通常意義上的云計(jì)算安全或云安全是指通過(guò)一系列策略、控制和技術(shù)，共同確保數(shù)據(jù)、基礎(chǔ)設(shè)施和應(yīng)用的安全，保護(hù)云計(jì)算環(huán)境免受外部和內(nèi)部網(wǎng)絡(luò)安全威脅和漏洞的影響。越來(lái)越多的企業(yè)更加重視云安全合規(guī)，云上安全合規(guī)需要有自上而下的頂層設(shè)計(jì)，要以安全為出發(fā)點(diǎn)構(gòu)建云上應(yīng)用。

開(kāi)啟MFA多因素賬號(hào)認(rèn)證

建議為阿里云賬號(hào)啟用MFA多因素認(rèn)證，即在用戶名和密碼（第一層安全要素）的基礎(chǔ)上，增加了MFA安全碼（第二層安全要素，MFA設(shè)備生成的動(dòng)態(tài)驗(yàn)證碼），以提高賬號(hào)的安全性。具體操作，請(qǐng)參見(jiàn)啟用MFA。

使用RAM用戶而不是阿里云賬號(hào)，并合理設(shè)置權(quán)限策略

云產(chǎn)品API調(diào)用使用實(shí)例角色而不是AK

一般情況下，ECS實(shí)例的應(yīng)用程序是通過(guò)阿里云賬號(hào)或者RAM用戶的AccessKey訪問(wèn)阿里云各產(chǎn)品的API。為了滿足調(diào)用需求，需要直接把AccessKey固化在實(shí)例中，例如寫(xiě)在配置文件中。但是這種方式權(quán)限過(guò)高，存在泄露信息和難以維護(hù)等問(wèn)題。因此，阿里云推出了實(shí)例RAM角色解決這些問(wèn)題，一方面可以保證AccessKey安全，另一方面也可以借助RAM實(shí)現(xiàn)權(quán)限的精細(xì)化控制和管理。

實(shí)例RAM角色（推薦使用加固模式訪問(wèn)元數(shù)據(jù)）允許您將一個(gè)角色關(guān)聯(lián)到ECS實(shí)例，在實(shí)例內(nèi)部基于STS（Security Token Service）臨時(shí)憑證（臨時(shí)憑證將周期性更新）訪問(wèn)其他云產(chǎn)品的API。更多信息，請(qǐng)參見(jiàn)實(shí)例RAM角色概述。

AK防泄密

阿里云賬號(hào)AccessKey是客戶訪問(wèn)阿里云API的密鑰，請(qǐng)務(wù)必妥善保管。請(qǐng)勿通過(guò)任何方式（如GitHub等）將AccessKey公開(kāi)至外部渠道，以免被惡意利用而造成安全威脅。AccessKey泄露會(huì)威脅所有資源的安全，根據(jù)如下AK信息使用的安全建議，可以有效降低AccessKey泄露的風(fēng)險(xiǎn)。

賬號(hào)、密碼管理安全建議

規(guī)模化、自動(dòng)化運(yùn)維與審計(jì)云上資源，避免因錯(cuò)誤的配置變更造成例外或單點(diǎn)資產(chǎn)保護(hù)遺漏情況。建議您統(tǒng)一實(shí)例、安全組的命名規(guī)范與部署約定，定期檢測(cè)、提醒或刪除不符合命名規(guī)范的安全組和實(shí)例。使用標(biāo)簽規(guī)模化管理資源、使用云助手自動(dòng)化運(yùn)維資源通道、使用配置審計(jì)對(duì)資源進(jìn)行合規(guī)審計(jì)、使用應(yīng)用配置管理ACM集中管理所有應(yīng)用配置。

使用標(biāo)簽規(guī)模化管理資源

• 使用標(biāo)簽可以規(guī)模化識(shí)別、分類和定位云資源。在發(fā)生安全事件時(shí)，通過(guò)標(biāo)簽可以快速定位安全事件的作用范圍和影響程度。

• 在配置安全策略時(shí)，例如安全組，可以批量為指定標(biāo)簽的資源配置安全組，避免單個(gè)資源配置的遺漏。

更多信息，請(qǐng)參見(jiàn)標(biāo)簽。

使用云助手自動(dòng)化運(yùn)維資源通道

使用配置審計(jì)（Config）對(duì)資源進(jìn)行合規(guī)審計(jì)

配置審計(jì)（Config）是面向云上資源的審計(jì)服務(wù)，為用戶提供跨區(qū)域的資源清單和檢索能力，記錄資源的歷史配置快照，形成配置時(shí)間線。當(dāng)資源發(fā)生配置變更時(shí)，自動(dòng)觸發(fā)合規(guī)評(píng)估，并針對(duì)不合規(guī)配置發(fā)出告警。使用戶能夠?qū)崿F(xiàn)對(duì)海量云上資源合規(guī)性的自主監(jiān)控，應(yīng)對(duì)企業(yè)內(nèi)部和外部合規(guī)的需要。更多信息，請(qǐng)參見(jiàn)配置審計(jì)。

使用應(yīng)用配置管理ACM集中管理所有應(yīng)用配置

應(yīng)用配置管理ACM（Application Configuration Management）是一款在分布式架構(gòu)環(huán)境中對(duì)應(yīng)用配置進(jìn)行集中管理和推送的產(chǎn)品。憑借配置變更、配置推送、歷史版本管理、灰度發(fā)布、配置變更審計(jì)等配置管理工具，ACM能幫助您集中管理所有應(yīng)用環(huán)境中的配置，降低分布式系統(tǒng)中管理配置的成本，并降低因錯(cuò)誤的配置變更造成可用性下降甚至發(fā)生故障的風(fēng)險(xiǎn)。更多信息，請(qǐng)參見(jiàn)應(yīng)用配置管理ACM。

云計(jì)算利用專有網(wǎng)絡(luò)VPC（Virtual Private Cloud）來(lái)抽象物理網(wǎng)絡(luò)并創(chuàng)建網(wǎng)絡(luò)資源池，實(shí)現(xiàn)數(shù)據(jù)鏈路層的隔離，為每個(gè)用戶提供一張獨(dú)立隔離的安全網(wǎng)絡(luò)環(huán)境。不同VPC之間內(nèi)部網(wǎng)絡(luò)完全隔離，只能通過(guò)對(duì)外映射的IP互連。在VPC內(nèi)部，用戶可以自定義IP地址范圍、網(wǎng)段、路由表和網(wǎng)關(guān)等。此外，用戶可以通過(guò)VPN網(wǎng)關(guān)、高速通道物理專線、智能接入網(wǎng)關(guān)等服務(wù)將本地?cái)?shù)據(jù)中心和云上VPC打通，也可以通過(guò)云企業(yè)網(wǎng)實(shí)現(xiàn)全球網(wǎng)絡(luò)互通，從而形成一個(gè)按需定制的網(wǎng)絡(luò)環(huán)境，實(shí)現(xiàn)應(yīng)用的平滑遷移上云和對(duì)數(shù)據(jù)中心的擴(kuò)展。

此外，網(wǎng)絡(luò)是所有云服務(wù)的基礎(chǔ)要素，網(wǎng)絡(luò)攻擊種類多、危害大，是最難防護(hù)的風(fēng)險(xiǎn)之一。云計(jì)算平臺(tái)會(huì)提供一套成熟的網(wǎng)絡(luò)安全架構(gòu)，以應(yīng)對(duì)來(lái)自互聯(lián)網(wǎng)的各種威脅。在阿里云上，可以通過(guò)安全組、網(wǎng)絡(luò)ACL、路由策略或網(wǎng)絡(luò)專線來(lái)控制虛擬網(wǎng)絡(luò)的訪問(wèn)權(quán)限。除了對(duì)內(nèi)網(wǎng)網(wǎng)絡(luò)訪問(wèn)的控制之外，還需要配置云防火墻、應(yīng)用程序防火墻、DDoS防護(hù)等安全措施，針對(duì)各種外部網(wǎng)絡(luò)安全威脅進(jìn)行安全防護(hù)。

網(wǎng)絡(luò)資源隔離的安全建議

搭建安全的網(wǎng)絡(luò)環(huán)境

• 合理設(shè)置安全組，網(wǎng)絡(luò)隔離減少攻擊面

  安全組是重要的網(wǎng)絡(luò)安全隔離手段，用于設(shè)置單臺(tái)或多臺(tái)云服務(wù)器的網(wǎng)絡(luò)訪問(wèn)控制。通過(guò)設(shè)置安全組規(guī)則，可以在網(wǎng)絡(luò)層過(guò)濾服務(wù)器的主動(dòng)/被動(dòng)訪問(wèn)行為，限定服務(wù)器對(duì)外/對(duì)內(nèi)的端口訪問(wèn)，授權(quán)訪問(wèn)地址，從而減少攻擊面，保護(hù)服務(wù)器的安全。

  例如Linux系統(tǒng)默認(rèn)遠(yuǎn)程管理端口22，不建議直接向外網(wǎng)開(kāi)放，可以通過(guò)配置ECS公網(wǎng)訪問(wèn)控制，只授權(quán)本地固定IP對(duì)服務(wù)器進(jìn)行訪問(wèn)。如果您對(duì)訪問(wèn)控制有更高要求，可以使用第三方VPN產(chǎn)品對(duì)登錄行為進(jìn)行數(shù)據(jù)加密。以下是安全組實(shí)踐的安全建議：

  安全建議	說(shuō)明	參考文檔
  最小原則	安全組應(yīng)該是白名單性質(zhì)的，所以需盡量開(kāi)放和暴露最少的端口，同時(shí)盡可能少地分配公網(wǎng)IP。如果需要訪問(wèn)線上機(jī)器進(jìn)行任務(wù)日志或錯(cuò)誤排查的時(shí)，盡量通過(guò)VPN或堡壘機(jī)方式登錄。如果配置不當(dāng)可能導(dǎo)致業(yè)務(wù)的端口或者IP暴露在互聯(lián)網(wǎng)，造成安全威脅。 利用安全組限制，禁止私網(wǎng)訪問(wèn)，公網(wǎng)安全組和私網(wǎng)安全組都只保留業(yè)務(wù)需要使用的端口。 ECS上安裝的高危服務(wù)端口，需要限制只允許本機(jī)訪問(wèn)或者利用安全組限制訪問(wèn)來(lái)源IP。 HTTP服務(wù)的管理后臺(tái)，需要利用安全組限制訪問(wèn)來(lái)源IP。HTTP服務(wù)域名則需要開(kāi)啟云安全中心Web應(yīng)用防火墻WAF（Web Application Firewall）功能。	安全組應(yīng)用案例
  避免設(shè)置0.0.0.0/0授權(quán)對(duì)象	允許全部入網(wǎng)訪問(wèn)是經(jīng)常犯的錯(cuò)誤。使用0.0.0.0/0意味著所有的端口都對(duì)外暴露了訪問(wèn)權(quán)限，這是非常不安全的。正確的做法是，拒絕所有的端口對(duì)外開(kāi)放，設(shè)置安全組白名單訪問(wèn)。例如，如果您需要暴露Web服務(wù)，默認(rèn)情況下只開(kāi)放80、8080和443等常用TCP端口，其他端口都應(yīng)關(guān)閉。	添加安全組規(guī)則
  關(guān)閉不需要的入網(wǎng)規(guī)則	如果您當(dāng)前使用的入規(guī)則已經(jīng)包含了0.0.0.0/0，您需要重新審視自己的應(yīng)用需要對(duì)外暴露的端口和服務(wù)。如果確定不需要讓某些端口直接對(duì)外提供服務(wù)，您可以添加一條拒絕的規(guī)則。例如，您的服務(wù)器上安裝了MySQL數(shù)據(jù)庫(kù)服務(wù)，默認(rèn)情況下不應(yīng)該將3306端口暴露到公網(wǎng)，此時(shí)，您可以添加一條拒絕規(guī)則，并將其優(yōu)先級(jí)設(shè)置為100，即優(yōu)先級(jí)最低。	添加安全組規(guī)則
  以安全組為授權(quán)對(duì)象添加規(guī)則	不同的安全組按照最小原則開(kāi)放相應(yīng)的出入規(guī)則。對(duì)于不同的應(yīng)用分層，應(yīng)該使用不同的安全組，不同的安全組應(yīng)有相應(yīng)的出入規(guī)則。 例如，如果是分布式應(yīng)用，您會(huì)區(qū)分不同的安全組，但是不同的安全組可能網(wǎng)絡(luò)不通，此時(shí)您不應(yīng)該直接授權(quán)IP或者CIDR網(wǎng)段，而是直接授權(quán)另一個(gè)安全組ID，所有的資源都可以直接訪問(wèn)。 例如，您的應(yīng)用對(duì)Web、Database分別創(chuàng)建了不同的安全組sg-web和sg-database。在sg-database中，您可以添加規(guī)則，授權(quán)所有的sg-web安全組的資源訪問(wèn)您的3306端口。	添加安全組規(guī)則
  經(jīng)典網(wǎng)絡(luò)的內(nèi)網(wǎng)安全組規(guī)則不要使用CIDR或者IP授權(quán)	對(duì)于經(jīng)典網(wǎng)絡(luò)類型的ECS實(shí)例，阿里云默認(rèn)不開(kāi)啟任何內(nèi)網(wǎng)的入站規(guī)則。內(nèi)網(wǎng)的授權(quán)一定要謹(jǐn)慎。	安全組規(guī)則
  定義合理的安全組名稱和標(biāo)簽	合理的安全組名稱和描述有助于您快速識(shí)別當(dāng)前復(fù)雜的規(guī)則組合，您可以通過(guò)修改名稱和描述來(lái)幫助自己識(shí)別安全組。 您也可以通過(guò)為安全組設(shè)置標(biāo)簽來(lái)分組管理自己的安全組。您可以在控制臺(tái)直接設(shè)置標(biāo)簽，也可以通過(guò)API設(shè)置標(biāo)簽。	修改安全組 創(chuàng)建或綁定標(biāo)簽
  將需要互相通信的ECS實(shí)例加入同一個(gè)安全組	一個(gè)ECS實(shí)例最多可以加入5個(gè)安全組，而同一安全組內(nèi)的ECS實(shí)例之間是網(wǎng)絡(luò)互通的。如果您在規(guī)劃時(shí)已經(jīng)有多個(gè)安全組，且直接設(shè)置多個(gè)安全規(guī)則過(guò)于復(fù)雜，您可以新建一個(gè)安全組，然后將需要內(nèi)網(wǎng)通訊的ECS實(shí)例加入這個(gè)新的安全組。 不建議您將所有的ECS實(shí)例都加入同一個(gè)安全組，對(duì)于一個(gè)中大型應(yīng)用來(lái)說(shuō)，每個(gè)服務(wù)器所扮演的角色不同，合理地規(guī)劃每個(gè)服務(wù)器的入方向請(qǐng)求和出方向請(qǐng)求是非常有必要的。	安全組與ECS實(shí)例關(guān)聯(lián)的管理
  安全組內(nèi)實(shí)例間隔離	安全組是一種虛擬防火墻，具備狀態(tài)檢測(cè)和包過(guò)濾功能。安全組由同一個(gè)地域內(nèi)具有相同安全保護(hù)需求并相互信任的實(shí)例組成。為了滿足同安全組內(nèi)實(shí)例之間網(wǎng)絡(luò)隔離的需求，阿里云豐富了安全組網(wǎng)絡(luò)連通策略，支持安全組內(nèi)實(shí)現(xiàn)網(wǎng)絡(luò)隔離。	普通安全組內(nèi)網(wǎng)絡(luò)隔離
  使用安全組五元組規(guī)則	安全組用于設(shè)置單臺(tái)或多臺(tái)ECS實(shí)例的網(wǎng)絡(luò)訪問(wèn)控制，它是重要的網(wǎng)絡(luò)安全隔離手段，用于在云端劃分安全域。安全組五元組規(guī)則能精確控制源IP、源端口、目的IP、目的端口以及傳輸層協(xié)議。	安全組五元組規(guī)則
  公網(wǎng)服務(wù)的云服務(wù)器和內(nèi)網(wǎng)服務(wù)器盡量屬于不同的安全組	是否對(duì)外提供公網(wǎng)服務(wù)，包括主動(dòng)暴露某些端口對(duì)外部訪問(wèn)（例如80、443等），被動(dòng)地提供端口轉(zhuǎn)發(fā)規(guī)則（例如云服務(wù)器具有公網(wǎng)IP、EIP、NAT端口轉(zhuǎn)發(fā)規(guī)則等），都會(huì)導(dǎo)致自己的應(yīng)用可能被公網(wǎng)訪問(wèn)。 兩種場(chǎng)景的云服務(wù)器所屬的安全組規(guī)則要采用最嚴(yán)格的規(guī)則，默認(rèn)情況下應(yīng)當(dāng)關(guān)閉所有的端口和協(xié)議，僅僅暴露對(duì)外提供需要服務(wù)的端口，例如80、443。由于僅對(duì)屬于對(duì)外公網(wǎng)訪問(wèn)的服務(wù)器編組，調(diào)整安全組規(guī)則時(shí)也比較容易控制。 對(duì)于對(duì)外提供服務(wù)器編組的職責(zé)應(yīng)該比較明晰和簡(jiǎn)單，避免在同樣的服務(wù)器上對(duì)外提供其他服務(wù)。例如MySQL、Redis等，建議將這些服務(wù)安裝在沒(méi)有公網(wǎng)訪問(wèn)權(quán)限的云服務(wù)器上，然后通過(guò)安全組的組組授權(quán)來(lái)訪問(wèn)。	添加安全組規(guī)則

• 合理配置安全域隔離企業(yè)內(nèi)部不同安全等級(jí)服務(wù)

  您可以基于VPC專有網(wǎng)絡(luò)，構(gòu)建自定義專屬網(wǎng)絡(luò)，隔離企業(yè)內(nèi)部不同安全級(jí)別的服務(wù)器，避免互通網(wǎng)絡(luò)環(huán)境下受其他服務(wù)器影響。建議您創(chuàng)建一個(gè)專有網(wǎng)絡(luò)，選擇自有IP地址范圍、劃分網(wǎng)段、配置路由表和網(wǎng)關(guān)等。然后將重要的數(shù)據(jù)存儲(chǔ)在一個(gè)跟互聯(lián)網(wǎng)網(wǎng)絡(luò)完全隔離的內(nèi)網(wǎng)環(huán)境，日常可以用彈性公網(wǎng)IP（EIP）或者跳板機(jī)的方式對(duì)數(shù)據(jù)進(jìn)行管理。具體操作，請(qǐng)參見(jiàn)創(chuàng)建和管理專有網(wǎng)絡(luò)。

• 使用跳板機(jī)或堡壘機(jī)防御內(nèi)部和外部入侵破壞

  跳板機(jī)由于其自身的權(quán)限巨大，需要通過(guò)工具做好審計(jì)記錄，建議直接使用堡壘機(jī)，保障網(wǎng)絡(luò)和數(shù)據(jù)不受來(lái)自外部和內(nèi)部用戶的入侵和破壞，而運(yùn)用各種技術(shù)手段監(jiān)控和記錄運(yùn)維人員對(duì)網(wǎng)絡(luò)內(nèi)的服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、數(shù)據(jù)庫(kù)等設(shè)備的操作行為，以便集中報(bào)警、及時(shí)處理及審計(jì)定責(zé)。

  在專有網(wǎng)絡(luò)中，建議將跳板機(jī)分配在專有的虛擬交換機(jī)中，并為其提供相應(yīng)的EIP或者NAT端口轉(zhuǎn)發(fā)表。首先創(chuàng)建專有的安全組SG_BRIDGE，例如開(kāi)放相應(yīng)的端口，如Linux TCP(22) 或者Windows RDP(3389)。為了限制安全組的入網(wǎng)規(guī)則，可以將能登錄的授權(quán)對(duì)象限制為企業(yè)的公網(wǎng)出口范圍，減少被登錄和掃描的概率。然后將作為跳板機(jī)的云服務(wù)器加入到該安全組中。為了讓該機(jī)器能訪問(wèn)相應(yīng)的云服務(wù)器，可以配置相應(yīng)的組授權(quán)。例如在SG_CURRENT添加一條規(guī)則允許SG_BRIDGE訪問(wèn)某些端口和協(xié)議。使用跳板機(jī)SSH時(shí)，建議您優(yōu)先使用密鑰對(duì)而不是密碼登錄。關(guān)于密鑰對(duì)的更多信息，請(qǐng)參見(jiàn)SSH密鑰對(duì)。

• 公網(wǎng)IP合理分配，降低公網(wǎng)攻擊風(fēng)險(xiǎn)

  不論是經(jīng)典網(wǎng)絡(luò)還是專有網(wǎng)絡(luò)（VPC）中，合理地分配公網(wǎng)IP可以讓系統(tǒng)更加方便地進(jìn)行公網(wǎng)管理，同時(shí)減少系統(tǒng)受攻擊的風(fēng)險(xiǎn)。在專有網(wǎng)絡(luò)的場(chǎng)景下，創(chuàng)建虛擬交換機(jī)時(shí)，建議您盡量將需要公網(wǎng)訪問(wèn)的服務(wù)區(qū)的IP地址區(qū)間放在固定的幾個(gè)交換機(jī)（子網(wǎng)CIDR）中，方便審計(jì)和區(qū)分，避免不小心暴露公網(wǎng)訪問(wèn)。

  • 在分布式應(yīng)用中，大多數(shù)應(yīng)用都有不同的分層和分組，對(duì)于不提供公網(wǎng)訪問(wèn)的云服務(wù)器，盡量不提供公網(wǎng)IP，如果有多臺(tái)服務(wù)器提供公網(wǎng)訪問(wèn)，建議您配置公網(wǎng)流量分發(fā)的負(fù)載均衡服務(wù)來(lái)提供公網(wǎng)服務(wù)，以提升系統(tǒng)的可用性。更多信息，請(qǐng)參見(jiàn)負(fù)載均衡SLB。

  • 當(dāng)您的云服務(wù)器需要訪問(wèn)公網(wǎng)時(shí)，優(yōu)先建議您使用NAT網(wǎng)關(guān)，用于為VPC內(nèi)無(wú)公網(wǎng)IP的ECS實(shí)例提供訪問(wèn)互聯(lián)網(wǎng)的代理服務(wù)，您只需要配置相應(yīng)的SNAT規(guī)則即可為具體的CIDR網(wǎng)段或子網(wǎng)提供公網(wǎng)訪問(wèn)能力，避免因只需要訪問(wèn)公網(wǎng)的能力而在分配了公網(wǎng)IP（EIP）之后也向公網(wǎng)暴露了服務(wù)。更多信息，請(qǐng)參見(jiàn)VPN網(wǎng)關(guān)。

網(wǎng)絡(luò)流量攻擊防護(hù)：基礎(chǔ)DDoS防御（免費(fèi)）與DDoS高防

DDoS（Distributed Denial of Service，即分布式拒絕服務(wù)）攻擊指借助于客戶、服務(wù)器技術(shù)，聯(lián)合多個(gè)計(jì)算機(jī)作為攻擊平臺(tái)，對(duì)一個(gè)或多個(gè)目標(biāo)發(fā)動(dòng)攻擊，成倍地提高拒絕服務(wù)攻擊的威力，影響業(yè)務(wù)和應(yīng)用對(duì)用戶提供服務(wù)。阿里云云安全中心可以防護(hù)SYN Flood、UDP Flood、ACK Flood、ICMP Flood、DNS Flood、CC攻擊等3到7層DDoS的攻擊。DDoS基礎(chǔ)防護(hù)免費(fèi)提供高達(dá)5 GB的默認(rèn)DDoS防護(hù)能力。

ECS實(shí)例默認(rèn)開(kāi)啟DDoS基礎(chǔ)防護(hù)服務(wù)。使用DDoS基礎(chǔ)防護(hù)服務(wù)，無(wú)需采購(gòu)昂貴的清洗設(shè)備，受到DDoS攻擊時(shí)不會(huì)影響訪問(wèn)速度，帶寬充足不會(huì)被其他用戶連帶影響，保證業(yè)務(wù)的可用性和穩(wěn)定性。ECS實(shí)例創(chuàng)建后，您可以設(shè)置清洗閾值，具體操作，請(qǐng)參見(jiàn)設(shè)置流量清洗閾值。

系統(tǒng)漏洞攻擊防護(hù)：云安全中心（免費(fèi)版）

云安全中心是一個(gè)實(shí)時(shí)識(shí)別、分析、預(yù)警安全威脅的統(tǒng)一安全管理系統(tǒng)，通過(guò)防勒索、防病毒、防篡改、合規(guī)檢查等安全能力，實(shí)現(xiàn)威脅檢測(cè)、響應(yīng)、溯源的自動(dòng)化安全運(yùn)營(yíng)閉環(huán)，保護(hù)云上資產(chǎn)和本地主機(jī)，并滿足監(jiān)管合規(guī)要求。

云安全中心自動(dòng)為您開(kāi)通免費(fèi)版功能。免費(fèi)版僅提供主機(jī)異常登錄檢測(cè)、漏洞檢測(cè)、云產(chǎn)品安全配置項(xiàng)檢測(cè)，如需更多高級(jí)威脅檢測(cè)、漏洞修復(fù)、病毒查殺等功能，請(qǐng)前往云安全中心控制臺(tái)購(gòu)買付費(fèi)版。更多信息，請(qǐng)參見(jiàn)云安全中心免費(fèi)版簡(jiǎn)介。

應(yīng)用漏洞攻擊防護(hù)：云安全中心Web防火墻

云安全中心Web應(yīng)用防火墻（Web Application Firewall，簡(jiǎn)稱WAF）基于云安全大數(shù)據(jù)能力實(shí)現(xiàn)，通過(guò)防御SQL注入、XSS跨站腳本、常見(jiàn)Web服務(wù)器插件漏洞、木馬上傳、非授權(quán)核心資源訪問(wèn)等OWASP常見(jiàn)攻擊，過(guò)濾海量惡意CC攻擊，避免您的網(wǎng)站資產(chǎn)數(shù)據(jù)泄露，保證網(wǎng)站的安全與可用性。更多信息，請(qǐng)參見(jiàn)什么是Web應(yīng)用防火墻。

實(shí)例登錄安全配置

實(shí)例登錄賬號(hào)權(quán)限默認(rèn)為非root權(quán)限，用戶需要在本地通過(guò)su或sudo提權(quán)至root，默認(rèn)狀態(tài)不支持root直接使用pem密鑰文件登錄。建議使用安全的訪問(wèn)控制協(xié)議訪問(wèn)ECS主機(jī)，并根據(jù)鏡像類型選擇不同的登錄憑證。Linux系統(tǒng)建議配置只支持RSA密鑰對(duì)的方式登錄，不支持在控制臺(tái)創(chuàng)建口令。Windows系統(tǒng)建議使用8位以上、包含特殊字符的復(fù)雜密碼作為登錄憑證。

避免服務(wù)弱口令

使用IDaaS認(rèn)證應(yīng)用系統(tǒng)身份權(quán)限

云身份服務(wù) IDaaS（Alibaba Cloud Identity as a Service）是阿里云為企業(yè)用戶提供的云原生的、經(jīng)濟(jì)的、便捷的、標(biāo)準(zhǔn)的身份、權(quán)限管理體系。IDaaS提供一站式組織架構(gòu)、賬戶全生命周期管理、應(yīng)用接入實(shí)現(xiàn)單點(diǎn)登錄（SSO），并控制賬號(hào)所具備的權(quán)限等能力。更多信息，請(qǐng)參見(jiàn)IDaaS。

數(shù)據(jù)傳輸加密

配置安全組或防火墻，僅允許已經(jīng)對(duì)數(shù)據(jù)加密的網(wǎng)絡(luò)服務(wù)的端口之間進(jìn)行通信。可使用傳輸層安全性（TLS1.2及以上版本）等加密協(xié)議加密在客戶端和實(shí)例之間傳輸?shù)拿舾袛?shù)據(jù)。

日志異常監(jiān)控與審計(jì)

根據(jù)FireEye M-Trends 2018報(bào)告，企業(yè)安全防護(hù)管理能力薄弱，尤其是亞太地區(qū)。全球范圍內(nèi)企業(yè)組織的攻擊從發(fā)生到發(fā)現(xiàn)所需時(shí)長(zhǎng)平均101天，而亞太地域平均需要498天。企業(yè)需要可靠、無(wú)篡改的日志記錄與審計(jì)支持來(lái)持續(xù)縮短這個(gè)時(shí)間。