監控云上資源，系統的安全狀況，找出業務系統可能存在的漏洞，對可疑活動的告警作出反應，或是針對企業日常活動中的安全事件進行追溯，是構建業務安全機密性、完整性、可用性重要的一環。

監測控制

通過運用云上的多種監測控制手段，以此來感知不同級別的威脅，進行分析判斷，采取相應的措施，并可針對自身的業務量身定制監控和檢測控制。針對監測控制，有以下最佳實踐：

• 網絡管理：創建隔離分層的網絡，有助于對相似的網絡組件進行邏輯分組，還縮小了未經授權的網絡訪問的潛在影響范圍。針對專有網絡VPC，通過使用ECS安全組，網絡ACL，流日志等，控制網絡流量，保障云服務的安全性和可靠性，或是通過RAM訪問控制策略，對專有網絡VPC的訪問權限進行控制。

• 權限管理：權限管理對于業務來說是非常重要的，不同的角色有不同的權限，對每個用戶分配最小夠用權限，能極大的防止各種越權操作，從而有效減少由于操作不當帶來的故障和安全問題。

• 配置審計：當使用大規模資源時，需要監管資源配置的合規性，通過使用配置審計服務，可監控云賬號下的資源變更，追蹤配置變更歷史，并實時地完成合規性審計。

• 操作審計：日常通過操作審計，可記錄云賬號下用戶登錄及資源訪問操作，以此實現安全分析、入侵檢測、資源變更追蹤以及合規性審計。也可將賬號下的行為事件下載或保存到日志服務SLS或對象存儲OSS，然后進行行為分析、安全分析、資源變更行為追蹤和行為合規性審計等操作。

• DDoS防護：分布式拒絕服務 (DDoS) 攻擊通過消耗目標服務器性能或網絡帶寬，從而造成服務器無法正常地提供服務。可通過以下幾個方面著手緩解DDoS攻擊的威脅：

  • 縮小暴露面，隔離資源和不相關的業務；

  • 優化業務架構；

  • 利用公共云的特性設計彈性伸縮和災備切換的系統；

  • 做好業務監控和應急響應；

  • 使用DDoS防護類產品；

• 入侵檢測：通過檢測入侵主要是為了防止數據泄露或者業務系統被破壞，通過配置相應的檢測和告警機制，可了解云服務器或者云產品中存在的威脅，例如某個惡意IP對資產攻擊、資產已被入侵的異常情況等。

日志報警

日志提供了服務和應用程序的第一手信息，保留安全事件的日志，為審計，調查安全事件，系統安全的維護等提供了強有力的保障，確保了部署在云上資源的可用性、業務的正常運行和健康度。因此對日志的合理管理是保證業務安全的首要條件。

日志的管理包括日志的收集，安全存儲，分析和告警的生成，針對日志管理，有以下準則：

• 日志收集：需從云上的各種資源，服務，應用程序中收集日志，其次收集應盡可能是非侵入的；

• 安全存儲：保留期限應是靈活可配置的，需根據安全要求、合規要求、不同云產品特點，設置合理的日志保存時間，其次日志數據的存儲應是安全防篡改的，嚴格控制各類身份對于該日志的權限，尤其是寫、刪類型的權限；

• 日志查詢：在滿足運營，業務和安全要求的基礎上，選擇合理并可供實施的日志查詢機制；

• 日志分析：需對異構源的日志規范化并形成通用格式，是日志分析所必需的，其次應全面的分析以了解當前系統的安全事件；

• 告警生成：告警應是實時，準確，可觸達的（應該有盡可能多的通知機制），其次每種類型的告警都要有可運行的應急補救措施。