從基礎(chǔ)到應(yīng)用云上安全航行指南

點(diǎn)。云上安全建設(shè)是一個(gè)體系化工程，需要用戶主動(dòng)進(jìn)行多方面的考慮和實(shí)施，速止損等。安全用云是用好云的第一步，也是最為關(guān)鍵的一步。2024ECS安全季】，由阿里云八位產(chǎn)品技術(shù)專家組成講師團(tuán)，通過(guò)分享云上安全體系相關(guān)產(chǎn)品與最佳實(shí)踐，讓用戶快速上手構(gòu)建業(yè)務(wù)的安全防護(hù)能力。本書(shū)內(nèi)容整理自ECS安全季中的全部課程，供各位開(kāi)發(fā)者&用戶閱覽。TOC\o"1-1"\h\z\u阿里云產(chǎn)品專家教你如何全方位構(gòu)建ECS安全體系 5九大提升ECS實(shí)例操作系統(tǒng)安全性的技巧 23干貨長(zhǎng)文快收藏！阿里云專家教你如何安全訪問(wèn)和管理ECS資源 52來(lái)上課！一文掌握守住ECS網(wǎng)絡(luò)安全的最佳方法 78萬(wàn)字干貨教你如何保證業(yè)務(wù)數(shù)據(jù)全流程安全 104云安全專家教你如何實(shí)現(xiàn)一體化、自動(dòng)化的云安全審計(jì)，運(yùn)營(yíng)閉環(huán) 137一文教你如何從零構(gòu)建機(jī)密計(jì)算平臺(tái)解決方案 163阿里云產(chǎn)品專家教你如何全方位構(gòu)建ECS安全體系2024ECS體系相關(guān)產(chǎn)品與最佳實(shí)踐，讓用戶快速上手構(gòu)建業(yè)務(wù)的安全防護(hù)能力。ECSECS安全能力大圖解讀”等內(nèi)容，本系列全部課程也將在阿里云官網(wǎng)、阿里云官方微信視頻號(hào)、阿里云官方釘釘視頻號(hào)、阿里云開(kāi)發(fā)者微信視頻號(hào)同步播出。以下內(nèi)容根據(jù)課程整理而成，供各位開(kāi)發(fā)者閱讀：對(duì)于安全問(wèn)題，很多用戶的直接反應(yīng)就是操作是否太難？沒(méi)有安全背景和基礎(chǔ)能否快速上手？又或是云上業(yè)務(wù)規(guī)模很小，是否需要知道并了解這些安全措施呢？結(jié)合以上的種種問(wèn)ECSECSECS的一些安全技巧，通過(guò)本節(jié)課程的學(xué)習(xí)，大家可以立馬用起來(lái)，畢竟安全無(wú)小事。本次的分享主要分為以上四個(gè)方面。一、云上安全的重要性首先我們來(lái)關(guān)注一下云上安全的重要性，一直以來(lái)安全問(wèn)題都是用戶上云最關(guān)心的問(wèn)題，我們得到的調(diào)研報(bào)告顯示96%的受訪者其實(shí)非常關(guān)注云上安全問(wèn)題，同時(shí)有70%及以上的用戶對(duì)云上的安全狀態(tài)信心是不足的。想要告訴大家的是，這種擔(dān)心并不是可有可無(wú)。隨著全球信息化浪潮的不斷推進(jìn)，我們發(fā)現(xiàn)針對(duì)數(shù)據(jù)安全的風(fēng)險(xiǎn)也在不斷上升，甚至愈演愈烈，這一部分的風(fēng)險(xiǎn)也來(lái)源于攻擊者不斷進(jìn)化的攻擊手段和日趨增加的安全事件。cyberattacks-202238%，而網(wǎng)絡(luò)攻擊帶來(lái)的后果一般都非常嚴(yán)重，不僅會(huì)導(dǎo)致我們的業(yè)務(wù)中斷不可用，而且會(huì)導(dǎo)致敏IBM2023年445277意味著企業(yè)在遭遇了數(shù)據(jù)泄露以后，平均需要花費(fèi)277天來(lái)識(shí)別并控制一個(gè)活躍的數(shù)據(jù)泄露，時(shí)間成本和經(jīng)濟(jì)成本非常高。那么除了日趨復(fù)雜和嚴(yán)峻的安全環(huán)境之外，我們來(lái)看看ECS的用戶們經(jīng)常遇到的威脅都有哪些。其實(shí)很多用戶上云購(gòu)買的第一個(gè)云產(chǎn)品就是云服務(wù)器ECS。我們發(fā)現(xiàn)很多用戶在使用ECS的過(guò)程中存在著一個(gè)誤解，那就是購(gòu)買了ECS之后就可以“安全無(wú)患、高枕無(wú)憂”，其實(shí)ECSDDosECS數(shù)據(jù)無(wú)法被找回，又或者實(shí)例登陸密鑰被泄露，導(dǎo)致數(shù)據(jù)被刪除無(wú)法找回等等。ECSECS10萬(wàn)次，每天幫助用戶清理的DDos攻擊流量高達(dá)2.08Tdps，而我們每天掃描出來(lái)的操3700每天依然在發(fā)生，那么導(dǎo)致以上問(wèn)題的根因是什么呢？當(dāng)前云計(jì)算安全建設(shè)的主要驅(qū)動(dòng)力其實(shí)是合規(guī)性要求，我們對(duì)安全攻擊和防護(hù)的重視度是遠(yuǎn)遠(yuǎn)不夠的，而安全的本質(zhì)其實(shí)是對(duì)抗，要抵御各種威脅才是提高安全的最終目標(biāo)。隨著云計(jì)算得到了廣泛的應(yīng)用，聚焦于云計(jì)算的攻擊者其實(shí)會(huì)搜集網(wǎng)絡(luò)上各種云服務(wù)，進(jìn)而去發(fā)現(xiàn)脆弱性并且加以利用。這些脆弱性主要來(lái)源于上圖展示的五個(gè)方面。根據(jù)2023年cloudsecurityAlliance的topcloudsecuritychallenges我們可以看到，首當(dāng)其沖的是用戶配置不當(dāng)導(dǎo)致；其次是因?yàn)榭蛻粼谠朴?jì)算的技能不足導(dǎo)致；第三是多云環(huán)境下的能見(jiàn)度不足導(dǎo)致的。根據(jù)Gartner預(yù)測(cè)，到2025年，由于用戶配置不當(dāng)導(dǎo)致的99%。由此我們可以看到很多安全問(wèn)題最終的根因其實(shí)歸結(jié)為兩點(diǎn)，第一個(gè)其實(shí)就是安全意識(shí)的不足，第二個(gè)是我們安全實(shí)踐技能相關(guān)的缺失。安全意識(shí)的不足這一點(diǎn)大家有目共睹，尤其是在我們DoveOps升我們的開(kāi)發(fā)效率，我們的開(kāi)發(fā)運(yùn)維團(tuán)隊(duì)會(huì)大量使用三方開(kāi)源工具或者一些軟件庫(kù)，甚至是一些公開(kāi)的容器鏡像。這些開(kāi)源軟件或者是鏡像中如果存在了一些安全漏洞，或者說(shuō)遭遇了惡意污染，但我們的開(kāi)發(fā)運(yùn)維同學(xué)并不會(huì)去做嚴(yán)格的安全風(fēng)控。最終如果用戶使用了這些軟件，那么接下來(lái)大家的業(yè)務(wù)則會(huì)面臨著一些安全的風(fēng)險(xiǎn)，同時(shí)我們也注意到有很多人在無(wú)疑是的把業(yè)務(wù)中的一些敏感代碼或者數(shù)據(jù)在互聯(lián)網(wǎng)上進(jìn)行托管，這種操作其實(shí)也會(huì)存在著一些數(shù)據(jù)泄露的安全風(fēng)險(xiǎn)。23%50%的企業(yè)承認(rèn)自身的網(wǎng)絡(luò)安全水平其實(shí)是落后于起初規(guī)劃的。其中一方面是因?yàn)榇蠹易陨砑寄艿拇_實(shí)，另一方面也是大家不得不考量的成本問(wèn)題，所以我希望今天的分享能夠給大家做到安全方面的基礎(chǔ)的科普，以及安全嘗試，幫助大家盡量做到盡量避免因?yàn)榕渲貌划?dāng)或者意識(shí)不足導(dǎo)致的業(yè)務(wù)風(fēng)險(xiǎn)問(wèn)題。二、安全責(zé)任共擔(dān)模型介紹ECSECSECS在傳統(tǒng)的云下應(yīng)用架構(gòu)下，搭建一個(gè)信息系統(tǒng)，需要自行負(fù)責(zé)信息系統(tǒng)所以來(lái)的所有底層軟硬件的資源和服務(wù)搭建。如果把信息系統(tǒng)的搭建比作為一個(gè)房子，那在我們的傳統(tǒng)服務(wù)模式下，我們則需要自行準(zhǔn)備搭建一個(gè)房子所需要的全部資源。其實(shí)這里可以類比為我們?cè)卩l(xiāng)下宅基地自建房，需要選址打地基，設(shè)計(jì)房屋構(gòu)造和布局，拉上水電煤等技術(shù)服務(wù)，最后做內(nèi)部裝潢，可能還需要判斷房子外圍是否需要加蓋院子和圍墻，來(lái)保障房子的安全。所以我們可以看到，在傳統(tǒng)架構(gòu)下，所有的任務(wù)和服務(wù)都需要我們自行設(shè)計(jì)、自行管理和自行維護(hù)。而在infrastructureasservice基礎(chǔ)設(shè)施及服務(wù)這種的服務(wù)模式下，我們可以看到云服務(wù)管理和維護(hù)，同時(shí)他們還需要保障不同的用戶或者不同房子之間的資源隔離問(wèn)題，需要做到互不影響。而我們作為用戶，只需要根據(jù)業(yè)務(wù)需要以及當(dāng)前的屬性去做一些選擇和配置即可。那我們來(lái)看一下選購(gòu)一個(gè)ECS和選購(gòu)一個(gè)“房子”有哪些重要的參考參數(shù)呢？首先就是選擇地域和可用區(qū)，ECS的地域和可用區(qū)類似于房子地段的情況，地段由城市和縣市決定。在地域和可用區(qū)的選擇上，主要交由用戶選擇。建議大家選擇在更靠近業(yè)務(wù)服務(wù)的目標(biāo)用戶的區(qū)域，這樣整個(gè)網(wǎng)絡(luò)延遲相對(duì)更低。VPCVPCVPCVPCVPCVPC中的房子在不出小區(qū)的情況下就能夠互通，如果我們?cè)谝粋€(gè)小區(qū)中有多套房子，就可以通過(guò)交換機(jī)操作類似單元樓的方式進(jìn)行劃分，方便管理。所以在某種程度上，我們選擇ECS的VPC和交換機(jī)，其實(shí)就相當(dāng)于我們?cè)谶x擇房子所在的一個(gè)小區(qū)和單元樓。ECSECSWindowsserver2023去選擇這個(gè)房子的戶型究竟是三室兩廳還是兩室兩廳。ECS的ECS實(shí)例的入出方向的流量，相當(dāng)于我們?cè)O(shè)置的一個(gè)“規(guī)則”來(lái)允許什么人可以進(jìn)出單元樓，所以我們可以把安全組類比做門禁卡，可以通過(guò)設(shè)置門禁卡的規(guī)則來(lái)限定什么樣的人能夠進(jìn)入我們的小區(qū)，進(jìn)入我們的房子。們的門，進(jìn)入到房子中去，所以如果我們的用戶名和密碼沒(méi)有得到很好的保障，則相當(dāng)于ECSECSECS需要我們作為租客（用戶）ECS沒(méi)有設(shè)置對(duì)應(yīng)的網(wǎng)絡(luò)隔離，整個(gè)實(shí)例操作系統(tǒng)的安全性有沒(méi)有得到保障等等，以及有沒(méi)有ECS部分是由我們作為用戶，需要自己管理并負(fù)責(zé)的。而云服務(wù)提供商其實(shí)就和房地產(chǎn)開(kāi)發(fā)商一樣，主要負(fù)責(zé)兩部分的安全，第一部分其實(shí)負(fù)責(zé)對(duì)整個(gè)地域和可用區(qū)里面的基礎(chǔ)設(shè)施進(jìn)本報(bào)告來(lái)源于三個(gè)皮匠報(bào)告站（）,由用戶Id:247865下載,文檔Id:153972,下載日期:2024-11-18ECS會(huì)更清晰。上圖右側(cè)列舉了云服務(wù)提供商和我們的用戶之間的責(zé)任邊界，可以看到云服務(wù)提供商對(duì)云本身的安全性負(fù)責(zé)，而云本身的安全性分成了兩個(gè)維度，第一個(gè)就是基礎(chǔ)設(shè)施的安全性，第二個(gè)是云服務(wù)的安全性?；A(chǔ)設(shè)施的安全性主要包括底層硬件的主機(jī)安全，以及一些虛擬化的安全。要提供一個(gè)安全、合規(guī)、可靠的基礎(chǔ)設(shè)施，這也類似于我們房子的地基，房子的地基是否安全，房體所使用的鋼筋水泥土是否符合國(guó)家建筑安全的規(guī)定。云廠商的第二個(gè)安全責(zé)任就是需要對(duì)云服務(wù)的安全性負(fù)責(zé)，主要是云服務(wù)本身是否安全。ECSECS們可以分為四個(gè)維度。最底層GuestOs安全其實(shí)是我們ECS其次是訪問(wèn)安全，本質(zhì)上來(lái)說(shuō)，主要控制有哪些用戶能夠訪問(wèn)我們的實(shí)例。第三塊是網(wǎng)絡(luò)也是云上安全的最終目標(biāo)，當(dāng)然其中也存在著不同的維度，比如我們可以用快照做數(shù)據(jù)備份，也可以對(duì)存儲(chǔ)的數(shù)據(jù)進(jìn)行加密，甚至可以通過(guò)機(jī)密計(jì)算的方式保證數(shù)據(jù)在計(jì)算過(guò)程中的安全性，這里預(yù)告一下，數(shù)據(jù)安全在后續(xù)章節(jié)也會(huì)有講師為大家做深入的開(kāi)展。整體來(lái)說(shuō)，ECS的安全責(zé)任共擔(dān)模型明確了云廠商和用戶大家的責(zé)任邊界，以及在每個(gè)維度上用戶能夠做的提升ECS安全性的一些事情。前面介紹的安全責(zé)任共擔(dān)模型其實(shí)是一個(gè)整體大原則，根據(jù)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》以及《互聯(lián)網(wǎng)信息服務(wù)管理辦法》等相關(guān)法律規(guī)定，他們對(duì)廠商和云平臺(tái)其實(shí)提出了更多的法律監(jiān)管的要求，也意味著云平臺(tái)除了前面提到的需要對(duì)云本身的安全性負(fù)責(zé)意外，還需要根據(jù)國(guó)家的法律法規(guī)對(duì)以下的兩類違法行為進(jìn)行主動(dòng)管控。ECSECSECSDDos使用云產(chǎn)品從事一些虛擬貨幣相關(guān)的工作活動(dòng)，比如挖礦等，均屬于違規(guī)行為。第二類是ECS賭博等非法行為，以及出現(xiàn)危害國(guó)家安全，破壞政治社會(huì)穩(wěn)定的信息。在這種情況下，云平臺(tái)有權(quán)依照相關(guān)的法律采取相應(yīng)的封禁措施。對(duì)于存在一般違法行為的ECS，阿里云會(huì)對(duì)ECS上的url和域名采取一些阻斷動(dòng)作。如果出現(xiàn)賬號(hào)被封禁，用戶可以申請(qǐng)免費(fèi)解禁，或者申請(qǐng)主動(dòng)解禁。但對(duì)于嚴(yán)重的違法行為，我們除了阻斷url和域名訪問(wèn)意外，還會(huì)禁止用戶解禁，除非用戶把數(shù)據(jù)完全刪除/完全釋ECSECSECSECS辦法正常使用。三、ECS安全能力大圖解讀第三部分我將為大家進(jìn)行ECS安全能力的全貌解讀。上文《安全責(zé)任共擔(dān)模型》中提到，云廠商負(fù)責(zé)云本身的安全性，而用戶需要對(duì)云上的安全性負(fù)責(zé)。那在云上安全性這個(gè)維度上，阿里云也提供了一系列的安全能力和云產(chǎn)品和功能，來(lái)幫助大家快速的完成對(duì)應(yīng)的安全能力的構(gòu)建。在這里我們將ECS的安全能力主要分成了以下五個(gè)維度。第一個(gè)是GuestOS安全的安全。GuestOS安全的安全前面提到其實(shí)就是ECSECS登錄安全。這兩點(diǎn)類比的話，相當(dāng)于房子的門窗是否緊鎖，以及鑰匙和門禁卡是否安全。第二個(gè)是網(wǎng)絡(luò)安全。網(wǎng)絡(luò)安全是最容易忽略的。因?yàn)樯显浦?，所有的資源都在網(wǎng)絡(luò)上，意味著人人都可以看到，如果設(shè)置不當(dāng)，也可能會(huì)導(dǎo)致人人都能夠訪問(wèn)。在這種情況下，如何能夠進(jìn)行安全保因?yàn)閱卧獦呛托^(qū)起到了物理的訪問(wèn)隔離的作用，加之門禁卡，就在訪問(wèn)隔離和訪問(wèn)安全VPCECS第三部分是身份與訪問(wèn)控制。/公司中很多人在共同使用資源的角度出發(fā)。相當(dāng)于一個(gè)公司有很多房子，分布在多個(gè)小區(qū)和單元樓，公司中什么樣的人能夠訪問(wèn)什么樣的資源，對(duì)于核心資源的使用過(guò)程需要多次驗(yàn)證，臨時(shí)來(lái)訪用戶需要臨時(shí)授權(quán)等等，需review的方式訪問(wèn)了“房子”。所以某種程度上，身份與訪問(wèn)控制更多的是從一個(gè)組織的角度出發(fā)，對(duì)整個(gè)組織下面的多種角色以及訪問(wèn)行為進(jìn)行全面的控制，同時(shí)還可以做審計(jì)，這樣可以保證我們?cè)粕系馁Y源訪問(wèn)能夠可追溯且可授權(quán)。第四部分是應(yīng)用安全。WebAPP應(yīng)用，主要作用其實(shí)是對(duì)外提供ECS要的就是保障服務(wù)的可用性。那么如何保障我們服務(wù)的可用性？阿里云提供了非常多的工WebAPP的業(yè)務(wù)流量進(jìn)行惡意特征識(shí)別，然后對(duì)流量進(jìn)行清洗和過(guò)濾，能夠把正常的流量返回給服務(wù)器，來(lái)避免網(wǎng)站服務(wù)器被惡意入侵，從而保證整個(gè)網(wǎng)絡(luò)的業(yè)務(wù)安全。最后一點(diǎn)數(shù)據(jù)安全。數(shù)據(jù)安全是所有安全防護(hù)的終極目標(biāo)，數(shù)據(jù)安全也是一個(gè)端到端的安全保障機(jī)制。因?yàn)閿?shù)據(jù)本身存在三種狀態(tài)：靜止態(tài)、傳輸態(tài)、使用態(tài)。靜止態(tài)指數(shù)據(jù)存放在某種地方，可能存在被誤刪/被刪除的風(fēng)險(xiǎn)，可以通過(guò)定期數(shù)據(jù)備份保障對(duì)應(yīng)的數(shù)據(jù)安全。同時(shí)，還可以通過(guò)數(shù)據(jù)加密的方式保證靜止態(tài)數(shù)據(jù)安全。數(shù)據(jù)加密可以防止數(shù)據(jù)泄露，保證數(shù)據(jù)在傳輸過(guò)程中的安全性。使用態(tài)的數(shù)據(jù)使用安全，一般指的是在內(nèi)存中讀寫的數(shù)據(jù)安全性，而機(jī)密計(jì)算其實(shí)是通過(guò)一種基于硬件的可信執(zhí)行環(huán)境來(lái)達(dá)成在計(jì)算中保障數(shù)據(jù)安全的目的。所以數(shù)據(jù)安全更多的是一種端到端的安全保障機(jī)制，如果大家的業(yè)務(wù)對(duì)數(shù)據(jù)安全有更高的要求，則可以選擇性的采取必要的措施來(lái)保障數(shù)據(jù)安全。ECS個(gè)產(chǎn)品，它基于云上的最佳實(shí)踐和在其中提到的云上基礎(chǔ)和安全保障能力，為用戶做更多ECS下面將為大家介紹兩個(gè)最佳實(shí)踐，讓大家有更直接的體感。第一個(gè)是最佳實(shí)踐是圍繞GuestOS安全性提升的。前面提到了，GuestOS的安全性是整那如何從這兩個(gè)維度上去提升我們GuestOS的安全性呢？圍繞著登陸安全這個(gè)維度我們有幾個(gè)簡(jiǎn)單的tips。rootECSuesr賬號(hào)登錄，而不是默認(rèn)的root賬號(hào)。如果大家的能力更高階，我們會(huì)推薦用戶使用LinuxsshrootsshECS供的云助手提供的會(huì)話管理功能。它類似于堡壘機(jī)的功能，在不需要密碼的情況下能夠安全的登錄到ECS的實(shí)例上，同時(shí)也可以通過(guò)會(huì)話管理或是workbench對(duì)所有的登陸操作進(jìn)行追溯。關(guān)于操作系統(tǒng)安全，上文我們也提到操作系統(tǒng)的安全相當(dāng)于整個(gè)房子的門窗是否安全，所以在這部分，我們首先推薦用戶開(kāi)啟鏡像加固，使用免費(fèi)版的云安全中心對(duì)操作系統(tǒng)中存在的安全漏洞進(jìn)行掃描并定期修復(fù)。同時(shí)，云安全中心的收費(fèi)版不僅可以對(duì)系統(tǒng)漏洞進(jìn)行修復(fù)，同時(shí)還能夠?qū)Σ僮飨到y(tǒng)中存在的木馬和病毒進(jìn)行掃描和修復(fù)。當(dāng)然如果我們有足夠的能力且沒(méi)有付費(fèi)意愿，還可以通過(guò)系統(tǒng)運(yùn)維管理的補(bǔ)丁管理去自動(dòng)設(shè)置對(duì)應(yīng)的補(bǔ)丁掃描，并且設(shè)置對(duì)應(yīng)的修復(fù)策略。系統(tǒng)補(bǔ)丁管理程序則會(huì)根據(jù)設(shè)置自動(dòng)掃描對(duì)應(yīng)的操作系統(tǒng)中的補(bǔ)丁情況，并根據(jù)指定的修復(fù)策略自動(dòng)完成對(duì)應(yīng)的補(bǔ)丁修復(fù)，并且?guī)椭覀內(nèi)ブ貑?shí)例，保證補(bǔ)丁得到最新的修復(fù)。此外，如果我們對(duì)安全等保這個(gè)地方有要求，也可以使用阿里云提供的原生操作系統(tǒng)——AlibabaCloudLinux等保2.0的鏡像來(lái)提升整個(gè)操作系統(tǒng)的安全合規(guī)要求。上圖中展示的灰色部分是基礎(chǔ)能力，也意味著我們推薦所有用戶都采用這樣的策略，黃色部分是高階能力，推薦大家按需使用。第二個(gè)最佳實(shí)踐實(shí)際為一個(gè)綜合性解決方案。我們發(fā)現(xiàn)很多用戶在安全維度面臨的問(wèn)題是，用戶無(wú)法判斷當(dāng)前自身業(yè)務(wù)是否存在安全隱患，所以也無(wú)法進(jìn)行優(yōu)化/戶想要做一些安全性的改造，卻不知道從哪里可以入手且快速看到效果。正如我們前面介紹的，絕大多數(shù)安全性問(wèn)題其實(shí)是由于用戶配置不當(dāng)或者意識(shí)不足導(dǎo)致的，所以對(duì)絕大多數(shù)用戶而言，我們提升安全性的第一步是要識(shí)別我們當(dāng)前的安全風(fēng)險(xiǎn)。那如何能夠快速識(shí)別我們業(yè)務(wù)中常見(jiàn)的通用安全風(fēng)險(xiǎn)，進(jìn)而防患于未然呢？在這里，ECSInsight是我們推薦的一款一站式解決方案，它能夠幫助用戶快速發(fā)現(xiàn)問(wèn)題，并且識(shí)別問(wèn)題的嚴(yán)重程度，同時(shí)推薦對(duì)應(yīng)的解決方案。對(duì)于沒(méi)有太多安全基礎(chǔ)，但想要提升安全性的用戶來(lái)說(shuō)，不清楚第一步如何落腳”ECSInsight是一個(gè)快速上手的好選擇。ECSInsightECS和關(guān)聯(lián)資源的分布、使用、配置等信息做分析，并結(jié)合機(jī)器學(xué)習(xí)算法進(jìn)行建模，最終結(jié)合云上的最佳實(shí)踐和最佳方案，給用戶最終提供兩個(gè)輸出。ECS100險(xiǎn)，則會(huì)進(jìn)行扣分。第二個(gè)輸出是對(duì)應(yīng)的風(fēng)險(xiǎn)應(yīng)對(duì)優(yōu)化推薦方案。對(duì)于每個(gè)維度的失分項(xiàng)，ECSInsight都會(huì)根據(jù)該問(wèn)題的嚴(yán)重程度來(lái)進(jìn)行區(qū)分。對(duì)于高危項(xiàng)，我們推薦用戶立刻采取行動(dòng)進(jìn)行修復(fù)，對(duì)于告警，我們推薦用戶選擇合適的時(shí)間及時(shí)進(jìn)行修復(fù)。對(duì)于提示項(xiàng)、不適用項(xiàng)和健康項(xiàng)，ECS前業(yè)務(wù)存在的安全風(fēng)險(xiǎn)，并及時(shí)修復(fù)，防范于未然。下面為大家介紹一下ECSInsight的簡(jiǎn)單的demo。大家登錄ECS的控制臺(tái)，在導(dǎo)覽頁(yè)里面就會(huì)有一個(gè)ECSInsight這個(gè)服務(wù)，開(kāi)通之后需要花費(fèi)t+1的時(shí)間對(duì)當(dāng)前賬號(hào)下所有資源的分布、使用、配置等信息去做一些數(shù)據(jù)的采集，建模分析，最終就會(huì)為大家產(chǎn)出一個(gè)分析報(bào)告。其實(shí)我們可以看到它主要分為了六個(gè)維度，也是從這六個(gè)維度的角度上做了評(píng)分。每個(gè)維度ECSinsight會(huì)根據(jù)對(duì)應(yīng)問(wèn)題的嚴(yán)重程度歸類。對(duì)于高危項(xiàng)和警告項(xiàng)，是需要用戶立即采取行動(dòng)的。而對(duì)于不適用項(xiàng)和提示項(xiàng)，其實(shí)是nicetohave的能力，用戶可以適當(dāng)做一些參考。ECSInsight含網(wǎng)絡(luò)安全能力、實(shí)例訪問(wèn)安全能力和實(shí)例數(shù)據(jù)安全能力三個(gè)維度，每個(gè)維度都提供了詳細(xì)的安全風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)。對(duì)于未得分項(xiàng)，都可以點(diǎn)開(kāi)具體看到評(píng)分規(guī)則，以及對(duì)應(yīng)的受影響的資源是什么，以及對(duì)應(yīng)的修復(fù)建議和對(duì)應(yīng)的最佳實(shí)踐。最后我們可以參考最佳實(shí)踐和對(duì)應(yīng)的修復(fù)建議來(lái)完成相關(guān)的配置修改，就能夠完成相關(guān)的風(fēng)險(xiǎn)修復(fù)，也歡迎大家到ECSInsight頁(yè)面上體驗(yàn)我們的產(chǎn)品，從而達(dá)到ECS安全性的提升。四、云上安全的展望最后為大家分享我們對(duì)云上安全的展望。第一個(gè)是機(jī)密計(jì)算。上文提到的，網(wǎng)絡(luò)安全很大一部分其實(shí)是為了保障數(shù)據(jù)安全，而數(shù)據(jù)根據(jù)其情況我們可以分為靜止、傳輸和使用中三個(gè)狀態(tài)。而存儲(chǔ)的數(shù)據(jù)屬于靜止態(tài)數(shù)據(jù)，在網(wǎng)絡(luò)中屬于傳輸態(tài)，而正在處理的數(shù)據(jù)則屬于使用中的狀態(tài)。前面提到的加密技術(shù)主要用于提高數(shù)據(jù)的機(jī)密性，進(jìn)而防止一些未授權(quán)的訪問(wèn)和保障數(shù)據(jù)完整性，也就是防止未經(jīng)授權(quán)的修改，它主要用戶保護(hù)傳輸中和靜止?fàn)顟B(tài)的數(shù)據(jù)。那么數(shù)據(jù)在內(nèi)存中使用時(shí)如何保證其安全性呢？這其實(shí)就是機(jī)密計(jì)算的目標(biāo)場(chǎng)景了。機(jī)密計(jì)算通過(guò)在基于硬件的可信執(zhí)行環(huán)境中執(zhí)行計(jì)算的方式來(lái)保證使用中的數(shù)據(jù)的安全性。而可信執(zhí)行環(huán)境則通常被定義成能夠提供一定程度的數(shù)據(jù)的完整性、機(jī)密性和代碼完整性來(lái)保護(hù)環(huán)境。而基于硬件這樣一個(gè)可信執(zhí)行環(huán)境，主要使用我們芯片中的一些硬件支持的技術(shù)，為代碼的執(zhí)行和環(huán)境中的數(shù)據(jù)提供保護(hù)，從而提供一個(gè)更強(qiáng)的安全性的保證，進(jìn)而targetCPU御一些惡意軟件入侵的攻擊手法，比如烏克蘭的電網(wǎng)攻擊。對(duì)于機(jī)密計(jì)算感興趣的同學(xué)可以聽(tīng)我們后續(xù)的其他講師的一個(gè)專題的分享，在這里面我可能就不做詳述了。第二個(gè)是零信任安全。零信任安全其實(shí)是一種安全理念，它的基本原則其實(shí)是不信任任何設(shè)備和用戶，除非驗(yàn)證其可信。同時(shí)，用戶和設(shè)備在經(jīng)過(guò)驗(yàn)證之后還會(huì)持續(xù)監(jiān)控設(shè)備的安全狀態(tài)和用戶行為，一旦發(fā)現(xiàn)信用等級(jí)下降，則需要?jiǎng)討B(tài)的調(diào)整訪問(wèn)級(jí)別，并在需要的時(shí)候去切斷對(duì)應(yīng)的訪問(wèn)會(huì)話。所以，零信任本質(zhì)上來(lái)說(shuō)是一種更安全的云上設(shè)備和身份的驗(yàn)證。在傳統(tǒng)的網(wǎng)絡(luò)安全保障機(jī)制中，主要通過(guò)子網(wǎng)劃分、安全域劃分、網(wǎng)絡(luò)控制等手段去實(shí)現(xiàn)網(wǎng)絡(luò)管控。隨著網(wǎng)絡(luò)設(shè)備和云計(jì)算被廣泛使用，也讓企業(yè)員工在任何時(shí)間、任何地點(diǎn)、都能夠使用任何設(shè)備來(lái)訪問(wèn)企業(yè)資源這是一種常態(tài)的趨勢(shì)，在這種趨勢(shì)下，我們認(rèn)為零信任的安全則是一種更安全、更有效的安全防護(hù)機(jī)制。最后想和大家分享的一點(diǎn)是“當(dāng)安全性遇到AI”。其實(shí)Gartner早在2016年就提出了AIOps的概念，并在2017年把它明確定義為需要借助人工智能的算法提供具有一些動(dòng)態(tài)性、預(yù)測(cè)性的一個(gè)洞察能力，最終實(shí)現(xiàn)IT運(yùn)維自動(dòng)化的能力。在AIOps中，我們可以看到Gartner主要強(qiáng)調(diào)了三個(gè)關(guān)鍵點(diǎn)。第一要使用AI算法，第二要能夠發(fā)現(xiàn)并識(shí)別一些異常信息，第三是要能夠完成一些自動(dòng)化的運(yùn)維執(zhí)行。所以，雖然AIOps很多時(shí)候強(qiáng)調(diào)的是智能化運(yùn)維，但是我認(rèn)為在安全領(lǐng)域下，這三個(gè)關(guān)鍵點(diǎn)依然是有AIAIOps在安全這個(gè)領(lǐng)域維度上也應(yīng)該能夠?qū)岮I并且能夠自動(dòng)化的給出執(zhí)行建議，同時(shí)自動(dòng)化的輔助/幫助用戶完成對(duì)應(yīng)的安全措施。以上就是本次課程的全部?jī)?nèi)容。/play/u/null/p/1/e/6/t/1/445056548306.mp4九大提升ECS實(shí)例操作系統(tǒng)安全性的技巧引言：【彈性計(jì)算技術(shù)公開(kāi)課——ECS安全季】第二節(jié)課程由阿里云彈性計(jì)算技術(shù)專家陳懷可帶來(lái)，本文內(nèi)容整理自他的課程，供各位閱覽。一、安全事件案例回顧與操作系統(tǒng)安全概念介紹在介紹操作系統(tǒng)安全概念前，我們先來(lái)看一下國(guó)際上曾經(jīng)發(fā)生過(guò)的幾個(gè)真實(shí)的安全事件。第一個(gè)安全事件：國(guó)外某政務(wù)官員，他是一非常喜歡發(fā)推特的人，可能不知道的是，他在就任期間，他的推特賬號(hào)曾經(jīng)被人盜用過(guò)。像這類知名的公眾人物，他們的一言一行都會(huì)對(duì)社會(huì)產(chǎn)生重大的影響，可想而知，他們的賬號(hào)被盜用的影響會(huì)有多大。整個(gè)安全事件的過(guò)程比較簡(jiǎn)單，簡(jiǎn)單梳理一下。在2012年LinkedIn網(wǎng)站被攻擊，2016年，相關(guān)的數(shù)據(jù)庫(kù)被泄露出去，泄露的數(shù)據(jù)庫(kù)中有包含這位官員的賬號(hào)和密碼，通過(guò)這個(gè)賬號(hào)密碼，攻擊者攻擊了他的推特賬號(hào)。這就是典型的撞庫(kù)攻擊，因?yàn)樵诖蠖鄶?shù)人的行為習(xí)慣中，習(xí)慣性的會(huì)在所有的產(chǎn)品中長(zhǎng)期使用一個(gè)或幾個(gè)固定的密碼。而不會(huì)特意去修改。這位官員同大多數(shù)人一樣，使用同一套密碼，最終導(dǎo)致了他的推特賬號(hào)被入侵?；剡^(guò)頭看整個(gè)安全事件，導(dǎo)致這一起事件的根本原因在于長(zhǎng)期使用一套固定的密碼，而且沒(méi)有進(jìn)行修改。再來(lái)看另外一個(gè)安全案例，去年九月，斯里蘭卡國(guó)家政務(wù)云被黑，同時(shí)丟失了四個(gè)月的重要數(shù)據(jù)。詳細(xì)看一下這個(gè)事件的前后因果，斯里蘭卡國(guó)家政務(wù)云中使用一款軟件叫做Microsoftexchange2013漏洞，因?yàn)樨?cái)政方面的問(wèn)題，沒(méi)有得到及時(shí)升級(jí)維護(hù)，攻擊者通過(guò)這軟件漏洞發(fā)起了勒索軟件攻擊，最終導(dǎo)致近四個(gè)月數(shù)據(jù)的永久丟失。可以清晰的知道，導(dǎo)致這一起安全事件的根本原因在于使用了停服的軟件，軟件沒(méi)有得到及時(shí)的升級(jí)更新安全補(bǔ)丁?；仡檮倓偟膬蓚€(gè)安全案例，在案例1中，用戶用于登錄系統(tǒng)的賬密泄露了以后，攻擊者利用泄露的賬密攻擊系統(tǒng)，導(dǎo)致系統(tǒng)被入侵，如果訪問(wèn)操作系統(tǒng)常用的賬密泄露了，攻擊者能夠很輕易的登錄到操作系統(tǒng)，部署勒索鍵，導(dǎo)起關(guān)鍵數(shù)據(jù)信息等等危害。案例2中，系統(tǒng)未及時(shí)更新安全補(bǔ)丁，導(dǎo)致攻擊者利用漏洞進(jìn)行入侵并部署勒索軟件，攻擊者經(jīng)常使用操作系統(tǒng)內(nèi)未及時(shí)修復(fù)的安全漏洞實(shí)施入侵攻擊。那么該如何保護(hù)我們的操作系統(tǒng)呢？我們來(lái)將操作系統(tǒng)的安全分為三個(gè)部分，第一部分是訪問(wèn)操作系統(tǒng)的安全性，它定義了誰(shuí)能夠來(lái)訪問(wèn)操作系統(tǒng)，用怎樣的方式來(lái)訪問(wèn)。第二部分操作系統(tǒng)內(nèi)部的安全性，包括安全補(bǔ)丁以及技術(shù)的安全能力等等。第三部分是涉及到法律法規(guī)的一些要求，比如審計(jì)、合規(guī)要求等等，提升操作系統(tǒng)安全性的辦法，我們根據(jù)上述的操作系統(tǒng)安全性的三個(gè)組成部分，分別是提升訪問(wèn)操作系統(tǒng)的安全性、安全加固操作系統(tǒng)以及操作系統(tǒng)安全進(jìn)階這個(gè)三部分。二、快速提升訪問(wèn)操作系統(tǒng)安全性接下來(lái)針對(duì)如何提升操作系統(tǒng)安全性，分三部分詳細(xì)展開(kāi)。ECS個(gè)部分，使用密鑰對(duì)登錄實(shí)例、使用會(huì)話管理免密登錄實(shí)例以及避免端口/0的授權(quán)。如何使用密鑰對(duì)登錄實(shí)例，可能這里會(huì)有部分的同學(xué)存在疑問(wèn)，什叫做密鑰對(duì)？密鑰對(duì)實(shí)現(xiàn)的原理是什么？使用密鑰對(duì)登陸實(shí)力有什么樣的優(yōu)勢(shì)？RSA2048和私鑰認(rèn)證的方式進(jìn)行登錄，是一種安全便捷的登錄方式。由用戶生成一組密鑰對(duì)將公鑰~/.ssh/authorized_keys器端生成一串隨機(jī)數(shù)，使用公鑰進(jìn)行加密，返回用戶端加密的信息，用戶端使用私鑰本地進(jìn)行解密，并發(fā)送服務(wù)器端解密后的信息，服務(wù)器端對(duì)比解密后的信息，對(duì)比驗(yàn)證信息有效才允許用戶登錄。這種方式相對(duì)于傳統(tǒng)的賬密的登錄方式的優(yōu)點(diǎn)，它的優(yōu)點(diǎn)主要有兩個(gè)，一是相對(duì)于常規(guī)的用戶口令容易被爆破的風(fēng)險(xiǎn)，密鑰對(duì)杜絕了暴力破解的危險(xiǎn)，另外一個(gè)是密鑰對(duì)登錄方式更加簡(jiǎn)便，一次配置，后續(xù)再也不需要輸入密碼。但是也要求需要保護(hù)好私鑰不被丟失泄露，因?yàn)閾碛心乃借€的任何人可以解密的登錄信息。需要注意的是，阿里云不會(huì)存儲(chǔ)私鑰文件，也就是在創(chuàng)建密鑰對(duì)時(shí)僅有一次下載密鑰對(duì)的機(jī)會(huì)。常用密鑰對(duì)登錄ECS實(shí)例的方法，主要有四種，第一種是使用ECS提供的Workbench，在Workbench中導(dǎo)入私鑰連接ECS實(shí)例，若您的私鑰在本地是加密的，如圖所示的Workbench還可以支持傳入私鑰口令的方式解密訪問(wèn)。第二種是使用第三方的密鑰對(duì)工具，使用第三方密鑰對(duì)登錄工具時(shí)，需要遵循該工具的使PuTTYgenSSHconfig文件的ECS及私鑰地址、還有公網(wǎng)信息等等這信息，這種方式適合多臺(tái)實(shí)例登錄的場(chǎng)景，這里需要注意的是以上四種常規(guī)的密鑰對(duì)登錄方法，后面三種都是需要用戶開(kāi)啟公網(wǎng)的IP才能夠進(jìn)行訪問(wèn)的。對(duì)需要使用密鑰對(duì)的用戶，如何更好更安全的使用密鑰對(duì)，我們有兩方面的建議，第一是保護(hù)好本地私鑰，第二是可以優(yōu)化密鑰對(duì)的服務(wù)配置。如何保護(hù)好本地私鑰？常規(guī)方案會(huì)推薦用戶使用密碼的方式進(jìn)行保護(hù)私鑰。需要保證持有正確的密碼的人才能夠訪問(wèn)到私鑰。在使用私鑰時(shí)，每次都是需要輸入密碼。一是控制臺(tái)Workbench也是支持輸入口令密碼的方式訪問(wèn)到您的私鑰。另外，盡可能的不使用默認(rèn)的密鑰對(duì)的存儲(chǔ)位置，將私鑰保存在自定義的目錄中。在保存私鑰的目錄中設(shè)置正確的訪問(wèn)權(quán)限，只允許特定的用戶能夠訪問(wèn)。在保存私鑰的系統(tǒng)上，還需要及時(shí)的安裝最新的補(bǔ)丁和安全更新，以保護(hù)系統(tǒng)不受知名漏洞的影響。同時(shí)，為了防止私鑰的丟失和誤操作刪除，還可以定期備份私鑰。在使用密鑰對(duì)服務(wù)配置時(shí)，我們建議可以修改連接端口為非標(biāo)準(zhǔn)端口，密鑰對(duì)的默認(rèn)連接22221024~65535.rootECS權(quán)限。建議您在新購(gòu)實(shí)例時(shí)選擇使用ecs-user的普通賬號(hào)，并且在密鑰對(duì)服務(wù)中配置禁止rootECSECS錄，以進(jìn)一步提高安全性。ECSRSA2048ECSRSA、DSA、DSSECS免導(dǎo)入私鑰。要使用密鑰對(duì)登錄ECS實(shí)例目前也存在一些限制，比如當(dāng)前僅支持Linux實(shí)Windows22允許指定端口在本地客戶端公網(wǎng)IP進(jìn)行訪問(wèn)連接。ECS錄時(shí)具有更高的安全性。接下來(lái)我將詳細(xì)介紹會(huì)話管理。VNCECS實(shí)例，且兼具安全性。從一開(kāi)始的安全升級(jí)案例中，使用常規(guī)賬密的登錄對(duì)密碼的復(fù)雜度要求比較高，并且需要定期進(jìn)行修改，防止密碼泄露后的風(fēng)險(xiǎn)，很難進(jìn)行管理。或許大家可能會(huì)想到使用密鑰對(duì)登錄一些實(shí)例不就解決問(wèn)題了？答案是肯定的。不過(guò)使用密鑰對(duì)登錄實(shí)例的時(shí)候也會(huì)存在一些因素限制，比如常用的密鑰對(duì)登錄實(shí)例，通常需要開(kāi)放公網(wǎng)IP，并且開(kāi)放22端口。一旦公網(wǎng)IP開(kāi)放之后，允許更多的ECS另外，無(wú)論是使用密鑰對(duì)還是使用賬密登錄，都不能做到記錄和審計(jì)，很難發(fā)現(xiàn)攻擊者的入侵行為。相比于傳統(tǒng)賬密的登錄方式，云助手登錄它有幾個(gè)優(yōu)點(diǎn)，第一它是不需要分配公網(wǎng)IP的就ECS另外它可以記錄、審計(jì)，通過(guò)訂閱對(duì)應(yīng)的審計(jì)日志進(jìn)行定期的安全分析，能夠及時(shí)發(fā)現(xiàn)一些非易侵內(nèi)的訪問(wèn)行為。會(huì)話管理登錄實(shí)例是如何做到這些，會(huì)話管理建立鏈接的原理。RAM訪問(wèn)控制權(quán)限進(jìn)行健WebSocketURL10token，websocketURLtokenwebsocketECSagentwebsocketagentWebSocket的鏈接。WebSocketECS會(huì)話管理的安全性主要在于會(huì)話管理客戶端與云助手服務(wù)端的agent間的通信是使用WebSocketWebSocketSSORAMWebSocketSSHVNCECS常用的會(huì)話管理鏈接方式主要有四種，最常用的是直接使用會(huì)話管理連接實(shí)例，另外也支持了使用會(huì)話管理端口轉(zhuǎn)發(fā)連接實(shí)例。例如ECSweb服務(wù)，可以通過(guò)端口轉(zhuǎn)發(fā)指的方式直接連接外部服務(wù)，還有一些客戶希望在使用會(huì)話管理的基礎(chǔ)ECS也支持使用會(huì)話管理，以密鑰對(duì)以及臨時(shí)密鑰對(duì)方式進(jìn)行連接實(shí)例。如表格所示的，各自都存在一些優(yōu)勢(shì)以及不足，優(yōu)點(diǎn)是使用會(huì)話管理都不需要用戶開(kāi)啟公網(wǎng)IP、會(huì)話管理、端口轉(zhuǎn)發(fā)以及直連和臨時(shí)密鑰對(duì)都不需要再管理密鑰以及密碼。端口轉(zhuǎn)發(fā)以及直連也不需要開(kāi)放端口，不足的地方是其中使用會(huì)話管理密鑰對(duì)以及臨時(shí)密鑰對(duì)連接實(shí)例的時(shí)候，都是需要開(kāi)放22端口的，使用會(huì)話管理密鑰對(duì)連接實(shí)例的場(chǎng)景，同時(shí)用戶還需要自己保存對(duì)應(yīng)的私鑰。RAM連接所有的實(shí)例，也可以允許子賬號(hào)連接指定的一個(gè)或者多個(gè)實(shí)例，或者使用綁定的實(shí)例標(biāo)IP進(jìn)行連接實(shí)例。RAM建議使用標(biāo)簽的方式進(jìn)行批量管理權(quán)限，便于權(quán)限的回收以及收予。會(huì)話管理也存在一些權(quán)限的限制，比如需要一些授權(quán)StartTerminalSession的方式，以及DescribeUserBusinessBehavior等等權(quán)限。會(huì)話管理的使用還存在一些限制，必須要授StartTerminalSession以及DescribeUserBusinessBehavior等等權(quán)限。除了使用密鑰對(duì)登錄實(shí)例以及使用會(huì)話管理免密登錄實(shí)例外，還需要避免端口0.0.0授權(quán)對(duì)象的訪問(wèn)。眾所周知，Linux操作系統(tǒng)使用了SSH終端連接，默認(rèn)使用22端口，Windows操作系統(tǒng)RPD3389意來(lái)源的訪問(wèn)可能導(dǎo)致黑客或者攻擊者在未經(jīng)過(guò)您的授權(quán)的情況下，通過(guò)這些端口登錄到操作系統(tǒng)中。如何限制這些訪問(wèn)？阿里云免費(fèi)為您提供了實(shí)例級(jí)別的虛擬化防火墻，也就是安全組，它ECSECS組將放行2233898044IP都可以訪問(wèn)。默認(rèn)安全組的配置并不安全，需要經(jīng)過(guò)一些簡(jiǎn)單的配置。安全組的配置應(yīng)該遵循以下幾個(gè)基本原則，安全組應(yīng)該作為白名單使用，而不是黑名單。安全組出入規(guī)則時(shí)應(yīng)該遵循最小權(quán)限原則，避免受予過(guò)大的權(quán)限。不需要公網(wǎng)訪問(wèn)的資源不應(yīng)該提供公網(wǎng)IPIP將暴露增加您的ECS放。若您需要開(kāi)放端口，應(yīng)盡量避免的授權(quán)，并需要開(kāi)放的端口授權(quán)指定的IP或者IPIP為00網(wǎng)段通過(guò)TCP協(xié)議訪問(wèn)到22端口，經(jīng)過(guò)安全配置之后，00端口可以進(jìn)行訪問(wèn)，但是00端口所有的請(qǐng)求將會(huì)被拒絕。我們強(qiáng)烈建議您按照上述的原則，僅開(kāi)放必要的端口提供給有限的IPECSIP的對(duì)象訪問(wèn)授權(quán)。作為操作系統(tǒng)的另外一重要的部分，操作系統(tǒng)內(nèi)部安全也是至關(guān)重要的。三、如何安全加固您的操作系統(tǒng)接下來(lái)介紹一下如何安全加固操作系統(tǒng)。本章節(jié)主要包括三部分，使用OOS補(bǔ)丁基線自動(dòng)更新安全補(bǔ)丁、AlibabaCloudLinux操作系統(tǒng)內(nèi)核熱補(bǔ)丁以及使用免費(fèi)的基礎(chǔ)安全服務(wù)。OOS補(bǔ)丁基線自動(dòng)更新安全補(bǔ)丁。為什么需要更新安全補(bǔ)丁，回顧安全事件案例二，斯里蘭卡國(guó)家政務(wù)云正是因?yàn)槭褂昧舜嬖诼┒吹能浖?，?dǎo)致操作系統(tǒng)被入侵，丟失了將近四個(gè)月的重要數(shù)據(jù)。如圖所示的一些官方渠道經(jīng)常會(huì)發(fā)布一些安全漏洞的公告以及修復(fù)漏洞的安全補(bǔ)丁。黑客常常利用網(wǎng)上已經(jīng)公布的安全漏洞，并且特定的工具進(jìn)行掃描、攻擊、入侵。您若未及時(shí)更新操作系統(tǒng)，時(shí)間越久，您就面臨的安全風(fēng)險(xiǎn)越高。安全攻防常常是攻擊方、防守方時(shí)間上的競(jìng)速，實(shí)際上不存在完美的系統(tǒng)，但只要修復(fù)的比攻擊的更快，系統(tǒng)永遠(yuǎn)是安全的。另外一方面，許多行業(yè)標(biāo)準(zhǔn)、法律法規(guī)都要求企業(yè)定期更新軟件或操作系統(tǒng)，并及時(shí)安裝最新的安全補(bǔ)丁，以滿足合規(guī)性的一些要求。既安全補(bǔ)丁的更新重要，如何盡快知道操作系統(tǒng)中存在安全漏洞，以及如何快速找到對(duì)應(yīng)的安全補(bǔ)丁，并且安裝補(bǔ)丁快速修復(fù)安全漏洞。OOSOOSECS的補(bǔ)丁進(jìn)行掃描和安裝。在這個(gè)過(guò)程中，用戶可以選擇安全相關(guān)或者其他類型的更新，自動(dòng)修復(fù)相應(yīng)的ECS實(shí)例。它能夠支持主流的WindowsLinux多達(dá)31種操作系統(tǒng)，包括CentOS、RedHatUbuntu、WindowsService等等。不同的操作系統(tǒng)版本補(bǔ)丁基線實(shí)現(xiàn)的原理因?yàn)槭褂貌煌陌芾砉ぞ撸瑨呙枧c安裝補(bǔ)丁的原理都會(huì)有所差異。如圖所示的CentOS7使用的yumCentOS8使用的是dnfUbuntu使用的是apt，yum包管理工具為例，存在更新通知的概念，在軟件倉(cāng)庫(kù)存儲(chǔ)者名為updateinfo.xml的一個(gè)文件來(lái)存儲(chǔ)軟件的更新通知。根據(jù)updateinfo中的更新通知如圖CentOS公共安全基線規(guī)則配置所示的補(bǔ)丁基線配置了包括更新通知的類型以及嚴(yán)重等級(jí)，包括了SecurityBugfix...對(duì)應(yīng)的更新通知的類型以及嚴(yán)重等級(jí)為CriticalImportant...。配置后它工作流等效的命令相當(dāng)于執(zhí)行了嚴(yán)重重要yumupdate等級(jí)的安全補(bǔ)丁。Windows安裝ServicePack以及LinuxECS實(shí)例進(jìn)行ECS能會(huì)存在多個(gè)賬號(hào)，多個(gè)賬號(hào)的一些是的補(bǔ)丁集中管理是比較重要的一個(gè)問(wèn)題。在跨賬號(hào)的補(bǔ)丁修復(fù)的產(chǎn)品中，阿里云的角色主要分為兩個(gè)，一個(gè)是管理賬號(hào)，另外一個(gè)是資源賬號(hào)，其中資源賬號(hào)可以是一個(gè)也可以是多個(gè)，管理員賬號(hào)本身其實(shí)也是一個(gè)資源賬號(hào)，如右圖所示的可以通過(guò)所有資源賬號(hào)下創(chuàng)建一個(gè)管理賬號(hào)，賬號(hào)可以分別扮演對(duì)應(yīng)RAM丁修復(fù)的效果。操作系統(tǒng)內(nèi)嚴(yán)重的安全漏洞修復(fù)是刻不容緩的，但是修復(fù)通常需要重啟操作系統(tǒng)才能夠進(jìn)行生效，重啟又會(huì)影響線上業(yè)務(wù)的運(yùn)行，接下來(lái)看一下什么是AlibabaCloudLinux操作系統(tǒng)內(nèi)核熱補(bǔ)丁。AlibabaCloudLinux操作系統(tǒng)為內(nèi)核熱補(bǔ)丁的高危安全漏洞，也就是CVE以及重要的錯(cuò)誤修復(fù)Bugfix下，平滑且快速的為內(nèi)核更新高危安全漏洞以及重要的錯(cuò)誤修復(fù)的補(bǔ)丁。它有以下的幾個(gè)優(yōu)點(diǎn)，第一是不需要重啟服務(wù)器以及任何業(yè)務(wù)相關(guān)的任務(wù)進(jìn)程，也不需要等待長(zhǎng)時(shí)間運(yùn)行的任務(wù)完成，也不需要用戶注銷登錄，不需要進(jìn)行業(yè)務(wù)進(jìn)行遷移。不過(guò)它也存在一些限制，它僅僅適用于AlibabaCloudLinux的操作系統(tǒng)，而且要求是指BugfixCVE后，不能對(duì)補(bǔ)丁的函數(shù)進(jìn)行測(cè)試以及跟蹤。采用熱補(bǔ)丁的升級(jí)方法主要有兩種：一種是手動(dòng)的查看AlibabaCloudLinuxCVERPMyum第二種方式，安裝使用阿里云提供的內(nèi)核熱布定管理工具livepatch-mgr，它能夠極大的簡(jiǎn)化流程，只要一個(gè)命令就能夠?qū)崿F(xiàn)，支持熱補(bǔ)丁的查看、安裝、卸載等等能力。OOS補(bǔ)丁基線以及內(nèi)核熱補(bǔ)丁外，ECSECS是云安全中心免費(fèi)版。也可以選擇取消該能力，但是強(qiáng)烈建議您開(kāi)啟該能力，它能夠?yàn)槟峁┗A(chǔ)的安全加固能力，包括主流的服務(wù)器漏洞掃描、云產(chǎn)品安全配置基線核查、登錄AK異常調(diào)用、合規(guī)檢查等等。云安全中心免費(fèi)版是完全免費(fèi)的服務(wù)，不收取任何費(fèi)用。如果有更多的一些需求，可以購(gòu)買相應(yīng)的高級(jí)版、企業(yè)版以及旗艦版。LinuxWindows系統(tǒng)的漏web-CMS以幫助您更全面的了解您資產(chǎn)中存在的漏洞風(fēng)險(xiǎn)，降低系統(tǒng)被入侵的風(fēng)險(xiǎn)。云安全中心免費(fèi)版還為您提供異常登錄檢查的能力。異常登錄檢查的原理是云安全中心agent通過(guò)定時(shí)收集服務(wù)器上的一些登錄日志并上傳到云端，在云端進(jìn)行分析和匹配。如果發(fā)現(xiàn)非常用登陸地或者非常用登錄的IP的時(shí)間將會(huì)觸發(fā)告警。如何判定不同的IP務(wù)器未設(shè)置常用登錄地點(diǎn)，這段期間內(nèi)登錄行為不會(huì)觸罰告警。當(dāng)某公網(wǎng)IP第一次成功登錄到的服務(wù)器后，云安全中心將會(huì)該IP地址的位置標(biāo)記為常用登陸地。并且從這個(gè)時(shí)間開(kāi)始往順延24小時(shí)內(nèi)，所有的公網(wǎng)登錄地址將會(huì)被記錄為常用登陸地，超過(guò)24小時(shí)，所有不在上述常用登陸地的行為被視為異常登錄告警，當(dāng)某IP判定IP成功登錄六次或者六次IPIP中心會(huì)對(duì)某異常IP進(jìn)行第一處理。常用登錄IP、采用登錄時(shí)間、采用登錄賬號(hào)以及對(duì)上述的登陸地IP、登錄時(shí)間登錄賬號(hào)之外的均設(shè)置為提示告警。AKAK時(shí)檢查GitHub等平臺(tái)公開(kāi)源代碼中是否包含阿里云的賬號(hào)AKAK泄露風(fēng)險(xiǎn)。AKAKAKSKSK息有效時(shí)，才會(huì)根據(jù)您設(shè)置通知方式，比如站內(nèi)信、郵件、短信等發(fā)送通知。建議您定期AKAK四、進(jìn)階提升操作系統(tǒng)的安全性除了訪問(wèn)操作系統(tǒng)安全以及操作系統(tǒng)安全加固外，一些等保合規(guī)、審計(jì)場(chǎng)景都會(huì)有更多的一些安全要求。接下來(lái)看一下進(jìn)階提升操作系統(tǒng)安全主要包括的幾個(gè)內(nèi)容，一個(gè)是日志審計(jì)，另外一個(gè)是等保合規(guī)兩類型。首先是日志審計(jì)，我們?yōu)槭裁葱枰鋈罩緦徲?jì)。根據(jù)FireEyeM-Trends2018報(bào)告，企業(yè)安全防護(hù)管理能力比較薄弱。尤其是亞太地區(qū)，101498企業(yè)需要長(zhǎng)期可靠、無(wú)篡改的日志和審計(jì)支持來(lái)持續(xù)縮短這時(shí)間。同時(shí)，日資審計(jì)也是法律的剛性需求，無(wú)論是在中國(guó)境內(nèi)還是在海外，企業(yè)落實(shí)日志審計(jì)20172019絡(luò)安全等保2.0標(biāo)準(zhǔn)》。我們建議啟用會(huì)話管理登錄實(shí)例。在您啟用會(huì)話管理登錄您的實(shí)例時(shí)，我們建議您同時(shí)啟用會(huì)話管理操作記錄投遞能力，它允許用戶將會(huì)話管理操作記錄投遞到您的存儲(chǔ)對(duì)象或者日志服務(wù)中進(jìn)行持久化存儲(chǔ)，以便以續(xù)對(duì)操作記錄進(jìn)行進(jìn)一步的查詢、分析、審計(jì)。如圖所示它能夠記錄到哪賬號(hào)對(duì)哪實(shí)例做了什么樣的操作，操作命令以對(duì)應(yīng)的輸出分別是什么，這對(duì)后續(xù)的安全分析是非常有意義的。另外，我們還強(qiáng)烈建議客戶開(kāi)啟操作審計(jì)服務(wù)。操作審計(jì)服務(wù)可以幫助您監(jiān)控記錄到云賬號(hào)對(duì)產(chǎn)品服務(wù)的訪問(wèn)以及使用行為，您可以根據(jù)這些行為進(jìn)行安全分析，以監(jiān)控未授權(quán)的訪問(wèn)，識(shí)別潛在的安全配置錯(cuò)誤、威脅和意外行為?；驖M足某些合規(guī)審計(jì)的一些操作。除了登錄審計(jì)以及操作審計(jì)外，我們建議您開(kāi)啟日志審計(jì)服務(wù)。日志審計(jì)服務(wù)在繼承現(xiàn)有日志服務(wù)的功能之外，還支持多賬號(hào)下實(shí)時(shí)自動(dòng)化、中心化采集云產(chǎn)品的日志進(jìn)行審計(jì)，同時(shí)還支持審計(jì)所需要的存儲(chǔ)、查詢以及信息匯總。日志審計(jì)覆蓋了多種技術(shù)產(chǎn)品，包括存儲(chǔ)、網(wǎng)絡(luò)、數(shù)據(jù)庫(kù)、安全等產(chǎn)品，您也可以將您的應(yīng)用日志接入到日志審計(jì)服務(wù)中，支持自由對(duì)接其他生態(tài)產(chǎn)品或者是自由的授課中心。很多企業(yè)自身有成熟的法規(guī)條件以及合規(guī)審計(jì)團(tuán)隊(duì)，對(duì)賬號(hào)、設(shè)備的操作、網(wǎng)絡(luò)行為資質(zhì)進(jìn)行審計(jì)，客戶可以直接消費(fèi)原生的一些日志，也可以使用日志審計(jì)服務(wù)的審計(jì)功能，構(gòu)建并輸出合規(guī)的一個(gè)審計(jì)信息。日志審計(jì)中有開(kāi)啟登錄審計(jì)、操作審計(jì)日志審計(jì)服務(wù)，以滿足相關(guān)的法律法規(guī)要求。對(duì)于等保合規(guī)，我們還提供了更多的安全能力。說(shuō)到等保合規(guī)不得不提到堡壘機(jī)。什么是堡壘機(jī)？實(shí)時(shí)還原運(yùn)維場(chǎng)景，保障云端運(yùn)維的身份可以鑒別、權(quán)限可以控制、操作可以審計(jì)。解決了眾多資產(chǎn)管理難、運(yùn)維職責(zé)權(quán)限不清晰以及運(yùn)維事件難追溯等等問(wèn)題，阿里云為您在Workbench連接ECS實(shí)例時(shí)提供了便捷的堡壘機(jī)訪問(wèn)方案。什么場(chǎng)景下需要使用堡壘機(jī)？首先是國(guó)家在不斷加強(qiáng)對(duì)網(wǎng)絡(luò)數(shù)據(jù)安全的管控要求，縱觀整運(yùn)維的過(guò)程，種種的數(shù)據(jù)運(yùn)維安全風(fēng)險(xiǎn)，運(yùn)維安全行為的管控勢(shì)在必行，國(guó)家也在多個(gè)安全保護(hù)規(guī)則中增加了對(duì)相關(guān)安全需求。什么樣的場(chǎng)景下需要使用堡壘機(jī)？首先是國(guó)家在不斷加強(qiáng)對(duì)網(wǎng)絡(luò)數(shù)據(jù)安全的管控要求，比如等保二級(jí)，等保三級(jí)，也就是過(guò)國(guó)內(nèi)的等保合規(guī)使用堡壘機(jī)就可以。另外企業(yè)自身的運(yùn)維風(fēng)險(xiǎn)開(kāi)始不斷的增加，有一些客戶需要確定來(lái)源，身份定位，操作過(guò)程回溯，以及賬號(hào)密碼的管理，運(yùn)維的管控等等，可以使用堡壘機(jī)。堡壘機(jī)能夠做些什么？堡壘機(jī)常用的安全能力包括賬密的一些托管，堡壘機(jī)支持資產(chǎn)運(yùn)維免登錄，對(duì)賬號(hào)密碼進(jìn)行統(tǒng)一托管，無(wú)需用戶進(jìn)行輸入賬號(hào)和密碼。另外運(yùn)維的身份鑒別，在仿冒用戶登錄防范上，堡壘機(jī)支持雙因子認(rèn)證功能。另外運(yùn)維權(quán)限管控的收斂，堡壘機(jī)具有細(xì)粒度的權(quán)限管控能力，可以根據(jù)用戶組進(jìn)行劃分資產(chǎn)訪問(wèn)權(quán)限，另外還具有高危行為攔截能力。在惡意訪問(wèn)行為上，云盾堡壘機(jī)可以對(duì)敏感的高危操作，比如刪庫(kù)rm-rf/*）等行為進(jìn)通過(guò)直觀錄播的方式，更真實(shí)的還原了全行為場(chǎng)景。除了堡壘機(jī)之外，還提供了符合國(guó)家等保2.0三級(jí)版本的鏡像，您可以在新購(gòu)ECS實(shí)例時(shí)包括了身份鑒別、訪問(wèn)控制、入侵防御、惡意代碼防范等等對(duì)應(yīng)的一些要求。另外，在云安全中心中還支持了合規(guī)檢查的功能，合規(guī)檢查功能提供了等保合規(guī)檢查以及ISO27001ISO27001五、總結(jié)前面提供了很多提升操作系統(tǒng)安全性的一些建議，包括提升訪問(wèn)操作系統(tǒng)安全性方案中的免跳板機(jī)、免密碼提升訪問(wèn)操作系統(tǒng)安全性，以及避免了端口的0.0.0的授權(quán)，僅開(kāi)放必要端口提供給有限的IP訪問(wèn)，以減少攻擊面。OOS漏洞導(dǎo)致的系統(tǒng)安全風(fēng)險(xiǎn)，使用AlibabacloudLinux操作系統(tǒng)的內(nèi)核熱補(bǔ)丁的能力，能夠快速平穩(wěn)的升級(jí)的操作系統(tǒng)安全補(bǔ)丁，使用免費(fèi)的基礎(chǔ)安全服務(wù)，比如定期漏洞掃描、異常登錄檢查、AK對(duì)安全有更高要求的客戶，我們還提供了進(jìn)階提升操作系統(tǒng)安全性的方案，開(kāi)啟登錄審計(jì)日志、操作審計(jì)日志、日志審計(jì)服務(wù)，對(duì)日志進(jìn)行定期的審計(jì)分析，縮短攻擊發(fā)生到發(fā)現(xiàn)的時(shí)間，降低企業(yè)安全損失。使用堡壘機(jī)，在滿足等保合規(guī)的場(chǎng)景下管理運(yùn)維，控制權(quán)限、身份鑒別、賬密托管、高危行為阻斷、審計(jì)溯源，以進(jìn)一步提升操作系統(tǒng)安全。使用三級(jí)等保合規(guī)形象，以基礎(chǔ)安全服務(wù)中的合規(guī)檢查能力，以幫助您更快速、高效、持續(xù)的實(shí)現(xiàn)等保合規(guī)制度。系統(tǒng)從來(lái)不是一個(gè)點(diǎn)的安全，需要更多維度的終身安全防疫。以上就是本次課程的全部?jī)?nèi)容。干貨長(zhǎng)文快收藏！阿里云專家教你如何安全訪問(wèn)和管理ECS資源引言：本文整理自【彈性計(jì)算技術(shù)公開(kāi)課——ECS安全季】系列課程中，阿里云彈性計(jì)算高級(jí)技術(shù)專家張振華帶來(lái)的課程《如何安全訪問(wèn)和管理ECS資源》一節(jié)。一、身份與訪問(wèn)控制的基本概念首先給大家介紹一下關(guān)于身份與訪問(wèn)控制的一些基本概念。身份與訪問(wèn)控制是為了實(shí)現(xiàn)集中管理阿里云上的用戶身份，只有通過(guò)這個(gè)身份的認(rèn)證，并且滿足了特定權(quán)限授權(quán)條件下的用戶才能夠訪問(wèn)或者操作您所指定的阿里云資源，避免您的云資源被未經(jīng)授權(quán)的用戶惡意訪問(wèn)，所以這里會(huì)涉及到三個(gè)管理系統(tǒng)，分別是身份管理、權(quán)限管理以及資源管理。所謂身份管理，就是您如何管理您的企業(yè)員工或者應(yīng)用的身份。權(quán)限管理是您要怎樣分配權(quán)限，比如管理員可以擁有全部的訪問(wèn)權(quán)限，而研發(fā)人員根據(jù)自己的職責(zé)范圍，只能在特定的網(wǎng)絡(luò)環(huán)境下操作有限的云資源，一般建議遵循最小夠用的原則來(lái)給員工進(jìn)行授權(quán)。資源管理是您要怎樣管理云上的資源，建立的管理方式是按照部門或者是業(yè)務(wù)線劃分到不同的資源組，只有被授權(quán)可以訪問(wèn)資源組的用戶身份，才可以操作對(duì)應(yīng)的云資源。這里的ECSOSS、對(duì)象存儲(chǔ)以及日志服務(wù)，同樣也包括像數(shù)據(jù)庫(kù)、云原生的容器等各種各樣的云資源。在阿里云上面，我們統(tǒng)一負(fù)責(zé)用戶身份管理和訪問(wèn)控制的服務(wù)，稱為RAM，它的全稱是ResourceAccessManager，即資源訪問(wèn)控制。RAMRAM賬號(hào)這兩個(gè)概念，這兩種賬號(hào)，都可以通過(guò)用戶名、密碼登錄到阿里云的控制臺(tái)，并對(duì)其云上的資源進(jìn)行操作。用戶在訪問(wèn)阿里云賬號(hào)時(shí)，使用的是主賬號(hào)，主賬號(hào)的密碼規(guī)范、登錄安全的風(fēng)險(xiǎn)控制策略是由阿里云統(tǒng)一管理的。在主賬號(hào)RAM符的組合規(guī)范、重試登錄次數(shù)、密碼輪轉(zhuǎn)周期等策略。RAMRAM用戶創(chuàng)建密碼策略，來(lái)保證各個(gè)子用戶都可以使用定RAM服務(wù)使得一個(gè)阿里云主賬號(hào)可以擁有RAM則為不同用戶分配最小的工作權(quán)限，從而降低用戶的信息安全的管理風(fēng)險(xiǎn)。RAM的策略可以細(xì)化到針對(duì)某一個(gè)APIAction或者ResourceID可以支持多種的限制條件，比如像限制來(lái)源IP的訪問(wèn)范圍，安全訪問(wèn)的通道，比如必須要SSLTLSMFA的多因素的認(rèn)證等等。RAMRAMRAM用戶分配不同的密碼或API訪問(wèn)密鑰（AccessKey），消除云賬號(hào)共享帶來(lái)的安全風(fēng)險(xiǎn)；同時(shí)可為不同RAM用戶分配不同的工作權(quán)限，大大降低了因用戶權(quán)限過(guò)大帶來(lái)的風(fēng)險(xiǎn)。一般來(lái)說(shuō)，企業(yè)的管理者或者運(yùn)維主管往往會(huì)成為阿里云上的主賬號(hào)擁有者，也就是超級(jí)管理員。RAMRAM用戶組，AK。ECS權(quán)管理不同的資源，降低信息泄露風(fēng)險(xiǎn)。RAMECSAccessKey，使它們對(duì)不同的云資源具有不同的訪問(wèn)權(quán)限，實(shí)現(xiàn)更精細(xì)粒度的權(quán)限控制。接下來(lái)展開(kāi)介紹一下ECS的身份管理、權(quán)限管理以及如何避免顯示的AK配置的一個(gè)最佳實(shí)踐。二、身份管理的安全治理原則與驗(yàn)證手段RAMRAM驗(yàn)證手段。什么是身份認(rèn)證？身份認(rèn)證指的是通過(guò)憑證信息來(lái)認(rèn)證用戶的真實(shí)身份。AccessKey用于身份認(rèn)證的憑證信息對(duì)于用戶來(lái)說(shuō)是敏感的秘密信息，用戶必須妥善保護(hù)好身份憑證信息的安全。還有面向應(yīng)用程序的認(rèn)證手段這兩大類。第一大類是面向用戶的認(rèn)證方式有，賬號(hào)密碼認(rèn)證、SSH密碼認(rèn)證、基于MFA驗(yàn)證碼的認(rèn)證（比如人臉、短信、短時(shí)口令等）和SSO單點(diǎn)登錄認(rèn)證。賬號(hào)密碼認(rèn)證相信大家都不陌生：用戶可以使用其云賬號(hào)（即主賬號(hào)RAM用戶的密碼登錄阿里云控制臺(tái)并對(duì)其云上資源進(jìn)行操作。阿里云的賬號(hào)密碼規(guī)范、登錄安全風(fēng)控策略由阿里云統(tǒng)一管理。云賬號(hào)下子用戶（RAM的密碼策略則可以由客戶自己設(shè)定，如密碼字符組合規(guī)范、重試登錄次數(shù)、密碼輪轉(zhuǎn)周期等策略。例如，用戶可以通RAMRAM而提高整體賬戶的安全性。SSHECSLinuxSSH公鑰配置在LinuxSSH私鑰通過(guò)SSHSSHRSA2048SSHLinuxSSH密鑰對(duì)的方式遠(yuǎn)程登錄集群。MFAMFA第一安全要素，MFA（第二安全要素MFAMFA6（TOTP）標(biāo)準(zhǔn)（RFC6238）。同時(shí)，阿里云也支持基于SAML2.0的單點(diǎn)登錄（SingleSignOn，簡(jiǎn)稱SSO），可以支持企業(yè)客戶使用企業(yè)自有身份系統(tǒng)的登錄服務(wù)登錄訪問(wèn)阿里云。為了滿足不同企業(yè)客戶的登錄場(chǎng)景需求，阿里云提供了以下兩種基于SAML2.0協(xié)議的SSO機(jī)制：用戶SSOIdP頒發(fā)的SAMLSAMLAssertion確定企業(yè)用戶與阿里云RAMRAM用戶訪問(wèn)阿里RAM用戶的授權(quán)策略所限制。角色SSO：阿里云通過(guò)身份提供商IdP頒發(fā)的SAML斷言（SAMLAssertion）確定企RAMSAMLRAMRAM角色的授權(quán)策略所限制。第二大類是面向應(yīng)用程序的認(rèn)證方式，主要有AccessKeySTS認(rèn)證兩種。其中AccessKey是用戶調(diào)用云服務(wù)API的身份憑證，用于在用戶通過(guò)API訪問(wèn)阿里云資源時(shí)對(duì)用戶身份進(jìn)行認(rèn)證。API憑證相當(dāng)于登錄密碼，只是使用場(chǎng)景不同。前者用于程序方式調(diào)用云服務(wù)API，而后者用于登錄控制臺(tái)。AccessKey包括訪問(wèn)密鑰IDAKID和秘密訪問(wèn)密鑰AKSecretAKID用于標(biāo)識(shí)用戶，而AKSecret用來(lái)驗(yàn)證用戶身份的合法性。用戶在調(diào)用資源時(shí)會(huì)傳入AKID，并使用AKSecret（HMAC-SHA1）RAMAccessKey，包括創(chuàng)建、凍結(jié)、激活和刪除操作。AccessKey使用的API訪問(wèn)密鑰，建議用戶在使用時(shí)要考慮對(duì)AccessKey的周期性輪轉(zhuǎn)。請(qǐng)注意，出于有效權(quán)限分割和降低風(fēng)險(xiǎn)的考慮，云上最佳安全實(shí)踐中不建議用戶為其云賬（即主賬號(hào)AKRAMAKRAMSTStokenAK。阿里云SecurityTokenService（STS）是為RAM用戶、阿里云服務(wù)、身份提供商等受信實(shí)體提供短期訪問(wèn)資源的權(quán)限憑證的云服務(wù)。有時(shí)存在一些用戶（人或應(yīng)用程序），他們并不經(jīng)常訪問(wèn)客戶云賬號(hào)下的云資源，只是偶App，由于自身安全性不可控，不適合頒發(fā)長(zhǎng)期有效的訪問(wèn)密鑰。這些情況下，可以通過(guò)STS來(lái)為這些用戶頒發(fā)臨時(shí)權(quán)限憑證。頒發(fā)令牌時(shí)，管理員可以根據(jù)需要來(lái)定義令牌的權(quán)限和自動(dòng)過(guò)期時(shí)間（1）。STS訪問(wèn)令牌是一個(gè)三元組，它包括一個(gè)安全令牌（SecurityToken、一個(gè)訪問(wèn)密鑰ID（AccessKeyID）和一個(gè)秘密訪問(wèn)密鑰（AccessKeySecret）。用戶在調(diào)用資源API時(shí)傳入安全令牌和訪問(wèn)密鑰ID，并使用秘密訪問(wèn)密鑰對(duì)請(qǐng)求進(jìn)行簽名（和上述AK簽名機(jī)制相同）。在通過(guò)身份認(rèn)證后，RAM實(shí)際上會(huì)生成兩類的身份，一類是實(shí)體身份，比如RAM用戶、RAM用戶組，另一類是虛擬身份，也就是RAM角色，那這兩者有什么相同和不同點(diǎn)呢？RAMRAMRAMRAM色在被授予權(quán)限后都可以直接訪問(wèn)資源，也可以通過(guò)SSO和企業(yè)IdP互聯(lián)。不同點(diǎn)在于：RAM用戶有確定的登錄密碼和訪問(wèn)密鑰，可以支持控制臺(tái)登錄，享有登錄憑證；RAMRAMRAMRAMRAM用戶可以對(duì)應(yīng)企業(yè)內(nèi)的人員、應(yīng)用等，在需要協(xié)同使用資源的場(chǎng)景中，避免直接RAMRAM用戶組賦予最小權(quán)限，即使不慎泄露機(jī)密信息，也不會(huì)危及阿里云賬號(hào)下的所有資源。RAM碼或訪問(wèn)密鑰。RAMRAM角色時(shí)即獲得RAM角色的權(quán)限。在云產(chǎn)品通信的場(chǎng)景中，為受信的實(shí)體（ECS）RAM角色后，該實(shí)體可以基于STSSecurityTokenService）臨時(shí)憑證訪問(wèn)其他云產(chǎn)品的API，避免將AccessKey寫在配置文件中等高危操作，保證AccessKey的安全。AKAKAKAKAK一些常見(jiàn)的安全風(fēng)險(xiǎn)，這里可以分成兩類。第一類是人員管理上的風(fēng)險(xiǎn)，第二類是AK管理上的風(fēng)險(xiǎn)。在人員的管理上常見(jiàn)的風(fēng)險(xiǎn)，第一是使用了主賬號(hào)進(jìn)行日常運(yùn)維和管理的操作，第二是存RAM號(hào)打通，由于員工的離職之后，一些數(shù)據(jù)沒(méi)有和企業(yè)內(nèi)部賬號(hào)的信息進(jìn)行同步，第四種是高權(quán)限的用戶且沒(méi)有配置好MFAIP登錄的風(fēng)險(xiǎn)，最后一種，是存在長(zhǎng)期不使用的僵尸用戶，擴(kuò)大了風(fēng)險(xiǎn)的敞口。AKAKAKECSOSS文件或者是一些外部的公開(kāi)的渠道上面把AK泄露出去，第三種是存在的人和程序混用RAMAKAK長(zhǎng)期不輪轉(zhuǎn)，造成了風(fēng)險(xiǎn)的AK，這也是非常容易泄露的。為此我們給出了五個(gè)身份安全治理的原則和建議：AKAKAKMFAAKAK。RAMAK，控制臺(tái)子用戶不應(yīng)該拿到AK，SSOAK一一對(duì)應(yīng)，并且關(guān)閉程序AK的控制臺(tái)登錄能力。TokenAK，RAM，至少可以定期巡檢AK名單訪問(wèn)來(lái)源IPAKAKAK加密和集中化管理。AKECSRAMECSAKRAM訪問(wèn)控制服務(wù)允許企業(yè)對(duì)主賬號(hào)內(nèi)的身份安全做整體性的安全控制，比如密碼強(qiáng)度的RAMMFA的多因素的認(rèn)證與設(shè)置允許控制臺(tái)登錄的來(lái)源的IP的掩碼，以及是否允許RAM用戶自主管理密碼MFA的設(shè)備等等。RAM理服務(wù)功能之后，RAMRAM用戶是否存在身份權(quán)限的安全風(fēng)險(xiǎn)，幫助您及時(shí)發(fā)現(xiàn)治理上的缺失，并提供友好的治理引導(dǎo)，幫助您完善云上身份權(quán)限治理的配置，身份權(quán)限治理服務(wù)的檢測(cè)項(xiàng)，包含了AccessKeyRAMMFA度的權(quán)限管理和授權(quán)效率的建議等等。RAMRAM的控制臺(tái)，在左側(cè)的導(dǎo)航欄中點(diǎn)擊概覽，在概覽頁(yè)的標(biāo)簽頁(yè)下面選擇治理檢測(cè)，可以查看身份權(quán)限的治理的檢測(cè)數(shù)據(jù)。單擊下載報(bào)告，可以下載檢測(cè)的數(shù)據(jù)到本地進(jìn)行查看，可以按照?qǐng)?bào)告中介紹的治理方案，在控制臺(tái)完成身份權(quán)限的治理。小結(jié)：在身份管理這一部分，我們介紹了什么是身份認(rèn)證，阿里云提供了多種多樣的面向用戶和應(yīng)用程序的認(rèn)證手段，在通過(guò)身份認(rèn)證之后，RAM其實(shí)會(huì)生成兩類的身份，一類是實(shí)體身份，我們稱為RAM用戶，另一類的是虛擬身份，也就是RAM角色。我們對(duì)比了兩者的相同點(diǎn)和不同點(diǎn)，介紹了在身份管理里面的一些安全的風(fēng)險(xiǎn)，安全治理的原則以及阿里云建議的一些最佳實(shí)踐。RAM您開(kāi)通免費(fèi)的身份權(quán)限治理服務(wù)，阿里云可以幫助您及時(shí)發(fā)現(xiàn)治理缺失的漏洞，并提供友好的治理引導(dǎo)，幫助您完善云上的身份權(quán)限治理的配置。三、權(quán)限管理的策略與授權(quán)案例接下來(lái)介紹關(guān)于權(quán)限管理的策略和授權(quán)案例。首先先介紹一下訪問(wèn)控制的實(shí)現(xiàn)原理，介紹ECS授權(quán)能力，比如可以基于資源組進(jìn)行訪問(wèn)控制和資源的管理，也可以使用標(biāo)簽進(jìn)行資源管理，最后介紹操作審計(jì)。訪問(wèn)控制是管理資源訪問(wèn)權(quán)限的服務(wù)。它不僅提供了多種滿足日常運(yùn)維人員職責(zé)所需要的系統(tǒng)權(quán)限策略。也允許您通過(guò)圖形化工具快速地創(chuàng)建自定義的用戶權(quán)限策略。它可以根據(jù)請(qǐng)求特征，比如請(qǐng)求源IP地址、日期時(shí)間、資源標(biāo)簽等條件屬性匹配精細(xì)的資源訪問(wèn)控制策略。RAMRAM角色的身份特征，判斷其是否在資源維度和操作維度是否有訪問(wèn)權(quán)限。RAMRAM角色是否有訪問(wèn)權(quán)限。當(dāng)您的企業(yè)存在多用戶協(xié)同操作資源的場(chǎng)景時(shí)，RAM可以讓您避免與其他用戶共享阿里云賬號(hào)密鑰，按需為用戶分配最小權(quán)限，從而降低企業(yè)的信息安全風(fēng)險(xiǎn)。RAM訪問(wèn)控制支持控制臺(tái)、SDKOpenAPI、阿里云CLI命令行等多種方式的調(diào)用，因此也是非常方便的。如何給身份進(jìn)行授權(quán)？默認(rèn)情況下，阿里云的主賬號(hào)控制了資源的所有權(quán)限，主賬號(hào)創(chuàng)建RAMRAM用戶賦予權(quán)限，用戶的授權(quán)會(huì)分為兩個(gè)步驟。首先需要新建一組權(quán)限的策略，給RAMpolicy是用一組語(yǔ)法結(jié)構(gòu)去描述一組權(quán)限的集合，目前支持兩種的權(quán)限策略，分別是阿里云維護(hù)的系統(tǒng)策略和用戶自定義的權(quán)限策略，系統(tǒng)策略，用戶是只能使用而不能夠修改，是由阿里云來(lái)進(jìn)行維護(hù)。用戶的自定義策略，用戶就可以通過(guò)可見(jiàn)化可視化的編輯器，包括權(quán)限策略的腳本編輯器，以及權(quán)限策略的模板等多種方式，進(jìn)行自主的創(chuàng)建，更新和刪除。第二步是為RAM的主體進(jìn)行授權(quán)，也就叫做attachpolicy，attachpolicy是給RAM用戶或者用戶組或者角色，綁定一個(gè)或者是多個(gè)的權(quán)限策略，他的授權(quán)范圍可以是整個(gè)云賬號(hào)的資源也可以是指在云賬號(hào)下指定的一個(gè)資源組內(nèi)的資源，綁定的權(quán)限策略，可以是系統(tǒng)策略，也可以是自定義的策略，如果綁定的權(quán)限策略被更新了，更新之后的權(quán)限策略就會(huì)自動(dòng)生效，而無(wú)需要再重新綁定這個(gè)權(quán)限策略。為了方便您使用，RAM戶，RAMRAMECS限，ECS只讀的權(quán)限，管理彈性網(wǎng)卡的權(quán)限，下發(fā)云助手命令或者是只讀云助手信息導(dǎo)入ECS這里我們舉一個(gè)在企業(yè)內(nèi)部控制員工資源使用權(quán)限的案例。首先，企業(yè)的管理員可以按需創(chuàng)建和管理資源的職位，來(lái)創(chuàng)建一個(gè)SysAdmins的用戶組，添加權(quán)限策略，并授予執(zhí)行所有操作的權(quán)限，管理員需要嚴(yán)格的控制高權(quán)限的人數(shù)，并且MFA管理員可以為需要使用的資源的職位創(chuàng)建Developers用戶組，為開(kāi)發(fā)人員創(chuàng)建相應(yīng)的RAMStarInstanceStopInstance、DescribeInstancestar等ECS最基本的功能接口的權(quán)限，如果為了加強(qiáng)網(wǎng)絡(luò)的安全控制，管理員可以添加這網(wǎng)絡(luò)相關(guān)的權(quán)限策略，規(guī)定比如組內(nèi)的用戶的IP如果不是來(lái)自于企業(yè)網(wǎng)絡(luò)內(nèi)部，則拒絕其訪問(wèn)資源。如果某一個(gè)開(kāi)發(fā)人員的職位，變更為系統(tǒng)管理員，就可以將其RAM的用戶從Developers用戶組移動(dòng)到SysAdmins用戶組，如果Developers用戶組的RAM用戶，需要更大的權(quán)RAMECSECSRAMSTS憑證去訪問(wèn)其他的云產(chǎn)品，在阿里云上是可以實(shí)現(xiàn)這樣一組策略。再來(lái)舉另外一個(gè)例子，也是為不同的職責(zé)的人員去授予不同的權(quán)限，其實(shí)可以根據(jù)企業(yè)的實(shí)際情況，給更多的角色分配更多的更細(xì)粒度的權(quán)限策略，這里既可以是系統(tǒng)的策略，也可以根據(jù)實(shí)際情況去自定義一些訪問(wèn)的策略，比如這里分成了云管理員，系統(tǒng)管理員，網(wǎng)絡(luò)管理員，安全管理員，財(cái)務(wù)還有開(kāi)發(fā)人員等各種各樣的角色。他們的角色的訪問(wèn)策略就可以由您自己去管理。接下來(lái)學(xué)習(xí)一些權(quán)限控制的高階用法。首先是基于資源組的細(xì)粒度資源管理和訪問(wèn)控制，資源組其實(shí)是根據(jù)資源的用途，權(quán)限，歸屬等維度，對(duì)您所擁有的云資源可以進(jìn)行分組，從而實(shí)現(xiàn)企業(yè)內(nèi)部多用戶、多項(xiàng)目的資源的分級(jí)管理，每個(gè)云資源目前只能屬于一個(gè)資源組，加入到資源組，它不會(huì)改變?cè)瀑Y源間的關(guān)聯(lián)關(guān)系，比如可以按照云資源的用途來(lái)進(jìn)行分組，將生產(chǎn)環(huán)境的實(shí)例和測(cè)試環(huán)境的實(shí)例，分別放入到生產(chǎn)環(huán)境和測(cè)試環(huán)境的兩個(gè)資源組中。在產(chǎn)品測(cè)試的時(shí)候，只對(duì)測(cè)試環(huán)境內(nèi)的資源組進(jìn)行實(shí)際的操作，從而避免對(duì)生產(chǎn)環(huán)境的實(shí)例發(fā)生誤操作，在產(chǎn)品需要上線的時(shí)候，再選擇生產(chǎn)環(huán)境的資源組裝的實(shí)例進(jìn)行操作，也可以按公司不同的部門使用的資源放入到多個(gè)不同的資源組中，并且設(shè)置相應(yīng)的管理員，從而實(shí)現(xiàn)分部門的管理實(shí)例。這里舉某個(gè)游戲公司項(xiàng)目開(kāi)發(fā)的真實(shí)案例，某個(gè)游戲公司在并行開(kāi)發(fā)三個(gè)游戲項(xiàng)目，每個(gè)項(xiàng)目都會(huì)用到多種云資源，公司是要求項(xiàng)目要能夠獨(dú)立管理，項(xiàng)目的人員也只能訪問(wèn)到它RAM的訪問(wèn)控制?；谫Y源組的訪問(wèn)控制具體應(yīng)該怎么做？首先可以由企業(yè)的管理員分別給三個(gè)項(xiàng)目創(chuàng)建三個(gè)不同的資源組，并且把每個(gè)項(xiàng)目所用的獨(dú)立資源放入到對(duì)應(yīng)的資源組中。在資源管理頁(yè)找到資源組，創(chuàng)建出資源組，點(diǎn)擊資源組內(nèi)，再點(diǎn)擊轉(zhuǎn)入資源，就可以將云產(chǎn)品對(duì)應(yīng)的資源轉(zhuǎn)入到資源組內(nèi)。RAMRAMECS的相RAMECS資源，但無(wú)法訪問(wèn)其他項(xiàng)目的ECS資源。除了使用資源組外，也可以使用標(biāo)簽來(lái)劃分不同的資源，相比于資源組，標(biāo)簽是一種更加靈活的資源劃分維度或者工具，比如可以按照地區(qū)、部門、環(huán)境分別給資源打上多個(gè)標(biāo)簽，同一個(gè)資源可以支持多個(gè)標(biāo)簽。ECSOSSVPC區(qū)或者是部門或者是環(huán)境等多個(gè)維度來(lái)進(jìn)行區(qū)分，在此基礎(chǔ)上，可以基于標(biāo)簽來(lái)實(shí)現(xiàn)訪問(wèn)的控制。RAM用戶的健全的訪問(wèn)控制的原理如圖所示。首先是由云管理員使用阿里云的主賬號(hào)新建一個(gè)自定義的策略，在策略中，可以指定帶有ResourceTag，RequestTagRAMRequestRequestResourceTagRAMResourceRAMRAMECSECS資源時(shí)會(huì)報(bào)錯(cuò)。再來(lái)看一個(gè)真實(shí)的客戶案例，某公司希望根據(jù)不同的角色對(duì)資源進(jìn)行管理，要求在API層RAMdatacenterbizcenter用戶組里的用戶。資源的生產(chǎn)者負(fù)責(zé)資源的生產(chǎn)和調(diào)度，資源的授權(quán)者是負(fù)責(zé)管理資源標(biāo)簽的策略和授權(quán)的datacenter的用戶組的成員和bizcenter用戶組的成員往往是公司的研發(fā)人員。運(yùn)維人員可以按照ResourceTagdatacenter成員去訪問(wèn)帶有這個(gè)datacentertag的ECSbizcenter這個(gè)bizcenterECStag的資源。ECS標(biāo)簽就可以。如果希望用戶無(wú)法訪問(wèn)當(dāng)前資源，只要把這個(gè)標(biāo)簽刪除掉就可以，而不需要再去修改這個(gè)標(biāo)簽的權(quán)限策略，這樣對(duì)于權(quán)限的管理就轉(zhuǎn)化成了對(duì)于標(biāo)簽的管理，這樣是一種更加靈活的使用權(quán)限控制的策略。ActionTrail,它可以幫助您去監(jiān)控記錄云賬號(hào)對(duì)于產(chǎn)品服務(wù)的訪問(wèn)和使用的行為，您可以根據(jù)這些行為進(jìn)行事后的行為分析、安全分析，來(lái)監(jiān)控未授權(quán)的訪問(wèn)，或者識(shí)別潛在的安全配置錯(cuò)誤，威脅或者是意外行為，也可以滿足行為合規(guī)審計(jì)的一些要求。小結(jié)：剛剛在權(quán)限管理中，我們介紹了ECS幾個(gè)產(chǎn)品的安全能力，介紹了訪問(wèn)控制的實(shí)現(xiàn)ECSECSECStag批量授權(quán)，最后還是建議您能夠開(kāi)啟操作審計(jì)來(lái)監(jiān)控云賬號(hào)對(duì)于操作的行為進(jìn)一步監(jiān)控和控制。配置的最佳實(shí)踐總結(jié)接下來(lái)為大家介紹如何避免顯示AK配置的最佳實(shí)踐。RAM角色是一種虛擬的角色，ECSRAMRAM角色ECSSTSECSOSSECSAKECSECSRAMRAM角色，指定的可信的實(shí)體ECSRAMECSECS實(shí)ECSRAM角色就可以了。ECSRAM角色來(lái)解決一個(gè)實(shí)際的安全隱患。MSE上各種環(huán)境的配置信息，由于配置項(xiàng)中往往存在敏感的數(shù)據(jù)，明文保存在配置中心是不安MSEKMS進(jìn)行解密，在過(guò)程中會(huì)使用到密鑰等敏感的配置項(xiàng)，這些配置項(xiàng)如果在使用過(guò)程中落盤，ECSECSRAMMSE的配置中KMSECSRAM角色，授予一個(gè)臨時(shí)訪問(wèn)的權(quán)限，這時(shí)候就可以避免開(kāi)發(fā)人員和用戶，擁有解密配置項(xiàng)的能力。ECSMSEMSE實(shí)際上這時(shí)候還是一個(gè)加密的配置項(xiàng)，這個(gè)加密配置項(xiàng)是封裝在MSESDKKMSKMSSDKKMSSDK好處就是用戶無(wú)論是KMS的密鑰的管理員，還是MSE的配置的管理員，他們都獲取不到敏感的信息。五、總結(jié)最后我們對(duì)本次分享做一個(gè)總結(jié)：本次分享一共有三大部分，分別是身份認(rèn)證、訪問(wèn)控制和一些進(jìn)階的安全方案。如何提升身份認(rèn)證的安全性？建議您開(kāi)啟主賬號(hào)MFAAKAKAKRAMSTStoken。ECSRAM策略，為不同職責(zé)的人員授予權(quán)限，可以基于資源組，按照云資源的用途、部門結(jié)構(gòu)等不同的維度來(lái)管理資源，授予不同用戶訪問(wèn)不同資源組的權(quán)限，也可以使用標(biāo)簽對(duì)云資源進(jìn)行細(xì)粒度的資源管理和控制。ECSRAMRAMECSAKECSActionTrail及時(shí)完善云上身份和權(quán)限配置的安全性。以上就是本次分享的全部?jī)?nèi)容。希望通過(guò)這個(gè)分享，能為您在阿里云上安全的使用ECS，提供一些的幫助和建議，謝謝大家。來(lái)上課！一文掌握守住ECS網(wǎng)絡(luò)安全的最佳方法引言：本文整理自【彈性計(jì)算技術(shù)公開(kāi)課——ECS安全季】系列課程中，阿里云彈性計(jì)算技術(shù)專家劉明帶來(lái)了《如何守住ECS的第一道防線——網(wǎng)絡(luò)安全》一節(jié)。一、網(wǎng)絡(luò)安全中常見(jiàn)問(wèn)題概覽我們?cè)诰W(wǎng)絡(luò)環(huán)境中常見(jiàn)的安全問(wèn)題非常多，在此挑選了幾個(gè)與網(wǎng)絡(luò)安全高度相關(guān)的場(chǎng)景，帶大家簡(jiǎn)單了解一下。首先是網(wǎng)絡(luò)系統(tǒng)安全，舉幾個(gè)例子：第一：路由器、交換機(jī)等網(wǎng)絡(luò)設(shè)備存在配置錯(cuò)誤，極可能導(dǎo)致惡意入侵，這種是網(wǎng)絡(luò)設(shè)備安全。第二：Web/電影情節(jié)中見(jiàn)到黑客對(duì)網(wǎng)絡(luò)請(qǐng)求進(jìn)行攔截的行為，甚至是直接篡改信息，給用戶帶來(lái)?yè)p失。還有一種是在同一個(gè)公司中，大家在同一個(gè)局域網(wǎng)內(nèi)部，由于沒(méi)第三：云安全，云環(huán)境中的應(yīng)用沒(méi)有正確配置安全組、防火墻規(guī)則等。DDOS攻擊，導(dǎo)致整個(gè)服務(wù)不可用，以上是網(wǎng)絡(luò)安全問(wèn)題的一些常見(jiàn)場(chǎng)景，這些都會(huì)給用戶帶來(lái)難以估量的損失。網(wǎng)絡(luò)安全是一個(gè)非常重要的課題，做好防護(hù)是阿里云和用戶共同的責(zé)任。上圖是解決網(wǎng)絡(luò)安全問(wèn)題的一個(gè)整體思路：是安全的。定端口IP訪問(wèn)。介入，進(jìn)行相應(yīng)的處置。安全防護(hù)可以有效的降低安全問(wèn)題帶來(lái)的損失。二、做好網(wǎng)絡(luò)隔離按照剛才提到的，討論一下如何做好網(wǎng)絡(luò)隔離，把“壞人”擋在門外，就不用擔(dān)心他會(huì)傷害到您。那么我們?nèi)绾巫龊镁W(wǎng)絡(luò)隔離？ACL根據(jù)他們的不同把相應(yīng)的服務(wù)部署到不同的交換機(jī)下。上就是阿里云網(wǎng)絡(luò)隔離的三大建議，下面會(huì)詳細(xì)的介紹相關(guān)的產(chǎn)品。首先，學(xué)習(xí)一下專有網(wǎng)絡(luò)。專有網(wǎng)絡(luò)是專有的云上私有網(wǎng)絡(luò)，用戶可以根據(jù)自己的需求在云上創(chuàng)建多個(gè)專有網(wǎng)絡(luò)，在專有網(wǎng)絡(luò)中，用戶可以完全掌控自己的網(wǎng)絡(luò)，例如可以選擇地址IP的范圍，阿里云提供ABC三個(gè)網(wǎng)段的地址段，例如掩碼是8的A類地址段和掩碼是16是B類地址段。用戶可以在專有網(wǎng)絡(luò)中配置路由表和網(wǎng)關(guān)，可以在自己定義的專有網(wǎng)絡(luò)中RDSSLB還有非常多其他高級(jí)的功能，在此不再詳細(xì)介紹，大家可以根據(jù)官網(wǎng)文檔進(jìn)行了解。重點(diǎn)介紹安全相關(guān)的內(nèi)容，專有網(wǎng)絡(luò)提供了豐富的隔離能力：在專有網(wǎng)絡(luò)之間在邏輯上是徹底隔離的，相互之間默認(rèn)無(wú)法通信。ECS每個(gè)專業(yè)網(wǎng)絡(luò)內(nèi)它可以建立多個(gè)交換機(jī)，可以有利于這種網(wǎng)絡(luò)的網(wǎng)絡(luò)和網(wǎng)段的劃分，不同交換之間也可以設(shè)置一些隔離。這是對(duì)專有網(wǎng)絡(luò)的一些介紹，下面一起了解一下虛擬交換機(jī)。接下來(lái)，了解虛擬交換機(jī)的概念。交換機(jī)是組成專有網(wǎng)絡(luò)的基礎(chǔ)網(wǎng)絡(luò)設(shè)備，用來(lái)連接不同的語(yǔ)音資源實(shí)例，每個(gè)專有網(wǎng)絡(luò)下，用戶可以很方便的管理多個(gè)虛擬交換機(jī)，根據(jù)自己的需求進(jìn)行創(chuàng)建、刪除、配置虛擬交換機(jī)。左邊圖中交換機(jī)的一些概念，第一，當(dāng)前的專有網(wǎng)絡(luò)中有三個(gè)交換機(jī)，其中的兩個(gè)位于可用區(qū)A，另外一個(gè)位于可用區(qū)B。每一個(gè)交換機(jī)都必須會(huì)有一個(gè)可用區(qū)中。專有網(wǎng)絡(luò)交換機(jī)提供的安全能力主要有兩點(diǎn)：第一，服務(wù)隔離，可以根據(jù)服務(wù)的安全等級(jí)、服務(wù)的類型進(jìn)行網(wǎng)站的劃分。ACLACL對(duì)流經(jīng)交換機(jī)的流量進(jìn)行訪問(wèn)的控制。這就是交換機(jī)的整體概念，繼續(xù)看一下關(guān)于網(wǎng)絡(luò)隔離的一些其他建議。第一個(gè)建議是用戶權(quán)限分級(jí)，設(shè)置一個(gè)網(wǎng)絡(luò)的管理員統(tǒng)一來(lái)管理網(wǎng)安全組，網(wǎng)絡(luò)ACL以及流量日志這些高危的權(quán)限，避免高危權(quán)限的泄露，同時(shí)出現(xiàn)問(wèn)題時(shí)也更容易排查；普通用戶無(wú)法變更網(wǎng)絡(luò)ACL和安全組的ACL。第二個(gè)建議是隱藏私密的內(nèi)容，通過(guò)阿里云提供了網(wǎng)絡(luò)ACL，安全組和云防火墻，限制不易公開(kāi)的內(nèi)容訪問(wèn)權(quán)限，避免數(shù)據(jù)泄露。第三個(gè)建議是要做服務(wù)隔離。MysqlwebMysqlA里B景下，只需要為安全組A配置一條允許內(nèi)網(wǎng)進(jìn)掩碼是8訪問(wèn)3306端口的規(guī)則，而安全組B配置一條允許公網(wǎng)及且掩碼是零的訪問(wèn)八零端口的規(guī)則，這樣不同的服務(wù)它有不同的隔離級(jí)別。并且每一個(gè)服務(wù)的訪問(wèn)權(quán)限都是最小的。VPCVPCVPC節(jié)點(diǎn)使用內(nèi)網(wǎng)進(jìn)行通信，推薦第二種方案，這樣可以減少公網(wǎng)暴露，降低安全的風(fēng)險(xiǎn)，這ACL制。三、控制網(wǎng)絡(luò)流量ACLAECSECSACLAACLACL的訪問(wèn)，即可滿足自己的需求。ACLACLACLACLACLECS網(wǎng)絡(luò)ACL的幾點(diǎn)特性：可能導(dǎo)致請(qǐng)求出去了回不來(lái)，或者是能進(jìn)來(lái)回不去。ACL訪問(wèn)的。ECSACLACLACL，沒(méi)有考慮安全組的ACLECSACLACLECSACACL本節(jié)講解了網(wǎng)絡(luò)ACL的基本概念，下面深入學(xué)習(xí)一下網(wǎng)絡(luò)ACL的規(guī)則。ACL規(guī)則由以下要素構(gòu)成，生效順序、策略、協(xié)議類型、源地址、目的地址、目的端口范圍等。生效順序表示生效的優(yōu)先級(jí)，值越小，規(guī)則的優(yōu)先級(jí)越高。系統(tǒng)從生效順序?yàn)橐坏囊?guī)則開(kāi)始判斷，只要有一條規(guī)則與流量匹配及應(yīng)用該規(guī)則，并忽略其他規(guī)則。例如，交換機(jī)B中的IP為的ECS。通過(guò)TCP協(xié)議訪問(wèn)交換機(jī)C中的ECSACL規(guī)則配置后，的匹配生效順序2和生效順序3中規(guī)則的源地址。232ACL議支持ALL、ICMP、GRE、TCP、UDP五種。第一種是ALL，即所有協(xié)議，當(dāng)選擇所有協(xié)議類型時(shí)，端口的范圍是沒(méi)辦法設(shè)置的，必須為-1/-1，表示不限制端口，ICMP協(xié)議，網(wǎng)絡(luò)控制報(bào)文協(xié)議，當(dāng)選擇該協(xié)議類型時(shí)。端口范圍無(wú)法設(shè)置，為-1/-1，表示無(wú)限制端口，GRE通用路由封裝協(xié)議，當(dāng)選擇該封裝協(xié)議時(shí)，端口范圍無(wú)法設(shè)置，為-1/-1，表示不限制端口，TCP傳輸控制協(xié)議，當(dāng)選擇該協(xié)議類時(shí)，端口范圍為1~65535，設(shè)置格式可以為1/200或80/80，并且不能設(shè)置為-1/-1，UDP是用戶數(shù)據(jù)報(bào)協(xié)議，當(dāng)選擇該協(xié)議類型時(shí)，端口范圍為1~65535，設(shè)置格式為1/200或80/80，且不能設(shè)置為-1/-1。源地址，是用于限制入方向的規(guī)則，數(shù)據(jù)流的源地址，目的地址，是用于限制出方向的規(guī)則，表示數(shù)據(jù)流的目的地址，目的端口的范圍，是用于限制入方向規(guī)則作用的端口范圍，這個(gè)就是ACL構(gòu)成要素的一些詳解。通過(guò)網(wǎng)絡(luò)ACL限制流量，主要分為三步：ACL；ACLACLECSACL網(wǎng)絡(luò)ACL的頁(yè)面點(diǎn)擊創(chuàng)建網(wǎng)絡(luò)ACLOpenAPICreateNetworkAcl創(chuàng)建ACL，VPCACLACL點(diǎn)擊關(guān)聯(lián)交換機(jī)，也可以通過(guò)OpenAPIAssociateNetworkAcl綁定ACL到交換機(jī)。第三是設(shè)置規(guī)則在VPC的控制臺(tái)選擇專有網(wǎng)絡(luò)網(wǎng)絡(luò)ACL網(wǎng)絡(luò)ACL詳情及出入方向的規(guī)則進(jìn)行設(shè)置也可以通過(guò)OpenAPIUpdateNetworkAclEntries更新網(wǎng)絡(luò)ACL規(guī)則，注意第二步中的OpenAPI 是一個(gè)義務(wù)的操作，可以通過(guò)OpenAPIDescribeNetworkAclAttributes查詢網(wǎng)絡(luò)ACL的規(guī)則的