導論

如何保障云上業務的應用安全和數據安全，是每一個上云的企業和用戶關注的重

點。云上安全建設是一個體系化工程，需要用戶主動進行多方面的考慮和實施，

包括制定完善的安全策略和規范，如身份認證、訪問控制、漏洞管理、安全審計、

數據備份、數據加密等；建立安全監控與防御機制，當出現安全攻擊時業務能快

速止損等。安全用云是用好云的第一步，也是最為關鍵的一步。

在這個背景下，阿里云彈性計算技術公開課在2024年開年全新推出新一季【ECS

安全季】，由阿里云八位產品&技術專家組成講師團，通過分享云上安全體系相

關產品與最佳實踐，讓用戶快速上手構建業務的安全防護能力。

本書內容整理自ECS安全季中的全部課程，供各位開發者&用戶閱覽。

阿里云產品專家教你如何全方位構建ECS安全體系>5

阿里云產品專家教你如何全方位構建ECS安全體系

2024開年伊始，阿里云彈性計算團隊全新推出新一季【ECS安全季】，通過分享云上安全

體系相關產品與最佳實踐，讓用戶快速上手構建業務的安全防護能力。

首節課程《如何全方位構建ECS的安全體系》由阿里云彈性計算高級產品專家馬小婷帶來，

課程涵蓋了“云上安全的重要性、云安全責任模型、ECS安全能力大圖解讀”等內容，本系

列全部課程也將在阿里云官網、阿里云官方微信視頻號、阿里云官方釘釘視頻號、阿里云

開發者微信視頻號同步播出。

以下內容根據課程整理而成，供各位開發者閱讀：

對于安全問題，很多用戶的直接反應就是操作是否太難？沒有安全背景和基礎能否快速上

手？又或是云上業務規模很小，是否需要知道并了解這些安全措施呢？結合以上的種種問

題，今天的分享希望帶給大家兩個收獲：第一點是讓大家對ECS的安全責任邊界和作為ECS

的用戶所肩負的安全責任有基本的認知，第二點是讓大家能夠掌握一些解決ECS常見問題

的一些安全技巧，通過本節課程的學習，大家可以立馬用起來，畢竟安全無小事。

阿里云產品專家教你如何全方位構建ECS安全體系>6

本次的分享主要分為以上四個方面。

一、云上安全的重要性

首先我們來關注一下云上安全的重要性，一直以來安全問題都是用戶上云最關心的問題，

我們得到的調研報告顯示96%的受訪者其實非常關注云上安全問題，同時有70%及以上的

用戶對云上的安全狀態信心是不足的。

阿里云產品專家教你如何全方位構建ECS安全體系>7

想要告訴大家的是，這種擔心并不是可有可無。隨著全球信息化浪潮的不斷推進，我們發

現針對數據安全的風險也在不斷上升，甚至愈演愈烈，這一部分的風險也來源于攻擊者不

斷進化的攻擊手段和日趨增加的安全事件。

根據cyberattacks-2022年的數據統計顯示，2022年全球網絡攻擊事件相比增加了38%，

而網絡攻擊帶來的后果一般都非常嚴重，不僅會導致我們的業務中斷不可用，而且會導致

敏感數據泄露，以致帶來嚴重的經濟損失，比如病毒勒索等。根據IBM調查報告顯示，2023

年因為數據泄露導致的平均損失高達445萬美元，而數據泄露的平均周期是277天，這也

意味著企業在遭遇了數據泄露以后，平均需要花費277天來識別并控制一個活躍的數據泄

露，時間成本和經濟成本非常高。

那么除了日趨復雜和嚴峻的安全環境之外，我們來看看ECS的用戶們經常遇到的威脅都有

哪些。

其實很多用戶上云購買的第一個云產品就是云服務器ECS。我們發現很多用戶在使用ECS

的過程中存在著一個誤解，那就是購買了ECS之后就可以“安全無患、高枕無憂”，其實

阿里云產品專家教你如何全方位構建ECS安全體系>8

不然。上圖列舉了目前ECS面臨的一些典型的安全威脅，相信各位開發者可能也遭遇過。

比如各位的實例遭遇DDos攻擊，導致整個應用拒絕服務，或者ECS中了勒索病毒，導致

數據無法被找回，又或者實例登陸密鑰被泄露，導致數據被刪除無法找回等等。

其實大家遇到的問題只是ECS安全問題的冰山一角，在阿里云后臺，我們每天默默處理掉

的ECS的各種安全問題數量也非常驚人。阿里云每天發現并發出以上的漏洞病毒告警超過

10萬次，每天幫助用戶清理的DDos攻擊流量高達2.08Tdps，而我們每天掃描出來的操

作系統這種安全漏斗高達3億個，每天幫助客戶清理的黑客工具高達700萬個，這些問題

每天依然在發生，那么導致以上問題的根因是什么呢？

當前云計算安全建設的主要驅動力其實是合規性要求，我們對安全攻擊和防護的重視度是

遠遠不夠的，而安全的本質其實是對抗，要抵御各種威脅才是提高安全的最終目標。隨著

云計算得到了廣泛的應用，聚焦于云計算的攻擊者其實會搜集網絡上各種云服務，進而去

發現脆弱性并且加以利用。這些脆弱性主要來源于上圖展示的五個方面。

根據2023年cloudsecurityAlliance的topcloudsecuritychallenges我們可以看到，

首當其沖的是用戶配置不當導致；其次是因為客戶在云計算的技能不足導致；第三是多云

阿里云產品專家教你如何全方位構建ECS安全體系>9

環境下的能見度不足導致的。根據Gartner預測，到2025年，由于用戶配置不當導致的

安全問題的比例可以高達99%。由此我們可以看到很多安全問題最終的根因其實歸結為兩

點，第一個其實就是安全意識的不足，第二個是我們安全實踐技能相關的缺失。

安全意識的不足這一點大家有目共睹，尤其是在我們DoveOps這種開發模式下，為了提

升我們的開發效率，我們的開發運維團隊會大量使用三方開源工具或者一些軟件庫，甚至

是一些公開的容器鏡像。這些開源軟件或者是鏡像中如果存在了一些安全漏洞，或者說遭

遇了惡意污染，但我們的開發運維同學并不會去做嚴格的安全風控。最終如果用戶使用了

這些軟件，那么接下來大家的業務則會面臨著一些安全的風險，同時我們也注意到有很多

人在無疑是的把業務中的一些敏感代碼或者數據在互聯網上進行托管，這種操作其實也會

存在著一些數據泄露的安全風險。

另一個調查可以顯示，23%的企業承認自身的業務其實對網絡攻擊的準備是不足的，而50%

的企業承認自身的網絡安全水平其實是落后于起初規劃的。其中一方面是因為大家自身技

能的確實，另一方面也是大家不得不考量的成本問題，所以我希望今天的分享能夠給大家

做到安全方面的基礎的科普，以及安全嘗試，幫助大家盡量做到盡量避免因為配置不當或

者意識不足導致的業務風險問題。

阿里云產品專家教你如何全方位構建ECS安全體系>10

二、安全責任共擔模型介紹

第二部分將為大家詳細介紹ECS的安全責任共擔模型。這個責任模型是我們進行云上安全

實踐的重要基礎，也是主要依據之一。在介紹模型之前，先為介紹一下ECS的底層架構，

因為這也是我們對ECS的安全性進行配置的一個基礎。

在傳統的云下應用架構下，搭建一個信息系統，需要自行負責信息系統所以來的所有底層

軟硬件的資源和服務搭建。如果把信息系統的搭建比作為一個房子，那在我們的傳統服務

模式下，我們則需要自行準備搭建一個房子所需要的全部資源。其實這里可以類比為我們

在鄉下宅基地自建房，需要選址打地基，設計房屋構造和布局，拉上水電煤等技術服務，

最后做內部裝潢，可能還需要判斷房子外圍是否需要加蓋院子和圍墻，來保障房子的安全。

所以我們可以看到，在傳統架構下，所有的任務和服務都需要我們自行設計、自行管理和

自行維護。

而在infrastructureasservice基礎設施及服務這種的服務模式下，我們可以看到云服務

提供商就像房地產開發商一樣，每一個基礎且重要的“建房步驟”都由云服務提供商來負責

管理和維護，同時他們還需要保障不同的用戶或者不同房子之間的資源隔離問題，需要做

到互不影響。而我們作為用戶，只需要根據業務需要以及當前的屬性去做一些選擇和配置

即可。

那我們來看一下選購一個ECS和選購一個“房子”有哪些重要的參考參數呢？

首先就是選擇地域和可用區，ECS的地域和可用區類似于房子地段的情況，地段由城市和

縣市決定。在地域和可用區的選擇上，主要交由用戶選擇。建議大家選擇在更靠近業務服

務的目標用戶的區域，這樣整個網絡延遲相對更低。

其次選擇對應的VPC和交換機。VPC是用戶自定義的一種私有網絡，而不同的VPC之間在

邏輯上是完全隔離的，但同一個VPC中子網又是默認互通的，交換機則是將一個VPC劃分

成一個或多個子網，所以從這個概念上來說我們可以把VPC理解為一個小區，同一個小區

阿里云產品專家教你如何全方位構建ECS安全體系>11

中的房子在不出小區的情況下就能夠互通，如果我們在一個小區中有多套房子，就可以通

過交換機操作類似單元樓的方式進行劃分，方便管理。所以在某種程度上，我們選擇ECS

的VPC和交換機，其實就相當于我們在選擇房子所在的一個小區和單元樓。

然后我們要選擇ECS鏡像。ECS鏡像我們也叫操作系統，其實我們在選擇鏡像的時候，可

以分不同的類型和版本，比如我們選擇Windowsserver2023這個版本。這就相當于我們

去選擇這個房子的戶型究竟是三室兩廳還是兩室兩廳。

下一步選擇對應的ECS安全組。安全組其實是一個虛擬的防火墻，主要用來控制安全組內

的ECS實例的入出方向的流量，相當于我們設置的一個“規則”來允許什么人可以進出單

元樓，所以我們可以把安全組類比做門禁卡，可以通過設置門禁卡的規則來限定什么樣的

人能夠進入我們的小區，進入我們的房子。

最后則是選擇實例的用戶名和密碼，也就相當于“房子鑰匙”，不同的人可以用鑰匙打開我

們的門，進入到房子中去，所以如果我們的用戶名和密碼沒有得到很好的保障，則相當于

我們的鑰匙也沒有得到很好的保管，那么我們整個ECS其實是可以任由大家訪問的。

理解了整個ECS架構，我們就可以看到作為ECS用戶，我們就相當于一個房子的租客一樣，

需要我們作為租客（用戶），對房子中所有的基礎設施的配置來負責，包括對應的ECS有

沒有設置對應的網絡隔離，整個實例操作系統的安全性有沒有得到保障等等，以及有沒有

設置對應的訪問策略，以及在里面跑的這些應用是否安全。這意味著整個ECS內部的這一

部分是由我們作為用戶，需要自己管理并負責的。而云服務提供商其實就和房地產開發商

一樣，主要負責兩部分的安全，第一部分其實負責對整個地域和可用區里面的基礎設施進

行和管理和維護，第二部分其實對于我們這個虛擬化服務和云產品的管理和服務進行負責。

阿里云產品專家教你如何全方位構建ECS安全體系>12

在了解底層架構之后，我們再來討論ECS的安全責任共擔模型，其實就會發現，這個模型

會更清晰。上圖右側列舉了云服務提供商和我們的用戶之間的責任邊界，可以看到云服務

提供商對云本身的安全性負責，而云本身的安全性分成了兩個維度，第一個就是基礎設施

的安全性，第二個是云服務的安全性。基礎設施的安全性主要包括底層硬件的主機安全，

以及一些虛擬化的安全。要提供一個安全、合規、可靠的基礎設施，這也類似于我們房子

的地基，房子的地基是否安全，房體所使用的鋼筋水泥土是否符合國家建筑安全的規定。

云廠商的第二個安全責任就是需要對云服務的安全性負責，主要是云服務本身是否安全。

而在這個基礎上，用戶側需要圍繞云上安全性需要做哪些事情呢？上文介紹到了ECS一些

重要的參數和組件，其實也是我們在提升ECS安全性方面所需要考慮的幾個維度，目前我

們可以分為四個維度。

最底層GuestOs安全其實是我們ECS所有安全的基礎，相當于房子的門窗和鑰匙是否安全。

其次是訪問安全，本質上來說，主要控制有哪些用戶能夠訪問我們的實例。第三塊是網絡

安全，主要通過網絡隔離和網絡控制手段提升整個網絡的安全性。最后一部分是數據安全，

也是云上安全的最終目標，當然其中也存在著不同的維度，比如我們可以用快照做數據備

份，也可以對存儲的數據進行加密，甚至可以通過機密計算的方式保證數據在計算過程中

阿里云產品專家教你如何全方位構建ECS安全體系>13

的安全性，這里預告一下，數據安全在后續章節也會有講師為大家做深入的開展。

整體來說，ECS的安全責任共擔模型明確了云廠商和用戶大家的責任邊界，以及在每個維

度上用戶能夠做的提升ECS安全性的一些事情。

前面介紹的安全責任共擔模型其實是一個整體大原則，根據《中華人民共和國網絡安全法》

以及《互聯網信息服務管理辦法》等相關法律規定，他們對廠商和云平臺其實提出了更多

的法律監管的要求，也意味著云平臺除了前面提到的需要對云本身的安全性負責意外，還

需要根據國家的法律法規對以下的兩類違法行為進行主動管控。

第一點要強調的就是ECS上的一些違法行為，第二個則是ECS上的一些違法信息。第一類

是違法行為，包括我們在ECS上對其他云產品發起攻擊，或者說我們對云產品進行一些掃

描、滲透、測試等探測行為，或者我們使用云產品去搭建DDos的防御服務，還包括我們

使用云產品從事一些虛擬貨幣相關的工作活動，比如挖礦等，均屬于違規行為。第二類是

違法信息，指的則是我們在ECS上搭建一些網站服務，提供色情低俗的內容，或者有欺騙、

賭博等非法行為，以及出現危害國家安全，破壞政治社會穩定的信息。在這種情況下，云

平臺有權依照相關的法律采取相應的封禁措施。

阿里云產品專家教你如何全方位構建ECS安全體系>14

對于存在一般違法行為的ECS，阿里云會對ECS上的url和域名采取一些阻斷動作。如果

出現賬號被封禁，用戶可以申請免費解禁，或者申請主動解禁。但對于嚴重的違法行為，

我們除了阻斷url和域名訪問意外，還會禁止用戶解禁，除非用戶把數據完全刪除/完全釋

放，才會解禁。對于情節嚴重的違法違規行為，我們會對ECS采取關停甚至限制對應賬號

訪問的行為。當然如果用戶在使用ECS過程中，因為上述問題被阿里云采取了封禁措施，

用戶也會收到對應的ECS系統事件以及對應的短信、郵件、站內信的通知。大家可以根據

對應的通知來采取相關的措施進行及時清理。如果沒有及時清理，接下來ECS可能就沒有

辦法正常使用。

三、ECS安全能力大圖解讀

第三部分我將為大家進行ECS安全能力的全貌解讀。

上文《安全責任共擔模型》中提到，云廠商負責云本身的安全性，而用戶需要對云上的安

全性負責。那在云上安全性這個維度上，阿里云也提供了一系列的安全能力和云產品和功

能，來幫助大家快速的完成對應的安全能力的構建。在這里我們將ECS的安全能力主要分

阿里云產品專家教你如何全方位構建ECS安全體系>15

成了以下五個維度。

第一個是GuestOS安全的安全。

GuestOS安全的安全前面提到其實就是ECS對應的實例操作系統貴的安全性。操作系統的

安全性其實是ECS安全性的基礎，主要也包含了兩部分的安全，即操作系統本身的安全和

登錄安全。這兩點類比的話，相當于房子的門窗是否緊鎖，以及鑰匙和門禁卡是否安全。

第二個是網絡安全。

網絡安全是最容易忽略的。因為上云之后，所有的資源都在網絡上，意味著人人都可以看

到，如果設置不當，也可能會導致人人都能夠訪問。在這種情況下，如何能夠進行安全保

障呢？類比過來就相當于我們在地圖上能夠看到房子，但并不是所有人都能夠進入到房內，

因為單元樓和小區起到了物理的訪問隔離的作用，加之門禁卡，就在訪問隔離和訪問安全

控制下，更好的保障了房子的安全性。在網絡上也是一樣，可以通過設置對應的訪問隔離，

比如VPC的隔離策略來保證某些網絡沒有辦法被其他網絡訪問，同時還可通過設置對應的

安全組訪問策略來限制“進去的人”和“出去的人”，進而提升ECS的網絡訪問安全性。

第三部分是身份與訪問控制。

這就不是從單個資源角度出發，而是從一個組織/公司中很多人在共同使用資源的角度出發。

相當于一個公司有很多房子，分布在多個小區和單元樓，公司中什么樣的人能夠訪問什么

樣的資源，對于核心資源的使用過程需要多次驗證，臨時來訪用戶需要臨時授權等等，需

要能進行精細化管理，同時還需要定時review過去一段時間內，有什么樣的人通過什么樣

的方式訪問了“房子”。

所以某種程度上，身份與訪問控制更多的是從一個組織的角度出發，對整個組織下面的多

種角色以及訪問行為進行全面的控制，同時還可以做審計，這樣可以保證我們云上的資源

訪問能夠可追溯且可授權。

阿里云產品專家教你如何全方位構建ECS安全體系>16

第四部分是應用安全。

顧名思義，應用主要指的是Web應用，或者說一些APP應用，主要作用其實是對外提供

服務，并不是所有用戶買了ECS都一定會對外提供服務，但一旦我們會外提供服務，最重

要的就是保障服務的可用性。那么如何保障我們服務的可用性？阿里云提供了非常多的工

具和產品，比如Web應用防火墻，它可以抵御各種常見的外部攻擊。對于網站式APP的

業務流量進行惡意特征識別，然后對流量進行清洗和過濾，能夠把正常的流量返回給服務

器，來避免網站服務器被惡意入侵，從而保證整個網絡的業務安全。

最后一點數據安全。

數據安全是所有安全防護的終極目標，數據安全也是一個端到端的安全保障機制。因為數

據本身存在三種狀態：靜止態、傳輸態、使用態。靜止態指數據存放在某種地方，可能存

在被誤刪/被刪除的風險，可以通過定期數據備份保障對應的數據安全。

同時，還可以通過數據加密的方式保證靜止態數據安全。數據加密可以防止數據泄露，保

證數據在傳輸過程中的安全性。使用態的數據使用安全，一般指的是在內存中讀寫的數據

安全性，而機密計算其實是通過一種基于硬件的可信執行環境來達成在計算中保障數據安

全的目的。所以數據安全更多的是一種端到端的安全保障機制，如果大家的業務對數據安

全有更高的要求，則可以選擇性的采取必要的措施來保障數據安全。

為了進一步降低用戶使用以上各種工具的門檻，我們提供了ECS使用成熟度評估與洞察這

個產品，它基于云上的最佳實踐和在其中提到的云上基礎和安全保障能力，為用戶做更多

的風險識別，并且能夠為大家提供對應的修復建議，最終提升整個ECS安全性。

阿里云產品專家教你如何全方位構建ECS安全體系>17

下面將為大家介紹兩個最佳實踐，讓大家有更直接的體感。

第一個是最佳實踐是圍繞GuestOS安全性提升的。前面提到了，GuestOS的安全性是整

個云上安全的基礎。它分為兩個維度的安全，首先是登陸安全，第二個是操作系統的安全。

那如何從這兩個維度上去提升我們GuestOS的安全性呢？圍繞著登陸安全這個維度我們

有幾個簡單的tips。

首先當然是使用非root賬號登錄。我們常見的比如阿里云側我們會推薦大家使用ECSuesr

賬號登錄，而不是默認的root賬號。如果大家的能力更高階，我們會推薦用戶使用Linux

系統，使用ssh密鑰對進行登錄，無需密碼，安全性更高。

但不管我們使用非root賬號的登錄，還是使用ssh密鑰對登錄，都需要定期更新登陸憑證，

避免密碼泄露帶來的風險。如果我們對ECS的登陸安全有更高的要求，則可以使用我們提

供的云助手提供的會話管理功能。它類似于堡壘機的功能，在不需要密碼的情況下能夠安

全的登錄到ECS的實例上，同時也可以通過會話管理或是workbench對所有的登陸操作

進行追溯。

阿里云產品專家教你如何全方位構建ECS安全體系>18

關于操作系統安全，上文我們也提到操作系統的安全相當于整個房子的門窗是否安全，所

以在這部分，我們首先推薦用戶開啟鏡像加固，使用免費版的云安全中心對操作系統中存

在的安全漏洞進行掃描并定期修復。

同時，云安全中心的收費版不僅可以對系統漏洞進行修復，同時還能夠對操作系統中存在

的木馬和病毒進行掃描和修復。當然如果我們有足夠的能力且沒有付費意愿，還可以通過

系統運維管理的補丁管理去自動設置對應的補丁掃描，并且設置對應的修復策略。系統補

丁管理程序則會根據設置自動掃描對應的操作系統中的補丁情況，并根據指定的修復策略

自動完成對應的補丁修復，并且幫助我們去重啟實例，保證補丁得到最新的修復。

此外，如果我們對安全等保這個地方有要求，也可以使用阿里云提供的原生操作系統

——AlibabaCloudLinux等保2.0的鏡像來提升整個操作系統的安全合規要求。

上圖中展示的灰色部分是基礎能力，也意味著我們推薦所有用戶都采用這樣的策略，黃色

部分是高階能力，推薦大家按需使用。

第二個最佳實踐實際為一個綜合性解決方案。我們發現很多用戶在安全維度面臨的問題是，

阿里云產品專家教你如何全方位構建ECS安全體系>19

用戶無法判斷當前自身業務是否存在安全隱患，所以也無法進行優化/改進。同時，有些用

戶想要做一些安全性的改造，卻不知道從哪里可以入手且快速看到效果。

正如我們前面介紹的，絕大多數安全性問題其實是由于用戶配置不當或者意識不足導致的，

所以對絕大多數用戶而言，我們提升安全性的第一步是要識別我們當前的安全風險。那如

何能夠快速識別我們業務中常見的通用安全風險，進而防患于未然呢？

在這里，ECSInsight是我們推薦的一款一站式解決方案，它能夠幫助用戶快速發現問題，

并且識別問題的嚴重程度，同時推薦對應的解決方案。對于沒有太多安全基礎，但想要提

升安全性的用戶來說，不清楚第一步如何“落腳”，那么ECSInsight是一個快速上手的好

選擇。

ECSInsight是一款免費的風險識別類產品，當我們開通服務以后，會自動對我們ECS和關

聯資源的分布、使用、配置等信息做分析，并結合機器學習算法進行建模，最終結合云上

的最佳實踐和最佳方案，給用戶最終提供兩個輸出。

第一個輸出是使用成熟度整體評估，它會從ECS的基礎能力、成本、自動化、可靠性、彈

性、安全性六大維度對當前業務進行一個整體評估，每個維度100分。如果該維度存在風

險，則會進行扣分。

第二個輸出是對應的風險應對優化推薦方案。對于每個維度的失分項，ECSInsight都會根

據該問題的嚴重程度來進行區分。對于高危項，我們推薦用戶立刻采取行動進行修復，對

于告警，我們推薦用戶選擇合適的時間及時進行修復。對于提示項、不適用項和健康項，

我們只是作為參考。所以在以上的幾種情況下，我們借助ECS能夠快速、一鍵式的識別當

前業務存在的安全風險，并及時修復，防范于未然。

阿里云產品專家教你如何全方位構建ECS安全體系>20

下面為大家介紹一下ECSInsight的簡單的demo。大家登錄ECS的控制臺，在導覽頁里

面就會有一個ECSInsight使用成熟度評估與洞察這樣的一個入口，用戶則需要先申請開通

這個服務，開通之后需要花費t+1的時間對當前賬號下所有資源的分布、使用、配置等信

息去做一些數據的采集，建模分析，最終就會為大家產出一個分析報告。

其實我們可以看到它主要分為了六個維度，也是從這六個維度的角度上做了評分。每個維

度的分值以及對應的總分，這些都可以看到。對于沒有得分的項，ECSinsight會根據對應

問題的嚴重程度歸類。對于高危項和警告項，是需要用戶立即采取行動的。而對于不適用

項和提示項，其實是nicetohave的能力，用戶可以適當做一些參考。

在安全能力維度上，我們可以看到ECSInsight目前提供的是通用的安全評估能力，主要包

含網絡安全能力、實例訪問安全能力和實例數據安全能力三個維度，每個維度都提供了詳

細的安全風險評估標準。對于未得分項，都可以點開具體看到評分規則，以及對應的受影

響的資源是什么，以及對應的修復建議和對應的最佳實踐。

最后我們可以參考最佳實踐和對應的修復建議來完成相關的配置修改，就能夠完成相關的

風險修復，也歡迎大家到ECSInsight頁面上體驗我們的產品，從而達到ECS安全性的提

升。

阿里云產品專家教你如何全方位構建ECS安全體系>21

四、云上安全的展望

最后為大家分享我們對云上安全的展望。

第一個是機密計算。上文提到的，網絡安全很大一部分其實是為了保障數據安全，而數據

根據其情況我們可以分為靜止、傳輸和使用中三個狀態。而存儲的數據屬于靜止態數據，

在網絡中屬于傳輸態，而正在處理的數據則屬于使用中的狀態。前面提到的加密技術主要

用于提高數據的機密性，進而防止一些未授權的訪問和保障數據完整性，也就是防止未經

授權的修改，它主要用戶保護傳輸中和靜止狀態的數據。那么數據在內存中使用時如何保

證其安全性呢？這其實就是機密計算的目標場景了。

機密計算通過在基于硬件的可信執行環境中執行計算的方式來保證使用中的數據的安全性。

而可信執行環境則通常被定義成能夠提供一定程度的數據的完整性、機密性和代碼完整性

來保護環境。而基于硬件這樣一個可信執行環境，主要使用我們芯片中的一些硬件支持的

技術，為代碼的執行和環境中的數據提供保護，從而提供一個更強的安全性的保證，進而

有效預防基于內存的攻擊手段，比如target的安全事件和CPU的側通道攻擊，它能夠防

御一些惡意軟件入侵的攻擊手法，比如烏克蘭的電網攻擊。對于機密計算感興趣的同學可

阿里云產品專家教你如何全方位構建ECS安全體系>22

以聽我們后續的其他講師的一個專題的分享，在這里面我可能就不做詳述了。

第二個是零信任安全。零信任安全其實是一種安全理念，它的基本原則其實是不信任任何

設備和用戶，除非驗證其可信。同時，用戶和設備在經過驗證之后還會持續監控設備的安

全狀態和用戶行為，一旦發現信用等級下降，則需要動態的調整訪問級別，并在需要的時

候去切斷對應的訪問會話。所以，零信任本質上來說是一種更安全的云上設備和身份的驗

證。

在傳統的網絡安全保障機制中，主要通過子網劃分、安全域劃分、網絡控制等手段去實現

網絡管控。隨著網絡設備和云計算被廣泛使用，也讓企業員工在任何時間、任何地點、都

能夠使用任何設備來訪問企業資源這是一種常態的趨勢，在這種趨勢下，我們認為零信任

的安全則是一種更安全、更有效的安全防護機制。

最后想和大家分享的一點是“當安全性遇到AI”。其實Gartner早在2016年就提出了

AIOps的概念，并在2017年把它明確定義為需要借助人工智能的算法提供具有一些動態

性、預測性的一個洞察能力，最終實現IT運維自動化的能力。

在AIOps中，我們可以看到Gartner主要強調了三個關鍵點。第一要使用AI算法，第二

要能夠發現并識別一些異常信息，第三是要能夠完成一些自動化的運維執行。所以，雖然

AIOps很多時候強調的是智能化運維，但是我認為在安全領域下，這三個關鍵點依然是有

效的。所以當安全性與AI相碰之后，我們認為AIOps在安全這個領域維度上也應該能夠實

現，能夠借助我們AI算法去識別一些危險的洞察，并且能夠去歸納其攻擊行為和攻擊意圖，

并且能夠自動化的給出執行建議，同時自動化的輔助/幫助用戶完成對應的安全措施。

以上就是本次課程的全部內容。

/play/u/null/p/1/e/6/t/1/445056548306.mp4

九大提升ECS實例操作系統安全性的技巧>23

九大提升ECS實例操作系統安全性的技巧

引言：【彈性計算技術公開課——ECS安全季】第二節課程由阿里云彈性計算技術專家陳懷

可帶來，本文內容整理自他的課程，供各位閱覽。

一、安全事件案例回顧與操作系統安全概念介紹

在介紹操作系統安全概念前，我們先來看一下國際上曾經發生過的幾個真實的安全事件。

第一個安全事件：國外某政務官員，他是一非常喜歡發推特的人，可能不知道的是，他在

就任期間，他的推特賬號曾經被人盜用過。像這類知名的公眾人物，他們的一言一行都會

對社會產生重大的影響，可想而知，他們的賬號被盜用的影響會有多大。整個安全事件的

過程比較簡單，簡單梳理一下。

在2012年LinkedIn網站被攻擊，2016年，相關的數據庫被泄露出去，泄露的數據庫中

有包含這位官員的賬號和密碼，通過這個賬號密碼，攻擊者攻擊了他的推特賬號。

九大提升ECS實例操作系統安全性的技巧>24

這就是典型的撞庫攻擊，因為在大多數人的行為習慣中，習慣性的會在所有的產品中長期

使用一個或幾個固定的密碼。而不會特意去修改。這位官員同大多數人一樣，使用同一套

密碼，最終導致了他的推特賬號被入侵。回過頭看整個安全事件，導致這一起事件的根本

原因在于長期使用一套固定的密碼，而且沒有進行修改。

九大提升ECS實例操作系統安全性的技巧>25

再來看另外一個安全案例，去年九月，斯里蘭卡國家政務云被黑，同時丟失了四個月的重

要數據。

詳細看一下這個事件的前后因果，斯里蘭卡國家政務云中使用一款軟件叫做Microsoft

exchange2013版本，這款軟件其實已經過期不再被維護，并且軟件中存在著致命的安全

漏洞，因為財政方面的問題，沒有得到及時升級維護，攻擊者通過這軟件漏洞發起了勒索

軟件攻擊，最終導致近四個月數據的永久丟失。可以清晰的知道，導致這一起安全事件的

根本原因在于使用了停服的軟件，軟件沒有得到及時的升級更新安全補丁。

回顧剛剛的兩個安全案例，在案例1中，用戶用于登錄系統的賬密泄露了以后，攻擊者利

用泄露的賬密攻擊系統，導致系統被入侵，如果訪問操作系統常用的賬密泄露了，攻擊者

能夠很輕易的登錄到操作系統，部署勒索鍵，導起關鍵數據信息等等危害。

案例2中，系統未及時更新安全補丁，導致攻擊者利用漏洞進行入侵并部署勒索軟件，攻

擊者經常使用操作系統內未及時修復的安全漏洞實施入侵攻擊。那么該如何保護我們的操

作系統呢？

九大提升ECS實例操作系統安全性的技巧>26

我們來將操作系統的安全分為三個部分，第一部分是訪問操作系統的安全性，它定義了誰

能夠來訪問操作系統，用怎樣的方式來訪問。第二部分操作系統內部的安全性，包括安全

補丁以及技術的安全能力等等。第三部分是涉及到法律法規的一些要求，比如審計、合規

要求等等，提升操作系統安全性的辦法，我們根據上述的操作系統安全性的三個組成部分，

分別是提升訪問操作系統的安全性、安全加固操作系統以及操作系統安全進階這個三部分。

二、快速提升訪問操作系統安全性

接下來針對如何提升操作系統安全性，分三部分詳細展開。

在提升訪問操作系統安全性上，快速提升訪問ECS實例操作系統的安全性。內容主要分三

個部分，使用密鑰對登錄實例、使用會話管理免密登錄實例以及避免端口/0的授

權。

如何使用密鑰對登錄實例，可能這里會有部分的同學存在疑問，什叫做密鑰對？密鑰對實

現的原理是什么？使用密鑰對登陸實力有什么樣的優勢？

九大提升ECS實例操作系統安全性的技巧>27

阿里云的密鑰對默認采用的是RSA2048位的加密算法生成了包括公鑰和私鑰，使用公鑰

和私鑰認證的方式進行登錄，是一種安全便捷的登錄方式。由用戶生成一組密鑰對將公鑰

推送到目標服務器中的公鑰默認存儲路徑下，阿里云默認公鑰存儲路徑是

~/.ssh/authorized_keys文件。它的登錄實現原理如右圖所示，用戶發起登錄請求，服務

器端生成一串隨機數，使用公鑰進行加密，返回用戶端加密的信息，用戶端使用私鑰本地

進行解密，并發送服務器端解密后的信息，服務器端對比解密后的信息，對比驗證信息有

效才允許用戶登錄。

這種方式相對于傳統的賬密的登錄方式的優點，它的優點主要有兩個，一是相對于常規的

用戶口令容易被爆破的風險，密鑰對杜絕了暴力破解的危險，另外一個是密鑰對登錄方式

更加簡便，一次配置，后續再也不需要輸入密碼。但是也要求需要保護好私鑰不被丟失泄

露，因為擁有您的私鑰的任何人可以解密的登錄信息。需要注意的是，阿里云不會存儲私

鑰文件，也就是在創建密鑰對時僅有一次下載密鑰對的機會。

常用密鑰對登錄ECS實例的方法，主要有四種，第一種是使用ECS提供的Workbench，

在Workbench中導入私鑰連接ECS實例，若您的私鑰在本地是加密的，如圖所示的

Workbench還可以支持傳入私鑰口令的方式解密訪問。

九大提升ECS實例操作系統安全性的技巧>28

第二種是使用第三方的密鑰對工具，使用第三方密鑰對登錄工具時，需要遵循該工具的使

用規則，比如PuTTYgen需要轉化私鑰文件的格式。第三種是需要支持密鑰對的控制臺命

令的環境，需要SSH命令的方式進行連接實例。第四種同樣是需要支持密鑰對控制臺命令

環境，如右圖所示的需要配置config文件的ECS別名以及一些比如端口號，登錄賬號，以

及私鑰地址、還有公網信息等等這信息，這種方式適合多臺實例登錄的場景，這里需要注

意的是以上四種常規的密鑰對登錄方法，后面三種都是需要用戶開啟公網的IP才能夠進行

訪問的。

對需要使用密鑰對的用戶，如何更好更安全的使用密鑰對，我們有兩方面的建議，第一是

保護好本地私鑰，第二是可以優化密鑰對的服務配置。如何保護好本地私鑰？常規方案會

推薦用戶使用密碼的方式進行保護私鑰。需要保證持有正確的密碼的人才能夠訪問到私鑰。

在使用私鑰時，每次都是需要輸入密碼。

一是控制臺Workbench也是支持輸入口令密碼的方式訪問到您的私鑰。另外，盡可能的

不使用默認的密鑰對的存儲位置，將私鑰保存在自定義的目錄中。在保存私鑰的目錄中設

置正確的訪問權限，只允許特定的用戶能夠訪問。在保存私鑰的系統上，還需要及時的安

九大提升ECS實例操作系統安全性的技巧>29

裝最新的補丁和安全更新，以保護系統不受知名漏洞的影響。同時，為了防止私鑰的丟失

和誤操作刪除，還可以定期備份私鑰。

在使用密鑰對服務配置時，我們建議可以修改連接端口為非標準端口，密鑰對的默認連接

端口為22端口，很多黑客工具會針對22端口進行掃描攻擊，修改端口為非標端口可以提

高安全攻擊的門檻，非標端口一般為1024~65535。使用密鑰對登錄.建議使用非root的賬

號登錄，根據權限最小原則，對登錄ECS實例的用戶應該做到權限控制，避免受益過大的

權限。建議您在新購實例時選擇使用ecs-user的普通賬號，并且在密鑰對服務中配置禁止

root的賬號身份的登錄。

另外，在啟用密鑰對登錄ECS實例的時候，建議及時關閉ECS是實例，通過密碼方式的登

錄，以進一步提高安全性。

ECS生產密鑰對默認采用的是RSA2048的加密方式。如果需要修改加密算法，可以使用

自定義的密鑰對導入的方式，在您的本地環境使用密鑰對生成器生成以再導入到ECS中。

目前支持的加密算法涵蓋了大部分主流的密鑰對算法，如右圖所示的，比如RSA、DSA、

DSS等等。

九大提升ECS實例操作系統安全性的技巧>30

需要注意的是，在您的本地環境密鑰對生成之后，需要導入ECS是公對，請注意檢查，避

免導入私鑰。要使用密鑰對登錄ECS實例目前也存在一些限制，比如當前僅支持Linux實

例，不支持Windows實例，使用密鑰對登錄時，通常還需要開啟操作系統的22端口，并

允許指定端口在本地客戶端公網IP進行訪問連接。

除了使用密鑰對登錄ECS是實例外，還可以使用會話管理免密登錄實例，使用會話管理登

錄時具有更高的安全性。接下來我將詳細介紹會話管理。

會話管理是由云助手提供的功能，相比于密鑰對、VNC等方式，可以更便捷的遠程連接ECS

實例，且兼具安全性。從一開始的安全升級案例中，使用常規賬密的登錄對密碼的復雜度

要求比較高，并且需要定期進行修改，防止密碼泄露后的風險，很難進行管理。或許大家

可能會想到使用密鑰對登錄一些實例不就解決問題了？

九大提升ECS實例操作系統安全性的技巧>31

答案是肯定的。不過使用密鑰對登錄實例的時候也會存在一些因素限制，比如常用的密鑰

對登錄實例，通常需要開放公網IP，并且開放22端口。一旦公網IP開放之后，允許更多

的人訪問的ECS也就增加了對應的攻擊面。

另外，無論是使用密鑰對還是使用賬密登錄，都不能做到記錄和審計，很難發現攻擊者的

入侵行為。

相比于傳統賬密的登錄方式，云助手登錄它有幾個優點，第一它是不需要分配公網IP的就

可以直接訪問，避免了ECS實例暴露到公網環境，第二也不需要設置管理密碼，直接免密

登錄，避免了賬密泄露的風險。它還可以通過管理授權，可以比較靈活的分配和回收權限。

另外它可以記錄、審計，通過訂閱對應的審計日志進行定期的安全分析，能夠及時發現一

些非易侵內的訪問行為。

會話管理登錄實例是如何做到這些，會話管理建立鏈接的原理。

如圖所示，首先，會話管理客戶端發起會話，云助手服務端通過RAM訪問控制權限進行健

全，健全通過后會生成用于發起鏈接的WebSocketURL以及10分鐘內有效的token，

返回給會話管理客戶端。會話管理客戶端通過websocketURL以及token與云助手的服

務端建立了websocket的鏈接，云助手的服務端控制ECS實例內部的云助手agent建立

websocket連接。云助手的agent和云助手的服務端建立了WebSocket的鏈接。

在建立WebSocket鏈接后，可以在會話管理客戶端輸入命令，該命令以流式傳輸的方式

輸入到ECS并執行，最終在會話管理客戶端顯示執行的結果。

會話管理的安全性主要在于會話管理客戶端與云助手服務端的agent間的通信是使用

WebSocket協議建立的。

九大提升ECS實例操作系統安全性的技巧>32

WebSocket的連接使用了SSO加密的方式保障數據的安全，使用會話管理能夠遠程連接

指令，不需要密碼，也沒有泄露密碼的風險，能夠通過RAM權限安全策略進行管理，云助

手與云助手服務器端通過WebSocket連接，不需要通過SSHVNC等方式登錄實例，所以

也就不需要打開入防線端口，進一步提高了ECS安全性。

常用的會話管理鏈接方式主要有四種，最常用的是直接使用會話管理連接實例，另外也支

持了使用會話管理端口轉發連接實例。例如ECS實例中部署了不對外開放的web服務，

可以通過端口轉發指的方式直接連接外部服務，還有一些客戶希望在使用會話管理的基礎

上再次進行鑒權ECS也支持使用會話管理，以密鑰對以及臨時密鑰對方式進行連接實例。

如表格所示的，各自都存在一些優勢以及不足，優點是使用會話管理都不需要用戶開啟公

網IP、會話管理、端口轉發以及直連和臨時密鑰對都不需要再管理密鑰以及密碼。端口轉

發以及直連也不需要開放端口，不足的地方是其中使用會話管理密鑰對以及臨時密鑰對連

接實例的時候，都是需要開放22端口的，使用會話管理密鑰對連接實例的場景，同時用戶

還需要自己保存對應的私鑰。

九大提升ECS實例操作系統安全性的技巧>33

使用會話管理還可以很靈活的管理權限，通過權限的RAM權限策略配置，可以允許子賬號

連接所有的實例，也可以允許子賬號連接指定的一個或者多個實例，或者使用綁定的實例

標簽進行篩選，只允許子賬號訪問到指定標簽的實例，也可以限制通過指定的IP進行連接

實例。

如圖所展示的RAM權限配置的案例，配置也比較方便簡單，對于大規模的企業產品，強烈

建議使用標簽的方式進行批量管理權限，便于權限的回收以及收予。會話管理也存在一些

權限的限制，比如需要一些授權StartTerminalSession的方式，以及

DescribeUserBusinessBehavior等等權限。會話管理的使用還存在一些限制，必須要授

予一些權限，比如StartTerminalSession以及DescribeUserBusinessBehavior等等權限。

除了使用密鑰對登錄實例以及使用會話管理免密登錄實例外，還需要避免端口0.0.0授權

對象的訪問。

九大提升ECS實例操作系統安全性的技巧>34

眾所周知，Linux操作系統使用了SSH終端連接，默認使用22端口，Windows操作系統

使用的是RPD遠程桌面，默認使用的是3389端口。通常場景下，未限制端口訪問允許任

意來源的訪問可能導致黑客或者攻擊者在未經過您的授權的情況下，通過這些端口登錄到

操作系統中。

如何限制這些訪問？阿里云免費為您提供了實例級別的虛擬化防火墻，也就是安全組，它

可以設置單臺或者多臺ECS實例網絡訪問控制，它是重要的安全隔離手段，但是它也需要

經過一些簡單的配置。如右圖所示的，在創建ECS實例時將使用默認的安全組，默認安全

組將放行22338980443等端口，開放給，默認允許所有IP都可以訪問。默認安

全組的配置并不安全，需要經過一些簡單的配置。

九大提升ECS實例操作系統安全性的技巧>35

安全組的配置應該遵循以下幾個基本原則，安全組應該作為白名單使用，而不是黑名單。

安全組出入規則時應該遵循最小權限原則，避免受予過大的權限。不需要公網訪問的資源

不應該提供公網IP，公網IP將暴露增加您的ECS實例的攻擊面，先拒絕所有的端口對外開

放。

若您需要開放端口，應盡量避免的授權，并需要開放的端口授權指定的IP或者IP

段訪問。如右圖所示的案例，安全組配置了僅允許來源IP為00網段通過TCP

協議訪問到22端口，經過安全配置之后，00端口可以進行訪問，但是

00端口所有的請求將會被拒絕。

我們強烈建議您按照上述的原則，僅開放必要的端口提供給有限的IP進行訪問，修改您的

默認安全組規則配置。上面講了快速提升訪問ECS是操作系統安全的三方案，包括使用密

鑰對登錄，使用會話管理登錄實例，避免了端口所有IP的對象訪問授權。作為操作系統的

另外一重要的部分，操作系統內部安全也是至關重要的。

三、如何安全加固您的操作系統

接下來介紹一下如何安全加固操作系統。

本章節主要包括三部分，使用OOS補丁基線自動更新安全補丁、AlibabaCloudLinux操

作系統內核熱補丁以及使用免費的基礎安全服務。

首先來看一下OOS補丁基線自動更新安全補丁。

九大提升ECS實例操作系統安全性的技巧>36

為什么需要更新安全補丁，回顧安全事件案例二，斯里蘭卡國家政務云正是因為使用了存

在漏洞的軟件，導致操作系統被入侵，丟失了將近四個月的重要數據。如圖所示的一些官

方渠道經常會發布一些安全漏洞的公告以及修復漏洞的安全補丁。

黑客常常利用網上已經公布的安全漏洞，并且特定的工具進行掃描、攻擊、入侵。您若未

及時更新操作系統，時間越久，您就面臨的安全風險越高。安全攻防常常是攻擊方、防守

方時間上的競速，實際上不存在完美的系統，但只要修復的比攻擊的更快，系統永遠是安

全的。

另外一方面，許多行業標準、法律法規都要求企業定期更新軟件或操作系統，并及時安裝

最新的安全補丁，以滿足合規性的一些要求。既安全補丁的更新重要，如何盡快知道操作

系統中存在安全漏洞，以及如何快速找到對應的安全補丁，并且安裝補丁快速修復安全漏

洞。

九大提升ECS實例操作系統安全性的技巧>37

阿里云系統管理與運維服務，也就是OOS是阿里云提供的云上自動化運維服務，能夠自動

化管理和執行任務。OOS的補丁基線支持用戶根據默認或者自定義的補丁基線對ECS實例

的補丁進行掃描和安裝。在這個過程中，用戶可以選擇安全相關或者其他類型的更新，自

動修復相應的ECS實例。它能夠支持主流的Windows、Linux多達31種操作系統，包括

CentOS、RedHat、Ubuntu、WindowsService等等。

九大提升ECS實例操作系統安全性的技巧>38

不同的操作系統版本補丁基線實現的原理因為使用不同的包管理工具，掃描與安裝補丁的

原理都會有所差異。如圖所示的CentOS7使用的yum、CentOS8使用的是dnf，Ubuntu

使用的是apt，yum包管理工具為例，存在更新通知的概念，在軟件倉庫存儲者名為

updateinfo.xml的一個文件來存儲軟件的更新通知。

根據updateinfo中的更新通知如圖CentOS公共安全基線規則配置所示的補丁基線配置了

包括更新通知的類型以及嚴重等級，包括了Security\Bugfix\...對應的更新通知的類型以

及嚴重等級為Critical\Important\...。配置后它工作流等效的命令相當于執行了嚴重重要

等級的安全補丁以及漏洞補丁，執行yumupdate的命令。可以配置只升級嚴重以及重要

等級的安全補丁。

常用補丁存在以下幾種場景，比如操作系統以及應用程序的安全補丁的應用，Windows安

裝ServicePack以及Linux小版本的升級，按照操作系統類型，同時對多臺ECS實例進行

批量的漏洞修復，查看缺失的補丁報告，自動安裝缺失的補丁以及跨賬號跨地域補丁修復，

對于跨賬號跨地域的補丁修復的場景，對規模比較大的一些企業，不同的部門ECS實例可

能會存在多個賬號，多個賬號的一些是的補丁集中管理是比較重要的一個問題。

九大提升ECS實例操作系統安全性的技巧>39

在跨賬號的補丁修復的產品中，阿里云的角色主要分為兩個，一個是管理賬號，另外一個

是資源賬號，其中資源賬號可以是一個也可以是多個，管理員賬號本身其實也是一個資源

賬號，如右圖所示的可以通過所有資源賬號下創建一個管理賬號，賬號可以分別扮演對應

的RAM角色的方式授予補丁修復的所需要的相關的權限，從而達到管理賬號內賬號跨地補

丁修復的效果。

操作系統內嚴重的安全漏洞修復是刻不容緩的，但是修復通常需要重啟操作系統才能夠進

行生效，重啟又會影響線上業務的運行，接下來看一下什么是AlibabaCloudLinux操作

系統內核熱補丁。

AlibabaCloudLinux操作系統為內核熱補丁的高危安全漏洞，也就是CVE以及重要的錯

誤修復Bugfix提供了熱補丁支持，內核熱補丁可以在保證服務的安全性以及穩定性的情況

下，平滑且快速的為內核更新高危安全漏洞以及重要的錯誤修復的補丁。

它有以下的幾個優點，第一是不需要重啟服務器以及任何業務相關的任務進程，也不需要

等待長時間運行的任務完成，也不需要用戶注銷登錄，不需要進行業務進行遷移。

九大提升ECS實例操作系統安全性的技巧>40

不過它也存在一些限制，它僅僅適用于AlibabaCloudLinux的操作系統，而且要求是指

定內核版本以上，并不是所有的安全漏洞以及Bugfix都是支持熱補丁。熱補丁主要的修復

范圍是嚴重級別以上的CVE以及嚴重級別的錯誤修復。在更新補丁的過程以及補丁生效之

后，不能對補丁的函數進行測試以及跟蹤。

采用熱補丁的升級方法主要有兩種：

一種是手動的查看AlibabaCloudLinuxCVE公告平臺，獲取熱補丁升級的RPM包，使用

yum安裝的一個指定操作系統內核版本的熱補丁，但是這種方式是比較繁瑣的，推薦使用

第二種方式，安裝使用阿里云提供的內核熱布定管理工具livepatch-mgr，它能夠極大的

簡化流程，只要一個命令就能夠實現，支持熱補丁的查看、安裝、卸載等等能力。

除了使用OOS補丁基線以及內核熱補丁外，ECS實例還為您提供了免費的基礎安全服務。

九大提升ECS實例操作系統安全性的技巧>41

在使用公共鏡像新購ECS實例時，阿里云默認會為您提供較為豐富的基礎安全服務，也就

是云安全中心免費版。也可以選擇取消該能力，但是強烈建議您開啟該能力，它能夠為您

提供基礎的安全加固能力，包括主流的服務器漏洞掃描、云產品安全配置基線核查、登錄

異常告警、AK異常調用、合規檢查等等。云安全中心免費版是完全免費的服務，不收取任

何費用。如果有更多的一些需求，可以購買相應的高級版、企業版以及旗艦版。

九大提升ECS實例操作系統安全性的技巧>42

我們的云安全中心免費版免費為您提供了漏洞掃描的能力，支持LinuxWindows系統的漏

洞，也支持web-CMS等常見的漏洞一些掃描，還能針對近期互聯網上爆發的高危漏洞做

應急漏洞檢查，幫助您及時發現系統中存在的重大漏洞。建議您定期檢查與管理您的漏洞，

以幫助您更全面的了解您資產中存在的漏洞風險，降低系統被入侵的風險。

云安全中心免費版還為您提供異常登錄檢查的能力。異常登錄檢查的原理是云安全中心

agent通過定時收集服務器上的一些登錄日志并上傳到云端，在云端進行分析和匹配。如

果發現非常用登陸地或者非常用登錄的IP在非常用的登錄時間、非常用登錄賬號登錄成功

的時間將會觸發告警。

如何判定不同的IP的具體登錄行為，當云安全中心首次應用在您的服務器上時，由于您服

務器未設置常用登錄地點，這段期間內登錄行為不會觸罰告警。

當某公網IP第一次成功登錄到的服務器后，云安全中心將會該IP地址的位置標記為常用

登陸地。并且從這個時間開始往順延24小時內，所有的公網登錄地址將會被記錄為常用登

陸地，超過24小時，所有不在上述常用登陸地的行為被視為異常登錄告警，當某IP判定

為異常登錄行為時，只有第一次登錄行為會進行短信告警，如果IP成功登錄六次或者六次

九大提升ECS實例操作系統安全性的技巧>43

以上，云安全中心默認將IP地址記錄為常用登錄地址，異常登錄只對公網IP有效，云安全

中心會對某異常IP進行第一處理。

如果使用的云安全中心高級版，企業版或者旗艦版。可以針對服務器進行設置常用登錄地、

常用登錄IP、采用登錄時間、采用登錄賬號以及對上述的登陸地IP、登錄時間登錄賬號之

外的均設置為提示告警。

除了漏洞掃描、異常登錄檢查外，云安全中心還支持提供AK泄露檢查。AK泄露檢查會實

時檢查GitHub等平臺公開源代碼中是否包含阿里云的賬號AK，以鑒定您的AK泄露風險。

通常支持的通知方式如下幾種方式，一種是AK泄露檢查異變的告警，只要檢測到AK泄露，

無論AK是否有效都會提供告警。

另外是控制臺彈窗的提示，只有檢測到泄露的SK信息有效時，在訪問阿里云控制臺首頁或

者多數云產品的控制臺時才會提示，根據通知設置發送告警通知，只有檢測到泄露的SK信

息有效時，才會根據您設置通知方式，比如站內信