阿里云ECS数据安全闭环增值服务
• 定期备份数据
• 云监控
• 合理设计安全域
• 安全组规则设置
• RAM子账号权限设置
• 登录口令设置
• 服务器端口安全
• 系统漏洞防护
• 应用漏洞防护
• 安全情报收集
• 云助手
一、定期备份数据
数据备份是容灾的基础,目的是降低因系统故障、操作失误、以及安全问题而导致数据丢失的风险。云服务器ECS自带有快照备份的功能,合理运用ECS快照功能即可满足大部分用户数据备份的需求。建议用户根据自身的业务情况,制定适合自己的备份策略,您可以选择手动创建快照,或者创建自动快照策略,并将此策略应用到指定磁盘。推荐每日做一次自动快照,每次快照最少保存7天。养成良好的备份习惯,在故障发生时,有利于迅速恢复重要数据,减少损失。
二、云监控
在阿里云上,ECS实例也承载着我们的业务应用,ECS实例的资源使用情况和性能负载直接影响着其上应用的运行稳定性和用户体验度。假如没有进行监控,就很有可能在业务高峰期性能不足却无人问津而导致宕机;也可能在出现异常和故障的时候,因为没有历史性能数据而无法进一步追查到原因,可见,没有监控,当问题出现的时候,都非常被动。
因此,监控是非常有必要的,是构建完整IT系统不可或缺的一个元素。
云监控-主机监控
云监控主机监控服务通过在服务器上安装插件,为用户提供服务器的系统监控服务。主机监控服务采集丰富的操作系统层面监控指标,可以使用主机监控服务进行服务器资源使用情况的查询和排查故障时的监控数据查询。
云监控-站点监控
如果ECS实例提供的主要业务应用是网站类型,可以考虑使用站点监控模拟真实用户访问情况,探测API可用性、端口连通性、DNS解析等问题。可以探测域名、IP、端口的连通性、访问响应时间,并对监控结果报警。
云监控-自定义监控
云监控的Dashboard功能提供用户自定义查看监控数据的功能。用户可以在一张监控大盘中跨产品、跨实例查看监控数据,将相同业务的不同产品实例集中展现。既能满足排查故障时查看监控细节,又能满足总览大局时查看服务概貌。
三、合理设计安全域
基于SDN(Software Defined Network)技术研发的VPC专有网络,可以供用户构建自定义专属网络,隔离企业内部不同安全级别的服务器,避免互通网络环境下一台服务器感染后影响到其它应用服务器。
建议用户创建专有网络,选择自有 IP 地址范围、划分网段、配置路由表和网关等。用户可以将比较重要的数据存储在一个跟互联网网络完全隔离的内网环境,日常运维可以用弹性IP(EIP)或者跳板机的方式,对数据进行管理。
四、安全组规则设置
安全组是重要的网络安全隔离手段,用于设置单台或多台云服务器的网络访问控制。用户通过安全组设置实例级别的防火墙策略,可以在网络层过滤服务器的主动/被动访问行为,限定服务器对外/对内的的端口访问,授权访问地址,从而减少攻击面,保护服务器的安全。
例如Linux系统默认远程管理端口22,不建议向外网直接开放,可以通过设置安全组配置ECS公网访问控制,只授权本地固定IP对服务器进行访问。您可以查看其它应用案例,加深对安全组的熟悉程度。对访问控制有更高要求的用户或者也可以使第用三方VPN产品,对登录行为进行数据加密,更多软件尽在云市场。
五、访问控制RAM
如果您购买了多台云服务器 ECS 实例,您的组织里有多个用户需要使用这些实例。如果这些用户共享使用您的云账号密钥,那么存在以下问题:
• 您的密钥由多人共享,泄密风险高;
• 您无法限制用户的访问权限,容易出现误操作导致安全风险。
访问控制 RAM (Resource Access Management) 是阿里云提供的资源访问控制服务。通过 RAM,您可以集中管理您的用户(比如员工、系统或应用程序),以及控制用户可以访问您名下哪些资源的权限。
访问控制 RAM 将帮助您管理用户对资源的访问权限控制。例如,为了加强网络安全控制,您可以给某个群组附加一个授权策略,该策略规定:如果用户的原始 IP 地址不是来自企业网络,则拒绝此类用户请求访问您名下的 ECS 资源。
六、登录口令设置
弱口令一直是数据泄露的一个大症结,因为弱口令是最容易出现的也是最容易被利用的漏洞之一。服务器的口令建议至少8位以上,从字符种类上增加口令复杂度,如包含大小写字母、数字和特殊字符等,并且要不定时更新口令,养成良好的安全运维习惯。
七、服务器端口安全
服务器只要给互联网提供服务,就会将对应的服务端口暴露在互联网,从安全管理的角度来说,开启的服务端口越多,就越不安全。建议只对外开放提供服务的必要端口,并修改常见端口为高端口(30000以后),再对提供服务的端口做访问控制。
例如数据库服务尽量在内网环境使用,避免暴露在公网;如果必须要在公网访问,则需要修改默认连接端口3306为高端口,并根据业务授权可访问客户端地址。
八、系统漏洞防护
系统漏洞问题这种长期都存在的安全风险,可以通过系统补丁程序,或者安骑士补丁管理来解决。Windows系统的补丁更新要一直开启,Linux系统要设置定期任务执行yum update -y来更新系统软件包及内核。
云盾旗下的安骑士产品时还能识别防御非法破解密码的行为,避免被黑客多次猜解密码而入侵,批量维护服务器安全。安骑士同时还提供针对服务器应用软件不安全的配置检测和修复方案,帮助用户成功修复弱点,提高服务器安全强度。强烈推荐用户使用。
九、应用漏洞防护
应用漏洞是指针对Web应用、缓存、数据库、存储等服务,通过利用渗透攻击而非法获取数据的一种安全缺陷。常见应用漏洞包括:SQL注入、XSS跨站、Webshell上传、后门隔离保护、命令注入、非法HTTP协议请求、常见Web服务器漏洞攻击、核心文件非授权访问、路径穿越等。这种漏洞不同于系统漏洞,修复存在很大难度,如果程序在设计应用之初,不能对这些应用安全基线面面俱到,服务器安全的堡垒,就往往在这最后一公里被攻破。所以我们推荐通过接入Web应用防火墙(Web Application Firewall, 简称 WAF)这种专业的防护工具,来轻松应对各类Web应用攻击,确保网站的Web安全与可用性。
十、安全情报收集
在当今暗流涌动的互联网安全领域,安全工程师和黑客比拼的就是时间,云盾态势感知可以理解为一种基于大数据的安全服务,即在大规模云计算环境中,对能够引发网络安全态势发生变化的要素进行全面、快速和准确地捕获和分析。然后把客户当前遇到的安全威胁与过去的威胁进行关联回溯和大数据分析,最终产出未来可能发生的威胁安全的风险事件,并提供一个体系化的安全解决方案。
所以,技术人员除了在做好日常安全运维的同时,还要尽可能掌握全面的信息,提升预警能力,在发现安全问题的时候可以及时进行修复和处理,才能真正保证云服务器ECS的数据安全闭环。
十一、云助手
云助手可以帮您自动地批量地执行日常维护命令,快速完成运行自动化运维脚本、轮询进程、安装或者卸载软件、更新应用以及安装补丁等一些日常任务。您可以使用云助手安全便捷地管理您的 ECS 实例。云助手是免费功能,不收取任何费用。
功能详情:
通过在实例中安装云助手客户端,您可以在 ECS 管理控制台上或者调用 API 对运行中(Running)的一台以及多台实例执行 bat/PowerShell(Windows 实例)脚本或者 Shell 脚本(Linux 实例)。并且多台实例间互相不影响。您也可以设置命令执行周期,使实例维持在某种状态、获取实例监控以及日志信息或者守护进程等。云助手不会主动发起任何操作,所有的操作都在您的可控范围内。
——阿里云山东授权服务中心 莉娜
扫一扫
4345
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
