ECS具備安全組的安全設(shè)置,通過(guò)安全組配置和阿里云提供豐富的云服務(wù)器及應(yīng)用安全防護(hù)產(chǎn)品,可從多維度提高ECS的安全性。

安全組及安全產(chǎn)品

  • 安全組

    安全組是一種虛擬防火墻,具備狀態(tài)檢測(cè)和包過(guò)濾功能。安全組用于設(shè)置單臺(tái)或多臺(tái)實(shí)例的網(wǎng)絡(luò)訪問(wèn)控制,它是重要的網(wǎng)絡(luò)安全隔離手段,用于在云端劃分安全域。更多安全組的介紹請(qǐng)參考 安全組 章節(jié)。

  • 安騎士

    安騎士是一款經(jīng)受百萬(wàn)級(jí)主機(jī)穩(wěn)定性考驗(yàn)的主機(jī)安全加固產(chǎn)品,擁有自動(dòng)化實(shí)時(shí)入侵威脅檢測(cè)、病毒查殺、漏洞智能修復(fù)、基線一鍵核查等功能,是構(gòu)建主機(jī)安全防線的統(tǒng)一管理平臺(tái)。更多安騎士的介紹請(qǐng)參考 什么是安騎士 章節(jié)。

  • WAF

    云盾Web應(yīng)用防火墻(Web Application Firewall, 簡(jiǎn)稱 WAF)基于云安全大數(shù)據(jù)能力,用于防御SQL注入、XSS跨站腳本、常見(jiàn)Web服務(wù)器插件漏洞、木馬上傳、非授權(quán)核心資源訪問(wèn)等OWASP常見(jiàn)攻擊,并過(guò)濾海量惡意CC攻擊,避免您的網(wǎng)站資產(chǎn)數(shù)據(jù)泄露,保障網(wǎng)站的安全與可用性。更多WAF的介紹請(qǐng)參考什么是Web應(yīng)用防火墻 章節(jié)。

安全配置建議

使用場(chǎng)景場(chǎng)景說(shuō)明安全配置建議
登錄密鑰ECS遠(yuǎn)程登錄賬號(hào)及密鑰。建議設(shè)置為強(qiáng)密碼形式:12位以上,同時(shí)包含數(shù)字、大小寫字母、特殊符號(hào)
遠(yuǎn)程登錄端口22、3389端口分別用于ECS的Linux和Windows場(chǎng)景下的遠(yuǎn)程登錄,需對(duì)這兩端口進(jìn)行安全限制。
  • 利用安全組限制22、3389遠(yuǎn)程登錄端口的訪問(wèn)來(lái)源IP。
  • 無(wú)法設(shè)置白名單時(shí),將遠(yuǎn)程登錄的方式設(shè)置為SSH Key認(rèn)證方式。
MySQL、FTP等在ECS上安裝的高危服務(wù)端口由于MySQL和FTP的業(yè)務(wù)需求,需在ECS上開(kāi)放對(duì)應(yīng)的業(yè)務(wù)端口,這些端口需進(jìn)行安全限制。限制只允許本機(jī)訪問(wèn)或者利用安全組限制訪問(wèn)來(lái)源IP。
公網(wǎng)訪問(wèn)隔離互聯(lián)網(wǎng)訪問(wèn)本ECS實(shí)例。建議:
  • ECS實(shí)例不直接對(duì)互聯(lián)網(wǎng)暴露其IP地址,通過(guò)DNS、公網(wǎng)SLB、EIP等提供互聯(lián)網(wǎng)服務(wù)。
  • 在安全組配置時(shí),IP段及端口不要全開(kāi)放。只保留業(yè)務(wù)需要使用的端口和IP。
內(nèi)網(wǎng)訪問(wèn)VPC內(nèi)部其他實(shí)例訪問(wèn)本ECS實(shí)例。建議安全組配置時(shí),IP段及端口不要全開(kāi)放。只保留業(yè)務(wù)需要使用的端口和IP。
HTTP 證書ECS的網(wǎng)絡(luò)業(yè)務(wù)需加載HTTP證書。
  • HTTP業(yè)務(wù)建議使用HTTPS協(xié)議,并加載HTTPS證書。
  • HTTP服務(wù)的需要利用安全組限制訪問(wèn)來(lái)源IP。
  • HTTP服務(wù)域名建議開(kāi)通WAF防護(hù)。
云服務(wù)器防護(hù)ECS實(shí)例自身的安全監(jiān)控及防護(hù)可由阿里云提供的服務(wù)器安全防護(hù)產(chǎn)品安騎士保障。建議每個(gè)ECS實(shí)例均安裝使用安騎士,實(shí)時(shí)防護(hù)ECS實(shí)例。
應(yīng)用防護(hù)在ECS上部署了Web網(wǎng)站或其他應(yīng)用,可對(duì)應(yīng)用進(jìn)行安全防護(hù)。開(kāi)通安全管家的網(wǎng)站安全體檢功能、開(kāi)通WAF。
其中:
  • 密鑰設(shè)置:請(qǐng)參考 創(chuàng)建實(shí)例 章節(jié),在“系統(tǒng)配置”時(shí),登錄密碼根據(jù)上述推薦,配置為高復(fù)雜度的強(qiáng)密碼形式。
  • 安全組配置:請(qǐng)參考 安全組應(yīng)用案例 ECS安全組配置操作指南 章節(jié)。其中“授權(quán)對(duì)象”根據(jù)上述安全配置建議進(jìn)行修改。
  • 安騎士安裝使用:請(qǐng)參考 快速入門 章節(jié)。
  • WAF部署使用:請(qǐng)參考 快速入門 章節(jié)。
  • 證書服務(wù):證書的購(gòu)買、使用請(qǐng)參考 證書服務(wù) 章節(jié)。
  • 安全管家:安全管家的使用請(qǐng)參考 用戶指南 章節(jié)。