本文介紹阿里云在面對當前的網絡安全形勢和挑戰時所采取的措施,以及提高用戶在使用賬號、實例、操作系統和資源等方面的安全性所具備的能力。
背景信息
安全涵蓋的范圍廣泛,阿里云保證自身云基礎設施和服務的安全,例如機房、虛擬化平臺等,但您在使用云產品的過程中遵循安全實踐同樣重要,例如阿里云賬號安全、機密信息保管、權限控制等。
如何保護云上信息資產
通常意義上的云計算安全或云安全是指通過一系列策略、控制和技術,共同確保數據、基礎設施和應用的安全,保護云計算環境免受外部和內部網絡安全威脅和漏洞的影響。越來越多的企業更加重視云安全合規,云上安全合規需要有自上而下的頂層設計,要以安全為出發點構建云上應用。
根據目前的安全趨勢,阿里云推薦您使用如下表所示的安全最佳實踐來保護云上信息資產的安全。
安全項 | 最佳實踐 | 說明 |
賬號安全 |
| |
應用資源管理 |
| |
信息數據安全 |
| |
網絡環境安全 |
| |
應用防護安全 |
| |
實例內GuestOS應用系統安全 |
|
阿里云賬號安全
開啟MFA多因素賬號認證
建議為阿里云賬號啟用MFA多因素認證,即在用戶名和密碼(第一層安全要素)的基礎上,增加了MFA安全碼(第二層安全要素,MFA設備生成的動態驗證碼),以提高賬號的安全性。具體操作,請參見啟用MFA。
使用RAM用戶而不是阿里云賬號,并合理設置權限策略
確保用戶訪問ECS資源時使用最小化權限,避免共享賬號或過于寬泛的授權。使用訪問控制RAM時,建議直接使用阿里云賬號創建RAM用戶(用戶組)并授予特定權限策略,實現在賬號維度上對云服務器ECS資源進行細粒度的訪問控制。更多信息,請參見授權RAM用戶使用ECS資源。
RAM用戶
如果您購買了多臺云服務器ECS實例,您的組織里有多個用戶(例如員工、系統或應用程序)需要使用這些實例,您可以創建多個子用戶并通過授權的方式使部分用戶能夠有權限使用這些實例,從而避免了將同一個AccessKey分發給多人的安全風險。
用戶組
您可以創建多個用戶組,并授予不同的權限策略,以提高批量管理的效率。例如,為了加強網絡安全控制,您可以給某個用戶組授權一個權限策略,該策略可以規定:如果用戶的IP地址不是來自企業網絡,則拒絕此類用戶請求訪問相關的ECS資源。
您可以創建多個用戶組來管理不同工作職責的人員。例如,如果某開發人員的工作職責發生轉變,成為一名系統管理員,您可以將其從Developers用戶組移到SysAdmins用戶組。
用戶組的策略
SysAdmins:該用戶組需要創建和管理權限。您可以給SysAdmins組授予一個權限策略,該策略授予用戶組成員執行所有ECS操作的權限,包括ECS實例、鏡像、快照和安全組等。
Developers:該用戶組需要使用實例的權限。您可以給Developers組授予一個權限策略,該策略授予用戶組成員調用DescribeInstances、StartInstances、StopInstances、RunInstances和DeleteInstance等權限。
云產品API調用使用實例角色而不是AK
一般情況下,ECS實例的應用程序是通過阿里云賬號或者RAM用戶的AccessKey訪問阿里云各產品的API。為了滿足調用需求,需要直接把AccessKey固化在實例中,例如寫在配置文件中。但是這種方式權限過高,存在泄露信息和難以維護等問題。因此,阿里云推出了實例RAM角色解決這些問題,一方面可以保證AccessKey安全,另一方面也可以借助RAM實現權限的精細化控制和管理。
實例RAM角色(推薦使用加固模式訪問元數據)允許您將一個角色關聯到ECS實例,在實例內部基于STS(Security Token Service)臨時憑證(臨時憑證將周期性更新)訪問其他云產品的API。更多信息,請參見實例RAM角色概述。
AK防泄密
阿里云賬號AccessKey是客戶訪問阿里云API的密鑰,請務必妥善保管。請勿通過任何方式(如GitHub等)將AccessKey公開至外部渠道,以免被惡意利用而造成安全威脅。AccessKey泄露會威脅所有資源的安全,根據如下AK信息使用的安全建議,可以有效降低AccessKey泄露的風險。
您在使用阿里云產品過程中需要遵循以下幾點AK信息使用安全建議,以降低憑證泄露造成的影響:
不要將AccessKey嵌入代碼中。
定期輪換AccessKey。
定期吊銷不需要的AccessKey。
遵循最小權限原則,使用RAM用戶。
開啟操作日志審計,并將其投遞至OSS和SLS保存和審計。
可以開啟
acs:SourceIp限定公網IP網段訪問阿里云API。通過設置
acs:SecureTransport取值為true,表示通過HTTPS方式訪問阿里云。
賬號、密碼管理安全建議
類別 | 策略說明 |
阿里云賬號 |
|
密鑰、憑據 |
|
密碼 |
|
機密信息使用KMS安全加固托管 | 機密數據明文落盤存儲會導致泄露風險,建議您提前開通密鑰管理服務,無需自行研發和運維密碼設施,即可在云服務中使用數據加密功能,例如在云服務器ECS中使用云盤加密、實例可信啟動等功能。 |
規模化信息資產管理
規模化、自動化運維與審計云上資源,避免因錯誤的配置變更造成例外或單點資產保護遺漏情況。建議您統一實例、安全組的命名規范與部署約定,定期檢測、提醒或刪除不符合命名規范的安全組和實例。使用標簽規模化管理資源、使用云助手自動化運維資源通道、使用配置審計對資源進行合規審計、使用應用配置管理ACM集中管理所有應用配置。
使用標簽規模化管理資源
使用標簽可以規模化識別、分類和定位云資源。在發生安全事件時,通過標簽可以快速定位安全事件的作用范圍和影響程度。
在配置安全策略時,例如安全組,可以批量為指定標簽的資源配置安全組,避免單個資源配置的遺漏。
更多信息,請參見標簽。
使用云助手自動化運維資源通道
傳統的運維通道需要借助SSH取得密鑰進行管理,并開放相應的網絡端口。密鑰管理不當以及網絡端口暴露都會對云上資源帶來很大的安全隱患。云助手是專為云服務器ECS打造的原生自動化運維工具,通過免密碼、免登錄、無需使用跳板機的形式,在ECS實例上實現批量運維、執行命令(Shell、Powershell和Bat)和發送文件等操作。典型的使用場景包括:安裝卸載軟件、啟動或停止服務、分發配置文件和執行一般的命令(或腳本)等。可以幫助客戶安全、高效地運維云上資源。通過云助手,可以在云服務器ECS上實現批量運維、執行命令和發送文件等操作;通過云助手Session Manager,可以交互式運維ECS實例。以上運維操作都無需密碼、無需登錄,ECS實例不需要使用公網,也不需要通過跳板機。通過云助手以下安全機制保證運維通道的安全性:
權限控制:云助手通過RAM策略,從實例、資源組、標簽、源IP地址等多個維度控制用戶對實例的訪問權限。只有具有權限的用戶才能通過云助手通道運維ECS實例。
鏈路可靠:全鏈路采用HTTPS協議進行交互,傳輸過程中對數據進行加密。ECS實例入方向采用內部安全管控鏈路,無需用戶開放端口,降低被入侵的風險;出方向通過內網進行通信,無需暴露公網即可使用。
內容安全:通過云助手通道傳輸的命令內容,通過加密及簽名校驗的方式,確保傳輸過程中無法被篡改,保證命令內容的安全性。
日志審計:通過云助手通道傳輸的命令、文件都可以通過API進行審計,用戶可以查詢執行的時間、身份、執行內容、執行結果等信息。同時支持將日志投遞到存儲(OSS)或日志(SLS)等系統中,提供日志歸檔、分析能力。
更多信息,請參見云助手。
使用配置審計(Config)對資源進行合規審計
配置審計(Config)是面向云上資源的審計服務,為用戶提供跨區域的資源清單和檢索能力,記錄資源的歷史配置快照,形成配置時間線。當資源發生配置變更時,自動觸發合規評估,并針對不合規配置發出告警。使用戶能夠實現對海量云上資源合規性的自主監控,應對企業內部和外部合規的需要。更多信息,請參見配置審計。
使用應用配置管理ACM集中管理所有應用配置
應用配置管理ACM(Application Configuration Management)是一款在分布式架構環境中對應用配置進行集中管理和推送的產品。憑借配置變更、配置推送、歷史版本管理、灰度發布、配置變更審計等配置管理工具,ACM能幫助您集中管理所有應用環境中的配置,降低分布式系統中管理配置的成本,并降低因錯誤的配置變更造成可用性下降甚至發生故障的風險。更多信息,請參見應用配置管理ACM。
創建實例時啟用安全合規特性
高安全要求業務使用增強計算實例
如果您的業務面向高安全可信要求的場景,可以使用安全增強型實例,保障實例的可信啟動和實例中隱私數據的安全。
支持Intel?SGX加密計算、支持加密內存,保障關鍵代碼和數據的機密性與完整性不受惡意軟件的破壞。
依托TPM/TCM芯片,從底層服務器硬件到GuestOS的啟動鏈均進行度量和驗證,實現可信啟動。
例如,選擇c6t規格。關于安全增強型實例的更多信息,請參見安全增強型實例。
滿足三級等保合規鏡像
阿里云根據國家信息安全部發布的《GB/T22239-2019信息安全技術網絡安全等級保護基本要求》中對操作系統提出的一些等級保護要求,推出自研云原生操作系統Alibaba Cloud Linux等保2.0三級版鏡像。您使用本鏡像無需額外配置即可滿足身份鑒別、訪問控制、安全審計、入侵防范、惡意代碼防范的等保合規要求。
使用更安全的鏡像
使用公共鏡像并開啟鏡像安全加固
使用官方提供的公共鏡像。
公共實例鏡像啟用免費安全加固能力,提供網站漏洞檢查、云產品安全配置檢查、主機登錄異常告警等安全功能。
使用加密的自定義鏡像
使用國際標準認證的AES-256算法對鏡像進行加密,避免鏡像丟失后數據泄露風險。用戶可選擇創建加密的系統盤、數據盤,如果云盤是加密云盤,使用該云盤創建的快照也是加密鏡像,或者在對已有的未加密鏡像拷貝時選擇加密,生成的新鏡像為加密鏡像。如果自定義加密鏡像需要共享給其他阿里云賬號時,建議用戶為共享加密鏡像創建獨立的BYOK密鑰,避免KMS密鑰泄露導致安全風險。更多信息,請參見復制鏡像。
云盤數據加密(需開啟KMS)
選擇云盤數據加密,能夠最大限度保護您的數據安全,您的業務和應用程序無需做額外的改動。同時,該云盤生成的快照及這些快照創建的云盤將自動延續加密屬性。數據加密適用于數據安全或法規合規等場景,幫助您加密保護存儲在阿里云ECS上的數據。無需自建和維護密鑰管理基礎設施,您就能保護數據的隱私性和自主性,為業務數據提供安全邊界。被加密的云盤可以是系統盤和數據盤。更多信息,請參見加密云盤。
快照容災備份
使用快照備份
數據備份是容災的基礎,可以降低因系統故障、操作失誤以及安全問題而導致數據丟失的風險。ECS自帶的快照功能可滿足大部分用戶數據備份的需求。您可根據自身業務需求選擇創建快照的方式。具體操作,請參見創建快照。
建議您每日創建一次自動快照,每個快照至少保留7天。養成良好的備份習慣,在故障發生時可以快速恢復重要數據,減少損失。
使用加密的快照
ECS加密采用行業標準的AES-256加密算法,使用密鑰加密快照,避免快照丟失后數據泄露風險。您可以選擇創建加密的云盤,如果云盤是加密云盤,使用該云盤創建的快照也是加密快照。
加固模式下訪問實例元數據
實例元數據包含了ECS實例在阿里云系統中的信息,您可以在運行中的實例內方便地查看實例元數據,并基于實例元數據配置或管理實例。更多信息,請參見ECS實例元數據概述。
建議您在加固模式下使用實例元數據,加固模式下實例和實例元數據服務器之間建立一個會話,并在查看實例元數據時通過Token驗證身份,超過有效期后關閉會話并清除Token。Token具有以下特點:
僅適用于一臺實例。如果將Token文件復制到其他實例使用,會被拒絕訪問。
必須定義Token的有效期,范圍為1秒~21600秒(6小時)。在有效期內可以重復使用,方便您平衡安全性和用戶體驗。
不接受代理訪問,如果創建Token的請求中包含X-Forwarded-For標頭,則拒絕簽發Token。
向實例簽發的Token數量沒有限制。
合理設置網絡資源權限隔離
云計算利用專有網絡VPC(Virtual Private Cloud)來抽象物理網絡并創建網絡資源池,實現數據鏈路層的隔離,為每個用戶提供一張獨立隔離的安全網絡環境。不同VPC之間內部網絡完全隔離,只能通過對外映射的IP互連。在VPC內部,用戶可以自定義IP地址范圍、網段、路由表和網關等。此外,用戶可以通過VPN網關、高速通道物理專線、智能接入網關等服務將本地數據中心和云上VPC打通,也可以通過云企業網實現全球網絡互通,從而形成一個按需定制的網絡環境,實現應用的平滑遷移上云和對數據中心的擴展。
此外,網絡是所有云服務的基礎要素,網絡攻擊種類多、危害大,是最難防護的風險之一。云計算平臺會提供一套成熟的網絡安全架構,以應對來自互聯網的各種威脅。在阿里云上,可以通過安全組、網絡ACL、路由策略或網絡專線來控制虛擬網絡的訪問權限。除了對內網網絡訪問的控制之外,還需要配置云防火墻、應用程序防火墻、DDoS防護等安全措施,針對各種外部網絡安全威脅進行安全防護。
網絡資源隔離的安全建議
網絡資源隔離的安全建議如下:
建立網絡管理員,統一管理安全組、網絡ACL以及流量日志。
使用ACL限制不需要公開的任何內容。
網絡資源隔離,預設較大的子網,避免子網重疊使用。
圍繞訪問點而不是資源配置安全組。
搭建安全的網絡環境
合理設置安全組,網絡隔離減少攻擊面
安全組是重要的網絡安全隔離手段,用于設置單臺或多臺云服務器的網絡訪問控制。通過設置安全組規則,可以在網絡層過濾服務器的主動/被動訪問行為,限定服務器對外/對內的端口訪問,授權訪問地址,從而減少攻擊面,保護服務器的安全。
例如Linux系統默認遠程管理端口22,不建議直接向外網開放,可以通過配置ECS公網訪問控制,只授權本地固定IP對服務器進行訪問。如果您對訪問控制有更高要求,可以使用第三方VPN產品對登錄行為進行數據加密。以下是安全組實踐的安全建議:
安全建議
說明
參考文檔
最小原則
安全組應該是白名單性質的,所以需盡量開放和暴露最少的端口,同時盡可能少地分配公網IP。如果需要訪問線上機器進行任務日志或錯誤排查的時,盡量通過VPN或堡壘機方式登錄。如果配置不當可能導致業務的端口或者IP暴露在互聯網,造成安全威脅。
利用安全組限制,禁止私網訪問,公網安全組和私網安全組都只保留業務需要使用的端口。
ECS上安裝的高危服務端口,需要限制只允許本機訪問或者利用安全組限制訪問來源IP。
HTTP服務的管理后臺,需要利用安全組限制訪問來源IP。HTTP服務域名則需要開啟云安全中心Web應用防火墻WAF(Web Application Firewall)功能。
避免設置
0.0.0.0/0授權對象允許全部入網訪問是經常犯的錯誤。使用
0.0.0.0/0意味著所有的端口都對外暴露了訪問權限,這是非常不安全的。正確的做法是,拒絕所有的端口對外開放,設置安全組白名單訪問。例如,如果您需要暴露Web服務,默認情況下只開放80、8080和443等常用TCP端口,其他端口都應關閉。關閉不需要的入網規則
如果您當前使用的入規則已經包含了
0.0.0.0/0,您需要重新審視自己的應用需要對外暴露的端口和服務。如果確定不需要讓某些端口直接對外提供服務,您可以添加一條拒絕的規則。例如,您的服務器上安裝了MySQL數據庫服務,默認情況下不應該將3306端口暴露到公網,此時,您可以添加一條拒絕規則,并將其優先級設置為100,即優先級最低。以安全組為授權對象添加規則
不同的安全組按照最小原則開放相應的出入規則。對于不同的應用分層,應該使用不同的安全組,不同的安全組應有相應的出入規則。
例如,如果是分布式應用,您會區分不同的安全組,但是不同的安全組可能網絡不通,此時您不應該直接授權IP或者CIDR網段,而是直接授權另一個安全組ID,所有的資源都可以直接訪問。
例如,您的應用對Web、Database分別創建了不同的安全組sg-web和sg-database。在sg-database中,您可以添加規則,授權所有的sg-web安全組的資源訪問您的3306端口。
經典網絡的內網安全組規則不要使用CIDR或者IP授權
對于經典網絡類型的ECS實例,阿里云默認不開啟任何內網的入站規則。內網的授權一定要謹慎。
定義合理的安全組名稱和標簽
合理的安全組名稱和描述有助于您快速識別當前復雜的規則組合,您可以通過修改名稱和描述來幫助自己識別安全組。
您也可以通過為安全組設置標簽來分組管理自己的安全組。您可以在控制臺直接設置標簽,也可以通過API設置標簽。
將需要互相通信的ECS實例加入同一個安全組
一個ECS實例最多可以加入5個安全組,而同一安全組內的ECS實例之間是網絡互通的。如果您在規劃時已經有多個安全組,且直接設置多個安全規則過于復雜,您可以新建一個安全組,然后將需要內網通訊的ECS實例加入這個新的安全組。
不建議您將所有的ECS實例都加入同一個安全組,對于一個中大型應用來說,每個服務器所扮演的角色不同,合理地規劃每個服務器的入方向請求和出方向請求是非常有必要的。
安全組內實例間隔離
安全組是一種虛擬防火墻,具備狀態檢測和包過濾功能。安全組由同一個地域內具有相同安全保護需求并相互信任的實例組成。為了滿足同安全組內實例之間網絡隔離的需求,阿里云豐富了安全組網絡連通策略,支持安全組內實現網絡隔離。
使用安全組五元組規則
安全組用于設置單臺或多臺ECS實例的網絡訪問控制,它是重要的網絡安全隔離手段,用于在云端劃分安全域。安全組五元組規則能精確控制源IP、源端口、目的IP、目的端口以及傳輸層協議。
公網服務的云服務器和內網服務器盡量屬于不同的安全組
是否對外提供公網服務,包括主動暴露某些端口對外部訪問(例如80、443等),被動地提供端口轉發規則(例如云服務器具有公網IP、EIP、NAT端口轉發規則等),都會導致自己的應用可能被公網訪問。
兩種場景的云服務器所屬的安全組規則要采用最嚴格的規則,默認情況下應當關閉所有的端口和協議,僅僅暴露對外提供需要服務的端口,例如80、443。由于僅對屬于對外公網訪問的服務器編組,調整安全組規則時也比較容易控制。
對于對外提供服務器編組的職責應該比較明晰和簡單,避免在同樣的服務器上對外提供其他服務。例如MySQL、Redis等,建議將這些服務安裝在沒有公網訪問權限的云服務器上,然后通過安全組的組組授權來訪問。
合理配置安全域隔離企業內部不同安全等級服務
您可以基于VPC專有網絡,構建自定義專屬網絡,隔離企業內部不同安全級別的服務器,避免互通網絡環境下受其他服務器影響。建議您創建一個專有網絡,選擇自有IP地址范圍、劃分網段、配置路由表和網關等。然后將重要的數據存儲在一個跟互聯網網絡完全隔離的內網環境,日常可以用彈性公網IP(EIP)或者跳板機的方式對數據進行管理。具體操作,請參見創建和管理專有網絡。
使用跳板機或堡壘機防御內部和外部入侵破壞
跳板機由于其自身的權限巨大,需要通過工具做好審計記錄,建議直接使用堡壘機,保障網絡和數據不受來自外部和內部用戶的入侵和破壞,而運用各種技術手段監控和記錄運維人員對網絡內的服務器、網絡設備、安全設備、數據庫等設備的操作行為,以便集中報警、及時處理及審計定責。
在專有網絡中,建議將跳板機分配在專有的虛擬交換機中,并為其提供相應的EIP或者NAT端口轉發表。首先創建專有的安全組SG_BRIDGE,例如開放相應的端口,如Linux TCP(22) 或者Windows RDP(3389)。為了限制安全組的入網規則,可以將能登錄的授權對象限制為企業的公網出口范圍,減少被登錄和掃描的概率。然后將作為跳板機的云服務器加入到該安全組中。為了讓該機器能訪問相應的云服務器,可以配置相應的組授權。例如在SG_CURRENT添加一條規則允許SG_BRIDGE訪問某些端口和協議。使用跳板機SSH時,建議您優先使用密鑰對而不是密碼登錄。關于密鑰對的更多信息,請參見SSH密鑰對。
公網IP合理分配,降低公網攻擊風險
不論是經典網絡還是專有網絡(VPC)中,合理地分配公網IP可以讓系統更加方便地進行公網管理,同時減少系統受攻擊的風險。在專有網絡的場景下,創建虛擬交換機時,建議您盡量將需要公網訪問的服務區的IP地址區間放在固定的幾個交換機(子網CIDR)中,方便審計和區分,避免不小心暴露公網訪問。
使用云安全產品構建安全防御體系
網絡流量攻擊防護:基礎DDoS防御(免費)與DDoS高防
DDoS(Distributed Denial of Service,即分布式拒絕服務)攻擊指借助于客戶、服務器技術,聯合多個計算機作為攻擊平臺,對一個或多個目標發動攻擊,成倍地提高拒絕服務攻擊的威力,影響業務和應用對用戶提供服務。阿里云云安全中心可以防護SYN Flood、UDP Flood、ACK Flood、ICMP Flood、DNS Flood、CC攻擊等3到7層DDoS的攻擊。DDoS基礎防護免費提供高達5 GB的默認DDoS防護能力。
ECS實例默認開啟DDoS基礎防護服務。使用DDoS基礎防護服務,無需采購昂貴的清洗設備,受到DDoS攻擊時不會影響訪問速度,帶寬充足不會被其他用戶連帶影響,保證業務的可用性和穩定性。ECS實例創建后,您可以設置清洗閾值,具體操作,請參見設置流量清洗閾值。
系統漏洞攻擊防護:云安全中心(免費版)
云安全中心是一個實時識別、分析、預警安全威脅的統一安全管理系統,通過防勒索、防病毒、防篡改、合規檢查等安全能力,實現威脅檢測、響應、溯源的自動化安全運營閉環,保護云上資產和本地主機,并滿足監管合規要求。
云安全中心自動為您開通免費版功能。免費版僅提供主機異常登錄檢測、漏洞檢測、云產品安全配置項檢測,如需更多高級威脅檢測、漏洞修復、病毒查殺等功能,請前往云安全中心控制臺購買付費版。更多信息,請參見云安全中心免費版簡介。
應用漏洞攻擊防護:云安全中心Web防火墻
云安全中心Web應用防火墻(Web Application Firewall,簡稱WAF)基于云安全大數據能力實現,通過防御SQL注入、XSS跨站腳本、常見Web服務器插件漏洞、木馬上傳、非授權核心資源訪問等OWASP常見攻擊,過濾海量惡意CC攻擊,避免您的網站資產數據泄露,保證網站的安全與可用性。更多信息,請參見什么是Web應用防火墻。
接入Web應用防火墻的好處如下:
無需安裝任何軟件、硬件,也無需更改網站配置和代碼,它可以輕松應對各類Web應用攻擊,確保網站的Web安全與可用性。除了具有強大的Web防御能力外,還可以為指定的網站提供專屬防護。適用于金融、電商、O2O、互聯網+、游戲、政府、保險等各類網站的Web應用安全防護。
如果缺少WAF,只有前面介紹的防護措施,會存在短板,例如在面對數據泄露、惡意CC、木馬上傳篡改網頁等攻擊時,不能全面地防護,可能會導致Web入侵。
接入Web應用防火墻的具體操作,請參見快速使用WAF。
實例GuestOS系統內應用安全
實例登錄安全配置
實例登錄賬號權限默認為非root權限,用戶需要在本地通過su或sudo提權至root,默認狀態不支持root直接使用pem密鑰文件登錄。建議使用安全的訪問控制協議訪問ECS主機,并根據鏡像類型選擇不同的登錄憑證。Linux系統建議配置只支持RSA密鑰對的方式登錄,不支持在控制臺創建口令。Windows系統建議使用8位以上、包含特殊字符的復雜密碼作為登錄憑證。
Linux實例:
默認非root賬號登錄實例
如果您使用系統用戶root登錄Linux操作系統的ECS實例,則可以獲得系統最高權限。該方式雖然便于您進行系統運維操作,但如果ECS實例遭到入侵,就會面臨嚴重的數據安全風險。建議您使用公共云鏡像Anolis OS 8.4或Ubuntu 20.04,這些鏡像支持將普通用戶ecs-user設置為登錄用戶名。
使用臨時下發的SSH密鑰對登錄實例
ECS推薦使用config_ecs_instance_connect插件連接Linux實例,可以將SSH公鑰發送到指定實例內部供指定用戶使用,密鑰保留60秒。在60秒內,您可以通過SSH公鑰登錄的方式進入實例,無需輸入密碼。更多信息,請參見通過config_ecs_instance_connect插件注冊公鑰免密連接Linux實例。
SSH密鑰對通過加密算法生成一對密鑰,默認采用RSA 2048位的加密方式。相較于用戶名和密碼認證方式,SSH密鑰對具有以下優勢:
SSH密鑰對登錄認證更為安全可靠。
密鑰對的安全強度遠高于常規用戶口令,可以杜絕暴力破解威脅。
不可能通過公鑰推導出私鑰。
便捷性:
如果您將公鑰配置在Linux實例中,在本地或者另外一臺實例中,您可以使用私鑰通過SSH命令或相關工具登錄目標實例,而不需要輸入密碼。
便于遠程登錄大量Linux實例,方便管理。如果您需要批量維護多臺Linux實例,推薦使用這種方式登錄。要使用SSH密鑰對登錄Linux實例,您必須先創建一個密鑰對,并在創建實例時指定密鑰對或者創建實例后綁定密鑰對,然后使用私鑰連接實例。
建議配置sshd_config默認禁止密碼登錄,只支持RSA密鑰對的方式登錄。在SSH配置文件中修改與密碼登錄相關的配置選項。
Windows實例:
設置復雜的密碼并定期更換。弱口令一直是數據泄露的一個大問題,因為弱口令是最容易出現的也是最容易被利用的漏洞之一。服務器的口令建議至少8位以上,從字符種類上增加口令復雜度,如包含大小寫字母、數字和特殊字符等,并且要定期更新口令,養成良好的安全運維習慣。
ECS設置為強密碼:長度為8~30個字符,且必須同時包含大寫字母、小寫字母、數字、特殊字符中的任意三種,特殊字符為 ()`~!@#$%^&*_-+=|{}[]:;'<>,.?/ ,其中Windows實例不能以正斜線(/)為首字符。
避免服務弱口令
如果您的服務器使用弱口令登錄,黑客可能會非法登錄您的服務器,竊取服務器數據或破壞服務器。建議您為服務器設置復雜的登錄口令,并定期提升登錄口令的安全性。口令提升方法:
設置復雜口令。
不使用常見或公開的弱口令。
定期修改口令。
常見系統修改弱口令的操作步驟,請參見修改常見的服務器弱口令。
使用IDaaS認證應用系統身份權限
云身份服務 IDaaS(Alibaba Cloud Identity as a Service)是阿里云為企業用戶提供的云原生的、經濟的、便捷的、標準的身份、權限管理體系。IDaaS提供一站式組織架構、賬戶全生命周期管理、應用接入實現單點登錄(SSO),并控制賬號所具備的權限等能力。更多信息,請參見IDaaS。
數據傳輸加密
配置安全組或防火墻,僅允許已經對數據加密的網絡服務的端口之間進行通信。可使用傳輸層安全性(TLS1.2及以上版本)等加密協議加密在客戶端和實例之間傳輸的敏感數據。
日志異常監控與審計
根據FireEye M-Trends 2018報告,企業安全防護管理能力薄弱,尤其是亞太地區。全球范圍內企業組織的攻擊從發生到發現所需時長平均101天,而亞太地域平均需要498天。企業需要可靠、無篡改的日志記錄與審計支持來持續縮短這個時間。
建議您使用云監控、操作審計、日志審計、VPC流日志、應用日志等構建一套異常資源、權限訪問監控告警體系,對及時發現問題、止損、優化安全防御體系具有至關重要的意義。
使用云監控設置賬單報警,防止DDoS攻擊。更多信息,請參見云監控。
使用操作審計ActionTrail監控未授權的訪問、識別潛在安全配置錯誤、威脅或意外行為,也用于支持質量流程、法律或合規義務,還可以用于威脅識別和響應工作,請使用MFA限制ActionTrail訪問權限。更多信息,請參見操作審計。
啟用配置VPC流日志記錄VPC網絡中彈性網卡ENI傳入和傳出的流量信息,使用Flowlog日志中心用于VPC的策略統計、彈性網卡流量統計以及網段間流量統計,幫助您快速、有效地分析VPC流日志。
使用日志審計服務,日志服務提供一站式數據采集、清洗、分析、可視化和告警功能,支持DevOps、運營、安全、審計等日志服務相關場景。更多信息,請參見日志審計服務。
跟蹤應用事件日志、API調用日志。
所有日志定期同步到SLS、OSS保存,并設置好訪問權限。
添加實例ID、地域、可用區、環境(測試、生產)的附加信息到日志中存儲,便于排查問題。