从基础到应用云上安全航行指南

点。云上安全建设是一个体系化工程，需要用户主动进行多方面的考虑和实施，速止损等。安全用云是用好云的第一步，也是最为关键的一步。2024ECS安全季】，由阿里云八位产品技术专家组成讲师团，通过分享云上安全体系相关产品与最佳实践，让用户快速上手构建业务的安全防护能力。本书内容整理自ECS安全季中的全部课程，供各位开发者&用户阅览。TOC\o"1-1"\h\z\u阿里云产品专家教你如何全方位构建ECS安全体系 5九大提升ECS实例操作系统安全性的技巧 23干货长文快收藏！阿里云专家教你如何安全访问和管理ECS资源 52来上课！一文掌握守住ECS网络安全的最佳方法 78万字干货教你如何保证业务数据全流程安全 104云安全专家教你如何实现一体化、自动化的云安全审计，运营闭环 137一文教你如何从零构建机密计算平台解决方案 163阿里云产品专家教你如何全方位构建ECS安全体系2024ECS体系相关产品与最佳实践，让用户快速上手构建业务的安全防护能力。ECSECS安全能力大图解读”等内容，本系列全部课程也将在阿里云官网、阿里云官方微信视频号、阿里云官方钉钉视频号、阿里云开发者微信视频号同步播出。以下内容根据课程整理而成，供各位开发者阅读：对于安全问题，很多用户的直接反应就是操作是否太难？没有安全背景和基础能否快速上手？又或是云上业务规模很小，是否需要知道并了解这些安全措施呢？结合以上的种种问ECSECSECS的一些安全技巧，通过本节课程的学习，大家可以立马用起来，毕竟安全无小事。本次的分享主要分为以上四个方面。一、云上安全的重要性首先我们来关注一下云上安全的重要性，一直以来安全问题都是用户上云最关心的问题，我们得到的调研报告显示96%的受访者其实非常关注云上安全问题，同时有70%及以上的用户对云上的安全状态信心是不足的。想要告诉大家的是，这种担心并不是可有可无。随着全球信息化浪潮的不断推进，我们发现针对数据安全的风险也在不断上升，甚至愈演愈烈，这一部分的风险也来源于攻击者不断进化的攻击手段和日趋增加的安全事件。cyberattacks-202238%，而网络攻击带来的后果一般都非常严重，不仅会导致我们的业务中断不可用，而且会导致敏IBM2023年445277意味着企业在遭遇了数据泄露以后，平均需要花费277天来识别并控制一个活跃的数据泄露，时间成本和经济成本非常高。那么除了日趋复杂和严峻的安全环境之外，我们来看看ECS的用户们经常遇到的威胁都有哪些。其实很多用户上云购买的第一个云产品就是云服务器ECS。我们发现很多用户在使用ECS的过程中存在着一个误解，那就是购买了ECS之后就可以“安全无患、高枕无忧”，其实ECSDDosECS数据无法被找回，又或者实例登陆密钥被泄露，导致数据被删除无法找回等等。ECSECS10万次，每天帮助用户清理的DDos攻击流量高达2.08Tdps，而我们每天扫描出来的操3700每天依然在发生，那么导致以上问题的根因是什么呢？当前云计算安全建设的主要驱动力其实是合规性要求，我们对安全攻击和防护的重视度是远远不够的，而安全的本质其实是对抗，要抵御各种威胁才是提高安全的最终目标。随着云计算得到了广泛的应用，聚焦于云计算的攻击者其实会搜集网络上各种云服务，进而去发现脆弱性并且加以利用。这些脆弱性主要来源于上图展示的五个方面。根据2023年cloudsecurityAlliance的topcloudsecuritychallenges我们可以看到，首当其冲的是用户配置不当导致；其次是因为客户在云计算的技能不足导致；第三是多云环境下的能见度不足导致的。根据Gartner预测，到2025年，由于用户配置不当导致的99%。由此我们可以看到很多安全问题最终的根因其实归结为两点，第一个其实就是安全意识的不足，第二个是我们安全实践技能相关的缺失。安全意识的不足这一点大家有目共睹，尤其是在我们DoveOps升我们的开发效率，我们的开发运维团队会大量使用三方开源工具或者一些软件库，甚至是一些公开的容器镜像。这些开源软件或者是镜像中如果存在了一些安全漏洞，或者说遭遇了恶意污染，但我们的开发运维同学并不会去做严格的安全风控。最终如果用户使用了这些软件，那么接下来大家的业务则会面临着一些安全的风险，同时我们也注意到有很多人在无疑是的把业务中的一些敏感代码或者数据在互联网上进行托管，这种操作其实也会存在着一些数据泄露的安全风险。23%50%的企业承认自身的网络安全水平其实是落后于起初规划的。其中一方面是因为大家自身技能的确实，另一方面也是大家不得不考量的成本问题，所以我希望今天的分享能够给大家做到安全方面的基础的科普，以及安全尝试，帮助大家尽量做到尽量避免因为配置不当或者意识不足导致的业务风险问题。二、安全责任共担模型介绍ECSECSECS在传统的云下应用架构下，搭建一个信息系统，需要自行负责信息系统所以来的所有底层软硬件的资源和服务搭建。如果把信息系统的搭建比作为一个房子，那在我们的传统服务模式下，我们则需要自行准备搭建一个房子所需要的全部资源。其实这里可以类比为我们在乡下宅基地自建房，需要选址打地基，设计房屋构造和布局，拉上水电煤等技术服务，最后做内部装潢，可能还需要判断房子外围是否需要加盖院子和围墙，来保障房子的安全。所以我们可以看到，在传统架构下，所有的任务和服务都需要我们自行设计、自行管理和自行维护。而在infrastructureasservice基础设施及服务这种的服务模式下，我们可以看到云服务管理和维护，同时他们还需要保障不同的用户或者不同房子之间的资源隔离问题，需要做到互不影响。而我们作为用户，只需要根据业务需要以及当前的属性去做一些选择和配置即可。那我们来看一下选购一个ECS和选购一个“房子”有哪些重要的参考参数呢？首先就是选择地域和可用区，ECS的地域和可用区类似于房子地段的情况，地段由城市和县市决定。在地域和可用区的选择上，主要交由用户选择。建议大家选择在更靠近业务服务的目标用户的区域，这样整个网络延迟相对更低。VPCVPCVPCVPCVPCVPC中的房子在不出小区的情况下就能够互通，如果我们在一个小区中有多套房子，就可以通过交换机操作类似单元楼的方式进行划分，方便管理。所以在某种程度上，我们选择ECS的VPC和交换机，其实就相当于我们在选择房子所在的一个小区和单元楼。ECSECSWindowsserver2023去选择这个房子的户型究竟是三室两厅还是两室两厅。ECS的ECS实例的入出方向的流量，相当于我们设置的一个“规则”来允许什么人可以进出单元楼，所以我们可以把安全组类比做门禁卡，可以通过设置门禁卡的规则来限定什么样的人能够进入我们的小区，进入我们的房子。们的门，进入到房子中去，所以如果我们的用户名和密码没有得到很好的保障，则相当于ECSECSECS需要我们作为租客（用户）ECS没有设置对应的网络隔离，整个实例操作系统的安全性有没有得到保障等等，以及有没有ECS部分是由我们作为用户，需要自己管理并负责的。而云服务提供商其实就和房地产开发商一样，主要负责两部分的安全，第一部分其实负责对整个地域和可用区里面的基础设施进本报告来源于三个皮匠报告站（）,由用户Id:247865下载,文档Id:153972,下载日期:2024-11-18ECS会更清晰。上图右侧列举了云服务提供商和我们的用户之间的责任边界，可以看到云服务提供商对云本身的安全性负责，而云本身的安全性分成了两个维度，第一个就是基础设施的安全性，第二个是云服务的安全性。基础设施的安全性主要包括底层硬件的主机安全，以及一些虚拟化的安全。要提供一个安全、合规、可靠的基础设施，这也类似于我们房子的地基，房子的地基是否安全，房体所使用的钢筋水泥土是否符合国家建筑安全的规定。云厂商的第二个安全责任就是需要对云服务的安全性负责，主要是云服务本身是否安全。ECSECS们可以分为四个维度。最底层GuestOs安全其实是我们ECS其次是访问安全，本质上来说，主要控制有哪些用户能够访问我们的实例。第三块是网络也是云上安全的最终目标，当然其中也存在着不同的维度，比如我们可以用快照做数据备份，也可以对存储的数据进行加密，甚至可以通过机密计算的方式保证数据在计算过程中的安全性，这里预告一下，数据安全在后续章节也会有讲师为大家做深入的开展。整体来说，ECS的安全责任共担模型明确了云厂商和用户大家的责任边界，以及在每个维度上用户能够做的提升ECS安全性的一些事情。前面介绍的安全责任共担模型其实是一个整体大原则，根据《中华人民共和国网络安全法》以及《互联网信息服务管理办法》等相关法律规定，他们对厂商和云平台其实提出了更多的法律监管的要求，也意味着云平台除了前面提到的需要对云本身的安全性负责意外，还需要根据国家的法律法规对以下的两类违法行为进行主动管控。ECSECSECSDDos使用云产品从事一些虚拟货币相关的工作活动，比如挖矿等，均属于违规行为。第二类是ECS赌博等非法行为，以及出现危害国家安全，破坏政治社会稳定的信息。在这种情况下，云平台有权依照相关的法律采取相应的封禁措施。对于存在一般违法行为的ECS，阿里云会对ECS上的url和域名采取一些阻断动作。如果出现账号被封禁，用户可以申请免费解禁，或者申请主动解禁。但对于严重的违法行为，我们除了阻断url和域名访问意外，还会禁止用户解禁，除非用户把数据完全删除/完全释ECSECSECSECS办法正常使用。三、ECS安全能力大图解读第三部分我将为大家进行ECS安全能力的全貌解读。上文《安全责任共担模型》中提到，云厂商负责云本身的安全性，而用户需要对云上的安全性负责。那在云上安全性这个维度上，阿里云也提供了一系列的安全能力和云产品和功能，来帮助大家快速的完成对应的安全能力的构建。在这里我们将ECS的安全能力主要分成了以下五个维度。第一个是GuestOS安全的安全。GuestOS安全的安全前面提到其实就是ECSECS登录安全。这两点类比的话，相当于房子的门窗是否紧锁，以及钥匙和门禁卡是否安全。第二个是网络安全。网络安全是最容易忽略的。因为上云之后，所有的资源都在网络上，意味着人人都可以看到，如果设置不当，也可能会导致人人都能够访问。在这种情况下，如何能够进行安全保因为单元楼和小区起到了物理的访问隔离的作用，加之门禁卡，就在访问隔离和访问安全VPCECS第三部分是身份与访问控制。/公司中很多人在共同使用资源的角度出发。相当于一个公司有很多房子，分布在多个小区和单元楼，公司中什么样的人能够访问什么样的资源，对于核心资源的使用过程需要多次验证，临时来访用户需要临时授权等等，需review的方式访问了“房子”。所以某种程度上，身份与访问控制更多的是从一个组织的角度出发，对整个组织下面的多种角色以及访问行为进行全面的控制，同时还可以做审计，这样可以保证我们云上的资源访问能够可追溯且可授权。第四部分是应用安全。WebAPP应用，主要作用其实是对外提供ECS要的就是保障服务的可用性。那么如何保障我们服务的可用性？阿里云提供了非常多的工WebAPP的业务流量进行恶意特征识别，然后对流量进行清洗和过滤，能够把正常的流量返回给服务器，来避免网站服务器被恶意入侵，从而保证整个网络的业务安全。最后一点数据安全。数据安全是所有安全防护的终极目标，数据安全也是一个端到端的安全保障机制。因为数据本身存在三种状态：静止态、传输态、使用态。静止态指数据存放在某种地方，可能存在被误删/被删除的风险，可以通过定期数据备份保障对应的数据安全。同时，还可以通过数据加密的方式保证静止态数据安全。数据加密可以防止数据泄露，保证数据在传输过程中的安全性。使用态的数据使用安全，一般指的是在内存中读写的数据安全性，而机密计算其实是通过一种基于硬件的可信执行环境来达成在计算中保障数据安全的目的。所以数据安全更多的是一种端到端的安全保障机制，如果大家的业务对数据安全有更高的要求，则可以选择性的采取必要的措施来保障数据安全。ECS个产品，它基于云上的最佳实践和在其中提到的云上基础和安全保障能力，为用户做更多ECS下面将为大家介绍两个最佳实践，让大家有更直接的体感。第一个是最佳实践是围绕GuestOS安全性提升的。前面提到了，GuestOS的安全性是整那如何从这两个维度上去提升我们GuestOS的安全性呢？围绕着登陆安全这个维度我们有几个简单的tips。rootECSuesr账号登录，而不是默认的root账号。如果大家的能力更高阶，我们会推荐用户使用LinuxsshrootsshECS供的云助手提供的会话管理功能。它类似于堡垒机的功能，在不需要密码的情况下能够安全的登录到ECS的实例上，同时也可以通过会话管理或是workbench对所有的登陆操作进行追溯。关于操作系统安全，上文我们也提到操作系统的安全相当于整个房子的门窗是否安全，所以在这部分，我们首先推荐用户开启镜像加固，使用免费版的云安全中心对操作系统中存在的安全漏洞进行扫描并定期修复。同时，云安全中心的收费版不仅可以对系统漏洞进行修复，同时还能够对操作系统中存在的木马和病毒进行扫描和修复。当然如果我们有足够的能力且没有付费意愿，还可以通过系统运维管理的补丁管理去自动设置对应的补丁扫描，并且设置对应的修复策略。系统补丁管理程序则会根据设置自动扫描对应的操作系统中的补丁情况，并根据指定的修复策略自动完成对应的补丁修复，并且帮助我们去重启实例，保证补丁得到最新的修复。此外，如果我们对安全等保这个地方有要求，也可以使用阿里云提供的原生操作系统——AlibabaCloudLinux等保2.0的镜像来提升整个操作系统的安全合规要求。上图中展示的灰色部分是基础能力，也意味着我们推荐所有用户都采用这样的策略，黄色部分是高阶能力，推荐大家按需使用。第二个最佳实践实际为一个综合性解决方案。我们发现很多用户在安全维度面临的问题是，用户无法判断当前自身业务是否存在安全隐患，所以也无法进行优化/户想要做一些安全性的改造，却不知道从哪里可以入手且快速看到效果。正如我们前面介绍的，绝大多数安全性问题其实是由于用户配置不当或者意识不足导致的，所以对绝大多数用户而言，我们提升安全性的第一步是要识别我们当前的安全风险。那如何能够快速识别我们业务中常见的通用安全风险，进而防患于未然呢？在这里，ECSInsight是我们推荐的一款一站式解决方案，它能够帮助用户快速发现问题，并且识别问题的严重程度，同时推荐对应的解决方案。对于没有太多安全基础，但想要提升安全性的用户来说，不清楚第一步如何落脚”ECSInsight是一个快速上手的好选择。ECSInsightECS和关联资源的分布、使用、配置等信息做分析，并结合机器学习算法进行建模，最终结合云上的最佳实践和最佳方案，给用户最终提供两个输出。ECS100险，则会进行扣分。第二个输出是对应的风险应对优化推荐方案。对于每个维度的失分项，ECSInsight都会根据该问题的严重程度来进行区分。对于高危项，我们推荐用户立刻采取行动进行修复，对于告警，我们推荐用户选择合适的时间及时进行修复。对于提示项、不适用项和健康项，ECS前业务存在的安全风险，并及时修复，防范于未然。下面为大家介绍一下ECSInsight的简单的demo。大家登录ECS的控制台，在导览页里面就会有一个ECSInsight这个服务，开通之后需要花费t+1的时间对当前账号下所有资源的分布、使用、配置等信息去做一些数据的采集，建模分析，最终就会为大家产出一个分析报告。其实我们可以看到它主要分为了六个维度，也是从这六个维度的角度上做了评分。每个维度ECSinsight会根据对应问题的严重程度归类。对于高危项和警告项，是需要用户立即采取行动的。而对于不适用项和提示项，其实是nicetohave的能力，用户可以适当做一些参考。ECSInsight含网络安全能力、实例访问安全能力和实例数据安全能力三个维度，每个维度都提供了详细的安全风险评估标准。对于未得分项，都可以点开具体看到评分规则，以及对应的受影响的资源是什么，以及对应的修复建议和对应的最佳实践。最后我们可以参考最佳实践和对应的修复建议来完成相关的配置修改，就能够完成相关的风险修复，也欢迎大家到ECSInsight页面上体验我们的产品，从而达到ECS安全性的提升。四、云上安全的展望最后为大家分享我们对云上安全的展望。第一个是机密计算。上文提到的，网络安全很大一部分其实是为了保障数据安全，而数据根据其情况我们可以分为静止、传输和使用中三个状态。而存储的数据属于静止态数据，在网络中属于传输态，而正在处理的数据则属于使用中的状态。前面提到的加密技术主要用于提高数据的机密性，进而防止一些未授权的访问和保障数据完整性，也就是防止未经授权的修改，它主要用户保护传输中和静止状态的数据。那么数据在内存中使用时如何保证其安全性呢？这其实就是机密计算的目标场景了。机密计算通过在基于硬件的可信执行环境中执行计算的方式来保证使用中的数据的安全性。而可信执行环境则通常被定义成能够提供一定程度的数据的完整性、机密性和代码完整性来保护环境。而基于硬件这样一个可信执行环境，主要使用我们芯片中的一些硬件支持的技术，为代码的执行和环境中的数据提供保护，从而提供一个更强的安全性的保证，进而targetCPU御一些恶意软件入侵的攻击手法，比如乌克兰的电网攻击。对于机密计算感兴趣的同学可以听我们后续的其他讲师的一个专题的分享，在这里面我可能就不做详述了。第二个是零信任安全。零信任安全其实是一种安全理念，它的基本原则其实是不信任任何设备和用户，除非验证其可信。同时，用户和设备在经过验证之后还会持续监控设备的安全状态和用户行为，一旦发现信用等级下降，则需要动态的调整访问级别，并在需要的时候去切断对应的访问会话。所以，零信任本质上来说是一种更安全的云上设备和身份的验证。在传统的网络安全保障机制中，主要通过子网划分、安全域划分、网络控制等手段去实现网络管控。随着网络设备和云计算被广泛使用，也让企业员工在任何时间、任何地点、都能够使用任何设备来访问企业资源这是一种常态的趋势，在这种趋势下，我们认为零信任的安全则是一种更安全、更有效的安全防护机制。最后想和大家分享的一点是“当安全性遇到AI”。其实Gartner早在2016年就提出了AIOps的概念，并在2017年把它明确定义为需要借助人工智能的算法提供具有一些动态性、预测性的一个洞察能力，最终实现IT运维自动化的能力。在AIOps中，我们可以看到Gartner主要强调了三个关键点。第一要使用AI算法，第二要能够发现并识别一些异常信息，第三是要能够完成一些自动化的运维执行。所以，虽然AIOps很多时候强调的是智能化运维，但是我认为在安全领域下，这三个关键点依然是有AIAIOps在安全这个领域维度上也应该能够实AI并且能够自动化的给出执行建议，同时自动化的辅助/帮助用户完成对应的安全措施。以上就是本次课程的全部内容。/play/u/null/p/1/e/6/t/1/445056548306.mp4九大提升ECS实例操作系统安全性的技巧引言：【弹性计算技术公开课——ECS安全季】第二节课程由阿里云弹性计算技术专家陈怀可带来，本文内容整理自他的课程，供各位阅览。一、安全事件案例回顾与操作系统安全概念介绍在介绍操作系统安全概念前，我们先来看一下国际上曾经发生过的几个真实的安全事件。第一个安全事件：国外某政务官员，他是一非常喜欢发推特的人，可能不知道的是，他在就任期间，他的推特账号曾经被人盗用过。像这类知名的公众人物，他们的一言一行都会对社会产生重大的影响，可想而知，他们的账号被盗用的影响会有多大。整个安全事件的过程比较简单，简单梳理一下。在2012年LinkedIn网站被攻击，2016年，相关的数据库被泄露出去，泄露的数据库中有包含这位官员的账号和密码，通过这个账号密码，攻击者攻击了他的推特账号。这就是典型的撞库攻击，因为在大多数人的行为习惯中，习惯性的会在所有的产品中长期使用一个或几个固定的密码。而不会特意去修改。这位官员同大多数人一样，使用同一套密码，最终导致了他的推特账号被入侵。回过头看整个安全事件，导致这一起事件的根本原因在于长期使用一套固定的密码，而且没有进行修改。再来看另外一个安全案例，去年九月，斯里兰卡国家政务云被黑，同时丢失了四个月的重要数据。详细看一下这个事件的前后因果，斯里兰卡国家政务云中使用一款软件叫做Microsoftexchange2013漏洞，因为财政方面的问题，没有得到及时升级维护，攻击者通过这软件漏洞发起了勒索软件攻击，最终导致近四个月数据的永久丢失。可以清晰的知道，导致这一起安全事件的根本原因在于使用了停服的软件，软件没有得到及时的升级更新安全补丁。回顾刚刚的两个安全案例，在案例1中，用户用于登录系统的账密泄露了以后，攻击者利用泄露的账密攻击系统，导致系统被入侵，如果访问操作系统常用的账密泄露了，攻击者能够很轻易的登录到操作系统，部署勒索键，导起关键数据信息等等危害。案例2中，系统未及时更新安全补丁，导致攻击者利用漏洞进行入侵并部署勒索软件，攻击者经常使用操作系统内未及时修复的安全漏洞实施入侵攻击。那么该如何保护我们的操作系统呢？我们来将操作系统的安全分为三个部分，第一部分是访问操作系统的安全性，它定义了谁能够来访问操作系统，用怎样的方式来访问。第二部分操作系统内部的安全性，包括安全补丁以及技术的安全能力等等。第三部分是涉及到法律法规的一些要求，比如审计、合规要求等等，提升操作系统安全性的办法，我们根据上述的操作系统安全性的三个组成部分，分别是提升访问操作系统的安全性、安全加固操作系统以及操作系统安全进阶这个三部分。二、快速提升访问操作系统安全性接下来针对如何提升操作系统安全性，分三部分详细展开。ECS个部分，使用密钥对登录实例、使用会话管理免密登录实例以及避免端口/0的授权。如何使用密钥对登录实例，可能这里会有部分的同学存在疑问，什叫做密钥对？密钥对实现的原理是什么？使用密钥对登陆实力有什么样的优势？RSA2048和私钥认证的方式进行登录，是一种安全便捷的登录方式。由用户生成一组密钥对将公钥~/.ssh/authorized_keys器端生成一串随机数，使用公钥进行加密，返回用户端加密的信息，用户端使用私钥本地进行解密，并发送服务器端解密后的信息，服务器端对比解密后的信息，对比验证信息有效才允许用户登录。这种方式相对于传统的账密的登录方式的优点，它的优点主要有两个，一是相对于常规的用户口令容易被爆破的风险，密钥对杜绝了暴力破解的危险，另外一个是密钥对登录方式更加简便，一次配置，后续再也不需要输入密码。但是也要求需要保护好私钥不被丢失泄露，因为拥有您的私钥的任何人可以解密的登录信息。需要注意的是，阿里云不会存储私钥文件，也就是在创建密钥对时仅有一次下载密钥对的机会。常用密钥对登录ECS实例的方法，主要有四种，第一种是使用ECS提供的Workbench，在Workbench中导入私钥连接ECS实例，若您的私钥在本地是加密的，如图所示的Workbench还可以支持传入私钥口令的方式解密访问。第二种是使用第三方的密钥对工具，使用第三方密钥对登录工具时，需要遵循该工具的使PuTTYgenSSHconfig文件的ECS及私钥地址、还有公网信息等等这信息，这种方式适合多台实例登录的场景，这里需要注意的是以上四种常规的密钥对登录方法，后面三种都是需要用户开启公网的IP才能够进行访问的。对需要使用密钥对的用户，如何更好更安全的使用密钥对，我们有两方面的建议，第一是保护好本地私钥，第二是可以优化密钥对的服务配置。如何保护好本地私钥？常规方案会推荐用户使用密码的方式进行保护私钥。需要保证持有正确的密码的人才能够访问到私钥。在使用私钥时，每次都是需要输入密码。一是控制台Workbench也是支持输入口令密码的方式访问到您的私钥。另外，尽可能的不使用默认的密钥对的存储位置，将私钥保存在自定义的目录中。在保存私钥的目录中设置正确的访问权限，只允许特定的用户能够访问。在保存私钥的系统上，还需要及时的安装最新的补丁和安全更新，以保护系统不受知名漏洞的影响。同时，为了防止私钥的丢失和误操作删除，还可以定期备份私钥。在使用密钥对服务配置时，我们建议可以修改连接端口为非标准端口，密钥对的默认连接22221024~65535.rootECS权限。建议您在新购实例时选择使用ecs-user的普通账号，并且在密钥对服务中配置禁止rootECSECS录，以进一步提高安全性。ECSRSA2048ECSRSA、DSA、DSSECS免导入私钥。要使用密钥对登录ECS实例目前也存在一些限制，比如当前仅支持Linux实Windows22允许指定端口在本地客户端公网IP进行访问连接。ECS录时具有更高的安全性。接下来我将详细介绍会话管理。VNCECS实例，且兼具安全性。从一开始的安全升级案例中，使用常规账密的登录对密码的复杂度要求比较高，并且需要定期进行修改，防止密码泄露后的风险，很难进行管理。或许大家可能会想到使用密钥对登录一些实例不就解决问题了？答案是肯定的。不过使用密钥对登录实例的时候也会存在一些因素限制，比如常用的密钥对登录实例，通常需要开放公网IP，并且开放22端口。一旦公网IP开放之后，允许更多的ECS另外，无论是使用密钥对还是使用账密登录，都不能做到记录和审计，很难发现攻击者的入侵行为。相比于传统账密的登录方式，云助手登录它有几个优点，第一它是不需要分配公网IP的就ECS另外它可以记录、审计，通过订阅对应的审计日志进行定期的安全分析，能够及时发现一些非易侵内的访问行为。会话管理登录实例是如何做到这些，会话管理建立链接的原理。RAM访问控制权限进行健WebSocketURL10token，websocketURLtokenwebsocketECSagentwebsocketagentWebSocket的链接。WebSocketECS会话管理的安全性主要在于会话管理客户端与云助手服务端的agent间的通信是使用WebSocketWebSocketSSORAMWebSocketSSHVNCECS常用的会话管理链接方式主要有四种，最常用的是直接使用会话管理连接实例，另外也支持了使用会话管理端口转发连接实例。例如ECSweb服务，可以通过端口转发指的方式直接连接外部服务，还有一些客户希望在使用会话管理的基础ECS也支持使用会话管理，以密钥对以及临时密钥对方式进行连接实例。如表格所示的，各自都存在一些优势以及不足，优点是使用会话管理都不需要用户开启公网IP、会话管理、端口转发以及直连和临时密钥对都不需要再管理密钥以及密码。端口转发以及直连也不需要开放端口，不足的地方是其中使用会话管理密钥对以及临时密钥对连接实例的时候，都是需要开放22端口的，使用会话管理密钥对连接实例的场景，同时用户还需要自己保存对应的私钥。RAM连接所有的实例，也可以允许子账号连接指定的一个或者多个实例，或者使用绑定的实例标IP进行连接实例。RAM建议使用标签的方式进行批量管理权限，便于权限的回收以及收予。会话管理也存在一些权限的限制，比如需要一些授权StartTerminalSession的方式，以及DescribeUserBusinessBehavior等等权限。会话管理的使用还存在一些限制，必须要授StartTerminalSession以及DescribeUserBusinessBehavior等等权限。除了使用密钥对登录实例以及使用会话管理免密登录实例外，还需要避免端口0.0.0授权对象的访问。众所周知，Linux操作系统使用了SSH终端连接，默认使用22端口，Windows操作系统RPD3389意来源的访问可能导致黑客或者攻击者在未经过您的授权的情况下，通过这些端口登录到操作系统中。如何限制这些访问？阿里云免费为您提供了实例级别的虚拟化防火墙，也就是安全组，它ECSECS组将放行2233898044IP都可以访问。默认安全组的配置并不安全，需要经过一些简单的配置。安全组的配置应该遵循以下几个基本原则，安全组应该作为白名单使用，而不是黑名单。安全组出入规则时应该遵循最小权限原则，避免受予过大的权限。不需要公网访问的资源不应该提供公网IPIP将暴露增加您的ECS放。若您需要开放端口，应尽量避免的授权，并需要开放的端口授权指定的IP或者IPIP为00网段通过TCP协议访问到22端口，经过安全配置之后，00端口可以进行访问，但是00端口所有的请求将会被拒绝。我们强烈建议您按照上述的原则，仅开放必要的端口提供给有限的IPECSIP的对象访问授权。作为操作系统的另外一重要的部分，操作系统内部安全也是至关重要的。三、如何安全加固您的操作系统接下来介绍一下如何安全加固操作系统。本章节主要包括三部分，使用OOS补丁基线自动更新安全补丁、AlibabaCloudLinux操作系统内核热补丁以及使用免费的基础安全服务。OOS补丁基线自动更新安全补丁。为什么需要更新安全补丁，回顾安全事件案例二，斯里兰卡国家政务云正是因为使用了存在漏洞的软件，导致操作系统被入侵，丢失了将近四个月的重要数据。如图所示的一些官方渠道经常会发布一些安全漏洞的公告以及修复漏洞的安全补丁。黑客常常利用网上已经公布的安全漏洞，并且特定的工具进行扫描、攻击、入侵。您若未及时更新操作系统，时间越久，您就面临的安全风险越高。安全攻防常常是攻击方、防守方时间上的竞速，实际上不存在完美的系统，但只要修复的比攻击的更快，系统永远是安全的。另外一方面，许多行业标准、法律法规都要求企业定期更新软件或操作系统，并及时安装最新的安全补丁，以满足合规性的一些要求。既安全补丁的更新重要，如何尽快知道操作系统中存在安全漏洞，以及如何快速找到对应的安全补丁，并且安装补丁快速修复安全漏洞。OOSOOSECS的补丁进行扫描和安装。在这个过程中，用户可以选择安全相关或者其他类型的更新，自动修复相应的ECS实例。它能够支持主流的WindowsLinux多达31种操作系统，包括CentOS、RedHatUbuntu、WindowsService等等。不同的操作系统版本补丁基线实现的原理因为使用不同的包管理工具，扫描与安装补丁的原理都会有所差异。如图所示的CentOS7使用的yumCentOS8使用的是dnfUbuntu使用的是apt，yum包管理工具为例，存在更新通知的概念，在软件仓库存储者名为updateinfo.xml的一个文件来存储软件的更新通知。根据updateinfo中的更新通知如图CentOS公共安全基线规则配置所示的补丁基线配置了包括更新通知的类型以及严重等级，包括了SecurityBugfix...对应的更新通知的类型以及严重等级为CriticalImportant...。配置后它工作流等效的命令相当于执行了严重重要yumupdate等级的安全补丁。Windows安装ServicePack以及LinuxECS实例进行ECS能会存在多个账号，多个账号的一些是的补丁集中管理是比较重要的一个问题。在跨账号的补丁修复的产品中，阿里云的角色主要分为两个，一个是管理账号，另外一个是资源账号，其中资源账号可以是一个也可以是多个，管理员账号本身其实也是一个资源账号，如右图所示的可以通过所有资源账号下创建一个管理账号，账号可以分别扮演对应RAM丁修复的效果。操作系统内严重的安全漏洞修复是刻不容缓的，但是修复通常需要重启操作系统才能够进行生效，重启又会影响线上业务的运行，接下来看一下什么是AlibabaCloudLinux操作系统内核热补丁。AlibabaCloudLinux操作系统为内核热补丁的高危安全漏洞，也就是CVE以及重要的错误修复Bugfix下，平滑且快速的为内核更新高危安全漏洞以及重要的错误修复的补丁。它有以下的几个优点，第一是不需要重启服务器以及任何业务相关的任务进程，也不需要等待长时间运行的任务完成，也不需要用户注销登录，不需要进行业务进行迁移。不过它也存在一些限制，它仅仅适用于AlibabaCloudLinux的操作系统，而且要求是指BugfixCVE后，不能对补丁的函数进行测试以及跟踪。采用热补丁的升级方法主要有两种：一种是手动的查看AlibabaCloudLinuxCVERPMyum第二种方式，安装使用阿里云提供的内核热布定管理工具livepatch-mgr，它能够极大的简化流程，只要一个命令就能够实现，支持热补丁的查看、安装、卸载等等能力。OOS补丁基线以及内核热补丁外，ECSECS是云安全中心免费版。也可以选择取消该能力，但是强烈建议您开启该能力，它能够为您提供基础的安全加固能力，包括主流的服务器漏洞扫描、云产品安全配置基线核查、登录AK异常调用、合规检查等等。云安全中心免费版是完全免费的服务，不收取任何费用。如果有更多的一些需求，可以购买相应的高级版、企业版以及旗舰版。LinuxWindows系统的漏web-CMS以帮助您更全面的了解您资产中存在的漏洞风险，降低系统被入侵的风险。云安全中心免费版还为您提供异常登录检查的能力。异常登录检查的原理是云安全中心agent通过定时收集服务器上的一些登录日志并上传到云端，在云端进行分析和匹配。如果发现非常用登陆地或者非常用登录的IP的时间将会触发告警。如何判定不同的IP务器未设置常用登录地点，这段期间内登录行为不会触罚告警。当某公网IP第一次成功登录到的服务器后，云安全中心将会该IP地址的位置标记为常用登陆地。并且从这个时间开始往顺延24小时内，所有的公网登录地址将会被记录为常用登陆地，超过24小时，所有不在上述常用登陆地的行为被视为异常登录告警，当某IP判定IP成功登录六次或者六次IPIP中心会对某异常IP进行第一处理。常用登录IP、采用登录时间、采用登录账号以及对上述的登陆地IP、登录时间登录账号之外的均设置为提示告警。AKAK时检查GitHub等平台公开源代码中是否包含阿里云的账号AKAK泄露风险。AKAKAKSKSK息有效时，才会根据您设置通知方式，比如站内信、邮件、短信等发送通知。建议您定期AKAK四、进阶提升操作系统的安全性除了访问操作系统安全以及操作系统安全加固外，一些等保合规、审计场景都会有更多的一些安全要求。接下来看一下进阶提升操作系统安全主要包括的几个内容，一个是日志审计，另外一个是等保合规两类型。首先是日志审计，我们为什么需要做日志审计。根据FireEyeM-Trends2018报告，企业安全防护管理能力比较薄弱。尤其是亚太地区，101498企业需要长期可靠、无篡改的日志和审计支持来持续缩短这时间。同时，日资审计也是法律的刚性需求，无论是在中国境内还是在海外，企业落实日志审计20172019络安全等保2.0标准》。我们建议启用会话管理登录实例。在您启用会话管理登录您的实例时，我们建议您同时启用会话管理操作记录投递能力，它允许用户将会话管理操作记录投递到您的存储对象或者日志服务中进行持久化存储，以便以续对操作记录进行进一步的查询、分析、审计。如图所示它能够记录到哪账号对哪实例做了什么样的操作，操作命令以对应的输出分别是什么，这对后续的安全分析是非常有意义的。另外，我们还强烈建议客户开启操作审计服务。操作审计服务可以帮助您监控记录到云账号对产品服务的访问以及使用行为，您可以根据这些行为进行安全分析，以监控未授权的访问，识别潜在的安全配置错误、威胁和意外行为。或满足某些合规审计的一些操作。除了登录审计以及操作审计外，我们建议您开启日志审计服务。日志审计服务在继承现有日志服务的功能之外，还支持多账号下实时自动化、中心化采集云产品的日志进行审计，同时还支持审计所需要的存储、查询以及信息汇总。日志审计覆盖了多种技术产品，包括存储、网络、数据库、安全等产品，您也可以将您的应用日志接入到日志审计服务中，支持自由对接其他生态产品或者是自由的授课中心。很多企业自身有成熟的法规条件以及合规审计团队，对账号、设备的操作、网络行为资质进行审计，客户可以直接消费原生的一些日志，也可以使用日志审计服务的审计功能，构建并输出合规的一个审计信息。日志审计中有开启登录审计、操作审计日志审计服务，以满足相关的法律法规要求。对于等保合规，我们还提供了更多的安全能力。说到等保合规不得不提到堡垒机。什么是堡垒机？实时还原运维场景，保障云端运维的身份可以鉴别、权限可以控制、操作可以审计。解决了众多资产管理难、运维职责权限不清晰以及运维事件难追溯等等问题，阿里云为您在Workbench连接ECS实例时提供了便捷的堡垒机访问方案。什么场景下需要使用堡垒机？首先是国家在不断加强对网络数据安全的管控要求，纵观整运维的过程，种种的数据运维安全风险，运维安全行为的管控势在必行，国家也在多个安全保护规则中增加了对相关安全需求。什么样的场景下需要使用堡垒机？首先是国家在不断加强对网络数据安全的管控要求，比如等保二级，等保三级，也就是过国内的等保合规使用堡垒机就可以。另外企业自身的运维风险开始不断的增加，有一些客户需要确定来源，身份定位，操作过程回溯，以及账号密码的管理，运维的管控等等，可以使用堡垒机。堡垒机能够做些什么？堡垒机常用的安全能力包括账密的一些托管，堡垒机支持资产运维免登录，对账号密码进行统一托管，无需用户进行输入账号和密码。另外运维的身份鉴别，在仿冒用户登录防范上，堡垒机支持双因子认证功能。另外运维权限管控的收敛，堡垒机具有细粒度的权限管控能力，可以根据用户组进行划分资产访问权限，另外还具有高危行为拦截能力。在恶意访问行为上，云盾堡垒机可以对敏感的高危操作，比如删库rm-rf/*）等行为进通过直观录播的方式，更真实的还原了全行为场景。除了堡垒机之外，还提供了符合国家等保2.0三级版本的镜像，您可以在新购ECS实例时包括了身份鉴别、访问控制、入侵防御、恶意代码防范等等对应的一些要求。另外，在云安全中心中还支持了合规检查的功能，合规检查功能提供了等保合规检查以及ISO27001ISO27001五、总结前面提供了很多提升操作系统安全性的一些建议，包括提升访问操作系统安全性方案中的免跳板机、免密码提升访问操作系统安全性，以及避免了端口的0.0.0的授权，仅开放必要端口提供给有限的IP访问，以减少攻击面。OOS漏洞导致的系统安全风险，使用AlibabacloudLinux操作系统的内核热补丁的能力，能够快速平稳的升级的操作系统安全补丁，使用免费的基础安全服务，比如定期漏洞扫描、异常登录检查、AK对安全有更高要求的客户，我们还提供了进阶提升操作系统安全性的方案，开启登录审计日志、操作审计日志、日志审计服务，对日志进行定期的审计分析，缩短攻击发生到发现的时间，降低企业安全损失。使用堡垒机，在满足等保合规的场景下管理运维，控制权限、身份鉴别、账密托管、高危行为阻断、审计溯源，以进一步提升操作系统安全。使用三级等保合规形象，以基础安全服务中的合规检查能力，以帮助您更快速、高效、持续的实现等保合规制度。系统从来不是一个点的安全，需要更多维度的终身安全防疫。以上就是本次课程的全部内容。干货长文快收藏！阿里云专家教你如何安全访问和管理ECS资源引言：本文整理自【弹性计算技术公开课——ECS安全季】系列课程中，阿里云弹性计算高级技术专家张振华带来的课程《如何安全访问和管理ECS资源》一节。一、身份与访问控制的基本概念首先给大家介绍一下关于身份与访问控制的一些基本概念。身份与访问控制是为了实现集中管理阿里云上的用户身份，只有通过这个身份的认证，并且满足了特定权限授权条件下的用户才能够访问或者操作您所指定的阿里云资源，避免您的云资源被未经授权的用户恶意访问，所以这里会涉及到三个管理系统，分别是身份管理、权限管理以及资源管理。所谓身份管理，就是您如何管理您的企业员工或者应用的身份。权限管理是您要怎样分配权限，比如管理员可以拥有全部的访问权限，而研发人员根据自己的职责范围，只能在特定的网络环境下操作有限的云资源，一般建议遵循最小够用的原则来给员工进行授权。资源管理是您要怎样管理云上的资源，建立的管理方式是按照部门或者是业务线划分到不同的资源组，只有被授权可以访问资源组的用户身份，才可以操作对应的云资源。这里的ECSOSS、对象存储以及日志服务，同样也包括像数据库、云原生的容器等各种各样的云资源。在阿里云上面，我们统一负责用户身份管理和访问控制的服务，称为RAM，它的全称是ResourceAccessManager，即资源访问控制。RAMRAM账号这两个概念，这两种账号，都可以通过用户名、密码登录到阿里云的控制台，并对其云上的资源进行操作。用户在访问阿里云账号时，使用的是主账号，主账号的密码规范、登录安全的风险控制策略是由阿里云统一管理的。在主账号RAM符的组合规范、重试登录次数、密码轮转周期等策略。RAMRAM用户创建密码策略，来保证各个子用户都可以使用定RAM服务使得一个阿里云主账号可以拥有RAM则为不同用户分配最小的工作权限，从而降低用户的信息安全的管理风险。RAM的策略可以细化到针对某一个APIAction或者ResourceID可以支持多种的限制条件，比如像限制来源IP的访问范围，安全访问的通道，比如必须要SSLTLSMFA的多因素的认证等等。RAMRAMRAM用户分配不同的密码或API访问密钥（AccessKey），消除云账号共享带来的安全风险；同时可为不同RAM用户分配不同的工作权限，大大降低了因用户权限过大带来的风险。一般来说，企业的管理者或者运维主管往往会成为阿里云上的主账号拥有者，也就是超级管理员。RAMRAM用户组，AK。ECS权管理不同的资源，降低信息泄露风险。RAMECSAccessKey，使它们对不同的云资源具有不同的访问权限，实现更精细粒度的权限控制。接下来展开介绍一下ECS的身份管理、权限管理以及如何避免显示的AK配置的一个最佳实践。二、身份管理的安全治理原则与验证手段RAMRAM验证手段。什么是身份认证？身份认证指的是通过凭证信息来认证用户的真实身份。AccessKey用于身份认证的凭证信息对于用户来说是敏感的秘密信息，用户必须妥善保护好身份凭证信息的安全。还有面向应用程序的认证手段这两大类。第一大类是面向用户的认证方式有，账号密码认证、SSH密码认证、基于MFA验证码的认证（比如人脸、短信、短时口令等）和SSO单点登录认证。账号密码认证相信大家都不陌生：用户可以使用其云账号（即主账号RAM用户的密码登录阿里云控制台并对其云上资源进行操作。阿里云的账号密码规范、登录安全风控策略由阿里云统一管理。云账号下子用户（RAM的密码策略则可以由客户自己设定，如密码字符组合规范、重试登录次数、密码轮转周期等策略。例如，用户可以通RAMRAM而提高整体账户的安全性。SSHECSLinuxSSH公钥配置在LinuxSSH私钥通过SSHSSHRSA2048SSHLinuxSSH密钥对的方式远程登录集群。MFAMFA第一安全要素，MFA（第二安全要素MFAMFA6（TOTP）标准（RFC6238）。同时，阿里云也支持基于SAML2.0的单点登录（SingleSignOn，简称SSO），可以支持企业客户使用企业自有身份系统的登录服务登录访问阿里云。为了满足不同企业客户的登录场景需求，阿里云提供了以下两种基于SAML2.0协议的SSO机制：用户SSOIdP颁发的SAMLSAMLAssertion确定企业用户与阿里云RAMRAM用户访问阿里RAM用户的授权策略所限制。角色SSO：阿里云通过身份提供商IdP颁发的SAML断言（SAMLAssertion）确定企RAMSAMLRAMRAM角色的授权策略所限制。第二大类是面向应用程序的认证方式，主要有AccessKeySTS认证两种。其中AccessKey是用户调用云服务API的身份凭证，用于在用户通过API访问阿里云资源时对用户身份进行认证。API凭证相当于登录密码，只是使用场景不同。前者用于程序方式调用云服务API，而后者用于登录控制台。AccessKey包括访问密钥IDAKID和秘密访问密钥AKSecretAKID用于标识用户，而AKSecret用来验证用户身份的合法性。用户在调用资源时会传入AKID，并使用AKSecret（HMAC-SHA1）RAMAccessKey，包括创建、冻结、激活和删除操作。AccessKey使用的API访问密钥，建议用户在使用时要考虑对AccessKey的周期性轮转。请注意，出于有效权限分割和降低风险的考虑，云上最佳安全实践中不建议用户为其云账（即主账号AKRAMAKRAMSTStokenAK。阿里云SecurityTokenService（STS）是为RAM用户、阿里云服务、身份提供商等受信实体提供短期访问资源的权限凭证的云服务。有时存在一些用户（人或应用程序），他们并不经常访问客户云账号下的云资源，只是偶App，由于自身安全性不可控，不适合颁发长期有效的访问密钥。这些情况下，可以通过STS来为这些用户颁发临时权限凭证。颁发令牌时，管理员可以根据需要来定义令牌的权限和自动过期时间（1）。STS访问令牌是一个三元组，它包括一个安全令牌（SecurityToken、一个访问密钥ID（AccessKeyID）和一个秘密访问密钥（AccessKeySecret）。用户在调用资源API时传入安全令牌和访问密钥ID，并使用秘密访问密钥对请求进行签名（和上述AK签名机制相同）。在通过身份认证后，RAM实际上会生成两类的身份，一类是实体身份，比如RAM用户、RAM用户组，另一类是虚拟身份，也就是RAM角色，那这两者有什么相同和不同点呢？RAMRAMRAMRAM色在被授予权限后都可以直接访问资源，也可以通过SSO和企业IdP互联。不同点在于：RAM用户有确定的登录密码和访问密钥，可以支持控制台登录，享有登录凭证；RAMRAMRAMRAMRAM用户可以对应企业内的人员、应用等，在需要协同使用资源的场景中，避免直接RAMRAM用户组赋予最小权限，即使不慎泄露机密信息，也不会危及阿里云账号下的所有资源。RAM码或访问密钥。RAMRAM角色时即获得RAM角色的权限。在云产品通信的场景中，为受信的实体（ECS）RAM角色后，该实体可以基于STSSecurityTokenService）临时凭证访问其他云产品的API，避免将AccessKey写在配置文件中等高危操作，保证AccessKey的安全。AKAKAKAKAK一些常见的安全风险，这里可以分成两类。第一类是人员管理上的风险，第二类是AK管理上的风险。在人员的管理上常见的风险，第一是使用了主账号进行日常运维和管理的操作，第二是存RAM号打通，由于员工的离职之后，一些数据没有和企业内部账号的信息进行同步，第四种是高权限的用户且没有配置好MFAIP登录的风险，最后一种，是存在长期不使用的僵尸用户，扩大了风险的敞口。AKAKAKECSOSS文件或者是一些外部的公开的渠道上面把AK泄露出去，第三种是存在的人和程序混用RAMAKAK长期不轮转，造成了风险的AK，这也是非常容易泄露的。为此我们给出了五个身份安全治理的原则和建议：AKAKAKMFAAKAK。RAMAK，控制台子用户不应该拿到AK，SSOAK一一对应，并且关闭程序AK的控制台登录能力。TokenAK，RAM，至少可以定期巡检AK名单访问来源IPAKAKAK加密和集中化管理。AKECSRAMECSAKRAM访问控制服务允许企业对主账号内的身份安全做整体性的安全控制，比如密码强度的RAMMFA的多因素的认证与设置允许控制台登录的来源的IP的掩码，以及是否允许RAM用户自主管理密码MFA的设备等等。RAM理服务功能之后，RAMRAM用户是否存在身份权限的安全风险，帮助您及时发现治理上的缺失，并提供友好的治理引导，帮助您完善云上身份权限治理的配置，身份权限治理服务的检测项，包含了AccessKeyRAMMFA度的权限管理和授权效率的建议等等。RAMRAM的控制台，在左侧的导航栏中点击概览，在概览页的标签页下面选择治理检测，可以查看身份权限的治理的检测数据。单击下载报告，可以下载检测的数据到本地进行查看，可以按照报告中介绍的治理方案，在控制台完成身份权限的治理。小结：在身份管理这一部分，我们介绍了什么是身份认证，阿里云提供了多种多样的面向用户和应用程序的认证手段，在通过身份认证之后，RAM其实会生成两类的身份，一类是实体身份，我们称为RAM用户，另一类的是虚拟身份，也就是RAM角色。我们对比了两者的相同点和不同点，介绍了在身份管理里面的一些安全的风险，安全治理的原则以及阿里云建议的一些最佳实践。RAM您开通免费的身份权限治理服务，阿里云可以帮助您及时发现治理缺失的漏洞，并提供友好的治理引导，帮助您完善云上的身份权限治理的配置。三、权限管理的策略与授权案例接下来介绍关于权限管理的策略和授权案例。首先先介绍一下访问控制的实现原理，介绍ECS授权能力，比如可以基于资源组进行访问控制和资源的管理，也可以使用标签进行资源管理，最后介绍操作审计。访问控制是管理资源访问权限的服务。它不仅提供了多种满足日常运维人员职责所需要的系统权限策略。也允许您通过图形化工具快速地创建自定义的用户权限策略。它可以根据请求特征，比如请求源IP地址、日期时间、资源标签等条件属性匹配精细的资源访问控制策略。RAMRAM角色的身份特征，判断其是否在资源维度和操作维度是否有访问权限。RAMRAM角色是否有访问权限。当您的企业存在多用户协同操作资源的场景时，RAM可以让您避免与其他用户共享阿里云账号密钥，按需为用户分配最小权限，从而降低企业的信息安全风险。RAM访问控制支持控制台、SDKOpenAPI、阿里云CLI命令行等多种方式的调用，因此也是非常方便的。如何给身份进行授权？默认情况下，阿里云的主账号控制了资源的所有权限，主账号创建RAMRAM用户赋予权限，用户的授权会分为两个步骤。首先需要新建一组权限的策略，给RAMpolicy是用一组语法结构去描述一组权限的集合，目前支持两种的权限策略，分别是阿里云维护的系统策略和用户自定义的权限策略，系统策略，用户是只能使用而不能够修改，是由阿里云来进行维护。用户的自定义策略，用户就可以通过可见化可视化的编辑器，包括权限策略的脚本编辑器，以及权限策略的模板等多种方式，进行自主的创建，更新和删除。第二步是为RAM的主体进行授权，也就叫做attachpolicy，attachpolicy是给RAM用户或者用户组或者角色，绑定一个或者是多个的权限策略，他的授权范围可以是整个云账号的资源也可以是指在云账号下指定的一个资源组内的资源，绑定的权限策略，可以是系统策略，也可以是自定义的策略，如果绑定的权限策略被更新了，更新之后的权限策略就会自动生效，而无需要再重新绑定这个权限策略。为了方便您使用，RAM户，RAMRAMECS限，ECS只读的权限，管理弹性网卡的权限，下发云助手命令或者是只读云助手信息导入ECS这里我们举一个在企业内部控制员工资源使用权限的案例。首先，企业的管理员可以按需创建和管理资源的职位，来创建一个SysAdmins的用户组，添加权限策略，并授予执行所有操作的权限，管理员需要严格的控制高权限的人数，并且MFA管理员可以为需要使用的资源的职位创建Developers用户组，为开发人员创建相应的RAMStarInstanceStopInstance、DescribeInstancestar等ECS最基本的功能接口的权限，如果为了加强网络的安全控制，管理员可以添加这网络相关的权限策略，规定比如组内的用户的IP如果不是来自于企业网络内部，则拒绝其访问资源。如果某一个开发人员的职位，变更为系统管理员，就可以将其RAM的用户从Developers用户组移动到SysAdmins用户组，如果Developers用户组的RAM用户，需要更大的权RAMECSECSRAMSTS凭证去访问其他的云产品，在阿里云上是可以实现这样一组策略。再来举另外一个例子，也是为不同的职责的人员去授予不同的权限，其实可以根据企业的实际情况，给更多的角色分配更多的更细粒度的权限策略，这里既可以是系统的策略，也可以根据实际情况去自定义一些访问的策略，比如这里分成了云管理员，系统管理员，网络管理员，安全管理员，财务还有开发人员等各种各样的角色。他们的角色的访问策略就可以由您自己去管理。接下来学习一些权限控制的高阶用法。首先是基于资源组的细粒度资源管理和访问控制，资源组其实是根据资源的用途，权限，归属等维度，对您所拥有的云资源可以进行分组，从而实现企业内部多用户、多项目的资源的分级管理，每个云资源目前只能属于一个资源组，加入到资源组，它不会改变云资源间的关联关系，比如可以按照云资源的用途来进行分组，将生产环境的实例和测试环境的实例，分别放入到生产环境和测试环境的两个资源组中。在产品测试的时候，只对测试环境内的资源组进行实际的操作，从而避免对生产环境的实例发生误操作，在产品需要上线的时候，再选择生产环境的资源组装的实例进行操作，也可以按公司不同的部门使用的资源放入到多个不同的资源组中，并且设置相应的管理员，从而实现分部门的管理实例。这里举某个游戏公司项目开发的真实案例，某个游戏公司在并行开发三个游戏项目，每个项目都会用到多种云资源，公司是要求项目要能够独立管理，项目的人员也只能访问到它RAM的访问控制。基于资源组的访问控制具体应该怎么做？首先可以由企业的管理员分别给三个项目创建三个不同的资源组，并且把每个项目所用的独立资源放入到对应的资源组中。在资源管理页找到资源组，创建出资源组，点击资源组内，再点击转入资源，就可以将云产品对应的资源转入到资源组内。RAMRAMECS的相RAMECS资源，但无法访问其他项目的ECS资源。除了使用资源组外，也可以使用标签来划分不同的资源，相比于资源组，标签是一种更加灵活的资源划分维度或者工具，比如可以按照地区、部门、环境分别给资源打上多个标签，同一个资源可以支持多个标签。ECSOSSVPC区或者是部门或者是环境等多个维度来进行区分，在此基础上，可以基于标签来实现访问的控制。RAM用户的健全的访问控制的原理如图所示。首先是由云管理员使用阿里云的主账号新建一个自定义的策略，在策略中，可以指定带有ResourceTag，RequestTagRAMRequestRequestResourceTagRAMResourceRAMRAMECSECS资源时会报错。再来看一个真实的客户案例，某公司希望根据不同的角色对资源进行管理，要求在API层RAMdatacenterbizcenter用户组里的用户。资源的生产者负责资源的生产和调度，资源的授权者是负责管理资源标签的策略和授权的datacenter的用户组的成员和bizcenter用户组的成员往往是公司的研发人员。运维人员可以按照ResourceTagdatacenter成员去访问带有这个datacentertag的ECSbizcenter这个bizcenterECStag的资源。ECS标签就可以。如果希望用户无法访问当前资源，只要把这个标签删除掉就可以，而不需要再去修改这个标签的权限策略，这样对于权限的管理就转化成了对于标签的管理，这样是一种更加灵活的使用权限控制的策略。ActionTrail,它可以帮助您去监控记录云账号对于产品服务的访问和使用的行为，您可以根据这些行为进行事后的行为分析、安全分析，来监控未授权的访问，或者识别潜在的安全配置错误，威胁或者是意外行为，也可以满足行为合规审计的一些要求。小结：刚刚在权限管理中，我们介绍了ECS几个产品的安全能力，介绍了访问控制的实现ECSECSECStag批量授权，最后还是建议您能够开启操作审计来监控云账号对于操作的行为进一步监控和控制。配置的最佳实践总结接下来为大家介绍如何避免显示AK配置的最佳实践。RAM角色是一种虚拟的角色，ECSRAMRAM角色ECSSTSECSOSSECSAKECSECSRAMRAM角色，指定的可信的实体ECSRAMECSECS实ECSRAM角色就可以了。ECSRAM角色来解决一个实际的安全隐患。MSE上各种环境的配置信息，由于配置项中往往存在敏感的数据，明文保存在配置中心是不安MSEKMS进行解密，在过程中会使用到密钥等敏感的配置项，这些配置项如果在使用过程中落盘，ECSECSRAMMSE的配置中KMSECSRAM角色，授予一个临时访问的权限，这时候就可以避免开发人员和用户，拥有解密配置项的能力。ECSMSEMSE实际上这时候还是一个加密的配置项，这个加密配置项是封装在MSESDKKMSKMSSDKKMSSDK好处就是用户无论是KMS的密钥的管理员，还是MSE的配置的管理员，他们都获取不到敏感的信息。五、总结最后我们对本次分享做一个总结：本次分享一共有三大部分，分别是身份认证、访问控制和一些进阶的安全方案。如何提升身份认证的安全性？建议您开启主账号MFAAKAKAKRAMSTStoken。ECSRAM策略，为不同职责的人员授予权限，可以基于资源组，按照云资源的用途、部门结构等不同的维度来管理资源，授予不同用户访问不同资源组的权限，也可以使用标签对云资源进行细粒度的资源管理和控制。ECSRAMRAMECSAKECSActionTrail及时完善云上身份和权限配置的安全性。以上就是本次分享的全部内容。希望通过这个分享，能为您在阿里云上安全的使用ECS，提供一些的帮助和建议，谢谢大家。来上课！一文掌握守住ECS网络安全的最佳方法引言：本文整理自【弹性计算技术公开课——ECS安全季】系列课程中，阿里云弹性计算技术专家刘明带来了《如何守住ECS的第一道防线——网络安全》一节。一、网络安全中常见问题概览我们在网络环境中常见的安全问题非常多，在此挑选了几个与网络安全高度相关的场景，带大家简单了解一下。首先是网络系统安全，举几个例子：第一：路由器、交换机等网络设备存在配置错误，极可能导致恶意入侵，这种是网络设备安全。第二：Web/电影情节中见到黑客对网络请求进行拦截的行为，甚至是直接篡改信息，给用户带来损失。还有一种是在同一个公司中，大家在同一个局域网内部，由于没第三：云安全，云环境中的应用没有正确配置安全组、防火墙规则等。DDOS攻击，导致整个服务不可用，以上是网络安全问题的一些常见场景，这些都会给用户带来难以估量的损失。网络安全是一个非常重要的课题，做好防护是阿里云和用户共同的责任。上图是解决网络安全问题的一个整体思路：是安全的。定端口IP访问。介入，进行相应的处置。安全防护可以有效的降低安全问题带来的损失。二、做好网络隔离按照刚才提到的，讨论一下如何做好网络隔离，把“坏人”挡在门外，就不用担心他会伤害到您。那么我们如何做好网络隔离？ACL根据他们的不同把相应的服务部署到不同的交换机下。上就是阿里云网络隔离的三大建议，下面会详细的介绍相关的产品。首先，学习一下专有网络。专有网络是专有的云上私有网络，用户可以根据自己的需求在云上创建多个专有网络，在专有网络中，用户可以完全掌控自己的网络，例如可以选择地址IP的范围，阿里云提供ABC三个网段的地址段，例如掩码是8的A类地址段和掩码是16是B类地址段。用户可以在专有网络中配置路由表和网关，可以在自己定义的专有网络中RDSSLB还有非常多其他高级的功能，在此不再详细介绍，大家可以根据官网文档进行了解。重点介绍安全相关的内容，专有网络提供了丰富的隔离能力：在专有网络之间在逻辑上是彻底隔离的，相互之间默认无法通信。ECS每个专业网络内它可以建立多个交换机，可以有利于这种网络的网络和网段的划分，不同交换之间也可以设置一些隔离。这是对专有网络的一些介绍，下面一起了解一下虚拟交换机。接下来，了解虚拟交换机的概念。交换机是组成专有网络的基础网络设备，用来连接不同的语音资源实例，每个专有网络下，用户可以很方便的管理多个虚拟交换机，根据自己的需求进行创建、删除、配置虚拟交换机。左边图中交换机的一些概念，第一，当前的专有网络中有三个交换机，其中的两个位于可用区A，另外一个位于可用区B。每一个交换机都必须会有一个可用区中。专有网络交换机提供的安全能力主要有两点：第一，服务隔离，可以根据服务的安全等级、服务的类型进行网站的划分。ACLACL对流经交换机的流量进行访问的控制。这就是交换机的整体概念，继续看一下关于网络隔离的一些其他建议。第一个建议是用户权限分级，设置一个网络的管理员统一来管理网安全组，网络ACL以及流量日志这些高危的权限，避免高危权限的泄露，同时出现问题时也更容易排查；普通用户无法变更网络ACL和安全组的ACL。第二个建议是隐藏私密的内容，通过阿里云提供了网络ACL，安全组和云防火墙，限制不易公开的内容访问权限，避免数据泄露。第三个建议是要做服务隔离。MysqlwebMysqlA里B景下，只需要为安全组A配置一条允许内网进掩码是8访问3306端口的规则，而安全组B配置一条允许公网及且掩码是零的访问八零端口的规则，这样不同的服务它有不同的隔离级别。并且每一个服务的访问权限都是最小的。VPCVPCVPC节点使用内网进行通信，推荐第二种方案，这样可以减少公网暴露，降低安全的风险，这ACL制。三、控制网络流量ACLAECSECSACLAACLACL的访问，即可满足自己的需求。ACLACLACLACLACLECS网络ACL的几点特性：可能导致请求出去了回不来，或者是能进来回不去。ACL访问的。ECSACLACLACL，没有考虑安全组的ACLECSACLACLECSACACL本节讲解了网络ACL的基本概念，下面深入学习一下网络ACL的规则。ACL规则由以下要素构成，生效顺序、策略、协议类型、源地址、目的地址、目的端口范围等。生效顺序表示生效的优先级，值越小，规则的优先级越高。系统从生效顺序为一的规则开始判断，只要有一条规则与流量匹配及应用该规则，并忽略其他规则。例如，交换机B中的IP为的ECS。通过TCP协议访问交换机C中的ECSACL规则配置后，的匹配生效顺序2和生效顺序3中规则的源地址。232ACL议支持ALL、ICMP、GRE、TCP、UDP五种。第一种是ALL，即所有协议，当选择所有协议类型时，端口的范围是没办法设置的，必须为-1/-1，表示不限制端口，ICMP协议，网络控制报文协议，当选择该协议类型时。端口范围无法设置，为-1/-1，表示无限制端口，GRE通用路由封装协议，当选择该封装协议时，端口范围无法设置，为-1/-1，表示不限制端口，TCP传输控制协议，当选择该协议类时，端口范围为1~65535，设置格式可以为1/200或80/80，并且不能设置为-1/-1，UDP是用户数据报协议，当选择该协议类型时，端口范围为1~65535，设置格式为1/200或80/80，且不能设置为-1/-1。源地址，是用于限制入方向的规则，数据流的源地址，目的地址，是用于限制出方向的规则，表示数据流的目的地址，目的端口的范围，是用于限制入方向规则作用的端口范围，这个就是ACL构成要素的一些详解。通过网络ACL限制流量，主要分为三步：ACL；ACLACLECSACL网络ACL的页面点击创建网络ACLOpenAPICreateNetworkAcl创建ACL，VPCACLACL点击关联交换机，也可以通过OpenAPIAssociateNetworkAcl绑定ACL到交换机。第三是设置规则在VPC的控制台选择专有网络网络ACL网络ACL详情及出入方向的规则进行设置也可以通过OpenAPIUpdateNetworkAclEntries更新网络ACL规则，注意第二步中的OpenAPI 是一个义务的操作，可以通过OpenAPIDescribeNetworkAclAttributes查询网络ACL的规则的