出方向规则控制ECS实例的出站流量。更多信息,请参见安全组概述。
配置方式
您可以在创建ECS实例时指定一个或多个安全组。也可以在ECS创建完成后,将ECS实例加入一个或多个安全组。更多信息,请参见安全组与ECS实例关联的管理。
保障Web应用的流量安全
配置Web应用防火墙
功能介绍
Web应用防火墙可以对网站或App的业务流量进行恶意特征识别及防护,在对流量清洗和过滤后,将正常、安全的流量返回给服务器,避免网站服务器被恶意入侵导致性能异常等问题,从而保障网站的业务安全和数据安全。更多信息,请参见什么是Web应用防火墙。
配置方式
如果您已创建ECS实例,您可以将实例的引流端口添加到Web应用防火墙,将Web业务引流到WAF防护。将ECS实例接入WAF后,实例所有的Web业务流量将被指定网关引导到WAF进行检测。WAF过滤Web应用攻击后,将正常的业务流量转发回ECS服务器。具体操作,请参见为ECS开启WAF防护。
DDoS基础防护
功能介绍
阿里云为ECS免费提供500 Mbps~5 Gbps的DDoS基础防护能力,可有效防止ECS实例受到恶意程序发起的DDoS攻击。更多信息,请参见什么是DDoS基础防护。
说明如果DDoS基础防护无法满足需求,您可以选择DDoS原生防护或DDoS高防等更高级别的防护产品。更多信息,请参见什么是DDoS原生防护、什么是DDoS高防。
启用DDoS基础防护后,DDoS基础防护会实时监控进入ECS实例的流量。当ECS实例公网IP的网络流量超过设置的清洗阈值时,DDoS基础防护服务将自动对该IP的流量进行清洗,尽可能地保障您的正常业务免受DDoS攻击影响。
配置方式
DDoS基础防护默认开启且不支持关闭,无需手动配置。
进行定期的操作审计
功能介绍
操作审计(ActionTrail)是阿里云提供的云账号资源操作记录的查询和投递服务,可用于安全分析、资源变更追踪以及合规性审计等场景。操作审计支持将管控事件投递到日志服务SLS的LogStore或对象存储OSS的存储空间中,满足实时审计、问题回溯分析等需求。更多信息,请参见什么是操作审计。
您可以在操作审计中查询您操作云服务器ECS产生的管控事件,请参见云服务器ECS的审计事件。当ECS操作出现异常时,您可以快速查询事件并获取事件发生的时间、地域、ECS实例等信息,以便快速解决您的问题。
配置方式
云服务器ECS默认已与操作审计服务集成,默认开启,无需手动配置。