5 23 55阿里云產(chǎn)品專家教你如何全方位構(gòu)建ECS安全體系對(duì)于安全問題，很多用戶的直接反應(yīng)就是操作是否太難？沒有安全背景和基礎(chǔ)能否快速上手？又或是云上業(yè)務(wù)規(guī)模很小，是否需要知道并了解這些安全措施呢？結(jié)合以上的種種問66首先我們來關(guān)注一下云上安全的重要性，一直以來安全問題都是用戶上云最關(guān)心的問題，7788當(dāng)前云計(jì)算安全建設(shè)的主要驅(qū)動(dòng)力其實(shí)是合規(guī)性要求，我們對(duì)安全攻擊和首當(dāng)其沖的是用戶配置不當(dāng)導(dǎo)致；其次是因?yàn)榭蛻粼谠朴?jì)算的技能不足導(dǎo)致；第三是多云99遇了惡意污染，但我們的開發(fā)運(yùn)維同學(xué)并不會(huì)去做嚴(yán)格的安全風(fēng)控。最終如果用戶使用了人在無疑是的把業(yè)務(wù)中的一些敏感代碼或者數(shù)據(jù)在互聯(lián)網(wǎng)上進(jìn)行托管，這種操作其實(shí)也會(huì)的企業(yè)承認(rèn)自身的網(wǎng)絡(luò)安全水平其實(shí)是落后于起初規(guī)劃的。其中一方面是因?yàn)榇蠹易陨砑架浻布馁Y源和服務(wù)搭建。如果把信息系統(tǒng)的搭建比作為一個(gè)房子，那在我們的傳統(tǒng)服務(wù)模式下，我們則需要自行準(zhǔn)備搭建一個(gè)房子所需要的全部資源。其實(shí)這里可以類比為我們而在infrastructureasservice基礎(chǔ)設(shè)施及服務(wù)這種的服務(wù)模式下，我們可以看到云服務(wù)到互不影響。而我們作為用戶，只需要根據(jù)業(yè)務(wù)需要以及當(dāng)前的屬性去做一些選擇和配置部分是由我們作為用戶，需要自己管理并負(fù)責(zé)的。要的就是保障服務(wù)的可用性。那么如何保障我數(shù)據(jù)安全是所有安全防護(hù)的終極目標(biāo)，數(shù)據(jù)安全也是一個(gè)端到端的安全保障機(jī)制。因?yàn)閿?shù)安全性，而機(jī)密計(jì)算其實(shí)是通過一種基于硬件的可信執(zhí)行環(huán)境來達(dá)成在計(jì)算中保障數(shù)據(jù)安供的云助手提供的會(huì)話管理功能。它類似于堡壘機(jī)的功能，在不需要密碼的情況下能夠安系統(tǒng)運(yùn)維管理的補(bǔ)丁管理去自動(dòng)設(shè)置對(duì)應(yīng)的補(bǔ)丁掃描，并且設(shè)置對(duì)應(yīng)的修復(fù)策略。系統(tǒng)補(bǔ)丁管理程序則會(huì)根據(jù)設(shè)置自動(dòng)掃描對(duì)應(yīng)的操作系統(tǒng)中的補(bǔ)丁情況，并根據(jù)指定的修復(fù)策略此外，如果我們對(duì)安全等保這個(gè)地方有要求，也可以使用阿里云提供的原生操作系統(tǒng)其實(shí)我們可以看到它主要分為了六個(gè)維度，也是從這六個(gè)維度的角度上做了評(píng)分。每個(gè)維問題的嚴(yán)重程度歸類。對(duì)于高危項(xiàng)和警告項(xiàng)，是需要用戶立即采取行動(dòng)的。而對(duì)于不適用最后我們可以參考最佳實(shí)踐和對(duì)應(yīng)的修復(fù)建議來完成相關(guān)的配置修改，就能夠完成相關(guān)的在網(wǎng)絡(luò)中屬于傳輸態(tài)，而正在處理的數(shù)據(jù)則屬于使用中的狀態(tài)。前面提到的加密技術(shù)主要授權(quán)的修改，它主要用戶保護(hù)傳輸中和靜止?fàn)疃尚艌?zhí)行環(huán)境則通常被定義成能夠提供一定程度的數(shù)據(jù)的完整性、機(jī)密性和代碼完整性來保護(hù)環(huán)境。而基于硬件這樣一個(gè)可信執(zhí)行環(huán)境，主要使用我們芯片中的一些硬件支持的候去切斷對(duì)應(yīng)的訪問會(huì)話。所以，零信任本質(zhì)上來說是一種更安全的云上設(shè)備和身份的驗(yàn)最后想和大家分享的一點(diǎn)是“當(dāng)安全性遇到AI”。其實(shí)Gartner早在2016年就提出了/play/u/null/p/1/e/6/t/1/445056548306.mp4九大提升ECS實(shí)例操作系統(tǒng)安全性的技巧詳細(xì)看一下這個(gè)事件的前后因果，斯里蘭卡國(guó)家政務(wù)云中使用一款軟件叫做Microsoft擊者經(jīng)常使用操作系統(tǒng)內(nèi)未及時(shí)修復(fù)的安全漏洞實(shí)施入侵攻擊。那么該如何保護(hù)我們的操個(gè)部分，使用密鑰對(duì)登錄實(shí)例、使用會(huì)話管理免密登錄實(shí)例以及避免端口/0的授在Workbench中導(dǎo)入私鑰連接ECS實(shí)例，若您的私鑰在本地是加密的，如圖所示的會(huì)話管理的安全性主要在于會(huì)話管理客戶端與云助手服務(wù)端的agent間的通信是使用持了使用會(huì)話管理端口轉(zhuǎn)發(fā)連接實(shí)例。例如ECS實(shí)例中部署了不對(duì)外開放的web服務(wù)，可以通過端口轉(zhuǎn)發(fā)指的方式直接連接外部服務(wù)，還有一些客戶希望在使用會(huì)話管理的基礎(chǔ)發(fā)以及直連也不需要開放端口，不足的地方是其中使用會(huì)話管理密鑰對(duì)以及臨時(shí)密鑰對(duì)連建議使用標(biāo)簽的方式進(jìn)行批量管理權(quán)限，便于權(quán)限的回收以及收予。會(huì)話管理也存在一些DescribeUserBusinessBehavior等等權(quán)限。會(huì)話管理的使用還存在一些限制，必須要授除了使用密鑰對(duì)登錄實(shí)例以及使用會(huì)話管理免密登錄實(shí)例外，還需要避免端口0.0.0授權(quán)意來源的訪問可能導(dǎo)致黑客或者攻擊者在未經(jīng)過您的授權(quán)的情況下，通過這些端口登錄到協(xié)議訪問到22端口，經(jīng)過安全配置之后，00端口可以進(jìn)行訪問，但是方渠道經(jīng)常會(huì)發(fā)布一些安全漏洞的公告以及不同的操作系統(tǒng)版本補(bǔ)丁基線實(shí)現(xiàn)的原理因?yàn)槭褂貌煌陌芾砉ぞ撸瑨呙枧c安裝補(bǔ)丁的使用的是apt，yum包管理工具為例，存在更新通知的概念，在軟件倉(cāng)庫存儲(chǔ)者名為updateinfo.xml的一個(gè)文件來存儲(chǔ)軟件的更根據(jù)updateinfo中的更新通知如圖CentO包括更新通知的類型以及嚴(yán)重等級(jí)，包括了Security\Bugfix\...對(duì)應(yīng)的更新通知的類型以及嚴(yán)重等級(jí)為Critical\Important\...。配置后它工作流等效的命令相當(dāng)于執(zhí)行了嚴(yán)重重要操作系統(tǒng)內(nèi)嚴(yán)重的安全漏洞修復(fù)是刻不容緩的，但是修復(fù)通常需要重啟操作系統(tǒng)才能夠進(jìn)云安全中心免費(fèi)版還為您提供異常登錄檢查的能力。異常登錄檢查的原理是云安全中心我們建議啟用會(huì)話管理登錄實(shí)例。在您啟用會(huì)話管理登錄您的實(shí)例時(shí)，我們建議您同如圖所示它能夠記錄到哪賬號(hào)對(duì)哪實(shí)例做了什么樣的操作，操作命令以對(duì)應(yīng)的輸出分別是了眾多資產(chǎn)管理難、運(yùn)維職責(zé)權(quán)限不清晰以及運(yùn)維事件難追溯等等問題，阿里云為您在前面提供了很多提升操作系統(tǒng)安全性的一些建議，包括提升訪問操作系統(tǒng)安全性方案中的干貨長(zhǎng)文快收藏！阿里云專家教你如何安全訪問和管理ECS且滿足了特定權(quán)限授權(quán)條件下的用戶才能夠訪問或者操作您所指定的阿里云資源，避免您所謂身份管理，就是您如何管理您的企業(yè)員工或者應(yīng)用的身份。權(quán)限管理是您要怎樣分配資源管理是您要怎樣管理云上的資源，建立的管理方式是按照部門或者是業(yè)務(wù)線劃分到不接下來展開介紹一下ECS的身份管理、權(quán)用于身份認(rèn)證的憑證信息對(duì)于用戶來說是敏感的秘密信息，用戶必須妥善保護(hù)好身份憑證持企業(yè)客戶使用企業(yè)自有身份系統(tǒng)的登錄服務(wù)登錄訪問阿里云。為了滿足不同企業(yè)客戶的第二大類是面向應(yīng)用程序的認(rèn)證方式，主要有AccessKey認(rèn)證和STS認(rèn)證兩種。其中有時(shí)存在一些用戶（人或應(yīng)用程序他們并不經(jīng)常訪問客戶云賬號(hào)下的云資因?yàn)橛脩裘拿艽a的泄露或者是AK泄文件或者是一些外部的公開的渠道上面把AK泄露出去，第三種是存在的人和程序混用供的AK泄漏掃描能力來檢查自身環(huán)境是否使用了主賬號(hào)接下來介紹關(guān)于權(quán)限管理的策略和授權(quán)案例。首先先介紹一下訪問控制的實(shí)現(xiàn)原理，介紹訪問控制是管理資源訪問權(quán)限的服務(wù)。它不僅提供了多種滿足日常運(yùn)維人員職責(zé)所需要的管理員可以為需要使用的資源的職位創(chuàng)建Developers用戶組，為開發(fā)人員創(chuàng)建相應(yīng)的可以按公司不同的部門使用的資源放入到多個(gè)不同的資源組中，并且設(shè)置相應(yīng)的管理員，首先可以由企業(yè)的管理員分別給三個(gè)項(xiàng)目創(chuàng)建三個(gè)不同的資源組，并且把每個(gè)項(xiàng)目所用的資源的生產(chǎn)者負(fù)責(zé)資源的生產(chǎn)和調(diào)度，資源的授權(quán)者是負(fù)責(zé)管理資源標(biāo)簽的策略和授權(quán)的控記錄云賬號(hào)對(duì)于產(chǎn)品服務(wù)的訪問和使用的行為，您可以根據(jù)這些行為進(jìn)行事后的行為分批量授權(quán)，最后還是建議您能夠開啟操作審計(jì)來監(jiān)控云賬號(hào)對(duì)于操作的行為進(jìn)一步監(jiān)控和如何提升身份認(rèn)證的安全性？建議您開啟主賬號(hào)MFA的多因素多因子認(rèn)證來增強(qiáng)主賬號(hào)來上課！一文掌握守住ECS網(wǎng)絡(luò)安全的最佳方法.在專有網(wǎng)絡(luò)之間在邏輯上是徹底隔離的，相互之間默認(rèn)無法通信。.每個(gè)專業(yè)網(wǎng)絡(luò)內(nèi)它可以建立多個(gè)交換機(jī)，可以有利于這種網(wǎng)絡(luò)的網(wǎng)絡(luò)和網(wǎng)段的劃分，而安全組B配置一條允許公網(wǎng)及且掩碼是零的訪問八零端口的規(guī)則，這樣不同的.創(chuàng)建安全組；.根據(jù)自己的需求設(shè)置安全組的規(guī)則；例如，圖中下方的ECS，加入一個(gè)安全組，該安全組配置了一條規(guī)則，允許來源.創(chuàng)建前綴列表。流日志支持捕獲網(wǎng)卡的流量，也可以指定捕獲專有網(wǎng)絡(luò)虛擬交換機(jī)這種更高維度的流量。首先介紹一下流量鏡像的概念，專有網(wǎng)絡(luò)中流量鏡像功能可以鏡像經(jīng)過彈性網(wǎng)卡且符合篩這一章節(jié)講解阿里云安全防護(hù)基礎(chǔ)產(chǎn)品，為什么要做安全防護(hù)？互聯(lián)網(wǎng)的產(chǎn)品并不總是面萬字干貨教你如何保證業(yè)務(wù)數(shù)據(jù)全流程安全萬字干貨教你如何保證業(yè)務(wù)數(shù)據(jù)全流程安全>萬字干貨教你如何保證業(yè)務(wù)數(shù)據(jù)全流程安全>具體的實(shí)現(xiàn)原理是云盤底層基于順序追加寫實(shí)現(xiàn)刪除云盤邏輯空間的時(shí)候，操作元數(shù)據(jù)記萬字干貨教你如何保證業(yè)務(wù)數(shù)據(jù)全流程安全>萬字干貨教你如何保證業(yè)務(wù)數(shù)據(jù)全流程安全>題？在后面的關(guān)鍵業(yè)務(wù)數(shù)據(jù)可用性的備份與萬字干貨教你如何保證業(yè)務(wù)數(shù)據(jù)全流程安全>是一種無代理的數(shù)據(jù)備份方式，可以為單個(gè)云盤或者云盤組上的數(shù)據(jù)塊創(chuàng)建某一個(gè)時(shí)刻或萬字干貨教你如何保證業(yè)務(wù)數(shù)據(jù)全流程安全>和增量快照的元信息中都會(huì)存儲(chǔ)全量的數(shù)據(jù)塊信息，所以使用任意一個(gè)快照回滾云盤的時(shí)快照的創(chuàng)建原理如圖所示的第一次創(chuàng)建快照是云盤的全量快照，后續(xù)每次創(chuàng)建的快照都是萬字干貨教你如何保證業(yè)務(wù)數(shù)據(jù)全流程安全>使用快照備份關(guān)鍵業(yè)務(wù)數(shù)據(jù)是非常有意義的。但是通過手工打快照的方式，是很容易造成萬字干貨教你如何保證業(yè)務(wù)數(shù)據(jù)全流程安全>合理的使用自動(dòng)快照功能可以提高系統(tǒng)數(shù)據(jù)安全和操作萬字干貨教你如何保證業(yè)務(wù)數(shù)據(jù)全流程安全>萬字干貨教你如何保證業(yè)務(wù)數(shù)據(jù)全流程安全>在處理磁盤相關(guān)問題時(shí)，您可能會(huì)碰到操作系統(tǒng)中數(shù)據(jù)盤分區(qū)丟失的情況。Linux實(shí)例下像Windows實(shí)例可以使用系統(tǒng)自帶的磁盤管理以及一些商業(yè)化的數(shù)據(jù)恢復(fù)軟件。數(shù)據(jù)盤萬字干貨教你如何保證業(yè)務(wù)數(shù)據(jù)全流程安全>個(gè)節(jié)點(diǎn)發(fā)生故障的時(shí)候整體服務(wù)不受影響。這些對(duì)等的節(jié)點(diǎn)共同支撐著數(shù)據(jù)層的應(yīng)用和服如果熱遷移失敗，系統(tǒng)會(huì)有事件記錄并通知故障。您可以通過系統(tǒng)事件或知故障原因并步萬字干貨教你如何保證業(yè)務(wù)數(shù)據(jù)全流程安全>數(shù)據(jù)層可以使用對(duì)象的OSS存儲(chǔ)，在第一級(jí)別部署對(duì)萬字干貨教你如何保證業(yè)務(wù)數(shù)據(jù)全流程安全>萬字干貨教你如何保證業(yè)務(wù)數(shù)據(jù)全流程安全>數(shù)據(jù)密鑰明文僅會(huì)在用戶使用的服務(wù)實(shí)例所在宿主機(jī)的內(nèi)存中進(jìn)行使用，永遠(yuǎn)不會(huì)以明文萬字干貨教你如何保證業(yè)務(wù)數(shù)據(jù)全流程安全>對(duì)于部分高安全合規(guī)要求的企業(yè)或者客戶，針對(duì)企業(yè)賬號(hào)下所有子賬號(hào)可能要求必須要使萬字干貨教你如何保證業(yè)務(wù)數(shù)據(jù)全流程安全>萬字干貨教你如何保證業(yè)務(wù)數(shù)據(jù)全流程安全>到這里可能有一部分同學(xué)會(huì)有一個(gè)疑問，平臺(tái)怎么證明用戶的數(shù)據(jù)在落盤的時(shí)候是加密萬字干貨教你如何保證業(yè)務(wù)數(shù)據(jù)全流程安全>萬字干貨教你如何保證業(yè)務(wù)數(shù)據(jù)全流程安全>密鑰的安全性以它被加密的數(shù)據(jù)量呈負(fù)相關(guān)關(guān)系。數(shù)據(jù)量通常是指一個(gè)密鑰加密的數(shù)據(jù)總即為一個(gè)密鑰的一個(gè)破解的窗口，這意味著惡意者只能在兩次密鑰輪轉(zhuǎn)萬字干貨教你如何保證業(yè)務(wù)數(shù)據(jù)全流程安全>密鑰的周期性輪轉(zhuǎn)功能可以方便企業(yè)符合各種合規(guī)規(guī)范。密鑰輪轉(zhuǎn)的實(shí)現(xiàn)原理是密鑰支持萬字干貨教你如何保證業(yè)務(wù)數(shù)據(jù)全流程安全>什么是實(shí)例元數(shù)據(jù)，ECS實(shí)例元數(shù)據(jù)是指在ECS內(nèi)部通過訪問元數(shù)據(jù)服務(wù)Metadata數(shù)據(jù)時(shí)沒有任何身份驗(yàn)證。如果實(shí)例或者實(shí)例元數(shù)據(jù)中包含敏感信息，容易在傳輸鏈路中萬字干貨教你如何保證業(yè)務(wù)數(shù)據(jù)全流程安全>.第三是不接受代理訪問，請(qǐng)求圖中包含X-萬字干貨教你如何保證業(yè)務(wù)數(shù)據(jù)全流程安全>萬字干貨教你如何保證業(yè)務(wù)數(shù)據(jù)全流程安全>等等國(guó)際行業(yè)標(biāo)準(zhǔn)的哈希函數(shù)進(jìn)行身份認(rèn)證。密，最終達(dá)到數(shù)據(jù)加密、身份認(rèn)證、確保數(shù)據(jù)完整性的目的。SSL-VPN連接默認(rèn)支持萬字干貨教你如何保證業(yè)務(wù)數(shù)據(jù)全流程安全>萬字干貨教你如何保證業(yè)務(wù)數(shù)據(jù)全流程安全>萬字干貨教你如何保證業(yè)務(wù)數(shù)據(jù)全流程安全>可信計(jì)算用于實(shí)現(xiàn)云租戶計(jì)算環(huán)境的底層高等級(jí)安全的主要功能之一，通過在硬件平臺(tái)上萬字干貨教你如何保證業(yè)務(wù)數(shù)據(jù)全流程安全>萬字干貨教你如何保證業(yè)務(wù)數(shù)據(jù)全流程安全>萬字干貨教你如何保證業(yè)務(wù)數(shù)據(jù)全流程安全>明服務(wù)者直接將證據(jù)傳遞給證明服務(wù)，依賴方可以隨時(shí)向遠(yuǎn)程證明服務(wù)查詢特定的實(shí)體的這種方式可以大大降低依賴方的負(fù)載，并有利于管理員集中管理所有實(shí)體的狀態(tài)。介紹了萬字干貨教你如何保證業(yè)務(wù)數(shù)據(jù)全流程安全>萬字干貨教你如何保證業(yè)務(wù)數(shù)據(jù)全流程安全>一定能夠找回。使用多可能區(qū)部署架構(gòu)與確保在單個(gè)節(jié)點(diǎn)發(fā)生故障時(shí)整體服務(wù)依舊不受影云安全專家教你如何實(shí)現(xiàn)一體化、自動(dòng)化的云安全審計(jì)，運(yùn)營(yíng)閉環(huán)快速響應(yīng)和防御的關(guān)鍵在于足夠多和可靠的風(fēng)險(xiǎn)數(shù)據(jù)，這得益于阿里云的海量用戶群體。等用戶云上的資產(chǎn)就會(huì)時(shí)刻處于被惡意供應(yīng)者掃描的過程中。因此源”一方面是指用戶直接在網(wǎng)上下載的不明來源的軟件，另一方面是指用戶的軟件受到了期性漏洞掃描，并可手動(dòng)應(yīng)急漏洞的掃描；付費(fèi)版云安全中心還支持Linux軟件漏洞、上實(shí)際攻防狀態(tài)和漏洞攻擊在云上利用的難度以及嚴(yán)重性級(jí)別，結(jié)合互聯(lián)網(wǎng)上現(xiàn)有的程序/play/u/null/p/1/e/6/t/1/448572334698.mp4基線檢查功能可以通過配置不同的基線檢查策略，幫助用戶快速對(duì)服務(wù)器進(jìn)行批量掃描，/play/u/null/p/1/e/6/t/1/448589762023.mp4云安全中心病毒查殺功能使用阿里云機(jī)器學(xué)習(xí)病毒查殺引擎和實(shí)時(shí)更新的病毒庫，提/play/u/null/p/1/e/6/t/1/448275941882.mp4從而帶來嚴(yán)重的業(yè)務(wù)風(fēng)險(xiǎn)。基于此，云安全中心針對(duì)勒索病毒提供了服務(wù)器防勒索和數(shù)據(jù)似后門的方式遠(yuǎn)程控制用戶的主機(jī)；SQL注入則是利用系統(tǒng)漏洞以第一點(diǎn)更偏向于對(duì)內(nèi)或?qū)σ恍┮呀?jīng)被攻擊的資產(chǎn)的后續(xù)性攻擊的緩解，第二段則傾向于是阿里云云防火墻是一款云平臺(tái)SaaS化的產(chǎn)品，受害者客戶被另外的客戶偷取登錄憑證等危險(xiǎn)，即會(huì)導(dǎo)致其他用戶的權(quán)限被泄露；/play/u/null/p/1/e/6/t/1/448380849880.mp4主要是為了滿足用戶對(duì)事后審計(jì)的需求，如它可以幫助用戶記錄云上阿里云賬號(hào)的活動(dòng)，緩解措施攔截漏洞利用的攻擊，同時(shí)在主機(jī)上安裝有效的安全產(chǎn)品及網(wǎng)頁防篡