彈性加速計算實例EAIS的云上安全性,是阿里云在面對當前的網絡安全形勢和挑戰時所采取的措施,以及提高用戶在資源和網絡訪問控制、EAIS資源操作、故障隔離和風險檢測等方面的安全性所具備的能力。
通過在ECS實例(非GPU實例)上綁定一個EAIS實例,即可生成一款新規格的GPU實例,該方式相比直接購買GPU實例,可以實現GPU資源的彈性使用,并為您降低部署成本和使用成本。因此,在使用EAIS前,您也需要關注ECS實例的安全性,更多信息,請參見云服務器ECS安全性。
訪問控制
資源訪問控制
為確保您的阿里云賬號及云資源使用安全,如非必要都應避免直接使用阿里云賬號(即主賬號)來訪問彈性加速計算服務EAIS。推薦的做法是使用RAM身份(即RAM用戶和RAM角色)來訪問EAIS。
RAM用戶需要由阿里云賬號(即主賬號)或擁有管理員權限的RAM用戶、RAM角色來創建,且必須在獲得授權后才能登錄控制臺或使用API訪問阿里云賬號下的資源。更多信息,請參見RAM用戶概覽和使用RAM進行訪問控制。
網絡訪問控制
彈性加速計算實例EAIS已與專有網絡VPC集成,支持通過VPC(包括網絡ACL)進行網絡隔離和網絡訪問控制。
EAIS必須與云服務器ECS綁定后才能使用,且僅支持在ECS上通過私網訪問EAIS服務,保障了資源間互訪時的網絡安全性。
故障隔離
EAIS在多個地域的多個可用區部署了服務,且可用區之間互相獨立,各可用區之間可以實現故障隔離,確保EAIS服務更加穩定可靠。
可用區是指在同一地域內,電力和網絡互相獨立的物理區域。
在同一地域內,可用區與可用區之間內網互通。各可用區之間可以實現故障隔離,即如果一個可用區出現故障,不會影響其他可用區的正常運行。每個地域完全獨立,不同地域的可用區完全隔離,但同一個地域內的可用區之間使用低時延鏈路相連。
EAIS默認檢查云服務器資源池中云服務器的健康狀態,自動隔離異常狀態的云服務器。消除了單臺云服務器的單點故障問題,可提高EAIS的整體安全能力。
資源變更追蹤與操作審計
彈性加速計算實例EAIS已接入阿里云操作審計(ActionTrail),可為您提供統一的云資源操作日志管理,記錄云賬號下用戶登錄及資源訪問操作,實現安全分析、入侵檢測、資源變更追蹤以及合規性審計。
操作審計可記錄通過阿里云控制臺、OpenAPI、開發者工具訪問和使用云上產品和服務的日志數據。具體支持的云服務審計事件,請參見彈性加速計算實例的審計事件。
操作審計默認為您追蹤并記錄最近90天的事件。如需保存更長時間的日志,則需要創建跟蹤,將產生的時間記錄到日志服務或對象存儲OSS。詳細操作,請參見創建跟蹤。
當您將事件投遞到SLS或OSS后,可以通過SLS或OSS查詢或分析事件。詳細操作,請參見通過SLS或OSS控制臺查詢事件。
如果需要跟蹤歷史事件,請提交工單申請開啟相關權限。
實時風險檢測
EAIS對已綁定的ECS實例配置了較完善的基線檢查,支持實時風險檢測,并使用阿里云內部自研的已通過安全檢查的容器鏡像,針對系統漏洞和應用漏洞等進行全面和有效的管理,無需用戶再進行額外的配置。