上海聚搜信息技術(shù)有限公司是阿里云的代理商網(wǎng)址:http://www.4526.cn/可以直接在網(wǎng)站上聯(lián)系阿里云代理商客服進(jìn)行咨詢(xún)服務(wù)器架構和配置以及優(yōu)惠價(jià)格?。ň鬯?a href="http://wap.ysatjc.com/">營(yíng)銷(xiāo)介紹鏈接:http://wap.ysatjc.com/ldd/)是一家致力于搜索引聚搜營(yíng)銷(xiāo)及全網(wǎng)營(yíng)銷(xiāo),致力于為客戶(hù)提供搜索營(yíng)銷(xiāo)領(lǐng)域的服務(wù),幫助廣告客戶(hù)在搜索引聚搜獲取的投資回報,包括搜索引聚搜競價(jià)服務(wù)(SEM),搜索引聚搜優(yōu)化服務(wù)(seo)和搜索營(yíng)銷(xiāo)代運營(yíng)服務(wù),能夠有效為廣告主帶來(lái)高效的投放回報,我們的理念一直是:讓搜索營(yíng)銷(xiāo)營(yíng)銷(xiāo)具有價(jià)值。
阿里云服務(wù)器 ecs 安全嗎:如何提高ECS實(shí)例的安全性
如何提高ECS實(shí)例的安全性
云服務(wù)器 ECS 實(shí)例是一個(gè)虛擬的計算環(huán)境,包含了 cpu、內存、操作系統、磁盤(pán)、帶寬等最基礎的服務(wù)器組件,是 ECS 提供給每個(gè)用戶(hù)的操作實(shí)體。
我們基本可以理解為一個(gè)實(shí)例就等同于一臺虛擬機,那么我們在本地維護的虛擬機一般會(huì )做虛擬機實(shí)例級別的安全防護,以防止虛擬機被攻擊和入侵等。同樣的,云上的ECS實(shí)例也需要做安全性防護。
ECS實(shí)例放置在云上,除了置身于阿里云自身的安全平臺外,用戶(hù)也需要根據實(shí)際的需求進(jìn)一步定制化安全,所以說(shuō)ECS的安全是阿里云和用戶(hù)共同構建的。如果ECS實(shí)例沒(méi)有安全的防護,可能會(huì )帶來(lái)不少不良的影響,比如遭受到DDoS而導致業(yè)務(wù)中斷,比如受到Web入侵而導致網(wǎng)頁(yè)被篡改、掛馬,比如被注入而導致信息和數據泄漏等,影響ECS的使用和無(wú)法正常提供服務(wù)。
一般可以通過(guò)設置安全組、AntiDDoS、態(tài)勢感知、安裝安騎士、接入Web應用防火墻等方式提高ECS實(shí)例的安全性。下面就從實(shí)例層面分別講解一下如何提高ECS實(shí)例的安全性。
設置安全組
安全組是一個(gè)邏輯上的分組,這個(gè)分組是由同一個(gè)地域(Region)內具有相同安全保護需求并相互信任的實(shí)例組成。每個(gè)實(shí)例至少屬于一個(gè)安全組,在創(chuàng )建的時(shí)候就需要指定。同一安全組內的實(shí)例之間網(wǎng)絡(luò )互通,不同安全組的實(shí)例之間默認內網(wǎng)不通??梢允跈鄡蓚€(gè)安全組之間互訪(fǎng)。
設置安全組的好處
安全組是一種虛擬防火墻,具備狀態(tài)檢測包過(guò)濾功能。安全組用于設置單臺或多臺云服務(wù)器的網(wǎng)絡(luò )訪(fǎng)問(wèn)控制,它是重要的網(wǎng)絡(luò )安全隔離手段,用于在云端劃分安全域。安全組規則可以允許或者禁止與安全組相關(guān)聯(lián)的云服務(wù)器 ECS 實(shí)例的公網(wǎng)和內網(wǎng)的入出方向的訪(fǎng)問(wèn)。
如果沒(méi)有很好地設置安全組或者安全組規則過(guò)于開(kāi)放,則降低了訪(fǎng)問(wèn)的限制級別,在一定程度上為攻擊者敞開(kāi)了大門(mén)。
操作步驟
1、登錄 云服務(wù)器管理控制臺。
2、單擊左側導航中的 安全組。
3、選擇地域。
4、單擊添加安全組規則。
5、在彈出的對話(huà)框中,分別設置網(wǎng)絡(luò )類(lèi)型、規則方向、授權策略、協(xié)議類(lèi)型、端口范圍、授權類(lèi)型、授權對象和優(yōu)先級。
6、點(diǎn)擊 確定,成功為該安全組授權一條安全組規則 。
下面結合一個(gè)案例來(lái)闡述一下,比如只允許特定IP遠程登錄到實(shí)例。
通過(guò)配置安全組規則可以設置只讓特定 IP 遠程登錄到實(shí)例。只需要在公網(wǎng)入方向配置規則就可以了,以 Linux 服務(wù)器為例,設置只讓特定 IP 訪(fǎng)問(wèn) 22 端口。
添加一條公網(wǎng)入方向安全組規則,允許訪(fǎng)問(wèn),協(xié)議類(lèi)型選擇 TCP,端口寫(xiě) 22/22,授權類(lèi)型為地址段訪(fǎng)問(wèn),授權對象填寫(xiě)允許遠程連接的 IP 地址段,格式為 x.x.x.x/xx,即 IP地址/子網(wǎng)掩碼,本例中的地址段為 182.92.253.20/32。優(yōu)先級為 1
再添加一條規則,拒絕訪(fǎng)問(wèn),協(xié)議類(lèi)型選擇 TCP,端口寫(xiě) 22/22,授權類(lèi)型為地址段訪(fǎng)問(wèn),授權對象寫(xiě)所有 0.0.0.0/0,優(yōu)先級為 2
最終的效果如下:
來(lái)自 IP 182.92.253.20 訪(fǎng)問(wèn) 22 端口優(yōu)先執行優(yōu)先級為 1 的規則允許。
來(lái)自其他 IP 訪(fǎng)問(wèn) 22 端口優(yōu)先執行優(yōu)先級為 2 的規則拒絕了。
AntiDDoS
阿里云云盾可以防護SYN Flood,UDP Flood,ACK Flood,ICMP Flood,DNS Flood,CC攻擊等3到7層DDoS的攻擊。DDoS基礎防護免費為阿里云用戶(hù)提供最高5G的默認DDoS防護能力。
阿里云在此基礎上,推出了安全信譽(yù)防護聯(lián)盟計劃,將基于安全信譽(yù)分進(jìn)一步提升DDoS防護能力,用戶(hù)最高可獲得100G以上的免費DDoS防護資源。
為什么需要AntiDDoS
DDoS(Distributed Denial of Service)即分布式拒絕服務(wù)。攻擊指借助于客戶(hù)/服務(wù)器技術(shù),將多個(gè)計算機聯(lián)合起來(lái)作為攻擊平臺,對一個(gè)或多個(gè)目標發(fā)動(dòng)DDoS攻擊,從而成倍地提高拒絕服務(wù)攻擊的威力,影響業(yè)務(wù)和應用正常對用戶(hù)提供服務(wù)。
使用AntiDDoS,無(wú)需采購昂貴清洗設備,可以在受到DDoS攻擊不會(huì )影響訪(fǎng)問(wèn)速度,帶寬充足不會(huì )被其他用戶(hù)連帶影響,保證業(yè)務(wù)可用和穩定。
操作步驟
1、進(jìn)入阿里云官網(wǎng),登錄到 管理控制臺。
2、輸入用戶(hù)名密碼。
3、通過(guò)云盾>DDOS防護>基礎防護,查看基礎防護配置。
4、可以加入安全信譽(yù)防護聯(lián)盟。勾選服務(wù)條款,點(diǎn)選加入安全信譽(yù)防護聯(lián)盟加入聯(lián)盟。如下圖所示。
云盾DDoS基礎版提供不大于5G的DDoS防護,在此基礎上推出了安全信譽(yù)防護聯(lián)盟計劃,您可通過(guò)加入此聯(lián)盟,在獲得原默認防護能力基礎上,會(huì )得到免費增量防護帶寬機會(huì )。
加入聯(lián)盟后,可查看自己的安全信譽(yù)分,并查看安全信譽(yù)組成,維護安全信譽(yù),獲得更大的防護能力。加盟成功后在基礎防護界面顯示如下信譽(yù)界面。
5、【基礎防護】點(diǎn)擊對應ECS服務(wù)器的【查看詳情】,如果服務(wù)器數量比較多,可以在【云服務(wù)器ecs】列表中通過(guò)【實(shí)例IP】和【實(shí)例名稱(chēng)】搜索服務(wù)器,再點(diǎn)擊對應服務(wù)器的【查看詳情】。
6、進(jìn)入頁(yè)面后,可以在【CC防護】點(diǎn)擊【已啟用】開(kāi)啟CC防護,點(diǎn)擊【關(guān)閉】則關(guān)閉CC防護功能,在【每秒HTTP請求數】可以對每秒http請求數設置清洗閾值,達到閾值后便會(huì )觸發(fā)云盾的清洗。
7、如果購買(mǎi)了高級DDoS防護,可以點(diǎn)擊【DDoS防護高級設置】可以設置清洗閾值,選擇【自動(dòng)設置】后系統會(huì )根據云服務(wù)器的流量負載動(dòng)態(tài)調整清洗閾值,選擇【手動(dòng)設置】可以手動(dòng)對流量和報文數量的閾值進(jìn)行設置,當超過(guò)此閾值后云盾便會(huì )開(kāi)啟流量清洗(建議如果網(wǎng)站在做推廣或者活動(dòng)時(shí)適當調大)。
態(tài)勢感知
態(tài)勢感知態(tài)勢感知提供的是一項SAAS服務(wù),即在大規模云計算環(huán)境中,對那些能夠引發(fā)網(wǎng)絡(luò )安全態(tài)勢發(fā)生變化的要素進(jìn)行全面、快速和準確地捕獲和分析。然后,把客戶(hù)當前遇到的安全威脅與過(guò)去的威脅進(jìn)行關(guān)聯(lián)回溯和大數據分析,最終產(chǎn)出未來(lái)可能產(chǎn)生的安全事件的威脅風(fēng)險,并提供一個(gè)體系化的安全解決方案。
態(tài)勢感知的優(yōu)勢
對“滲透攻擊”有所感知,以云計算數據平臺支撐,因此具有強大的安全數據分析能力,對各種常見(jiàn)類(lèi)型的攻擊可以實(shí)時(shí)分析和展示。
操作步驟
1、在阿里云用戶(hù)控制臺-《云盾》-《態(tài)勢感知》中點(diǎn)擊免費開(kāi)啟服務(wù),即可使用態(tài)勢感知。
2、通過(guò)緊急時(shí)間、威脅、弱點(diǎn)、情報、日志等方面,輔以直觀(guān)的可視化的分析,讓安全一目了然。
安裝安騎士
服務(wù)器安全(安騎士)是云盾推出的一款服務(wù)器安全運維管理產(chǎn)品。通過(guò)安裝在服務(wù)器上的輕量級Agent插件與云端防護中心的規則聯(lián)動(dòng),實(shí)時(shí)感知和防御入侵事件,保障服務(wù)器的安全。
安裝安騎士的好處
安騎士是很輕量的,服務(wù)器上運行的Agent插件,正常狀態(tài)下只占用1%的CPU、10MB內存。安騎士可以自動(dòng)識別服務(wù)器的Web目錄,對服務(wù)器的Web目錄進(jìn)行后門(mén)文件掃描,支持通用Web軟件漏洞掃描和Windows系統漏洞掃描,對服務(wù)器常見(jiàn)系統配置缺陷進(jìn)行檢測,包括可疑系統賬戶(hù)、弱口令、注冊表等進(jìn)行檢測。
我們可以將安騎士理解為ECS實(shí)例上的防病毒軟件,如果沒(méi)有安騎士,相當于少了一個(gè)可靠的衛士,我們ECS實(shí)例的健康性水平也會(huì )相應降低。
操作步驟
1、服務(wù)器安全(安騎士)Agent插件目前集成于安全鏡像中,在購買(mǎi)ECS后,一般都已經(jīng)默認安裝,您可以進(jìn)入安騎士控制臺-配置中心,查看每臺服務(wù)器的在線(xiàn)狀態(tài)。
2、若不在線(xiàn),請按照如下方式下載并安裝。
1) 進(jìn)入服務(wù)器安全(安騎士)控制臺-設置-安裝Agent頁(yè)面,根據頁(yè)面提示獲取最新版本下載地址,以管理員權限在服務(wù)器上運行并安裝。
2) 對于非阿里云服務(wù)器,在安裝過(guò)程中會(huì )提示輸入驗證Key,這個(gè)驗證Key用于關(guān)聯(lián)阿里云賬號,通過(guò)阿里云賬號在安騎士控制臺使用相關(guān)功能,驗證key會(huì )顯示在安裝頁(yè)面中。
3) 大約安裝完成2分鐘后在云盾·服務(wù)器安全(安騎士)控制臺-配置中心里查看到在線(xiàn)數據,阿里云服務(wù)器將會(huì )從離線(xiàn)變成在線(xiàn),非阿里云機器會(huì )新增在服務(wù)器列表中。
接入Web應用防火墻
云盾Web應用防火墻(Web application Firewall, 簡(jiǎn)稱(chēng) waf)基于云安全大數據能力實(shí)現,通過(guò)防御SQL注入、XSS跨站腳本、常見(jiàn)Web服務(wù)器插件漏洞、木馬上傳、非授權核心資源訪(fǎng)問(wèn)等OWASP常見(jiàn)攻擊,過(guò)濾海量惡意CC攻擊,避免您的網(wǎng)站資產(chǎn)數據泄露,保障網(wǎng)站的安全與可用性。
接入Web應用防火墻的好處
無(wú)需安裝任何軟、硬件,無(wú)需更改網(wǎng)站配置、代碼,它可以輕松應對各類(lèi)Web應用攻擊,確保網(wǎng)站的Web安全與可用性,淘寶天貓都在用。除了具有強大Web防御能力,還可以指定網(wǎng)站的專(zhuān)屬防護,背后是大數據的安全能力。適用于在金融、電商、o2o、互聯(lián)網(wǎng)+、游戲、政府、保險、政府等各類(lèi)網(wǎng)站的Web應用安全防護上。
如果缺少WAF,光靠前面提到的防護措施會(huì )存在短板,例如在面對如數據泄密、惡意CC、木馬上傳篡改網(wǎng)頁(yè)等攻擊的時(shí)候,就不能拿很好地防護了,可能會(huì )導致Web入侵。
操作步驟
1、控制臺配置。
1) 登錄阿里云控制臺,找到云盾->Web應用防火墻->域名配置,點(diǎn)擊“添加域名”按鈕。
2) 彈出的對話(huà)框中輸入相關(guān)信息:
3) 獲取CNAME。配置好域名后,WAF會(huì )自動(dòng)分配給當前域名一個(gè)CNAME,可點(diǎn)擊域名信息來(lái)查看:
4) 上傳HTTPS證書(shū)和私鑰(僅針對HTTPS站點(diǎn))。如果防護HTTPS站點(diǎn),必須上傳服務(wù)器的證書(shū)和私鑰到WAF,否則訪(fǎng)問(wèn)HTTPS站點(diǎn)會(huì )有問(wèn)題。勾選HTTPS后,會(huì )看到紅色的“異?!弊謽?,提示當前證書(shū)有問(wèn)題,點(diǎn)擊“上傳證書(shū)”來(lái)上傳:
5) 接入狀態(tài)異常排查,剛添加完域名時(shí),接入狀態(tài)可能會(huì )提示異常。這是正常的,待修改DNS使用CNAME解析接入WAF后,或者是有正常流量經(jīng)過(guò)WAF以后會(huì )變成正常的。
2、放行回源IP段。
3、本地驗證。
1) 以前面步驟中添加的域名 “www.4526.cn” 為例,hosts文件應該添加如下內容,其中前面的IP地址為對應的WAFIP地址,WAF的IP可以通過(guò)ping提供的CNAME來(lái)獲得。
2) 修改hosts文件后保存。然后本地ping一下被防護的域名,預期此時(shí)解析到的IP地址應該是剛才綁定的WAF IP地址。如果依然是源站地址,可嘗試刷新本地的DNS緩存(Windows的cmd下可以使用ipconfig/flushdns命令)。
3) 確認hosts綁定已經(jīng)生效(域名已經(jīng)本地解析為WAF的IP)后,打開(kāi)瀏覽器,輸入該域名進(jìn)行訪(fǎng)問(wèn),如果WAF的配置正確,網(wǎng)站預期能夠正常打開(kāi)。
4) 嘗試一下手動(dòng)模擬一些簡(jiǎn)單的web攻擊命令,如www.4526.cn/?alert(xss) 預期WAF能夠彈出阻攔頁(yè)面:
4、通過(guò)DNS供應商或者其他域名解析系統,修改DNS解析。
阿里云給我們ECS實(shí)例的安全性提供了這么多的安全產(chǎn)品保駕護航,我們可以根據實(shí)際需要選擇相應的產(chǎn)品,加強對系統和數據的防護,減少ECS實(shí)例接受到的侵害,使其穩定、持久地運行。