安全涵盖的范围广泛,阿里云保证自身云基础设施和服务的安全,例如机房、虚拟化平台等,但您在使用云产品过程中遵循安全实践同样重要,例如阿里云账号安全、机密信息保管、权限控制等。
近年网络安全威胁越来越多,各种安全事件频出,根据splunk发布的2022年全球网络安全态势报告数据显示:
传统IT结构向云化架构转变,也会带来新的安全挑战。可能一个误操作就会让自己的应用从内网访问到公网访问或者泄露了自己的密钥导致信息安全事件。安全和合规是数字化转型的基石,也是上云的第一步。
不同于传统的IDC,云计算是一种共享技术模型,其安全责任由双方共同承担,这通常被称为安全责任共担模型。对于托管ECS的服务,您与ECS对安全性、合规性负有相同的责任。一般而言,ECS负责云的安全性,而您负责云中的安全性。
您需要明确安全战略的地位,提高足够的重视度,系统和应用安全不是一蹴而就,需要大量精力持续投入、持续建设。
除此之外,您需要明确以下内容:
通常意义的云计算安全或云安全是指通过一系列策略、控制和技术,共同确保数据、基础设施和应用安全,保护云计算环境免受外部和内部网络安全威胁和漏洞的影响。越来越多的企业更加重视云安全合规,云上安全合规需要有自上而下的顶层设计,要以安全为出发点构建云上应用。
根据目前的安全趋势,阿里云推荐您使用如下表所示的安全最佳实践,来保护云上信息资产的安全。
建议为阿里云账号启用MFA多因素认证,即在用户名和密码(第一层安全要素)的基础上,增加了MFA安全码(第二层安全要素,MFA设备生成的动态验证码),以此提高账号安全性。
一般情况下,ECS实例的应用程序是通过阿里云账号或者RAM用户的AccessKey访问阿里云各产品的API。为了满足调用需求,需要直接把AccessKey固化在实例中,例如写在配置文件中。但是这种方式权限过高,存在泄露信息和难以维护等问题。因此,阿里云推出了实例RAM角色解决这些问题,一方面可以保证AccessKey安全,另一方面也可以借助RAM实现权限的精细化控制和管理。
实例RAM角色(推荐使用加固模式访问元数据)允许您将一个角色关联到ECS实例,在实例内部基于STS(SecurityTokenService)临时凭证(临时凭证将周期性更新)访问其他云产品的API。
阿里云账号AccessKey是客户访问阿里云API的密钥,请务必妥善保管。请勿通过任何方式(如Github等)将AccessKey公开至外部渠道,以免被恶意利用而造成安全威胁。AccessKey泄露会威胁所有资源的安全,根据如下AK信息使用安全建议,可以有效降低AccessKey泄露的风险。
您在使用阿里云产品过程中需要遵循以下几点AK信息使用安全建议,降低凭证泄漏造成的影响:
规模化、自动化运维与审计云上资源,避免因错误的配置变更造成出现例外或单点资产保护遗漏情况。建议您统一实例、安全组的命名安全与部署约定,统一命名规范,定期检测、提醒或删除不符合命名规范的安全组和实例。使用标签规模化管理资源、使用云助手自动化运维资源通道、使用配置审计对资源进行合规审计、使用应用配置管理ACM集中管理所有应用配置。
应用配置管理ACM(ApplicationConfigurationManagement)是一款在分布式架构环境中对应用配置进行集中管理和推送的产品。凭借配置变更、配置推送、历史版本管理、灰度发布、配置变更审计等配置管理工具,ACM能帮助您集中管理所有应用环境中的配置,降低分布式系统中管理配置的成本,并降低因错误的配置变更造成可用性下降甚至发生故障的风险。
如果您的业务面向高安全可信要求的场景,可以使用安全增强型实例,保障实例可信启动和实例中隐私数据的安全。
实例元数据包含了ECS实例在阿里云系统中的信息,您可以在运行中的实例内方便地查看实例元数据,并基于实例元数据配置或管理实例。
建议您在加固模式下使用实例元数据,加固模式下实例和实例元数据服务器间建立一个会话,并在查看实例元数据时通过Token验证身份,超过有效期后关闭会话并清除Token。Token具有以下特点:
云计算利用专有网络VPC(VirtualPrivateCloud)来抽象物理网络并创建网络资源池,实现数据链路层的隔离,为每个用户提供一张独立隔离的安全网络环境。不同VPC之间内部网络完全隔离,只能通过对外映射的IP互连。在VPC内部,用户可以自定义IP地址范围、网段、路由表和网关等。此外,用户可以通过VPN网关、高速通道物理专线、智能接入网关等服务将本地数据中心和云上VPC打通,也可以通过云企业网实现全球网络互通,从而形成一个按需定制的网络环境,实现应用的平滑迁移上云和对数据中心的扩展。
此外,网络是所有云服务的基础要素,网络攻击种类多、危害大,是最难防护的风险之一。云计算平台会提供一套成熟的网络安全架构,以应对来自互联网的各种威胁。在阿里云上,可以通过安全组、网络ACL、路由策略或网络专线来控制虚拟网络的访问权限。除了对内网网络访问的控制之外,还需要配置云防火墙、应用程序防火墙、DDoS防护等安全措施,针对各种外部网络安全威胁,进行安全防护。
网络资源隔离的安全建议如下:
DDoS(DistributedDenialofService,即分布式拒绝服务)攻击指借助于客户、服务器技术,联合多个计算机作为攻击平台,对一个或多个目标发动攻击,成倍地提高拒绝服务攻击的威力,影响业务和应用对用户提供服务。阿里云云安全中心可以防护SYNFlood、UDPFlood、ACKFlood、ICMPFlood、DNSFlood、CC攻击等3到7层DDoS的攻击。DDoS基础防护免费提供高达5GB的默认DDoS防护能力。
ECS实例默认开启DDoS基础防护服务。使用DDoS基础防护服务,无需采购昂贵清洗设备,受到DDoS攻击时不会影响访问速度,带宽充足不会被其他用户连带影响,保证业务可用和稳定。
云安全中心是一个实时识别、分析、预警安全威胁的统一安全管理系统,通过防勒索、防病毒、防篡改、合规检查等安全能力,实现威胁检测、响应、溯源的自动化安全运营闭环,保护云上资产和本地主机并满足监管合规要求。
接入Web应用防火墙的好处如下:
Linux实例:
Windows实例:
配置安全组或防火墙,仅允许已经对数据加密的网络服务的端口之间进行通信。可使用传输层安全性(TLS1.2及以上版本)等加密协议加密在客户端和实例之间传输的敏感数据。
建议您使用云监控、操作审计、日志审计、VPC流日志、应用日志等构建一套异常资源、权限访问监控告警体系,对及时发现问题与止损、优化安全防御体系有着至关重要的意义。