點。云上安全建設是一個體系化工程，需要用戶主動進行多方面的考慮和實施，速止損等。安全用云是用好云的第一步，也是最為關鍵的一步。2024ECS安全季】，由阿里云八位產品技術專家組成講師團，通過分享云上安全體系相關產品與最佳實踐，讓用戶快速上手構建業務的安全防護能力。本書內容整理自ECS安全季中的全部課程，供各位開發者&用戶閱覽。TOC\o"1-1"\h\z\u阿里云產品專家教你如何全方位構建ECS安全體系 5九大提升ECS實例操作系統安全性的技巧 23干貨長文快收藏！阿里云專家教你如何安全訪問和管理ECS資源 52來上課！一文掌握守住ECS網絡安全的最佳方法 78萬字干貨教你如何保證業務數據全流程安全 104云安全專家教你如何實現一體化、自動化的云安全審計，運營閉環 137一文教你如何從零構建機密計算平臺解決方案 163阿里云產品專家教你如何全方位構建ECS安全體系2024ECS體系相關產品與最佳實踐，讓用戶快速上手構建業務的安全防護能力。ECSECS安全能力大圖解讀”等內容，本系列全部課程也將在阿里云官網、阿里云官方微信視頻號、阿里云官方釘釘視頻號、阿里云開發者微信視頻號同步播出。以下內容根據課程整理而成，供各位開發者閱讀：對于安全問題，很多用戶的直接反應就是操作是否太難？沒有安全背景和基礎能否快速上手？又或是云上業務規模很小，是否需要知道并了解這些安全措施呢？結合以上的種種問ECSECSECS的一些安全技巧，通過本節課程的學習，大家可以立馬用起來，畢竟安全無小事。本次的分享主要分為以上四個方面。一、云上安全的重要性首先我們來關注一下云上安全的重要性，一直以來安全問題都是用戶上云最關心的問題，我們得到的調研報告顯示96%的受訪者其實非常關注云上安全問題，同時有70%及以上的用戶對云上的安全狀態信心是不足的。想要告訴大家的是，這種擔心并不是可有可無。隨著全球信息化浪潮的不斷推進，我們發現針對數據安全的風險也在不斷上升，甚至愈演愈烈，這一部分的風險也來源于攻擊者不斷進化的攻擊手段和日趨增加的安全事件。cyberattacks-202238%，而網絡攻擊帶來的后果一般都非常嚴重，不僅會導致我們的業務中斷不可用，而且會導致敏IBM2023年445277意味著企業在遭遇了數據泄露以后，平均需要花費277天來識別并控制一個活躍的數據泄露，時間成本和經濟成本非常高。那么除了日趨復雜和嚴峻的安全環境之外，我們來看看ECS的用戶們經常遇到的威脅都有哪些。其實很多用戶上云購買的第一個云產品就是云服務器ECS。我們發現很多用戶在使用ECS的過程中存在著一個誤解，那就是購買了ECS之后就可以“安全無患、高枕無憂”，其實ECSDDosECS數據無法被找回，又或者實例登陸密鑰被泄露，導致數據被刪除無法找回等等。ECSECS10萬次，每天幫助用戶清理的DDos攻擊流量高達2.08Tdps，而我們每天掃描出來的操3700每天依然在發生，那么導致以上問題的根因是什么呢？當前云計算安全建設的主要驅動力其實是合規性要求，我們對安全攻擊和防護的重視度是遠遠不夠的，而安全的本質其實是對抗，要抵御各種威脅才是提高安全的最終目標。隨著云計算得到了廣泛的應用，聚焦于云計算的攻擊者其實會搜集網絡上各種云服務，進而去發現脆弱性并且加以利用。這些脆弱性主要來源于上圖展示的五個方面。根據2023年cloudsecurityAlliance的topcloudsecuritychallenges我們可以看到，首當其沖的是用戶配置不當導致；其次是因為客戶在云計算的技能不足導致；第三是多云環境下的能見度不足導致的。根據Gartner預測，到2025年，由于用戶配置不當導致的99%。由此我們可以看到很多安全問題最終的根因其實歸結為兩點，第一個其實就是安全意識的不足，第二個是我們安全實踐技能相關的缺失。安全意識的不足這一點大家有目共睹，尤其是在我們DoveOps升我們的開發效率，我們的開發運維團隊會大量使用三方開源工具或者一些軟件庫，甚至是一些公開的容器鏡像。這些開源軟件或者是鏡像中如果存在了一些安全漏洞，或者說遭遇了惡意污染，但我們的開發運維同學并不會去做嚴格的安全風控。最終如果用戶使用了這些軟件，那么接下來大家的業務則會面臨著一些安全的風險，同時我們也注意到有很多人在無疑是的把業務中的一些敏感代碼或者數據在互聯網上進行托管，這種操作其實也會存在著一些數據泄露的安全風險。23%50%的企業承認自身的網絡安全水平其實是落后于起初規劃的。其中一方面是因為大家自身技能的確實，另一方面也是大家不得不考量的成本問題，所以我希望今天的分享能夠給大家做到安全方面的基礎的科普，以及安全嘗試，幫助大家盡量做到盡量避免因為配置不當或者意識不足導致的業務風險問題。二、安全責任共擔模型介紹ECSECSECS在傳統的云下應用架構下，搭建一個信息系統，需要自行負責信息系統所以來的所有底層軟硬件的資源和服務搭建。如果把信息系統的搭建比作為一個房子，那在我們的傳統服務模式下，我們則需要自行準備搭建一個房子所需要的全部資源。其實這里可以類比為我們在鄉下宅基地自建房，需要選址打地基，設計房屋構造和布局，拉上水電煤等技術服務，最后做內部裝潢，可能還需要判斷房子外圍是否需要加蓋院子和圍墻，來保障房子的安全。所以我們可以看到，在傳統架構下，所有的任務和服務都需要我們自行設計、自行管理和自行維護。而在infrastructureasservice基礎設施及服務這種的服務模式下，我們可以看到云服務管理和維護，同時他們還需要保障不同的用戶或者不同房子之間的資源隔離問題，需要做到互不影響。而我們作為用戶，只需要根據業務需要以及當前的屬性去做一些選擇和配置即可。那我們來看一下選購一個ECS和選購一個“房子”有哪些重要的參考參數呢？首先就是選擇地域和可用區，ECS的地域和可用區類似于房子地段的情況，地段由城市和縣市決定。在地域和可用區的選擇上，主要交由用戶選擇。建議大家選擇在更靠近業務服務的目標用戶的區域，這樣整個網絡延遲相對更低。VPCVPCVPCVPCVPCVPC中的房子在不出小區的情況下就能夠互通，如果我們在一個小區中有多套房子，就可以通過交換機操作類似單元樓的方式進行劃分，方便管理。所以在某種程度上，我們選擇ECS的VPC和交換機，其實就相當于我們在選擇房子所在的一個小區和單元樓。ECSECSWindowsserver2023去選擇這個房子的戶型究竟是三室兩廳還是兩室兩廳。ECS的ECS實例的入出方向的流量，相當于我們設置的一個“規則”來允許什么人可以進出單元樓，所以我們可以把安全組類比做門禁卡，可以通過設置門禁卡的規則來限定什么樣的人能夠進入我們的小區，進入我們的房子。們的門，進入到房子中去，所以如果我們的用戶名和密碼沒有得到很好的保障，則相當于ECSECSECS需要我們作為租客（用戶）ECS沒有設置對應的網絡隔離，整個實例操作系統的安全性有沒有得到保障等等，以及有沒有ECS部分是由我們作為用戶，需要自己管理并負責的。而云服務提供商其實就和房地產開發商一樣，主要負責兩部分的安全，第一部分其實負責對整個地域和可用區里面的基礎設施進本報告來源于三個皮匠報告站（）,由用戶Id:247865下載,文檔Id:153972,下載日期:2024-11-18ECS會更清晰。上圖右側列舉了云服務提供商和我們的用戶之間的責任邊界，可以看到云服務提供商對云本身的安全性負責，而云本身的安全性分成了兩個維度，第一個就是基礎設施的安全性，第二個是云服務的安全性。基礎設施的安全性主要包括底層硬件的主機安全，以及一些虛擬化的安全。要提供一個安全、合規、可靠的基礎設施，這也類似于我們房子的地基，房子的地基是否安全，房體所使用的鋼筋水泥土是否符合國家建筑安全的規定。云廠商的第二個安全責任就是需要對云服務的安全性負責，主要是云服務本身是否安全。ECSECS們可以分為四個維度。最底層GuestOs安全其實是我們ECS其次是訪問安全，本質上來說，主要控制有哪些用戶能夠訪問我們的實例。第三塊是網絡也是云上安全的最終目標，當然其中也存在著不同的維度，比如我們可以用快照做數據備份，也可以對存儲的數據進行加密，甚至可以通過機密計算的方式保證數據在計算過程中的安全性，這里預告一下，數據安全在后續章節也會有講師為大家做深入的開展。整體來說，ECS的安全責任共擔模型明確了云廠商和用戶大家的責任邊界，以及在每個維度上用戶能夠做的提升ECS安全性的一些事情。前面介紹的安全責任共擔模型其實是一個整體大原則，根據《中華人民共和國網絡安全法》以及《互聯網信息服務管理辦法》等相關法律規定，他們對廠商和云平臺其實提出了更多的法律監管的要求，也意味著云平臺除了前面提到的需要對云本身的安全性負責意外，還需要根據國家的法律法規對以下的兩類違法行為進行主動管控。ECSECSECSDDos使用云產品從事一些虛擬貨幣相關的工作活動，比如挖礦等，均屬于違規行為。第二類是ECS賭博等非法行為，以及出現危害國家安全，破壞政治社會穩定的信息。在這種情況下，云平臺有權依照相關的法律采取相應的封禁措施。對于存在一般違法行為的ECS，阿里云會對ECS上的url和域名采取一些阻斷動作。如果出現賬號被封禁，用戶可以申請免費解禁，或者申請主動解禁。但對于嚴重的違法行為，我們除了阻斷url和域名訪問意外，還會禁止用戶解禁，除非用戶把數據完全刪除/完全釋ECSECSECSECS辦法正常使用。三、ECS安全能力大圖解讀第三部分我將為大家進行ECS安全能力的全貌解讀。上文《安全責任共擔模型》中提到，云廠商負責云本身的安全性，而用戶需要對云上的安全性負責。那在云上安全性這個維度上，阿里云也提供了一系列的安全能力和云產品和功能，來幫助大家快速的完成對應的安全能力的構建。在這里我們將ECS的安全能力主要分成了以下五個維度。第一個是GuestOS安全的安全。GuestOS安全的安全前面提到其實就是ECSECS登錄安全。這兩點類比的話，相當于房子的門窗是否緊鎖，以及鑰匙和門禁卡是否安全。第二個是網絡安全。網絡安全是最容易忽略的。因為上云之后，所有的資源都在網絡上，意味著人人都可以看到，如果設置不當，也可能會導致人人都能夠訪問。在這種情況下，如何能夠進行安全保因為單元樓和小區起到了物理的訪問隔離的作用，加之門禁卡，就在訪問隔離和訪問安全VPCECS第三部分是身份與訪問控制。/公司中很多人在共同使用資源的角度出發。相當于一個公司有很多房子，分布在多個小區和單元樓，公司中什么樣的人能夠訪問什么樣的資源，對于核心資源的使用過程需要多次驗證，臨時來訪用戶需要臨時授權等等，需review的方式訪問了“房子”。所以某種程度上，身份與訪問控制更多的是從一個組織的角度出發，對整個組織下面的多種角色以及訪問行為進行全面的控制，同時還可以做審計，這樣可以保證我們云上的資源訪問能夠可追溯且可授權。第四部分是應用安全。WebAPP應用，主要作用其實是對外提供ECS要的就是保障服務的可用性。那么如何保障我們服務的可用性？阿里云提供了非常多的工WebAPP的業務流量進行惡意特征識別，然后對流量進行清洗和過濾，能夠把正常的流量返回給服務器，來避免網站服務器被惡意入侵，從而保證整個網絡的業務安全。最后一點數據安全。數據安全是所有安全防護的終極目標，數據安全也是一個端到端的安全保障機制。因為數據本身存在三種狀態：靜止態、傳輸態、使用態。靜止態指數據存放在某種地方，可能存在被誤刪/被刪除的風險，可以通過定期數據備份保障對應的數據安全。同時，還可以通過數據加密的方式保證靜止態數據安全。數據加密可以防止數據泄露，保證數據在傳輸過程中的安全性。使用態的數據使用安全，一般指的是在內存中讀寫的數據安全性，而機密計算其實是通過一種基于硬件的可信執行環境來達成在計算中保障數據安全的目的。所以數據安全更多的是一種端到端的安全保障機制，如果大家的業務對數據安全有更高的要求，則可以選擇性的采取必要的措施來保障數據安全。ECS個產品，它基于云上的最佳實踐和在其中提到的云上基礎和安全保障能力，為用戶做更多ECS下面將為大家介紹兩個最佳實踐，讓大家有更直接的體感。第一個是最佳實踐是圍繞GuestOS安全性提升的。前面提到了，GuestOS的安全性是整那如何從這兩個維度上去提升我們GuestOS的安全性呢？圍繞著登陸安全這個維度我們有幾個簡單的tips。rootECSuesr賬號登錄，而不是默認的root賬號。如果大家的能力更高階，我們會推薦用戶使用LinuxsshrootsshECS供的云助手提供的會話管理功能。它類似于堡壘機的功能，在不需要密碼的情況下能夠安全的登錄到ECS的實例上，同時也可以通過會話管理或是workbench對所有的登陸操作進行追溯。關于操作系統安全，上文我們也提到操作系統的安全相當于整個房子的門窗是否安全，所以在這部分，我們首先推薦用戶開啟鏡像加固，使用免費版的云安全中心對操作系統中存在的安全漏洞進行掃描并定期修復。同時，云安全中心的收費版不僅可以對系統漏洞進行修復，同時還能夠對操作系統中存在的木馬和病毒進行掃描和修復。當然如果我們有足夠的能力且沒有付費意愿，還可以通過系統運維管理的補丁管理去自動設置對應的補丁掃描，并且設置對應的修復策略。系統補丁管理程序則會根據設置自動掃描對應的操作系統中的補丁情況，并根據指定的修復策略自動完成對應的補丁修復，并且幫助我們去重啟實例，保證補丁得到最新的修復。此外，如果我們對安全等保這個地方有要求，也可以使用阿里云提供的原生操作系統——AlibabaCloudLinux等保2.0的鏡像來提升整個操作系統的安全合規要求。上圖中展示的灰色部分是基礎能力，也意味著我們推薦所有用戶都采用這樣的策略，黃色部分是高階能力，推薦大家按需使用。第二個最佳實踐實際為一個綜合性解決方案。我們發現很多用戶在安全維度面臨的問題是，用戶無法判斷當前自身業務是否存在安全隱患，所以也無法進行優化/戶想要做一些安全性的改造，卻不知道從哪里可以入手且快速看到效果。正如我們前面介紹的，絕大多數安全性問題其實是由于用戶配置不當或者意識不足導致的，所以對絕大多數用戶而言，我們提升安全性的第一步是要識別我們當前的安全風險。那如何能夠快速識別我們業務中常見的通用安全風險，進而防患于未然呢？在這里，ECSInsight是我們推薦的一款一站式解決方案，它能夠幫助用戶快速發現問題，并且識別問題的嚴重程度，同時推薦對應的解決方案。對于沒有太多安全基礎，但想要提升安全性的用戶來說，不清楚第一步如何落腳”ECSInsight是一個快速上手的好選擇。ECSInsightECS和關聯資源的分布、使用、配置等信息做分析，并結合機器學習算法進行建模，最終結合云上的最佳實踐和最佳方案，給用戶最終提供兩個輸出。ECS100險，則會進行扣分。第二個輸出是對應的風險應對優化推薦方案。對于每個維度的失分項，ECSInsight都會根據該問題的嚴重程度來進行區分。對于高危項，我們推薦用戶立刻采取行動進行修復，對于告警，我們推薦用戶選擇合適的時間及時進行修復。對于提示項、不適用項和健康項，ECS前業務存在的安全風險，并及時修復，防范于未然。下面為大家介紹一下ECSInsight的簡單的demo。大家登錄ECS的控制臺，在導覽頁里面就會有一個ECSInsight這個服務，開通之后需要花費t+1的時間對當前賬號下所有資源的分布、使用、配置等信息去做一些數據的采集，建模分析，最終就會為大家產出一個分析報告。其實我們可以看到它主要分為了六個維度，也是從這六個維度的角度上做了評分。每個維度ECSinsight會根據對應問題的嚴重程度歸類。對于高危項和警告項，是需要用戶立即采取行動的。而對于不適用項和提示項，其實是nicetohave的能力，用戶可以適當做一些參考。ECSInsight含網絡安全能力、實例訪問安全能力和實例數據安全能力三個維度，每個維度都提供了詳細的安全風險評估標準。對于未得分項，都可以點開具體看到評分規則，以及對應的受影響的資源是什么，以及對應的修復建議和對應的最佳實踐。最后我們可以參考最佳實踐和對應的修復建議來完成相關的配置修改，就能夠完成相關的風險修復，也歡迎大家到ECSInsight頁面上體驗我們的產品，從而達到ECS安全性的提升。四、云上安全的展望最后為大家分享我們對云上安全的展望。第一個是機密計算。上文提到的，網絡安全很大一部分其實是為了保障數據安全，而數據根據其情況我們可以分為靜止、傳輸和使用中三個狀態。而存儲的數據屬于靜止態數據，在網絡中屬于傳輸態，而正在處理的數據則屬于使用中的狀態。前面提到的加密技術主要用于提高數據的機密性，進而防止一些未授權的訪問和保障數據完整性，也就是防止未經授權的修改，它主要用戶保護傳輸中和靜止狀態的數據。那么數據在內存中使用時如何保證其安全性呢？這其實就是機密計算的目標場景了。機密計算通過在基于硬件的可信執行環境中執行計算的方式來保證使用中的數據的安全性。而可信執行環境則通常被定義成能夠提供一定程度的數據的完整性、機密性和代碼完整性來保護環境。而基于硬件這樣一個可信執行環境，主要使用我們芯片中的一些硬件支持的技術，為代碼的執行和環境中的數據提供保護，從而提供一個更強的安全性的保證，進而targetCPU御一些惡意軟件入侵的攻擊手法，比如烏克蘭的電網攻擊。對于機密計算感興趣的同學可以聽我們后續的其他講師的一個專題的分享，在這里面我可能就不做詳述了。第二個是零信任安全。零信任安全其實是一種安全理念，它的基本原則其實是不信任任何設備和用戶，除非驗證其可信。同時，用戶和設備在經過驗證之后還會持續監控設備的安全狀態和用戶行為，一旦發現信用等級下降，則需要動態的調整訪問級別，并在需要的時候去切斷對應的訪問會話。所以，零信任本質上來說是一種更安全的云上設備和身份的驗證。在傳統的網絡安全保障機制中，主要通過子網劃分、安全域劃分、網絡控制等手段去實現網絡管控。隨著網絡設備和云計算被廣泛使用，也讓企業員工在任何時間、任何地點、都能夠使用任何設備來訪問企業資源這是一種常態的趨勢，在這種趨勢下，我們認為零信任的安全則是一種更安全、更有效的安全防護機制。最后想和大家分享的一點是“當安全性遇到AI”。其實Gartner早在2016年就提出了AIOps的概念，并在2017年把它明確定義為需要借助人工智能的算法提供具有一些動態性、預測性的一個洞察能力，最終實現IT運維自動化的能力。在AIOps中，我們可以看到Gartner主要強調了三個關鍵點。第一要使用AI算法，第二要能夠發現并識別一些異常信息，第三是要能夠完成一些自動化的運維執行。所以，雖然AIOps很多時候強調的是智能化運維，但是我認為在安全領域下，這三個關鍵點依然是有AIAIOps在安全這個領域維度上也應該能夠實AI并且能夠自動化的給出執行建議，同時自動化的輔助/幫助用戶完成對應的安全措施。以上就是本次課程的全部內容。/play/u/null/p/1/e/6/t/1/445056548306.mp4九大提升ECS實例操作系統安全性的技巧引言：【彈性計算技術公開課——ECS安全季】第二節課程由阿里云彈性計算技術專家陳懷可帶來，本文內容整理自他的課程，供各位閱覽。一、安全事件案例回顧與操作系統安全概念介紹在介紹操作系統安全概念前，我們先來看一下國際上曾經發生過的幾個真實的安全事件。第一個安全事件：國外某政務官員，他是一非常喜歡發推特的人，可能不知道的是，他在就任期間，他的推特賬號曾經被人盜用過。像這類知名的公眾人物，他們的一言一行都會對社會產生重大的影響，可想而知，他們的賬號被盜用的影響會有多大。整個安全事件的過程比較簡單，簡單梳理一下。在2012年LinkedIn網站被攻擊，2016年，相關的數據庫被泄露出去，泄露的數據庫中有包含這位官員的賬號和密碼，通過這個賬號密碼，攻擊者攻擊了他的推特賬號。這就是典型的撞庫攻擊，因為在大多數人的行為習慣中，習慣性的會在所有的產品中長期使用一個或幾個固定的密碼。而不會特意去修改。這位官員同大多數人一樣，使用同一套密碼，最終導致了他的推特賬號被入侵。回過頭看整個安全事件，導致這一起事件的根本原因在于長期使用一套固定的密碼，而且沒有進行修改。再來看另外一個安全案例，去年九月，斯里蘭卡國家政務云被黑，同時丟失了四個月的重要數據。詳細看一下這個事件的前后因果，斯里蘭卡國家政務云中使用一款軟件叫做Microsoftexchange2013漏洞，因為財政方面的問題，沒有得到及時升級維護，攻擊者通過這軟件漏洞發起了勒索軟件攻擊，最終導致近四個月數據的永久丟失。可以清晰的知道，導致這一起安全事件的根本原因在于使用了停服的軟件，軟件沒有得到及時的升級更新安全補丁。回顧剛剛的兩個安全案例，在案例1中，用戶用于登錄系統的賬密泄露了以后，攻擊者利用泄露的賬密攻擊系統，導致系統被入侵，如果訪問操作系統常用的賬密泄露了，攻擊者能夠很輕易的登錄到操作系統，部署勒索鍵，導起關鍵數據信息等等危害。案例2中，系統未及時更新安全補丁，導致攻擊者利用漏洞進行入侵并部署勒索軟件，攻擊者經常使用操作系統內未及時修復的安全漏洞實施入侵攻擊。那么該如何保護我們的操作系統呢？我們來將操作系統的安全分為三個部分，第一部分是訪問操作系統的安全性，它定義了誰能夠來訪問操作系統，用怎樣的方式來訪問。第二部分操作系統內部的安全性，包括安全補丁以及技術的安全能力等等。第三部分是涉及到法律法規的一些要求，比如審計、合規要求等等，提升操作系統安全性的辦法，我們根據上述的操作系統安全性的三個組成部分，分別是提升訪問操作系統的安全性、安全加固操作系統以及操作系統安全進階這個三部分。二、快速提升訪問操作系統安全性接下來針對如何提升操作系統安全性，分三部分詳細展開。ECS個部分，使用密鑰對登錄實例、使用會話管理免密登錄實例以及避免端口/0的授權。如何使用密鑰對登錄實例，可能這里會有部分的同學存在疑問，什叫做密鑰對？密鑰對實現的原理是什么？使用密鑰對登陸實力有什么樣的優勢？RSA2048和私鑰認證的方式進行登錄，是一種安全便捷的登錄方式。由用戶生成一組密鑰對將公鑰~/.ssh/authorized_keys器端生成一串隨機數，使用公鑰進行加密，返回用戶端加密的信息，用戶端使用私鑰本地進行解密，并發送服務器端解密后的信息，服務器端對比解密后的信息，對比驗證信息有效才允許用戶登錄。這種方式相對于傳統的賬密的登錄方式的優點，它的優點主要有兩個，一是相對于常規的用戶口令容易被爆破的風險，密鑰對杜絕了暴力破解的危險，另外一個是密鑰對登錄方式更加簡便，一次配置，后續再也不需要輸入密碼。但是也要求需要保護好私鑰不被丟失泄露，因為擁有您的私鑰的任何人可以解密的登錄信息。需要注意的是，阿里云不會存儲私鑰文件，也就是在創建密鑰對時僅有一次下載密鑰對的機會。常用密鑰對登錄ECS實例的方法，主要有四種，第一種是使用ECS提供的Workbench，在Workbench中導入私鑰連接ECS實例，若您的私鑰在本地是加密的，如圖所示的Workbench還可以支持傳入私鑰口令的方式解密訪問。第二種是使用第三方的密鑰對工具，使用第三方密鑰對登錄工具時，需要遵循該工具的使PuTTYgenSSHconfig文件的ECS及私鑰地址、還有公網信息等等這信息，這種方式適合多臺實例登錄的場景，這里需要注意的是以上四種常規的密鑰對登錄方法，后面三種都是需要用戶開啟公網的IP才能夠進行訪問的。對需要使用密鑰對的用戶，如何更好更安全的使用密鑰對，我們有兩方面的建議，第一是保護好本地私鑰，第二是可以優化密鑰對的服務配置。如何保護好本地私鑰？常規方案會推薦用戶使用密碼的方式進行保護私鑰。需要保證持有正確的密碼的人才能夠訪問到私鑰。在使用私鑰時，每次都是需要輸入密碼。一是控制臺Workbench也是支持輸入口令密碼的方式訪問到您的私鑰。另外，盡可能的不使用默認的密鑰對的存儲位置，將私鑰保存在自定義的目錄中。在保存私鑰的目錄中設置正確的訪問權限，只允許特定的用戶能夠訪問。在保存私鑰的系統上，還需要及時的安裝最新的補丁和安全更新，以保護系統不受知名漏洞的影響。同時，為了防止私鑰的丟失和誤操作刪除，還可以定期備份私鑰。在使用密鑰對服務配置時，我們建議可以修改連接端口為非標準端口，密鑰對的默認連接22221024~65535.rootECS權限。建議您在新購實例時選擇使用ecs-user的普通賬號，并且在密鑰對服務中配置禁止rootECSECS錄，以進一步提高安全性。ECSRSA2048ECSRSA、DSA、DSSECS免導入私鑰。要使用密鑰對登錄ECS實例目前也存在一些限制，比如當前僅支持Linux實Windows22允許指定端口在本地客戶端公網IP進行訪問連接。ECS錄時具有更高的安全性。接下來我將詳細介紹會話管理。VNCECS實例，且兼具安全性。從一開始的安全升級案例中，使用常規賬密的登錄對密碼的復雜度要求比較高，并且需要定期進行修改，防止密碼泄露后的風險，很難進行管理。或許大家可能會想到使用密鑰對登錄一些實例不就解決問題了？答案是肯定的。不過使用密鑰對登錄實例的時候也會存在一些因素限制，比如常用的密鑰對登錄實例，通常需要開放公網IP，并且開放22端口。一旦公網IP開放之后，允許更多的ECS另外，無論是使用密鑰對還是使用賬密登錄，都不能做到記錄和審計，很難發現攻擊者的入侵行為。相比于傳統賬密的登錄方式，云助手登錄它有幾個優點，第一它是不需要分配公網IP的就ECS另外它可以記錄、審計，通過訂閱對應的審計日志進行定期的安全分析，能夠及時發現一些非易侵內的訪問行為。會話管理登錄實例是如何做到這些，會話管理建立鏈接的原理。RAM訪問控制權限進行健WebSocketURL10token，websocketURLtokenwebsocketECSagentwebsocketagentWebSocket的鏈接。WebSocketECS會話管理的安全性主要在于會話管理客戶端與云助手服務端的agent間的通信是使用WebSocketWebSocketSSORAMWebSocketSSHVNCECS常用的會話管理鏈接方式主要有四種，最常用的是直接使用會話管理連接實例，另外也支持了使用會話管理端口轉發連接實例。例如ECSweb服務，可以通過端口轉發指的方式直接連接外部服務，還有一些客戶希望在使用會話管理的基礎ECS也支持使用會話管理，以密鑰對以及臨時密鑰對方式進行連接實例。如表格所示的，各自都存在一些優勢以及不足，優點是使用會話管理都不需要用戶開啟公網IP、會話管理、端口轉發以及直連和臨時密鑰對都不需要再管理密鑰以及密碼。端口轉發以及直連也不需要開放端口，不足的地方是其中使用會話管理密鑰對以及臨時密鑰對連接實例的時候，都是需要開放22端口的，使用會話管理密鑰對連接實例的場景，同時用戶還需要自己保存對應的私鑰。RAM連接所有的實例，也可以允許子賬號連接指定的一個或者多個實例，或者使用綁定的實例標IP進行連接實例。RAM建議使用標簽的方式進行批量管理權限，便于權限的回收以及收予。會話管理也存在一些權限的限制，比如需要一些授權StartTerminalSession的方式，以及DescribeUserBusinessBehavior等等權限。會話管理的使用還存在一些限制，必須要授StartTerminalSession以及DescribeUserBusinessBehavior等等權限。除了使用密鑰對登錄實例以及使用會話管理免密登錄實例外，還需要避免端口0.0.0授權對象的訪問。眾所周知，Linux操作系統使用了SSH終端連接，默認使用22端口，Windows操作系統RPD3389意來源的訪問可能導致黑客或者攻擊者在未經過您的授權的情況下，通過這些端口登錄到操作系統中。如何限制這些訪問？阿里云免費為您提供了實例級別的虛擬化防火墻，也就是安全組，它ECSECS組將放行2233898044IP都可以訪問。默認安全組的配置并不安全，需要經過一些簡單的配置。安全組的配置應該遵循以下幾個基本原則，安全組應該作為白名單使用，而不是黑名單。安全組出入規則時應該遵循最小權限原則，避免受予過大的權限。不需要公網訪問的資源不應該提供公網IPIP將暴露增加您的ECS放。若您需要開放端口，應盡量避免的授權，并需要開放的端口授權指定的IP或者IPIP為00網段通過TCP協議訪問到22端口，經過安全配置之后，00端口可以進行訪問，但是00端口所有的請求將會被拒絕。我們強烈建議您按照上述的原則，僅開放必要的端口提供給有限的IPECSIP的對象訪問授權。作為操作系統的另外一重要的部分，操作系統內部安全也是至關重要的。三、如何安全加固您的操作系統接下來介紹一下如何安全加固操作系統。本章節主要包括三部分，使用OOS補丁基線自動更新安全補丁、AlibabaCloudLinux操作系統內核熱補丁以及使用免費的基礎安全服務。OOS補丁基線自動更新安全補丁。為什么需要更新安全補丁，回顧安全事件案例二，斯里蘭卡國家政務云正是因為使用了存在漏洞的軟件，導致操作系統被入侵，丟失了將近四個月的重要數據。如圖所示的一些官方渠道經常會發布一些安全漏洞的公告以及修復漏洞的安全補丁。黑客常常利用網上已經公布的安全漏洞，并且特定的工具進行掃描、攻擊、入侵。您若未及時更新操作系統，時間越久，您就面臨的安全風險越高。安全攻防常常是攻擊方、防守方時間上的競速，實際上不存在完美的系統，但只要修復的比攻擊的更快，系統永遠是安全的。另外一方面，許多行業標準、法律法規都要求企業定期更新軟件或操作系統，并及時安裝最新的安全補丁，以滿足合規性的一些要求。既安全補丁的更新重要，如何盡快知道操作系統中存在安全漏洞，以及如何快速找到對應的安全補丁，并且安裝補丁快速修復安全漏洞。OOSOOSECS的補丁進行掃描和安裝。在這個過程中，用戶可以選擇安全相關或者其他類型的更新，自動修復相應的ECS實例。它能夠支持主流的WindowsLinux多達31種操作系統，包括CentOS、RedHatUbuntu、WindowsService等等。不同的操作系統版本補丁基線實現的原理因為使用不同的包管理工具，掃描與安裝補丁的原理都會有所差異。如圖所示的CentOS7使用的yumCentOS8使用的是dnfUbuntu使用的是apt，yum包管理工具為例，存在更新通知的概念，在軟件倉庫存儲者名為updateinfo.xml的一個文件來存儲軟件的更新通知。根據updateinfo中的更新通知如圖CentOS公共安全基線規則配置所示的補丁基線配置了包括更新通知的類型以及嚴重等級，包括了SecurityBugfix...對應的更新通知的類型以及嚴重等級為CriticalImportant...。配置后它工作流等效的命令相當于執行了嚴重重要yumupdate等級的安全補丁。Windows安裝ServicePack以及LinuxECS實例進行ECS能會存在多個賬號，多個賬號的一些是的補丁集中管理是比較重要的一個問題。在跨賬號的補丁修復的產品中，阿里云的角色主要分為兩個，一個是管理賬號，另外一個是資源賬號，其中資源賬號可以是一個也可以是多個，管理員賬號本身其實也是一個資源賬號，如右圖所示的可以通過所有資源賬號下創建一個管理賬號，賬號可以分別扮演對應RAM丁修復的效果。操作系統內嚴重的安全漏洞修復是刻不容緩的，但是修復通常需要重啟操作系統才能夠進行生效，重啟又會影響線上業務的運行，接下來看一下什么是AlibabaCloudLinux操作系統內核熱補丁。AlibabaCloudLinux操作系統為內核熱補丁的高危安全漏洞，也就是CVE以及重要的錯誤修復Bugfix下，平滑且快速的為內核更新高危安全漏洞以及重要的錯誤修復的補丁。它有以下的幾個優點，第一是不需要重啟服務器以及任何業務相關的任務進程，也不需要等待長時間運行的任務完成，也不需要用戶注銷登錄，不需要進行業務進行遷移。不過它也存在一些限制，它僅僅適用于AlibabaCloudLinux的操作系統，而且要求是指BugfixCVE后，不能對補丁的函數進行測試以及跟蹤。采用熱補丁的升級方法主要有兩種：一種是手動的查看AlibabaCloudLinuxCVERPMyum第二種方式，安裝使用阿里云提供的內核熱布定管理工具livepatch-mgr，它能夠極大的簡化流程，只要一個命令就能夠實現，支持熱補丁的查看、安裝、卸載等等能力。OOS補丁基線以及內核熱補丁外，ECSECS是云安全中心免費版。也可以選擇取消該能力，但是強烈建議您開啟該能力，它能夠為您提供基礎的安全加固能力，包括主流的服務器漏洞掃描、云產品安全配置基線核查、登錄AK異常調用、合規檢查等等。云安全中心免費版是完全免費的服務，不收取任何費用。如果有更多的一些需求，可以購買相應的高級版、企業版以及旗艦版。LinuxWindows系統的漏web-CMS以幫助您更全面的了解您資產中存在的漏洞風險，降低系統被入侵的風險。云安全中心免費版還為您提供異常登錄檢查的能力。異常登錄檢查的原理是云安全中心agent通過定時收集服務器上的一些登錄日志并上傳到云端，在云端進行分析和匹配。如果發現非常用登陸地或者非常用登錄的IP的時間將會觸發告警。如何判定不同的IP務器未設置常用登錄地點，這段期間內登錄行為不會觸罰告警。當某公網IP第一次成功登錄到的服務器后，云安全中心將會該IP地址的位置標記為常用登陸地。并且從這個時間開始往順延24小時內，所有的公網登錄地址將會被記錄為常用登陸地，超過24小時，所有不在上述常用登陸地的行為被視為異常登錄告警，當某IP判定IP成功登錄六次或者六次IPIP中心會對某異常IP進行第一處理。常用登錄IP、采用登錄時間、采用登錄賬號以及對上述的登陸地IP、登錄時間登錄賬號之外的均設置為提示告警。AKAK時檢查GitHub等平臺公開源代碼中是否包含阿里云的賬號AKAK泄露風險。AKAKAKSKSK息有效時，才會根據您設置通知方式，比如站內信、郵件、短信等發送通知。建議您定期AKAK四、進階提升操作系統的安全性除了訪問操作系統安全以及操作系統安全加固外，一些等保合規、審計場景都會有更多的一些安全要求。接下來看一下進階提升操作系統安全主要包括的幾個內容，一個是日志審計，另外一個是等保合規兩類型。首先是日志審計，我們為什么需要做日志審計。根據FireEyeM-Trends2018報告，企業安全防護管理能力比較薄弱。尤其是亞太地區，101498企業需要長期可靠、無篡改的日志和審計支持來持續縮短這時間。同時，日資審計也是法律的剛性需求，無論是在中國境內還是在海外，企業落實日志審計20172019絡安全等保2.0標準》。我們建議啟用會話管理登錄實例。在您啟用會話管理登錄您的實例時，我們建議您同時啟用會話管理操作記錄投遞能力，它允許用戶將會話管理操作記錄投遞到您的存儲對象或者日志服務中進行持久化存儲，以便以續對操作記錄進行進一步的查詢、分析、審計。如圖所示它能夠記錄到哪賬號對哪實例做了什么樣的操作，操作命令以對應的輸出分別是什么，這對后續的安全分析是非常有意義的。另外，我們還強烈建議客戶開啟操作審計服務。操作審計服務可以幫助您監控記錄到云賬號對產品服務的訪問以及使用行為，您可以根據這些行為進行安全分析，以監控未授權的訪問，識別潛在的安全配置錯誤、威脅和意外行為。或滿足某些合規審計的一些操作。除了登錄審計以及操作審計外，我們建議您開啟日志審計服務。日志審計服務在繼承現有日志服務的功能之外，還支持多賬號下實時自動化、中心化采集云產品的日志進行審計，同時還支持審計所需要的存儲、查詢以及信息匯總。日志審計覆蓋了多種技術產品，包括存儲、網絡、數據庫、安全等產品，您也可以將您的應用日志接入到日志審計服務中，支持自由對接其他生態產品或者是自由的授課中心。很多企業自身有成熟的法規條件以及合規審計團隊，對賬號、設備的操作、網絡行為資質進行審計，客戶可以直接消費原生的一些日志，也可以使用日志審計服務的審計功能，構建并輸出合規的一個審計信息。日志審計中有開啟登錄審計、操作審計日志審計服務，以滿足相關的法律法規要求。對于等保合規，我們還提供了更多的安全能力。說到等保合規不得不提到堡壘機。什么是堡壘機？實時還原運維場景，保障云端運維的身份可以鑒別、權限可以控制、操作可以審計。解決了眾多資產管理難、運維職責權限不清晰以及運維事件難追溯等等問題，阿里云為您在Workbench連接ECS實例時提供了便捷的堡壘機訪問方案。什么場景下需要使用堡壘機？首先是國家在不斷加強對網絡數據安全的管控要求，縱觀整運維的過程，種種的數據運維安全風險，運維安全行為的管控勢在必行，國家也在多個安全保護規則中增加了對相關安全需求。什么樣的場景下需要使用堡壘機？首先是國家在不斷加強對網絡數據安全的管控要求，比如等保二級，等保三級，也就是過國內的等保合規使用堡壘機就可以。另外企業自身的運維風險開始不斷的增加，有一些客戶需要確定來源，身份定位，操作過程回溯，以及賬號密碼的管理，運維的管控等等，可以使用堡壘機。堡壘機能夠做些什么？堡壘機常用的安全能力包括賬密的一些托管，堡壘機支持資產運維免登錄，對賬號密碼進行統一托管，無需用戶進行輸入賬號和密碼。另外運維的身份鑒別，在仿冒用戶登錄防范上，堡壘機支持雙因子認證功能。另外運維權限管控的收斂，堡壘機具有細粒度的權限管控能力，可以根據用戶組進行劃分資產訪問權限，另外還具有高危行為攔截能力。在惡意訪問行為上，云盾堡壘機可以對敏感的高危操作，比如刪庫rm-rf/*）等行為進通過直觀錄播的方式，更真實的還原了全行為場景。除了堡壘機之外，還提供了符合國家等保2.0三級版本的鏡像，您可以在新購ECS實例時包括了身份鑒別、訪問控制、入侵防御、惡意代碼防范等等對應的一些要求。另外，在云安全中心中還支持了合規檢查的功能，合規檢查功能提供了等保合規檢查以及ISO27001ISO27001五、總結前面提供了很多提升操作系統安全性的一些建議，包括提升訪問操作系統安全性方案中的免跳板機、免密碼提升訪問操作系統安全性，以及避免了端口的0.0.0的授權，僅開放必要端口提供給有限的IP訪問，以減少攻擊面。OOS漏洞導致的系統安全風險，使用AlibabacloudLinux操作系統的內核熱補丁的能力，能夠快速平穩的升級的操作系統安全補丁，使用免費的基礎安全服務，比如定期漏洞掃描、異常登錄檢查、AK對安全有更高要求的客戶，我們還提供了進階提升操作系統安全性的方案，開啟登錄審計日志、操作審計日志、日志審計服務，對日志進行定期的審計分析，縮短攻擊發生到發現的時間，降低企業安全損失。使用堡壘機，在滿足等保合規的場景下管理運維，控制權限、身份鑒別、賬密托管、高危行為阻斷、審計溯源，以進一步提升操作系統安全。使用三級等保合規形象，以基礎安全服務中的合規檢查能力，以幫助您更快速、高效、持續的實現等保合規制度。系統從來不是一個點的安全，需要更多維度的終身安全防疫。以上就是本次課程的全部內容。干貨長文快收藏！阿里云專家教你如何安全訪問和管理ECS資源引言：本文整理自【彈性計算技術公開課——ECS安全季】系列課程中，阿里云彈性計算高級技術專家張振華帶來的課程《如何安全訪問和管理ECS資源》一節。一、身份與訪問控制的基本概念首先給大家介紹一下關于身份與訪問控制的一些基本概念。身份與訪問控制是為了實現集中管理阿里云上的用戶身份，只有通過這個身份的認證，并且滿足了特定權限授權條件下的用戶才能夠訪問或者操作您所指定的阿里云資源，避免您的云資源被未經授權的用戶惡意訪問，所以這里會涉及到三個管理系統，分別是身份管理、權限管理以及資源管理。所謂身份管理，就是您如何管理您的企業員工或者應用的身份。權限管理是您要怎樣分配權限，比如管理員可以擁有全部的訪問權限，而研發人員根據自己的職責范圍，只能在特定的網絡環境下操作有限的云資源，一般建議遵循最小夠用的原則來給員工進行授權。資源管理是您要怎樣管理云上的資源，建立的管理方式是按照部門或者是業務線劃分到不同的資源組，只有被授權可以訪問資源組的用戶身份，才可以操作對應的云資源。這里的ECSOSS、對象存儲以及日志服務，同樣也包括像數據庫、云原生的容器等各種各樣的云資源。在阿里云上面，我們統一負責用戶身份管理和訪問控制的服務，稱為RAM，它的全稱是ResourceAccessManager，即資源訪問控制。RAMRAM賬號這兩個概念，這兩種賬號，都可以通過用戶名、密碼登錄到阿里云的控制臺，并對其云上的資源進行操作。用戶在訪問阿里云賬號時，使用的是主賬號，主賬號的密碼規范、登錄安全的風險控制策略是由阿里云統一管理的。在主賬號RAM符的組合規范、重試登錄次數、密碼輪轉周期等策略。RAMRAM用戶創建密碼策略，來保證各個子用戶都可以使用定RAM服務使得一個阿里云主賬號可以擁有RAM則為不同用戶分配最小的工作權限，從而降低用戶的信息安全的管理風險。RAM的策略可以細化到針對某一個APIAction或者ResourceID可以支持多種的限制條件，比如像限制來源IP的訪問范圍，安全訪問的通道，比如必須要SSLTLSMFA的多因素的認證等等。RAMRAMRAM用戶分配不同的密碼或API訪問密鑰（AccessKey），消除云賬號共享帶來的安全風險；同時可為不同RAM用戶分配不同的工作權限，大大降低了因用戶權限過大帶來的風險。一般來說，企業的管理者或者運維主管往往會成為阿里云上的主賬號擁有者，也就是超級管理員。RAMRAM用戶組，AK。ECS權管理不同的資源，降低信息泄露風險。RAMECSAccessKey，使它們對不同的云資源具有不同的訪問權限，實現更精細粒度的權限控制。接下來展開介紹一下ECS的身份管理、權限管理以及如何避免顯示的AK配置的一個最佳實踐。二、身份管理的安全治理原則與驗證手段RAMRAM驗證手段。什么是身份認證？身份認證指的是通過憑證信息來認證用戶的真實身份。AccessKey用于身份認證的憑證信息對于用戶來說是敏感的秘密信息，用戶必須妥善保護好身份憑證信息的安全。還有面向應用程序的認證手段這兩大類。第一大類是面向用戶的認證方式有，賬號密碼認證、SSH密碼認證、基于MFA驗證碼的認證（比如人臉、短信、短時口令等）和SSO單點登錄認證。賬號密碼認證相信大家都不陌生：用戶可以使用其云賬號（即主賬號RAM用戶的密碼登錄阿里云控制臺并對其云上資源進行操作。阿里云的賬號密碼規范、登錄安全風控策略由阿里云統一管理。云賬號下子用戶（RAM的密碼策略則可以由客戶自己設定，如密碼字符組合規范、重試登錄次數、密碼輪轉周期等策略。例如，用戶可以通RAMRAM而提高整體賬戶的安全性。SSHECSLinuxSSH公鑰配置在LinuxSSH私鑰通過SSHSSHRSA2048SSHLinuxSSH密鑰對的方式遠程登錄集群。MFAMFA第一安全要素，MFA（第二安全要素MFAMFA6（TOTP）標準（RFC6238）。同時，阿里云也支持基于SAML2.0的單點登錄（SingleSignOn，簡稱SSO），可以支持企業客戶使用企業自有身份系統的登錄服務登錄訪問阿里云。為了滿足不同企業客戶的登錄場景需求，阿里云提供了以下兩種基于SAML2.0協議的SSO機制：用戶SSOIdP頒發的SAMLSAMLAssertion確定企業用戶與阿里云RAMRAM用戶訪問阿里RAM用戶的授權策略所限制。角色SSO：阿里云通過身份提供商IdP頒發的SAML斷言（SAMLAssertion）確定企RAMSAMLRAMRAM角色的授權策略所限制。第二大類是面向應用程序的認證方式，主要有AccessKeySTS認證兩種。其中AccessKey是用戶調用云服務API的身份憑證，用于在用戶通過API訪問阿里云資源時對用戶身份進行認證。API憑證相當于登錄密碼，只是使用場景不同。前者用于程序方式調用云服務API，而后者用于登錄控制臺。AccessKey包括訪問密鑰IDAKID和秘密訪問密鑰AKSecretAKID用于標識用戶，而AKSecret用來驗證用戶身份的合法性。用戶在調用資源時會傳入AKID，并使用AKSecret（HMAC-SHA1）RAMAccessKey，包括創建、凍結、激活和刪除操作。AccessKey使用的API訪問密鑰，建議用戶在使用時要考慮對AccessKey的周期性輪轉。請注意，出于有效權限分割和降低風險的考慮，云上最佳安全實踐中不建議用戶為其云賬（即主賬號AKRAMAKRAMSTStokenAK。阿里云SecurityTokenService（STS）是為RAM用戶、阿里云服務、身份提供商等受信實體提供短期訪問資源的權限憑證的云服務。有時存在一些用戶（人或應用程序），他們并不經常訪問客戶云賬號下的云資源，只是偶App，由于自身安全性不可控，不適合頒發長期有效的訪問密鑰。這些情況下，可以通過STS來為這些用戶頒發臨時權限憑證。頒發令牌時，管理員可以根據需要來定義令牌的權限和自動過期時間（1）。STS訪問令牌是一個三元組，它包括一個安全令牌（SecurityToken、一個訪問密鑰ID（AccessKeyID）和一個秘密訪問密鑰（AccessKeySecret）。用戶在調用資源API時傳入安全令牌和訪問密鑰ID，并使用秘密訪問密鑰對請求進行簽名（和上述AK簽名機制相同）。在通過身份認證后，RAM實際上會生成兩類的身份，一類是實體身份，比如RAM用戶、RAM用戶組，另一類是虛擬身份，也就是RAM角色，那這兩者有什么相同和不同點呢？RAMRAMRAMRAM色在被授予權限后都可以直接訪問資源，也可以通過SSO和企業IdP互聯。不同點在于：RAM用戶有確定的登錄密碼和訪問密鑰，可以支持控制臺登錄，享有登錄憑證；RAMRAMRAMRAMRAM用戶可以對應企業內的人員、應用等，在需要協同使用資源的場景中，避免直接RAMRAM用戶組賦予最小權限，即使不慎泄露機密信息，也不會危及阿里云賬號下的所有資源。RAM碼或訪問密鑰。RAMRAM角色時即獲得RAM角色的權限。在云產品通信的場景中，為受信的實體（ECS）RAM角色后，該實體可以基于STSSecurityTokenService）臨時憑證訪問其他云產品的API，避免將AccessKey寫在配置文件中等高危操作，保證AccessKey的安全。AKAKAKAKAK一些常見的安全風險，這里可以分成兩類。第一類是人員管理上的風險，第二類是AK管理上的風險。在人員的管理上常見的風險，第一是使用了主賬號進行日常運維和管理的操作，第二是存RAM號打通，由于員工的離職之后，一些數據沒有和企業內部賬號的信息進行同步，第四種是高權限的用戶且沒有配置好MFAIP登錄的風險，最后一種，是存在長期不使用的僵尸用戶，擴大了風險的敞口。AKAKAKECSOSS文件或者是一些外部的公開的渠道上面把AK泄露出去，第三種是存在的人和程序混用RAMAKAK長期不輪轉，造成了風險的AK，這也是非常容易泄露的。為此我們給出了五個身份安全治理的原則和建議：AKAKAKMFAAKAK。RAMAK，控制臺子用戶不應該拿到AK，SSOAK一一對應，并且關閉程序AK的控制臺登錄能力。TokenAK，RAM，至少可以定期巡檢AK名單訪問來源IPAKAKAK加密和集中化管理。AKECSRAMECSAKRAM訪問控制服務允許企業對主賬號內的身份安全做整體性的安全控制，比如密碼強度的RAMMFA的多因素的認證與設置允許控制臺登錄的來源的IP的掩碼，以及是否允許RAM用戶自主管理密碼MFA的設備等等。RAM理服務功能之后，RAMRAM用戶是否存在身份權限的安全風險，幫助您及時發現治理上的缺失，并提供友好的治理引導，幫助您完善云上身份權限治理的配置，身份權限治理服務的檢測項，包含了AccessKeyRAMMFA度的權限管理和授權效率的建議等等。RAMRAM的控制臺，在左側的導航欄中點擊概覽，在概覽頁的標簽頁下面選擇治理檢測，可以查看身份權限的治理的檢測數據。單擊下載報告，可以下載檢測的數據到本地進行查看，可以按照報告中介紹的治理方案，在控制臺完成身份權限的治理。小結：在身份管理這一部分，我們介紹了什么是身份認證，阿里云提供了多種多樣的面向用戶和應用程序的認證手段，在通過身份認證之后，RAM其實會生成兩類的身份，一類是實體身份，我們稱為RAM用戶，另一類的是虛擬身份，也就是RAM角色。我們對比了兩者的相同點和不同點，介紹了在身份管理里面的一些安全的風險，安全治理的原則以及阿里云建議的一些最佳實踐。RAM您開通免費的身份權限治理服務，阿里云可以幫助您及時發現治理缺失的漏洞，并提供友好的治理引導，幫助您完善云上的身份權限治理的配置。三、權限管理的策略與授權案例接下來介紹關于權限管理的策略和授權案例。首先先介紹一下訪問控制的實現原理，介紹ECS授權能力，比如可以基于資源組進行訪問控制和資源的管理，也可以使用標簽進行資源管理，最后介紹操作審計。訪問控制是管理資源訪問權限的服務。它不僅提供了多種滿足日常運維人員職責所需要的系統權限策略。也允許您通過圖形化工具快速地創建自定義的用戶權限策略。它可以根據請求特征，比如請求源IP地址、日期時間、資源標簽等條件屬性匹配精細的資源訪問控制策略。RAMRAM角色的身份特征，判斷其是否在資源維度和操作維度是否有訪問權限。RAMRAM角色是否有訪問權限。當您的企業存在多用戶協同操作資源的場景時，RAM可以讓您避免與其他用戶共享阿里云賬號密鑰，按需為用戶分配最小權限，從而降低企業的信息安全風險。RAM訪問控制支持控制臺、SDKOpenAPI、阿里云CLI命令行等多種方式的調用，因此也是非常方便的。如何給身份進行授權？默認情況下，阿里云的主賬號控制了資源的所有權限，主賬號創建RAMRAM用戶賦予權限，用戶的授權會分為兩個步驟。首先需要新建一組權限的策略，給RAMpolicy是用一組語法結構去描述一組權限的集合，目前支持兩種的權限策略，分別是阿里云維護的系統策略和用戶自定義的權限策略，系統策略，用戶是只能使用而不能夠修改，是由阿里云來進行維護。用戶的自定義策略，用戶就可以通過可見化可視化的編輯器，包括權限策略的腳本編輯器，以及權限策略的模板等多種方式，進行自主的創建，更新和刪除。第二步是為RAM的主體進行授權，也就叫做attachpolicy，attachpolicy是給RAM用戶或者用戶組或者角色，綁定一個或者是多個的權限策略，他的授權范圍可以是整個云賬號的資源也可以是指在云賬號下指定的一個資源組內的資源，綁定的權限策略，可以是系統策略，也可以是自定義的策略，如果綁定的權限策略被更新了，更新之后的權限策略就會自動生效，而無需要再重新綁定這個權限策略。為了方便您使用，RAM戶，RAMRAMECS限，ECS只讀的權限，管理彈性網卡的權限，下發云助手命令或者是只讀云助手信息導入ECS這里我們舉一個在企業內部控制員工資源使用權限的案例。首先，企業的管理員可以按需創建和管理資源的職位，來創建一個SysAdmins的用戶組，添加權限策略，并授予執行所有操作的權限，管理員需要嚴格的控制高權限的人數，并且MFA管理員可以為需要使用的資源的職位創建Developers用戶組，為開發人員創建相應的RAMStarInstanceStopInstance、DescribeInstancestar等ECS最基本的功能接口的權限，如果為了加強網絡的安全控制，管理員可以添加這網絡相關的權限策略，規定比如組內的用戶的IP如果不是來自于企業網絡內部，則拒絕其訪問資源。如果某一個開發人員的職位，變更為系統管理員，就可以將其RAM的用戶從Developers用戶組移動到SysAdmins用戶組，如果Developers用戶組的RAM用戶，需要更大的權RAMECSECSRAMSTS憑證去訪問其他的云產品，在阿里云上是可以實現這樣一組策略。再來舉另外一個例子，也是為不同的職責的人員去授予不同的權限，其實可以根據企業的實際情況，給更多的角色分配更多的更細粒度的權限策略，這里既可以是系統的策略，也可以根據實際情況去自定義一些訪問的策略，比如這里分成了云管理員，系統管理員，網絡管理員，安全管理員，財務還有開發人員等各種各樣的角色。他們的角色的訪問策略就可以由您自己去管理。接下來學習一些權限控制的高階用法。首先是基于資源組的細粒度資源管理和訪問控制，資源組其實是根據資源的用途，權限，歸屬等維度，對您所擁有的云資源可以進行分組，從而實現企業內部多用戶、多項目的資源的分級管理，每個云資源目前只能屬于一個資源組，加入到資源組，它不會改變云資源間的關聯關系，比如可以按照云資源的用途來進行分組，將生產環境的實例和測試環境的實例，分別放入到生產環境和測試環境的兩個資源組中。在產品測試的時候，只對測試環境內的資源組進行實際的操作，從而避免對生產環境的實例發生誤操作，在產品需要上線的時候，再選擇生產環境的資源組裝的實例進行操作，也可以按公司不同的部門使用的資源放入到多個不同的資源組中，并且設置相應的管理員，從而實現分部門的管理實例。這里舉某個游戲公司項目開發的真實案例，某個游戲公司在并行開發三個游戲項目，每個項目都會用到多種云資源，公司是要求項目要能夠獨立管理，項目的人員也只能訪問到它RAM的訪問控制。基于資源組的訪問控制具體應該怎么做？首先可以由企業的管理員分別給三個項目創建三個不同的資源組，并且把每個項目所用的獨立資源放入到對應的資源組中。在資源管理頁找到資源組，創建出資源組，點擊資源組內，再點擊轉入資源，就可以將云產品對應的資源轉入到資源組內。RAMRAMECS的相RAMECS資源，但無法訪問其他項目的ECS資源。除了使用資源組外，也可以使用標簽來劃分不同的資源，相比于資源組，標簽是一種更加靈活的資源劃分維度或者工具，比如可以按照地區、部門、環境分別給資源打上多個標簽，同一個資源可以支持多個標簽。ECSOSSVPC區或者是部門或者是環境等多個維度來進行區分，在此基礎上，可以基于標簽來實現訪問的控制。RAM用戶的健全的訪問控制的原理如圖所示。首先是由云管理員使用阿里云的主賬號新建一個自定義的策略，在策略中，可以指定帶有ResourceTag，RequestTagRAMRequestRequestResourceTagRAMResourceRAMRAMECSECS資源時會報錯。再來看一個真實的客戶案例，某公司希望根據不同的角色對資源進行管理，要求在API層RAMdatacenterbizcenter用戶組里的用戶。資源的生產者負責資源的生產和調度，資源的授權者是負責管理資源標簽的策略和授權的datacenter的用戶組的成員和bizcenter用戶組的成員往往是公司的研發人員。運維人員可以按照ResourceTagdatacenter成員去訪問帶有這個datacentertag的ECSbizcenter這個bizcenterECStag的資源。ECS標簽就可以。如果希望用戶無法訪問當前資源，只要把這個標簽刪除掉就可以，而不需要再去修改這個標簽的權限策略，這樣對于權限的管理就轉化成了對于標簽的管理，這樣是一種更加靈活的使用權限控制的策略。ActionTrail,它可以幫助您去監控記錄云賬號對于產品服務的訪問和使用的行為，您可以根據這些行為進行事后的行為分析、安全分析，來監控未授權的訪問，或者識別潛在的安全配置錯誤，威脅或者是意外行為，也可以滿足行為合規審計的一些要求。小結：剛剛在權限管理中，我們介紹了ECS幾個產品的安全能力，介紹了訪問控制的實現ECSECSECStag批量授權，最后還是建議您能夠開啟操作審計來監控云賬號對于操作的行為進一步監控和控制。配置的最佳實踐總結接下來為大家介紹如何避免顯示AK配置的最佳實踐。RAM角色是一種虛擬的角色，ECSRAMRAM角色ECSSTSECSOSSECSAKECSECSRAMRAM角色，指定的可信的實體ECSRAMECSECS實ECSRAM角色就可以了。ECSRAM角色來解決一個實際的安全隱患。MSE上各種環境的配置信息，由于配置項中往往存在敏感的數據，明文保存在配置中心是不安MSEKMS進行解密，在過程中會使用到密鑰等敏感的配置項，這些配置項如果在使用過程中落盤，ECSECSRAMMSE的配置中KMSECSRAM角色，授予一個臨時訪問的權限，這時候就可以避免開發人員和用戶，擁有解密配置項的能力。ECSMSEMSE實際上這時候還是一個加密的配置項，這個加密配置項是封裝在MSESDKKMSKMSSDKKMSSDK好處就是用戶無論是KMS的密鑰的管理員，還是MSE的配置的管理員，他們都獲取不到敏感的信息。五、總結最后我們對本次分享做一個總結：本次分享一共有三大部分，分別是身份認證、訪問控制和一些進階的安全方案。如何提升身份認證的安全性？建議您開啟主賬號MFAAKAKAKRAMSTStoken。ECSRAM策略，為不同職責的人員授予權限，可以基于資源組，按照云資源的用途、部門結構等不同的維度來管理資源，授予不同用戶訪問不同資源組的權限，也可以使用標簽對云資源進行細粒度的資源管理和控制。ECSRAMRAMECSAKECSActionTrail及時完善云上身份和權限配置的安全性。以上就是本次分享的全部內容。希望通過這個分享，能為您在阿里云上安全的使用ECS，提供一些的幫助和建議，謝謝大家。來上課！一文掌握守住ECS網絡安全的最佳方法引言：本文整理自【彈性計算技術公開課——ECS安全季】系列課程中，阿里云彈性計算技術專家劉明帶來了《如何守住ECS的第一道防線——網絡安全》一節。一、網絡安全中常見問題概覽我們在網絡環境中常見的安全問題非常多，在此挑選了幾個與網絡安全高度相關的場景，帶大家簡單了解一下。首先是網絡系統安全，舉幾個例子：第一：路由器、交換機等網絡設備存在配置錯誤，極可能導致惡意入侵，這種是網絡設備安全。第二：Web/電影情節中見到黑客對網絡請求進行攔截的行為，甚至是直接篡改信息，給用戶帶來損失。還有一種是在同一個公司中，大家在同一個局域網內部，由于沒第三：云安全，云環境中的應用沒有正確配置安全組、防火墻規則等。DDOS攻擊，導致整個服務不可用，以上是網絡安全問題的一些常見場景，這些都會給用戶帶來難以估量的損失。網絡安全是一個非常重要的課題，做好防護是阿里云和用戶共同的責任。上圖是解決網絡安全問題的一個整體思路：是安全的。定端口IP訪問。介入，進行相應的處置。安全防護可以有效的降低安全問題帶來的損失。二、做好網絡隔離按照剛才提到的，討論一下如何做好網絡隔離，把“壞人”擋在門外，就不用擔心他會傷害到您。那么我們如何做好網絡隔離？ACL根據他們的不同把相應的服務部署到不同的交換機下。上就是阿里云網絡隔離的三大建議，下面會詳細的介紹相關的產品。首先，學習一下專有網絡。專有網絡是專有的云上私有網絡，用戶可以根據自己的需求在云上創建多個專有網絡，在專有網絡中，用戶可以完全掌控自己的網絡，例如可以選擇地址IP的范圍，阿里云提供ABC三個網段的地址段，例如掩碼是8的A類地址段和掩碼是16是B類地址段。用戶可以在專有網絡中配置路由表和網關，可以在自己定義的專有網絡中RDSSLB還有非常多其他高級的功能，在此不再詳細介紹，大家可以根據官網文檔進行了解。重點介紹安全相關的內容，專有網絡提供了豐富的隔離能力：在專有網絡之間在邏輯上是徹底隔離的，相互之間默認無法通信。ECS每個專業網絡內它可以建立多個交換機，可以有利于這種網絡的網絡和網段的劃分，不同交換之間也可以設置一些隔離。這是對專有網絡的一些介紹，下面一起了解一下虛擬交換機。接下來，了解虛擬交換機的概念。交換機是組成專有網絡的基礎網絡設備，用來連接不同的語音資源實例，每個專有網絡下，用戶可以很方便的管理多個虛擬交換機，根據自己的需求進行創建、刪除、配置虛擬交換機。左邊圖中交換機的一些概念，第一，當前的專有網絡中有三個交換機，其中的兩個位于可用區A，另外一個位于可用區B。每一個交換機都必須會有一個可用區中。專有網絡交換機提供的安全能力主要有兩點：第一，服務隔離，可以根據服務的安全等級、服務的類型進行網站的劃分。ACLACL對流經交換機的流量進行訪問的控制。這就是交換機的整體概念，繼續看一下關于網絡隔離的一些其他建議。第一個建議是用戶權限分級，設置一個網絡的管理員統一來管理網安全組，網絡ACL以及流量日志這些高危的權限，避免高危權限的泄露，同時出現問題時也更容易排查；普通用戶無法變更網絡ACL和安全組的ACL。第二個建議是隱藏私密的內容，通過阿里云提供了網絡ACL，安全組和云防火墻，限制不易公開的內容訪問權限，避免數據泄露。第三個建議是要做服務隔離。MysqlwebMysqlA里B景下，只需要為安全組A配置一條允許內網進掩碼是8訪問3306端口的規則，而安全組B配置一條允許公網及且掩碼是零的訪問八零端口的規則，這樣不同的服務它有不同的隔離級別。并且每一個服務的訪問權限都是最小的。VPCVPCVPC節點使用內網進行通信，推薦第二種方案，這樣可以減少公網暴露，降低安全的風險，這ACL制。三、控制網絡流量ACLAECSECSACLAACLACL的訪問，即可滿足自己的需求。ACLACLACLACLACLECS網絡ACL的幾點特性：可能導致請求出去了回不來，或者是能進來回不去。ACL訪問的。ECSACLACLACL，沒有考慮安全組的ACLECSACLACLECSACACL本節講解了網絡ACL的基本概念，下面深入學習一下網絡ACL的規則。ACL規則由以下要素構成，生效順序、策略、協議類型、源地址、目的地址、目的端口范圍等。生效順序表示生效的優先級，值越小，規則的優先級越高。系統從生效順序為一的規則開始判斷，只要有一條規則與流量匹配及應用該規則，并忽略其他規則。例如，交換機B中的IP為的ECS。通過TCP協議訪問交換機C中的ECSACL規則配置后，的匹配生效順序2和生效順序3中規則的源地址。232ACL議支持ALL、ICMP、GRE、TCP、UDP五種。第一種是ALL，即所有協議，當選擇所有協議類型時，端口的范圍是沒辦法設置的，必須為-1/-1，表示不限制端口，ICMP協議，網絡控制報文協議，當選擇該協議類型時。端口范圍無法設置，為-1/-1，表示無限制端口，GRE通用路由封裝協議，當選擇該封裝協議時，端口范圍無法設置，為-1/-1，表示不限制端口，TCP傳輸控制協議，當選擇該協議類時，端口范圍為1~65535，設置格式可以為1/200或80/80，并且不能設置為-1/-1，UDP是用戶數據報協議，當選擇該協議類型時，端口范圍為1~65535，設置格式為1/200或80/80，且不能設置為-1/-1。源地址，是用于限制入方向的規則，數據流的源地址，目的地址，是用于限制出方向的規則，表示數據流的目的地址，目的端口的范圍，是用于限制入方向規則作用的端口范圍，這個就是ACL構成要素的一些詳解。通過網絡ACL限制流量，主要分為三步：ACL；ACLACLECSACL網絡ACL的頁面點擊創建網絡ACLOpenAPICreateNetworkAcl創建ACL，VPCACLACL點擊關聯交換機，也可以通過OpenAPIAssociateNetworkAcl綁定ACL到交換機。第三是設置規則在VPC的控制臺選擇專有網絡網絡ACL網絡ACL詳情及出入方向的規則進行設置也可以通過OpenAPIUpdateNetworkAclEntries更新網絡ACL規則，注意第二步中的OpenAPI 是一個義務的操作，可以通過OpenAPIDescribeNetworkAclAttributes查詢網絡ACL的規則的