安全和合规能力Security

阿里云创新中心> 创业资讯> 安全和合规能力Security

安全和合规能力Security

报告说 2024-06-04 17:25:20 293
《CloudOps云上自动化运维 白皮书2.0》报告提到了阿里云提供的自动化能力和产品,以及与业界工具的对照表格,包括成本和资源量化管理能力、可靠性能力、安全和合规能力等方面。其中,弹性能力被分为五个等级,并介绍了每个等级具备的弹性管理能力和资源成本管理能力。报告还强调了云服务的弹性能力和资源监控、链路追踪、高可用服务、日志服务等在网络安全和数据安全方面的重要性。今天是该报告系列文章的第七篇,主题为「安全和合规能力Security」。

1. 基本概念

我国已出台关于网络与数据安全的法律、行政法规、部门规章、规范性文件等共计 两百多部,包括网络安全治理的国家基本法《网络安全法》、数据安全的国家基本 法《数据安全法》、隐私权与个人信息权益的国家基本法《个人信息保护法》等, 形成了覆盖网络安全等级保护、关键信息基础设施安全保护、网络关键设备和网络 安全专用产品管理、国家网络安全事件管理、密码管理、跨境活动网络安全管理、 数据安全管理、个人信息保护等领域的网络安全法律法规体系。

无论是企业网络中还是云上,从个人和财务信息到数据保护和隐私,企业需要确保 它们符合行业和法规要求,以确保数据的保护和隐私以满足当地政府机构的法律法 规。

1) 云上安全的概念

通常意义的云计算安全或云安全指通过一系列策略、控制和技术,共同确保数据、 基础设施和应用安全,保护云计算环境免受外部和内部网络安全威胁和漏洞的影响。 越来越多的企业更加的重视云安全和合规,云上安全合规需要有自上而下的顶层设 计,要以安全为出发点构建云上应用。

2) 云上安全的基本原则-安全责任共担模型

不同于传统的 IDC,云计算是一种共享技术模型,其安全责任由双方共同承担,这通常被称为安全责任共担模型。

宏观上讲,云计算平台负责基础设施(包括跨地域、多可用区部署的数据中心,以 及骨干传输网络)和物理设备(包括计算、存储和网络设备)的安全,并负责运行 在云操作系统之上的虚拟化层和云产品层的安全。同时,云平台也负责平台侧的身 份和访问的控制和管理、监控和运营,从而为客户提供高可用和高安全的云服务。

客户负责以安全的方式配置和使用各种云上产品,并基于这些云产品的安全能力, 以安全可控的方式构建自己的云上应用和业务,保障云上数据的安全。

2. 业务价值

近些年网络安全威胁愈发增多,各种安全事件频出,据 Splunk 发布的《2022 全球网络安全态势报告》数据显示:

  • 49%的企业表示,他们在过去两年中遭受了数据泄露,比一年前调查中的 39% 有所增加。

  • 79%的受访者表示,他们遇到过勒索软件攻击,35%的受访者承认曾有一次或多 次攻击导致其无法访问数据和系统。

  • 59%的安全团队表示,他们必须投入大量时间和资源进行补救,这一比例高于 一年前的 42%。

  • 因网络安全事件而遭受计划外停机的业务关键型工作负载的平均恢复时间为 14 小时,受访者估计这种停机的平均损失约为每小时 20 万美元。

传统 IT 结构向云化架构转变,所带来的网络安全威胁愈发大,会带来新的安全挑战。 可能一个误操作就会让自己的应用从内网访问到公网访问或者泄露了自己的秘钥导 致信息安全事件。安全和合规是数字化转型的基石,也是上云的第一步。

3. 多个层面构建的安全与合规能力

云上安全与合规涉及多个层面,从客户上云开始接触云账号的安全,创建实例后实 例内 GuestOS 的应用系统安全,使用时实例所在的网络环境安全,对高敏感信息有 要求的信息数据安全,到使用云安全产品构建安全防御体系,以及涉及大量云上资 源管理等一系列安全实践。

1) 云账号安全

身份和访问管理是当今 IT 行业面临的最大挑战之一,也深受云计算的影响。云的IAM(IdentityandAccessManagement,身份认证与访问管理)解决方案实现零信 任安全,并且在每个资源的访问点评估访问请求。这将允许每个应用程序、每个策 略和每个访问场景的分布式访问决策,基于云的 IAM 解决方案允许组织使用单点登 录、多因素身份验证和访问控制来直接提供对云服务的安全访问。

账户是资源使用的硬边界,我们建议根据功能、业务、合规性要求等来进行账号的 分配和隔离。在多用户需要协同操作资源的场景中,建议避免直接共享使用账号, 共享账号的密钥等机密信息会大大增加泄露风险,一旦泄露会威胁账号下所有资源的安全。建议使用访问控制创建用户和用户组,并授予各用户和用户组最小权限,

可以有效降低风险。

阿里云提供身份和访问管理的以下安全功能,在账号级别防范风险。

  • 身份认证:用户可以使用其云账号(即主账号)或其云账号下 RAM 用户的密码 登录阿里云控制台并对其云上资源进行操作,或者使用阿里云的AccessKe(y AK) 通过 API 访问阿里云资源时对用户身份进行认证,也可以通过阿里云 Security Token Service(STS)为 RAM 用户、阿里云服务、身份提供商等受信实体提供短期访问资源的权限凭证的云服务。颁发令牌时,管理员可以根据需要来定义 令牌的权限和自动过期时间(默认为 1 小时过期)。此外,阿里云还支持 MFA 认证、SSO 认证、SSH 密钥对认证方式。

  • 访问授权(RAM):阿里云为客户提供了多种工具和功能,用来帮助客户在各种 情况下授权资源的使用权力。其中,阿里云为客户提供 Resource Access Management(RAM)资源访问控制服务,用于用户身份管理与资源访问控制。 RAM 使得一个阿里云账号(主账号)可拥有多个独立的子用户(RAM 用户), 从而避免与其他用户共享云账号密钥,并可以根据最小权限原则为不同用户分 配最小的工作权限,从而降低用户的信息安全管理风险。RAM 授权策略可以细 化到对某个 API-Action 和 Resource-ID 的细粒度授权,还可以支持多种限制条 件(例如,源 IP 地址、安全访问通道 SSL/TLS、访问时间、多因素认证等)。

常见的提升账号的安全措施有下面的手段:

a) 开启 MFA 多因素账号认证

建议账号启用 MFA 多因素认证,即在用户名和密码(第一层安全要素)的基础上, 增加了 MFA 安全码(第二层安全要素,MFA 设备生成的动态验证码),以此提高账 号安全性。

b) 使用 RAM 子账号而不是主账号并合理设置资源安全隔离

确保用户访问 ECS 资源使用最小使用权限,避免共享账号或是过于宽泛的授权。通 过使用访问控制 RAM(Resource Access Management),建议禁止直接使用主账 号进行资源操作,可创建 RAM 子用户(组)并授予特定权限策略实现在账号维度上对云服务器 ECS 资源进行细粒度的访问控制。同时为了限制发起调用的子账号的网

络范围,可以设置公网支持访问的 CIDR 地址。

  • 用户:如果您购买了多台云服务器 ECS 实例,您的组织里有多个用户(如员工、 系统或应用程序)需要使用这些实例,您可以创建多个子用户并通过授权的方 式使部分用户能够有权使用这些实例,避免了将同一个 AccessKey 泄露给多人 的安全风险。

  • 用户组:您可以创建多个用户组,并授予不同权限策略,起到批量管理的效果。

  • 用户组的策略:

    • SysAdmins:该用户组需要创建和管理的权限。您可以给 SysAdmins 组授 予一个权限策略,该策略授予用户组成员执行所有 ECS 操作的权限,包括 ECS 实例、镜像、快照和安全组等。

    • Developers:该用户组需要使用实例的权限。您可以给 Developers 组授予 一个权限策略,该策略授予用户组成员调用 DescribeInstances、 StartInstance、StopInstance、RunInstance 和 DeleteInstance 等权限。

c) 云产品 API 调用使用实例角色而不是 AK

实例 RAM 角色(推荐使用加固模式访问元数据)允许您将一个角色关联到 ECS 实 例,在实例内部基于 STS(Security Token Service)临时凭证(临时凭证将周期性 更新)访问其他云产品的 API。一方面可以保证 AccessKey 安全,另一方面也可以 借助 RAM 实现权限的精细化控制和管理。

一般情况下,ECS 实例的应用程序是通过用户账号或者 RAM 用户的 AccessKey 访 问阿里云各产品的 API。

为了满足调用需求,需要直接把 AccessKey 固化在实例中,如写在配置文件中。但 是这种方式权限过高,存在泄露信息和难以维护等问题。因此,阿里云推出了实例 RAM 角色解决这些问题。

d) AK 防泄密

阿里云账号 AccessKey 是客户访问阿里云 API 的密钥,请务必妥善保管。请勿通过 任何方式(如 Github 等)将 AccessKey 公开至外部渠道,以免被恶意利用而造成安全威胁。AccessKey 泄露会威胁所有资源的安全,可以有效降低 AccessKey 泄露的风险。
AK 信息使用安全建议

在使用阿里云产品过程中需要用户遵循以下几点安全规范,降低凭证泄漏造成的影 响:

  • 不要将 AccessKey 嵌入代码中

  • 定期轮换 AccessKey

  • 定期吊销不需要的 AccessKey

  • 遵循最小权限原则,使用 RAM 账户

  • 开启操作日志审计,并将其投递至 OSS 和 SLS 长期保存和审计

  • 可以开启 acs:SourceIp 限定公网 IP 网段访问阿里云 API

  • 通过设置 acs:SecureTransport 取值为 true,表示通过 HTTPS 方式访问阿里云 e) 账密管理安全建议

  • 云账号

    • 管理员账号必须开启 MFA 认证。

    • 账号分级权限设置,最小权限授权原则。

    • 禁用 root 账号访问 API 或常用请求方法。

    • 建议使用服务目录集中身份管理。

  • 秘钥凭据

    • 过期的证书、凭据禁止使用。

    • 根账号需删除访问秘钥。

    • 30 天以上不再使用的秘钥、凭据定期清理。

    • 秘钥、凭据最新使用情况监控。

    • 定期自动扫描您的 GIT 仓库和历史记录排查秘钥泄露可能。

  • 密码

    • 密码复杂性与到期提醒,密码强度校验。

    • 密码复杂度策略强制实施。

    • 设置与其他平台不一致的复杂账密,避免被社工风险。

    • 建议 AK 以及其他账密信息使用 KMS 安全托管,避免明文落盘存储

    • 主机上不同账号间不应共享密码或秘钥对。

  • 机密信息使用 KMS 安全加固托管

机密数据明文落盘存储会导致泄漏风险,建议您提前开通密钥管理服务,无需自行 研发和运维密码设施,即可在云服务中使用数据加密功能,例如在云服务器 ECS 中 使用云盘加密、实例可信启动等功能。

2) 实例内 GuestOs 应用系统安全

a) 实例登陆安全配置

  • 实例登陆权限控制

    • 登陆账号权限默认非 root 权限,需用户在本地通过 su 或 sudo 提权至 root, 默认状态不支持 root 直接使用 pem 密钥文件登录。

    • 建议使用安全的访问控制协议访问 ECS 主机,并根据镜像类型选择不同的登录凭证:

Linux 系统:建议配置只支持 rsa 密钥对的方式登录,不支持在控制台创建口令。

Windows系统:使用8位以上包含特殊字符的复杂密码作为登录凭证。 Linux 实例:默认非 root 账号登陆与设置秘钥对登陆实例

  • 默认非 root 账号登陆实例

如果您使用系统用户 root 登录 Linux 操作系统的 ECS 实例,则可以获取系统最高权 限。该方式虽然便于您进行系统运维操作,但如果 ECS 实例被入侵,则会存在影响 严重的数据安全风险。

建议用户使用公共云镜像:Anolis OS 8.4 或 Ubuntu 20.04,该版本镜像支持设置 普通用户 ecs-user 作为登录名,其他镜像版本会陆续支持设置普通用户 ecs-user 登录实例。

image

  • 使用临时下发的 SSH 密钥对连接 linux 实例

ECS 推荐使用 config_ecs_instance_connect 插件,可以将 SSH 公钥发送到指定实 例内部供指定用户使用,密钥保留 60s。在 60s 内,您可以通过 SSH 公钥登录的方 式进入实例,无需输入密码。

SSH 密钥对通过加密算法生成一对密钥,默认采用 RSA 2048 位的加密方式。相较 于用户名和密码认证方式,SSH 密钥对有以下优势:

  • 􏰀  安全性,SSH 密钥对登录认证更为安全可靠。

  • 􏰀  密钥对安全强度远高于常规用户口令,可以杜绝暴力破解威胁。

  • 􏰀  不可能通过公钥推导出私钥。

  • 􏰀  便捷性。

  • 􏰀  如果您将公钥配置在 Linux 实例中,那么,在本地或者另外一台实例中,您

可以使用私钥通过 SSH 命令或相关工具登录目标实例,而不需要输入密码。

  • 􏰀  便于远程登录大量 Linux 实例,方便管理。如果您需要批量维护多台 Linux

实例,推荐使用这种方式登录。
建议配置 sshd_config 默认禁止密码登陆只支持 rsa 密钥对的方式登录。ssh 配置

文件中修改关于密码登录的配置选项。

  • Windows 实例:设置复杂的密码与定期更换

弱口令一直是数据泄露的一个大症结,因为弱口令是最容易出现的也是最容易被利 用的漏洞之一。服务器的口令建议至少 8 位以上,从字符种类上增加口令复杂度, 如包含大小写字母、数字和特殊字符等,并且要不定时更新口令,养成良好的安全 运维习惯。

ECS 设置为强密码:8-30 个字符,必须同时包含三项(大写字母、小写字母、数字、 ()`~!@#$%^&*_-+=|{}[]:;'<>,.?/中的特殊符号),其中 Windows 实例不能以斜线号 (/)为首字符。

b) 服务端口保护

服务器给互联网提供服务的同时会暴露对应的服务端口。从安全管理的角度来说, 开启的服务端口越多,越不安全。建议只对外提供必要的服务端口,并修改常见端 口为高端口(30000 以后),再对提供服务的端口做访问控制。

例如:数据库服务尽量在内网环境使用,避免暴露在公网。如果必须要在公网访问, 则需要修改默认连接端口 3306 为高端口,并根据业务授权可访问的客户端地址。

c) 避免服务弱口令

如果您的服务器使用弱口令登录,黑客可能会非法登录您的服务器,窃取服务器数 据或破坏服务器。建议您为服务器设置复杂的登录口令,并定期提升登录口令的安 全性。口令提升办法:

  • 设置复杂密码。

  • 不使用常见或公开的弱口令。

  • 定期修改密码。

常见系统的登录弱口令的操作防范,具体方法请参见修改常见的服务器弱口令。

d) 使用 IDaaS 认证应用系统身份权限

云身份服务 IDaaS(英文名:Alibaba Cloud IDentity as a Service,简称 IDaaS)是 阿里云为企业用户提供的云原生的、经济的、便捷的、标准的身份、权限管理体系。 IDaaS 提供一站式组织架构、账户全生命周期管理、应用接入实现单点登录(SSO), 并控制账号所具备的权限等能力。

e) 数据传输加密

配置安全组或防火墙,确保仅允许 ECS 实例和 API 终端节点或其他敏感远程网络 服务之间的加密连接,可使用传输层安全性(TLS1.2 及以上版本)等加密协议加密 在客户端和实例之间传输的敏感数据。

f) 日志异常监控与审计

根据 FireEye M-Trends 2018 报告,企业安全防护管理能力薄弱,尤其是亚太地区。 全球范围内企业组织的攻击从发生到发现所需时长平均 101 天,而亚太地域平均需 要 498 天。企业需要长期、可靠、无篡改的日志记录与审计支持来持续缩短这个时 间。

建议您(客户)使用云监控、操作审计、日志审计、VPC 流日志、应用日志等构建 一套异常资源、权限访问监控告警体系,对及时发现问题与止损,对优化安全防御 体系有至关重要的意义:

  • 使用云监控设置账单报警,防止 DDOS 攻击。

  • 使用操作审计 ActionTrail 监控未授权的访问、识别潜在安全配置错误、威胁或 意外行为,也用于支持质量流程、法律或合规义务,还可以用于威胁识别和响 应工作,请使用 MFA 限制 ActionTrail 访问权限。

  • 启用配置 VPC 流日志记录 VPC 网络中弹性网卡 ENI 传入和传出的流量信息,使 用 Flowlog 日志中心用于 VPC 的策略统计、弹性网卡流量统计以及网段间流量 统计,帮助您快速、有效地分析 VPC 流日志。

  • 使用日志审计服务,日志服务提供一站式数据采集、清洗、分析、可视化和告警 功能,支持日志服务相关场景:DevOps、运营、安全、审计。

  • 跟踪应用事件日志、Api 调用日志。

  • 所有日志定期同步 SLS、OSS 长期保存,并设置好访问权限。

  • 添加实例 ID、地域、可用区、环境(测试、生产)附加信息到日志中存储,便 于排查问题。

3) 网络环境安全

云计算利用虚拟网络(Virtual Private Cloud,简称 VPC),来抽象物理网络并创建 网络资源池,实现数据链路层的隔离,为每个用户提供一张独立隔离的安全网络环 境。不同 VPC 之间内部网络完全隔离,只能通过对外映射的 IP 互连。

在 VPC 内部,用户可以自定义 IP 地址范围、网段、路由表和网关等;此外,用户可 以通过 VPN 网关、高速通道物理专线、智能接入网关等服务将本地数据中心和云上 VPC 打通,也可以通过云企业网实现全球网络互通,从而形成一个按需定制的网络 环境,实现应用的平滑迁移上云和对数据中心的扩展。

此外,网络是所有云服务的唯一入口,网络攻击是种类最多、危害最大,也是最难 防护的风险之一。云计算平台会提供一套成熟的网络安全架构,以应对来自互联网 的各种威胁。在阿里云上,可以通过安全组、网络 ACL、路由策略或网络专线来控 制虚拟网络的访问权限。除了对内网网络访问的控制之外,还需要配置云防火墙、 应用程序防火墙、DDoS 防护等安全措施,针对各种外部网络安全威胁,进行安全 防护。

image

a) 网络资源隔离安全建议

  • 建立网络管理员,统一管理安全组、网络 ACL 以及流量日志。

  • 使用 ACL 限制不需要公开的任何内容。

  • 网络资源隔离,预设置较大子网,避免子网重叠使用。

  • 围绕访问点而不是资源配置安全组。

  • 定期重新访问安全组以优化规则。 b) 搭建实例安全的网络环境 合理设置安全组,网络隔离减少攻击面。

安全组是重要的网络安全隔离手段,用于设置单台或多台云服务器的网络访问控制。 通过设置安全组规则,可以在网络层过滤服务器的主动/被动访问行为,限定服务器 对外/对内的端口访问,授权访问地址,从而减少攻击面,保护服务器的安全。

以下是安全组实践的安全建议:

  • 最小原则白名单开放

安全组应该是白名单性质的,所以需尽量开放和暴露最少的端口,同时尽可能少地 分配公网 IP。

  • 避免设置 0.0.0.0/0 授权对象

允许全部入网访问是经常犯的错误。使用 0.0.0.0/0 意味着所有的端口都对外暴露 了访问权限。这是非常不安全的。正确的做法是,先拒绝所有的端口对外开放。安 全组应该是白名单访问。

  • 筛查潜在高危安全组

安全组规则设置不当会造成严重的安全隐患。阿里云会定期检查您的安全组,如果 安全组规则对特定端口的访问不做限制,就会产生预警。您可以使用潜在高危安全 组概览发现不合理的安全组规则,通过修改安全组规则保证 ECS 实例的网络安全。

  • 关闭不需要的入网规则

  • 以安全组为授权对象添加规则

不同的安全组按照最小原则开放相应的出入规则。对于不同的应用分层应该使用不 同的安全组,不同的安全组应有相应的出入规则。

  • 经典网络的内网安全组规则不要使用 CIDR 或者 IP 授权

对于经典网络类型的 ECS 实例,阿里云默认不开启任何内网的入规则。内网的授权一定要谨慎。

  • 定义合理的安全组名称和标签

合理的安全组名称和描述有助于您快速识别当前复杂的规则组合。 

  • 将需要互相通信的 ECS 实例加入同一个安全组

一个 ECS 实例最多可以加入 5 个安全组,而同一安全组内的 ECS 实例之间是网络 互通的。

  • 安全组内实例间隔离

安全组是一种虚拟防火墙,具备状态检测和包过滤功能。安全组由同一个地域内具 有相同安全保护需求并相互信任的实例组成。为了满足同安全组内实例之间网络隔 离的需求,阿里云丰富了安全组网络连通策略,支持安全组内实现网络隔离。

  • 使用安全组五元组规则

安全组用于设置单台或多台 ECS 实例的网络访问控制,它是重要的网络安全隔离手 段,用于在云端划分安全域。安全组五元组规则能精确控制源 IP、源端口、目的 IP、 目的端口以及传输层协议。

  • 公网服务的云服务器和内网服务器尽量属于不同的安全组

是否对外提供公网服务,包括主动暴露某些端口对外访问(例如 80、443 等),被 动地提供端口转发规则(例如云服务器具有公网 IP、EIP、NAT 端口转发规则等), 都会导致自己的应用可能被公网访问到。

  • 合理配置安全域,隔离企业内部不同安全等级服务
    您可以基于 VPC 专有网络,构建自定义专属网络,隔离企业内部不同安全

级别的服务器,避免互通网络环境下受其他服务器影响。

建议您创建一个专有网络,选择自有 IP 地址范围、划分网段、配置路由表 和网关等。然后将重要的数据存储在一个跟互联网网络完全隔离的内网环 境,日常可以用弹性 IP(EIP)或者跳板机的方式对数据进行管理。具体步 骤请参见创建专有网络。

  • 使用跳板机或堡垒机,防御内部和外部入侵破坏

跳板机由于其自身的权限巨大,需要通过工具做好审计记录,建议直接使用 堡垒机,保障网络和数据不受来自外部和内部用户的入侵和破坏,同时运用 各种技术手段监控和记录运维人员对网络内的服务器、网络设备、安全设备、 数据库等设备的操作行为,以便集中报警、及时处理及审计定责。

使用跳板机 SSH 时,建议您优先使用 SSH 密钥对而不是密码登录。 􏰀 

  • 公网 IP 合理分配,降低公网攻击风险

不论是经典网络还是专有网络(VPC)中,合理的分配公网 IP 可以让系统更 加方便地进行公网管理,同时减少系统受攻击的风险。在专有网络的场景下, 创建虚拟交换机时,建议您尽量将需要公网访问的服务区的 IP 区间放在固 定的几个交换机(子网 CIDR)中,方便审计和区分,避免不小心暴露公网 访问。

在分布式应用中,大多数应用都有不同的分层和分组,对于不提供公网访问 的云服务器尽量不提供公网 IP,如果是有多台服务器提供公网访问,建议您 配置公网流量分发的负载均衡服务来公网服务,提升系统的可用性,避免单 点。

对于不需要公网访问的云服务器尽量不要分配公网 IP。专有网络中当您的 云服务器需要访问公网的时候,优先建议您使用 NAT 网关,用于为 VPC 内无公网 IP 的 ECS 实例提供访问互联网的代理服务,您只需要配置相应的 SNAT 规则即可为具体的 CIDR 网段或者子网提供公网访问能力,具体配置 参见 SNAT。避免因为只需要访问公网的能力而在分配了公网 IP(EIP)之后也向公网暴露了服务。

4) 信息数据安全

a) 使用高安全要求业务使用增强计算实例

如果您的业务面向高安全可信要求的场景,可以使用安全增强型实例,保障实例可 信启动和实例中隐私数据的安全。

  • 支持 Intel® SGX 加密计算,支持加密内存,保障关键代码和数据的机密性与完 整性不受恶意软件的破坏。

  • 依托 TPM/TCM 芯片,从底层服务器硬件到 GuestOS 的启动链均进行度量和验 证,实现可信启动。

b) 使用更安全的镜像

  • 使用满足三级等保合规镜像

阿里云根据国家信息安全部发布的《GB/T22239-2019 信息安全技术网络安全等级 保护基本要求》中对操作系统提出的一些等级保护要求,推出自研云原生操作系统 Alibaba Cloud Linux 等保 2.0 三级版镜像。您使用本镜像无需额外配置即可满足以 下等保合规要求:

􏰀 身份鉴别
􏰀 访问控制
􏰀 安全审计
􏰀 入侵防范
􏰀 恶意代码防范

  • 使用公共镜像开启镜像安全加固

使用官方提供的公共镜像,可开启公共实例镜像安全加固能力,该安全加固能力提 供网站漏洞检查、云产品安全配置检查、主机登录异常告警等安全功能。

  • 使用加密的自定义镜像

避免镜像丢失后数据泄露风险,请使用国际标准认证的 AES-256 算法对镜像进行加密。

用户可选择创建加密的系统盘、数据盘,若云盘是加密云盘,使用该云盘创建的快 照也是加密镜像,或对已有的未加密镜像拷贝时选择加密,生成的新镜像为加密镜 像。

若自定义加密镜像需要共享其他云账号时,建议用户为共享加密镜像创建独立的 BYOK 密钥,避免 KMS 密钥泄露导致安全风险。

c) 云盘数据加密(需开启 KMS)

选择云盘数据加密,能够最大限度保护您的数据安全,您的业务和应用程序无需做 额外的改动。同时该云盘生成的快照及这些快照创建的云盘将自动延续加密属性。 数据加密适用于数据安全或法规合规等场景,帮助您加密保护存储在阿里云 ECS 上 的数据。无需自建和维护密钥管理基础设施,您就能保护数据的隐私性和自主性, 为业务数据提供安全边界,被加密的云盘可以是系统盘和数据盘。

image

d) 快照容灾备份

数据备份是容灾的基础,可以降低因系统故障、操作失误以及安全问题而导致数据 丢失的风险。ECS 自带的快照功能可满足大部分用户数据备份的需求。您可根据自 身业务需求选择创建快照的方式。具体步骤请参见手动创建快照和执行或取消自动 快照策略。

建议您每日创建一次自动快照,每次快照至少保留 7 天,养成良好的备份习惯,在故障发生时可以迅速恢复重要数据,减少损失。

image

e) 使用加密的快照

ECS 加密采用行业标准的 AES-256 加密算法,利用密钥加密快照,避免快照丢失后

数据泄露风险。 用户可选择创建加密的云盘,若云盘是加密云盘,使用该云盘创建的快照也是加密

快照,或对已有的未加密快照拷贝时选择加密,生成的新快照为加密快照。 f) 加固模式下访问实例元数据

加固模式下,实例和实例元数据服务器间建立一个会话,并在查看实例元数据时通 过 token 验证身份,超过有效期后关闭会话并清除 token。token 具有以下特点:

  • 仅适用于一台实例。如果将 token 文件复制到其它实例使用,会被拒绝访问。

  • 必须定义 token 有效期,范围为 1 秒~21600 秒(6 小时)。在有效期内可以重复使用,方便您平衡安全性和用户体验。

  • 不接受代理访问,如果创建 token 的请求中包含 X-Forwarded-For 标头,则拒绝签发 token。

  • 不限制向实例签发的 token 数量。

5) 应用安全防护

  • 网络流量攻击防护:基础 DDOS 防御(免费)与 DDOS 高防

DDoS(Distributed Denial of Service,即分布式拒绝服务)攻击指借助于客户/服 务器技术,联合多个计算机作为攻击平台,对一个或多个目标发动攻击,成倍地提 高拒绝服务攻击的威力,影响业务和应用对用户提供服务。

阿里云云盾可以防护 SYN Flood、UDP Flood、ACK Flood、ICMP Flood、DNS Flood、 CC 攻击等 3 到 7 层 DDoS 的攻击。DDoS 基础防护免费提供高达 5GB 的默认 DDoS 防护能力。

ECS 实例默认开启 DDoS 基础防护服务。使用 DDoS 基础防护服务,无需采购昂贵 清洗设备,受到 DDoS 攻击时不会影响访问速度,带宽充足不会被其他用户连带影 响,保证业务可用和稳定。ECS 实例创建后,您可以设置清洗阈值,具体步骤请参 见设置清洗阈值。

在此基础上,阿里云推出了安全信誉防护联盟计划,将基于安全信誉分进一步提升 DDoS 防护能力,您可获得高达 100GB 以上的免费 DDoS 防护资源。您可以在云盾 DDoS 基础防护控制台中查看您账号当前的安全信誉分以及安全信誉详情和评分依 据。详情请参见安全信誉防护联盟。对 DDOS 防御有更高要求的可购买 DDOS 高防。

  • 系统漏洞攻击防护:云安全中心(基础版免费)

接入云安全中心。云安全中心是一个实时识别、分析、预警安全威胁的统一安全管 理系统,通过防勒索、防病毒、防篡改、合规检查等安全能力,实现威胁检测、响 应、溯源的自动化安全运营闭环,保护云上资产和本地主机并满足监管合规要求。

Agent 插件是云安全中心提供的本地安全插件,您必须在要防护的服务器上安装该 插件才能使用云安全中心的服务。如何安装 Agent 插件,请参见安装 Agent。

云安全中心自动为您开通基础版功能。基础版仅提供主机异常登录检测、漏洞检测、 云产品安全配置项检测,如需更多高级威胁检测、漏洞修复、病毒查杀等功能,请 登录云安全中心控制台。

系统漏洞问题是长期存在的安全风险,可以通过系统补丁程序,或者安骑士补丁修 复。Windows 系统需要一直开启补丁更新,Linux 系统要设置定期任务,通过执行 yum update-y 来更新系统软件包及内核。安骑士如何修复漏洞,请参见安骑士补 丁管理。

云盾旗下的安骑士产品具有识别并防御非法破解密码行为的功能,避免被黑客入侵, 批量维护服务器安全。安骑士能针对服务器应用软件安全方面提供配置检测和修复 方案,提高服务器安全强度。详细功能介绍请参见安骑士产品功能列表。

  • 应用漏洞攻击防护:云盾 Web 防火墙

云盾 Web 应用防火墙(Web Application Firewall,简称 WAF)基于云安全大数据 能力实现,通过防御 SQL 注入、XSS 跨站脚本、常见 Web 服务器插件漏洞、木马 上传、非授权核心资源访问等 OWASP 常见攻击,过滤海量恶意 CC 攻击,避免您的 网站资产数据泄露,保障网站的安全与可用性。

接入 Web 应用防火墙的好处如下:

  • 无需安装任何软、硬件,无需更改网站配置、代码,它可以轻松应对各类 Web 应用攻击,确保网站的 Web 安全与可用性。除了具有强大的 Web 防御能 力,还可以为指定网站做专属防护。适用于在金融、电商、o2o、互联网+、 游戏、政府、保险等各类网站的 Web 应用安全防护上。

  • 如果缺少 WAF,只有前面介绍的防护措施,会存在短板,例如在面对数据 泄密、恶意 CC、木马上传篡改网页等攻击的时候,不能全面地防护,可能 会导致 Web 入侵。

接入 Web 应用防火墙的具体步骤,请参见部署 WAF 防护。 

6) 应用资源管理

规模化、自动化运维与审计云上资源,避免因低级错误的配置变更造成出现“例外” 或单点资产保护遗漏情况。

建议您(客户)统一实例、安全组的命名安全与部署约定,统一命名规范,定期检 测、提醒或删除不符合命名规范的安全组、实例。使用 Tag 标签规模化管理资源, 使用云助手自动化运维资源通道,使用配置审计 Config 对资源进行合规审计,使用 应用配置管理 ACM 集中管理所有应用配置。

  • Tag 标签
    标签可以标记资源,允许企业或个人将相同作用的云服务器 ECS 资源归类,便于搜索和资源聚合:

    • 使用 Tag 规模化识别、分类、定位云资源的管理与计费。

    • 使用自动化工具管理 Tag 标签,从而更轻松地自动管理、搜索和过滤标签和资源。

  • 云助手

传统的运维通道需要借助 SSH 取得密钥进行管理,并开放相应的网络端口,密钥管 理不当以及网络端口暴露都会对云上资源带来很大的安全隐患。

云助手是专为云服务器 ECS 打造的原生自动化运维工具,通过免密码、免登录、无 需使用跳板机的形式,在 ECS 实例上实现批量运维、执行命令(Shell、Powershell 和 Bat)和发送文件等操作。

典型的使用场景包括:安装卸载软件、启动或停止服务、分发配置文件和执行一般 的命令(或脚本)等。可以帮助客户安全、高效的运维云上资源。通过云助手,可 以在云服务器 ECS 上实现批量运维、执行命令和发送文件等操作;通过云助手 Session Manager,可以交互式运维 ECS 实例。

以上运维操作都无需密码,无需登录,ECS 实例不需要使用公网,也不需要通过跳 板机,通过云助手以下安全机制保证运维通道的安全性:

  • 权限控制:云助手通过 RAM 策略,从实例、资源组、标签、源 IP 地址等多 个维度控制用户对实例的访问权限。只有具有权限的用户才能通过云助手 通道运维 ECS 实例。

  • 链路可靠:全链路采用 Https 协议进行交互,传输过程中对数据进行加密。 ECS 实例入方向采用内部安全管控链路,无需用户开放端口,降低被入侵的 风险;出方向通过内网进行通信,无需暴露公网即可使用。

  • 内容安全:通过云助手通道传输的命令内容,通过加密及签名校验的方式, 确保传输过程中无法被篡改,保证命令内容的安全性。

  • 日志审计:通过云助手通道传输的命令、文件都可以通过 API 进行审计,用 户可以查询执行的时间、身份、执行内容、执行结果等信息。同时支持将日 志投递到存储(OSS)或日志(SLS)等系统中,提供日志归档、分析能力。

  • 配置审计 Config

配置审计 Config 是面向云上资源的审计服务,为用户提供跨区域的资源清单和检 索能力,记录资源的历史配置快照,形成配置时间线。当资源发生配置变更时,自 动触发合规评估,并针对“不合规”配置发出告警。使用户能够实现对于海量云上 资源合规性的自主监控,应对企业内部和外部合规的需要。

  • 应用配置管理 ACM

应用配置管理 ACM(Application Configuration Management)是一款在分布式架 构环境中对应用配置进行集中管理和推送的产品。凭借配置变更、配置推送、历史 版本管理、灰度发布、配置变更审计等配置管理工具,ACM 能帮助您集中管理所有 应用环境中的配置,降低分布式系统中管理配置的成本,并降低因错误的配置变更 造成可用性下降甚至发生故障的风险。

4. 云安全成熟度模型

image

如果您希望对所在企业的安全与合规能力成熟度进行评估,建议至第十章“成熟度

自评”。

5. 工具推荐

1) 阿里云在安全和合规方面主要相关产品 • 安全组

安全组是阿里云提供的实例级别虚拟化防火墙,具备状态检测和数据包过滤功能, 可用于在云端划分各个 ECS 实例(在容器服务中,即各个容器集群)间的安全域。 安全组是一个逻辑上的分组,这个分组是由同一个地域(Region)内具有相同安全 保护需求并相互信任的实例组成。使用安全组可设置单台或多台云服务器的网络访问控制,它是重要的网络安全隔离手段,用于在云端划分网络安全域。配置严格的 安全组访问权限,是最简单直接的防范网络攻击、屏蔽恶意流量的方式。

  • 网络 ACL

网络 ACL 是专有网络 VPC 中的网络访问控制功能。您可以自定义设置网络 ACL 规 则,并将网络 ACL 与交换机绑定,实现对交换机中云服务器 ECS 实例流量的访问控 制。网络 ACL 是在 VSW 粒度对进出 VSW 的流量做检测和数据包过滤。

  • 云防火墙

云防火墙在安全组、网络 ACL 功能的基础上提供了补充,为构建网络安全环境提供 了更好的“深层防御”。安全组、网络 ACL 提供分布式网络层流量过滤,以限制每 个订阅中虚拟网络内资源的访问流量。如果用户需要跨虚拟网络,启用某些应用程 序级别的保护时,则需要使用云防火墙服务。

阿里云云防火墙是业界首款公共云环境下的 SaaS 化防火墙,可以统一管理互联网 到业务的南北向访问策略,以及业务与业务之间的东西向微隔离策略。

通过云防火墙,用户可以对南北向和东西向访问的网络流量进行分析,并支持全网 流量(互联网访问流量、安全组间流量等)可视化,并支持对主动外联行为的分析 和阻断。

云防火墙还集成了入侵检测(IPS)功能和威胁情报能力,并支持入侵检测分析。同 时,云防火墙支持网络流量及安全事件日志存储功能,默认保存 6 个月的安全事件 日志、网络流量日志及防火墙操作日志,满足网安法和等保 2.0 的相关要求。

  • Web 应用防火墙 WAF

Web 应用防火墙(WAF),云防火墙为所有端口和协议提供网络级别的保护,Web 应用程序防火墙(WAF)是应用程序网关的一项功能,为您的网站或 App 业务提供 一站式安全防护。

WAF 可以有效识别 Web 业务流量的恶意特征,在对流量进行清洗和过滤后,将正 常、安全的流量返回给服务器,避免网站服务器被恶意入侵导致服务器性能异常等 问题,保障网站的业务安全和数据安全。

  • DDoS 防护

阿里云使用自主研发的 DDoS 防护系统保护所有数据中心,支持防护全类型 DDoS 攻击,并通过 AI 智能防护引擎对攻击行为进行精准识别和自动加载防护规则,保证 网络的稳定性。同时,阿里云的 DDoS 防护系统支持通过安全报表实时监控风险和 防护情况。

  • 操作审计 ActionTrail

操作审计(ActionTrail)为用户提供统一的云资源操作安全日志管理,记录云账号下 的用户登录及资源访问操作,包括操作人、操作时间、源 IP 地址、资源对象、操作 名称及操作状态。

利用 ActionTrail 保存的操作记录,用户可以实现安全分析、入侵检测、资源变更追 踪以及合规性审计。为了满足用户的合规性审计需要,用户往往需要获取主账户和 其子用户的详细操作记录。ActionTrail 所记录的操作事件可以满足此类合规性审计 需求。

  • 配置审计 Config

配置审计 Config 是面向云上资源的审计服务,为用户提供跨区域的资源清单和检 索能力,记录资源的历史配置快照,形成配置时间线。当资源发生配置变更时,自动触发合规评估,并针对“不合规”配置发出告警,使用户能够实现对于海量云上

资源合规性的自主监控,应对企业内部和外部合规的需要。 

  • 日志审计服务

在继承现有日志服务所有功能外,阿里云还支持多账户下实时自动化、中心化采集 云产品日志并进行审计,以及支持审计所需的存储、查询及信息汇总。

日志审计服务覆盖基础(ActionTrail、容器服务 Kubernetes 版)、存储(OSS、NAS)、 网络(SLB、API 网关)、数据库(关系型数据库 RDS、云原生分布式数据库 PolarDB- X1.0、云原生数据库 PolarDB)、安全(WAF、DDoS 防护、云防火墙、云安全中心) 等产品,并支持自由对接其他生态产品或自有 SOC 中心。

  • 云助手

云助手是专为云服务器 ECS 打造的原生自动化运维工具,通过免密码、免登录、无 需使用跳板机的形式,在 ECS 实例上实现批量运维、执行命令(Shell、Powershell 和 Bat)和发送文件等操作。典型的使用场景包括:安装卸载软件、启动或停止服 务、分发配置文件和执行一般的命令(或脚本)等。

  • 访问控制 RAM

访问控制 RAM 使您能够安全地集中管理对阿里云服务和资源的访问。您可以使用

RAM 创建并管理子用户和用户组,并通过权限管控他们对云资源的访问。

  • 云安全中心

云安全中心是一个实时识别、分析、预警安全威胁的统一安全管理系统,通过防勒 索、防病毒、防篡改、合规检查等安全能力,实现威胁检测、告警响应、攻击溯源 的自动化安全运营闭环,保护您的云上资产和本地服务器安全,并满足监管合规要 求。

  • 应用配置管理 ACM

应用配置管理(Application Configuration Management,简称 ACM)是一款在分 布式架构环境中对应用配置进行集中管理和推送的产品。

2) 阿里云产品和能力与业界工具对照表

image


《CloudOps云上自动化运维 白皮书2.0》系列文章一:前言:提出CloudOps成熟度模型CARES

《CloudOps云上自动化运维 白皮书2.0》系列文章二:CloudOps的主要衡量纬度和定义

《CloudOps云上自动化运维 白皮书2.0》系列文章三:CloudOps成熟度模型整体及等级说明

《CloudOps云上自动化运维 白皮书2.0》系列文章四:自动化能力Automation

《CloudOps云上自动化运维 白皮书2.0》系列文章五:弹性能力Elasticity

《CloudOps云上自动化运维 白皮书2.0》系列文章六:可靠性能力Reliabilty

《CloudOps云上自动化运维 白皮书2.0》系列文章八:成本和资源量化管理能力Cost

《CloudOps云上自动化运维 白皮书2.0》系列文章九:CloudOps成熟度模型全景图

《CloudOps云上自动化运维 白皮书2.0》系列文章十:CloudOps成熟度自评


各位产业专家、引领浪潮的创业者们,阿里云正在进行“客户云支出趋势”的调研,完成10题问卷(仅需2~3分钟,每家企业限填一次),即有机会获得小礼品!

问卷请见链接:https: //survey.aliyun.com/apps/zhiliao/wvN2aaIiA

也可扫码:

image

文章标签: 原创 报告拆解

image

#阿里云 #创业者计划 #中小企业服务 #创新创业

2023年9月21日,阿里云正式推出阿里云创业者计划,联合知名投资机构、加速器、创服机构以及大企业创新力量,旨在为初创企业提供全方位的赋能与服务,助力创业公司在阿里云上快速构建自己的业务,开启智能时代创业新范式。

>>>点击申请加入 阿里云创业者计划

版权声明: 创新中心创新赋能平台中,除来源为“创新中心”的文章外,其余文章均来自所标注的来源,版权归原作者或来源方所有,且已获得相关授权,创新中心「创业资讯」平台不拥有其著作权,亦不承担相应法律责任。如果您发现本平台中有涉嫌侵权的内容,可填写「投诉表单」进行举报,一经查实,本平台将立刻删除涉嫌侵权内容。