背景信息
安全涵盖的范围很广,阿里云保障自身云基础设施和服务的安全,比如机房、虚拟化平台等,但在使用云产品时遵循安全实践也同样重要,比如阿里云账号安全、机密信息存储、权限控制等。
云产品安全状况 网络安全威胁状况
近年来,网络安全威胁加剧,各类安全事件频发。根据2022年全球网络安全态势报告发布的数据:
传统IT架构向云架构转型,也会带来新的安全挑战,一个错误的操作,可能会导致你的应用被从内网访问到公网,或者泄露你自己的密钥,引发信息安全事件。安全合规是数字化转型的基石,也是上云的第一步。
共担安全责任模式
与传统IDC不同,云计算是一种共享技术模式,安全责任由双方共同承担,也就是常说的安全责任共担模式。对于托管在ECS上的服务,您和ECS对安全和合规的责任是相同的。一般来说,ECS负责云的安全,而您负责云中的安全。
保护云信息资产的先决条件
需要明确安全策略现状,加大足够的重视,系统和应用的安全不是一朝一夕就能实现的,需要大量持续的投入和建设。
此外,您还需要澄清以下几点:
如何保护云端信息资产
云计算安全或一般意义上的云安全是指通过一系列策略、控制和技术来确保数据、基础设施和应用程序的安全,保护云计算环境免受外部和内部网络安全威胁和漏洞的影响。越来越多的企业开始重视云安全合规。云安全合规需要自上而下的设计,云应用程序的构建应该以安全为出发点。
根据目前的安全趋势,阿里云建议您采用下表所示的安全最佳实践来保障云上信息资产的安全。
安全项目的最佳实践
账户安全
阿里云账号安全
启用 MFA 多重帐户身份验证
使用RAM用户代替阿里云账号,并设置适当的权限策略。
云产品 API 调用使用实例角色而非 AK
AK防漏
账户及密码管理安全建议
应用程序资源管理
大规模信息资产管理
使用标签大规模管理资源
使用云助手实现资源渠道运维自动化
使用配置审计()来审计资源的合规性
使用应用程序配置管理 (ACM) 集中管理所有应用程序配置
信息数据安全
创建实例时启用安全合规功能
对安全性要求高的业务使用增强计算实例
满足三级安全保护合规图像要求
使用更安全的图像
云盘数据加密
快照灾难恢复备份
在强化模式下访问实例元数据
网络环境安全
合理设置网络资源权限隔离
网络资源隔离的安全建议
构建安全的网络环境
应用程序保护安全
利用云安全产品构建安全防御体系
网络流量攻击防护:基础DDoS防御(免费)和DDoS高防御
系统漏洞攻击防护:云安全中心(免费版)
应用漏洞攻击防护:云安全中心Web防火墙
实例内的应用系统安全
实例系统内的应用程序安全性
实例登录安全配置
避免使用弱服务密码
使用IDaaS认证应用系统身份权限
数据传输加密
日志异常监控与审计
阿里云账号安全开启MFA多因素账号认证
建议对阿里云账号启用MFA多因素认证,即在用户名和密码(一级安全因子)的基础上添加MFA安全码(二级安全因子,由MFA设备生成的动态验证码),提高账号安全性。
使用RAM用户代替阿里云账号,并设置适当的权限策略。
确保用户使用最小权限访问ECS资源,避免共享账号或者授权过宽。使用访问控制RAM时,建议直接使用阿里云账号创建RAM用户(用户组)并授予具体的权限策略,在账号维度实现对云服务器ECS资源的细粒度访问控制。
用户组策略 云产品 API 调用使用实例角色而非 AK
一般ECS实例的应用都是通过阿里云账号或者RAM用户来访问阿里云产品的API,为了满足调用需求,需要直接将其固定在实例中,比如写在配置文件中。但是这种方式权限过高,存在信息泄露、维护困难等问题。因此阿里云推出了实例RAM角色来解决这些问题,一方面可以保证安全性,另一方面也可以利用RAM实现权限的精细化管控和管理。
实例RAM角色(建议使用强化模式访问元数据)允许您将角色与ECS实例进行关联,并在实例内部基于STS(Token)临时凭证(临时凭证会定期更新)访问其他云产品的API。
AK防漏
阿里云账号是客户访问阿里云API的密钥,请妥善保管,不得以任何方式(如 等)泄露给外部渠道,以免遭到恶意利用,造成安全威胁。泄露将威胁所有资源的安全。使用以下AK信息安全建议,可有效降低泄露风险。
在使用阿里云产品时,您需要遵循以下AK信息安全建议,以降低凭证泄露带来的影响:
账户与密码管理安全建议类别策略说明
阿里云账号
管理员账户必须启用 MFA 身份验证。
账户分级权限设置,最小权限授权原则。
禁止根账号访问API或常见的请求方法。
建议使用服务目录来集中身份管理。
密钥、凭证
禁止使用过期的证书和凭证。
root账户需要删除访问密钥。
定期清理30天以上未使用的密钥和凭证。
监控密钥和凭证的最新使用情况。
定期自动扫描您的 Git 存储库和历史记录,以检查可能的密钥泄漏。
密码
定期修改密码,设定密码时遵守密码强度验证。
密码复杂性策略实施。
设置复杂且与其他平台不一致的账号和密码,避免意外泄露影响多平台资源的安全。
建议AK等账号密码信息使用KMS进行安全管理,避免明文存储。
密码或密钥对不应在主机上的不同账户之间共享。
机密信息采用KMS安全加固管理
机密数据明文存储在磁盘上存在泄露风险,建议您提前开通密钥管理服务,这样您就可以使用云服务中的数据加密功能,而不需要自行开发和维护加密设施,例如,您可以在云服务器ECS中使用云盘加密、实例信任启动等功能。
大规模信息资产管理
通过规模化、自动化运维和审计,避免由于配置变更导致单点资产保护出现异常或疏漏。建议统一实例和安全组的命名安全和部署规范,统一命名标准,定期检测、提醒或删除不符合命名标准的安全组和实例。使用标签进行规模化资源管理,使用云助手实现资源通道的自动化运维,使用配置审计进行资源合规性审计,使用应用配置管理(ACM)将所有应用配置集中管理。
使用标签大规模管理资源 使用云助手自动化资源操作
传统运维渠道需要通过SSH获取密钥进行管理,并开放相应的网络端口,密钥管理不当、网络端口暴露会给云资源带来极大的安全隐患。云助手是专门为云服务器ECS打造的原生自动化运维工具,实现对ECS实例的免密码、免登录、免跳转服务器批量运维、命令执行(Shell、Bat)、文件发送等操作。典型使用场景包括:安装卸载软件、启停服务、分发配置文件、执行通用命令(或脚本),帮助客户安全高效地运维云资源。通过云助手可以对云服务器ECS进行批量运维、命令执行、文件发送等操作;通过云助手可以对ECS实例进行交互式操作。以上运维操作无需密码、无需登录,ECS实例无需使用公网、无需经过跳转服务器。云助手通过以下安全机制保障运维渠道的安全:
使用配置审计()来审计资源的合规性
配置审计()是针对云资源的审计服务,为用户提供跨地域资源清查与检索能力,记录资源历史配置快照,形成配置时间线,当资源配置发生变更时,自动触发合规评估,对不合规配置发出告警,使用户能够自主监控海量云资源的合规性,满足企业内外部合规需求。
使用应用程序配置管理 (ACM) 集中管理所有应用程序配置
应用配置管理(ACM)是一款在分布式架构环境下对应用配置进行集中管理和推送的产品。通过配置变更、配置推送、历史版本管理、灰度发布、配置变更审计等配置管理工具,ACM可以帮助您集中管理所有应用环境中的配置,降低分布式系统中管理配置的成本,降低因配置变更错误导致可用性降低甚至故障的风险。
创建实例时启用安全合规功能。对安全性要求较高的业务可使用增强计算型实例。
如果您的业务针对的是安全、信任要求较高的场景,可以使用安全增强型实例,保证实例的可信启动以及实例中隐私数据的安全。
例如选择c6t规格。
满足三级安全防护合规图像要求
阿里云根据国家信息安全部《GB/T 2019 信息安全技术 网络安全等级保护基本要求》中对操作系统的部分等级保护要求,推出了自研云原生操作系统Cloud Linux 等级保护2.0三级镜像,您可以使用该镜像无需额外配置即可满足身份认证、访问控制、安全审计、入侵防御、恶意代码防御等多级保护合规要求。
使用更安全的镜像云盘数据加密(需开启KMS)
选择云盘数据加密,可以在不对您的业务和应用进行额外改动的情况下,最大程度地保护您的数据安全。同时,云盘生成的快照以及由这些快照创建的云盘将自动延续加密属性。数据加密适用于数据安全或监管合规等场景,帮助您对存储在阿里云 ECS 上的数据进行加密保护。无需自行构建和维护密钥管理基础设施,即可保障数据的私密性和自主性,为业务数据提供安全边界。加密云盘可以是系统盘,也可以是数据盘。
快照容灾备份加固模式下访问实例元数据
实例元数据包含了阿里云系统中ECS实例的信息,您可以方便的在正在运行的实例中查看实例元数据,并根据实例元数据对实例进行配置或管理。
建议您使用强化模式查看实例元数据。强化模式下,实例与实例元数据服务器之间会建立会话,查看实例元数据时通过 token 进行身份验证。有效期过后,会话会被关闭,token 会被清除。token 有以下特点:
合理设置网络资源权限隔离
云计算通过私有网络(VPC)将物理网络抽象化并创建网络资源池,实现数据链路层隔离,为每个用户提供独立、隔离、安全的网络环境。不同VPC内部网络完全隔离,只能通过对外映射的IP进行互联互通。在VPC内部,用户可以自定义IP地址范围、网段、路由表、网关等。此外,用户可以通过VPN网关、高速通道物理专线、智能接入网关等服务连接本地数据中心与云VPC,还可以通过云企业网实现全球网络互联,从而形成按需定制的网络环境,实现应用平滑上云、数据中心扩容。
另外,网络是所有云服务的基础要素,网络攻击种类繁多,危害巨大,是最难防范的风险之一。云计算平台提供了成熟的网络安全架构来应对来自互联网的各种威胁。在阿里云上,您可以通过安全组、网络ACL、路由策略或网络专线等方式来控制虚拟网络的访问权限。除了控制内网网络的访问,还需要配置云防火墙、应用防火墙、DDoS防护等安全措施来抵御各种外部网络安全威胁。
网络资源隔离的安全建议
网络资源隔离的安全建议如下:
构建安全的网络环境
合理设置安全组,隔离网络,减少攻击面
安全组是网络安全隔离的重要手段,用于对单台或多台云服务器设置网络访问控制。通过设置安全组规则,可以在网络层过滤服务器的主动/被动访问行为,限制服务器的对外/内外部端口访问,授权访问地址,从而减少攻击面,保护服务器的安全。
例如Linux系统默认远程管理端口为22,不建议直接对外开放,可以配置ECS公网访问控制,只授权本地固定IP访问服务器。如果对访问控制要求更高,可以使用第三方VPN产品对登录数据进行加密。以下是安全组实践的安全建议:
安全建议
最低限度原则
安全组应该是白名单,所以需要开放和暴露尽可能少的端口,分配尽可能少的公网IP。如果需要访问线上机器做任务日志或者排查问题,尽量通过VPN或者堡垒机登录。配置不当可能会导致业务端口或者IP暴露在互联网上,带来安全威胁。
使用安全组限制禁止私网访问,公网安全组和私网安全组都只保留业务需要的端口。
ECS上安装的高危服务端口需要限制为仅允许本地访问或者使用安全组限制访问源IP地址。
HTTP服务的管理后台需要使用安全组限制访问源IP,HTTP服务域名需要开启云安全中心Web应用防火墙WAF(Web)功能。
避免设置 0.0.0.0/0 授权对象
允许所有网络访问是一个常见的错误,使用 0.0.0.0/0 意味着所有端口都暴露在外界,非常不安全。正确的做法是拒绝所有端口向外界开放,并设置安全组白名单访问。例如,如果你需要暴露一个 Web 服务,默认情况下只开放 80、8080、443 等常见 TCP 端口,其他端口应该关闭。
禁用不必要的网络规则
如果你当前使用的 规则中已经包含了 0.0.0.0/0,那么你需要重新审视你的应用需要暴露的端口和服务。如果你确定不需要放行某些端口直接对外提供服务,那么可以增加一条拒绝规则。比如你的服务器上安装了 MySQL 数据库服务,那么 3306 端口默认不应该暴露在公网,那么可以增加一条拒绝规则,并将其优先级设置为 100,即最低优先级。
添加以安全组为授权对象的规则
不同的安全组应该按照最小原则开放相应的进入和退出规则,不同的应用层应该使用不同的安全组,不同的安全组应该有相应的进入和退出规则。
比如说如果是分布式应用,你会区分不同的安全组,但是不同的安全组可能不连通网络,这种情况下就不应该直接授权IP或者CIDR网段,而是直接授权另外一个安全组ID,所有资源都可以直接访问。
例如您的应用为Web和sg-创建了不同的安全组,在sg-中您可以添加规则,授权sg-web安全组内的所有资源可以访问您的3306端口。
经典网络内网安全组规则不使用CIDR或IP授权
对于经典网络类型的ECS实例,阿里云默认不开启任何内网入口规则,请谨慎授权内网。
定义合理的安全组名称和标签
合理的安全组名称和描述可以帮助您快速识别当前复杂的规则组合,您可以修改名称和描述,以帮助自己识别安全组。
您还可以通过设置标签来管理安全组。您可以直接在控制台中或通过 API 设置标签。
将需要互相通信的ECS实例加入同一个安全组
一台 ECS 实例最多可以加入 5 个安全组,同一个安全组内的 ECS 实例之间可以互相通信。如果您的规划中已经有多个安全组,直接设置多条安全规则过于复杂,您可以新建一个安全组,然后将需要内网通信的 ECS 实例加入到这个新的安全组中。
不建议将所有ECS实例加入到同一个安全组,对于中大型应用来说,每个服务器组的角色都不一样,所以合理规划每台服务器的入站和出站请求是非常有必要的。
安全组内实例间的隔离
安全组是一种具备状态检测和包过滤功能的虚拟防火墙,由同一地域内具有相同安全防护需求的互信实例组成。为了满足同一安全组内实例间网络隔离的需求,阿里云丰富了安全组网络互通策略,支持安全组内网络隔离。
使用安全组五元组规则
安全组用于对单台或多台ECS实例设置网络访问控制,是网络安全隔离的重要手段,用于划分云内的安全域。安全组的五元组规则可以对源IP、源端口、目的IP、目的端口、传输层协议进行精准管控。
提供公网服务的云服务器和内网服务器尽量属于不同的安全组。
无论你是否提供公网服务,包括主动暴露某些端口供外部访问(比如80、443等)以及被动提供端口转发规则(比如有公网IP的云服务器、EIP、NAT端口转发规则等),都会让你的应用具有被公网访问的潜在可能。
两种场景的云服务器的安全组规则都应采用最严格的规则,默认关闭所有端口和协议,只开放80、443等对外提供服务的端口。由于只对公网可访问的服务器进行分组,因此在调整安全组规则时更容易控制。
对外提供服务器组的职责应该相对清晰简单,避免在同一台服务器上提供其他服务。例如MySQL、Redis等。建议将这些服务安装在没有公网访问权限的云服务器上,然后通过安全组的分组授权进行访问。
利用云安全产品构建安全防御体系网络流量攻击防护:DDoS基础防御(免费)和DDoS高防
DDoS(分布式拒绝服务)攻击是利用客户端和服务端技术,结合多台计算机作为攻击平台,对一个或多个目标发起的攻击,使拒绝服务攻击的威力成倍增加,影响企业和应用向用户提供的服务。阿里云安全中心可以防御SYN Flood、UDP Flood、ACK Flood、ICMP Flood、DNS Flood、CC攻击等3~7层DDoS攻击。DDoS基础防护免费提供高达5GB的默认DDoS防护容量。
ECS实例默认开启基础DDoS防护服务,开启基础DDoS防护服务后无需购买昂贵的清洗设备,遭受DDoS攻击时访问速度不会受到影响,带宽充足,不会受到其他用户影响,保证业务的可用性和稳定性。
在此基础上,阿里云推出了安全信誉防护联盟计划,将进一步增强基于安全信誉积分的DDoS防护能力。您最多可获得100GB的免费DDoS防护资源。您可以在云安全中心DDoS基础防护控制台中查看您账号当前的安全信誉积分、安全信誉详情及评分依据。如果您对DDoS防护有更高的要求,可以购买DDoS高防。
产品详情参考:
系统漏洞攻击防护:云安全中心(免费版)
云安全中心是统一的安全管理系统,实时识别、分析、预警安全威胁,通过防勒索、防病毒、防篡改、合规检查等安全能力,实现威胁发现、响应、追溯的自动化安全运营闭环,保护云上资产和本地主机,满足监管合规要求。
云安全中心自动为您开通免费版,免费版仅提供主机异常登录检测、漏洞检测、云产品安全配置项检测,如需更高级的威胁检测、漏洞修复、病毒检测等功能,请前往云安全中心控制台购买付费版。
产品详情参考:
应用漏洞攻击防护:云安全中心Web防火墙
云安全中心Web应用防火墙(Web,简称WAF)基于云安全大数据能力,防御SQL注入、XSS跨站脚本等常见OWASP攻击、常见Web服务器插件漏洞、木马上传、核心资源越权访问等,过滤海量恶意CC攻击,避免您网站资产数据泄露,保障网站的安全可用性。
使用 Web 应用程序防火墙的好处如下:
实例系统中的应用程序安全实例登录安全配置
实例默认登录账户权限不为root权限,需要用户通过su或者sudo在本地提权为root。默认情况下不支持root用户使用pem密钥文件直接登录。建议使用安全访问控制协议访问ECS主机,根据镜像类型选择不同的登录凭证。建议Linux系统只支持rsa密钥对登录,不支持在控制台创建密码。系统建议使用8位以上包含特殊字符的复杂密码作为登录凭证。
Linux 实例:
建议配置默认禁止密码登录,只支持RSA密钥对登录。修改ssh配置文件中密码登录的配置选项。
例子:
避免使用弱服务密码
如果您的服务器使用弱密码登录,黑客可能会非法登录您的服务器,窃取服务器数据或破坏服务器。建议您为服务器设置复杂的登录密码,并定期提升登录密码的安全性。密码改进方法:
使用IDaaS认证应用系统身份权限
云身份服务IDaaS(Cloud as a)是阿里云为企业用户提供的云原生、经济、便捷、标准化的身份与权限管理体系。IDaaS提供一站式的组织架构、账号全生命周期管理、应用接入实现单点登录(SSO)、账号权限管控等功能。
数据传输加密
配置安全组或防火墙,仅允许存在加密数据的网络服务端口之间进行通信。您可以使用传输层安全性(TLS1.2 及以上版本)等加密协议对客户端和实例之间传输的敏感数据进行加密。
日志异常监控与审计
根据M-2018报告,企业的安全防护管理能力较弱,尤其是在亚太地区。全球范围内,攻击被企业组织发现的平均时间为101天,而亚太地区的平均时间为498天。企业需要可靠、防篡改的日志记录和审计支持来不断缩短这一时间。
建议您利用云监控、操作审计、日志审计、VPC流日志、应用日志等构建一套异常资源及权限访问监控报警体系,对及时发现问题止损、优化安全防御体系至关重要。
以上就是阿里云在使用账号、实例、操作系统、资源等方面提升安全性的实践和能力,了解了这些阿里云服务器的安全性之后,相信大家可以更加放心的使用阿里云服务器。目前阿里云产品已于2023年5月7日完成大规模调价,阿里云最新租赁费用价格已出炉。调价后c8y/g8y/r8y系列云服务器、g7/c7/r7系列云服务器价格降幅达15-20%,gn6i/gn6v系列GPU云服务器价格降幅达41-47%。实时优惠价格参考:
目前, Cloud的轻巧应用程序服务器每年为108元,一般计算功率U1实例服务器每年开始731.52 ran,计算C7实例云服务器每年开始为1718.61 ran yuan,G7 cloud cloud 始于每年2117.95 YUAN,该实例始于内存R7 。每年11元的G8Y实例云服务器每年开发1268.04 yuan,并且内存R8Y实例云服务器每年为1563.71元开始。
扫一扫在手机端查看
我们凭借多年的网站建设经验,坚持以“帮助中小企业实现网络营销化”为宗旨,累计为4000多家客户提供品质建站服务,得到了客户的一致好评。如果您有网站建设、网站改版、域名注册、主机空间、手机网站建设、网站备案等方面的需求,请立即点击咨询我们或拨打咨询热线: 13761152229,我们会详细为你一一解答你心中的疑难。