本文介绍了提高ECS实例的安全性的五种方式。

前提条件

使用本教程进行操作前,请确保您已经注册了阿里云账号。如还未注册,请先完成账号注册

背景信息

我们可以把一个实例等同于一台虚拟机,本地维护的虚拟机一般会做虚拟机实例级别的安全防护,以防止虚拟机被攻击和入侵等。同样的,云上的ECS实例也需要做安全性防护。除了置身于阿里云自身的安全平台外,用户也需要根据实际的需求进一步定制化安全,ECS的安全是阿里云和用户共同构建的。

如果ECS实例没有设置安全防护,可能会带来许多不良的影响。例如:
  • 会遭受到DDoS而导致业务中断。
  • 会受到Web入侵而导致网页被篡改、挂马。
  • 被注入而导致信息和数据泄漏等,影响ECS的使用,使其无法正常提供服务。
您可以通过以下方式提高ECS实例的安全性: 本文从实例层面分别介绍如何提高ECS实例的安全性。

设置安全组

设置安全组的作用如下:
  • 安全组是一种虚拟防火墙,具备状态检测包过滤功能。安全组用于设置单台或多台云服务器的网络访问控制,它是重要的网络安全隔离手段,用于在云端划分安全域。安全组规则可以允许或者禁止与安全组相关联的云服务器ECS实例的公网和内网的入出方向的访问。
  • 如果没有正确设置安全组或者安全组规则过于开放,则降低了访问的限制级别,存在安全隐患。

完成以下操作,为ECS实例设置安全组:

  1. 登录ECS管理控制台
  2. 在左侧导航栏,单击网络与安全 > 安全组
  3. 在顶部状态栏处,选择地域。
  4. 找到要配置授权规则的安全组,在操作列中,单击配置规则
  5. 单击添加安全组规则
  6. 在弹出的对话框中,分别设置网络类型、规则方向、授权策略、协议类型、端口范围、授权类型、授权对象和优先级。
    例如:只允许特定IP远程登录到ECS实例,只需要在公网入方向配置规则即可。以Linux服务器为例,设置只让特定IP访问22端口。
    1. 添加一条公网入方向安全组规则。规则内容如下:
      • 授权策略选择允许
      • 协议类型选择自定义 TCP
      • 端口范围设置为22/22
      • 授权类型选择IPv4地址段访问
      • 授权对象设置为允许远程连接的IP地址段,格式为x.x.x.x/xx,即IP地址/子网掩码。本示例中的地址段为10.x.x.x/32。优先级为1

      添加安全组规则
    2. 再添加一条公网入方向安全组规则。规则内容如下:
      • 授权策略选择拒绝
      • 协议类型选择自定义 TCP
      • 端口范围设置为22/22
      • 授权类型选择IPv4地址段访问
      • 授权对象设置为0.0.0.0/0。优先级为2
  7. 单击确定
设置安全组规则后,可以实现以下效果:
  • 来自IP 10.x.x.x访问22端口优先执行优先级为1的允许规则。
  • 来自其他IP访问22端口优先执行优先级为2的拒绝规则。

开启DDoS基础防护服务

DDoS(Distributed Denial of Service)即分布式拒绝服务。攻击指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DDoS攻击,从而成倍地提高拒绝服务攻击的威力,影响业务和应用对用户提供服务。

阿里云云盾可以防护SYN Flood、UDP Flood、ACK Flood、ICMP Flood、DNS Flood、CC攻击等3到7层DDoS的攻击。DDoS基础防护免费为阿里云用户提供高达5G的默认DDoS防护能力。云服务器ECS默认开启DDoS基础防护服务。ECS实例创建后,您可以设置清洗阈值,具体步骤请参见设置清洗阈值

在此基础上,阿里云推出了安全信誉防护联盟计划,将基于安全信誉分进一步提升DDoS防护能力,用户可获得高达100G以上的免费DDoS防护资源。您可以在云盾DDoS基础防护控制台中查看您账号当前的安全信誉分以及安全信誉详情和评分依据。详情请参见安全信誉防护联盟查看云盾安全信誉分计算依据

使用DDoS基础防护服务,无需采购昂贵清洗设备,可以在受到DDoS攻击时不会影响访问速度,带宽充足不会被其他用户连带影响,保证业务可用和稳定。

接入云安全中心

云安全中心是一个实时识别、分析、预警安全威胁的统一安全管理系统,通过防勒索、防病毒、防篡改、合规检查等安全能力,帮助用户实现威胁检测、响应、溯源的自动化安全运营闭环,保护云上资产和本地主机并满足监管合规要求。

Agent插件是云安全中心提供的本地安全插件,您必须在要防护的服务器上安装该插件才能使用云安全中心的服务。如何安装Agent插件,请参见安装Agent
说明 在购买ECS实例时,选择安全加固即可自动安装Agent并开通云安全中心基础版,无需您手动安装Agent。

云安全中心自动为您开通基础版功能。基础版仅提供主机异常登录检测、漏洞检测、云产品安全配置项检测,如需更多高级威胁检测、漏洞修复、病毒查杀等功能,请登录云安全中心控制台

安装安骑士

服务器安全(安骑士)是云盾推出的一款服务器安全运维管理产品。通过安装在服务器上的轻量级Agent插件与云端防护中心的规则联动,实时感知和防御入侵事件,保障服务器的安全。

安装安骑士的好处如下:
  • 安骑士是很轻量的,服务器上运行的Agent插件,正常状态下只占用1%的CPU、10MB内存。安骑士可以自动识别服务器的Web目录并进行后门文件扫描,支持通用Web软件漏洞扫描和Windows系统漏洞扫描,对服务器常见系统配置缺陷进行检测,包括可疑系统账户、弱口令、注册表等。
  • 您可以将安骑士理解为ECS实例上的防病毒软件,如果没有安骑士,相当于少了一个可靠的卫士,ECS实例的健康性水平也会相应降低。

安装安骑士Agent插件的具体步骤,请参见安装安骑士

接入Web应用防火墙

云盾Web应用防火墙(Web Application Firewall,简称WAF)基于云安全大数据能力实现,通过防御SQL注入、XSS跨站脚本、常见Web服务器插件漏洞、木马上传、非授权核心资源访问等OWASP常见攻击,过滤海量恶意CC攻击,避免您的网站资产数据泄露,保障网站的安全与可用性。

接入Web应用防火墙的好处如下:
  • 无需安装任何软、硬件,无需更改网站配置、代码,它可以轻松应对各类Web应用攻击,确保网站的Web安全与可用性。除了具有强大的Web防御能力,还可以为指定网站做专属防护。适用于在金融、电商、o2o、互联网+、游戏、政府、保险、政府等各类网站的Web应用安全防护上。
  • 如果缺少WAF,只有前面介绍的防护措施,会存在短板,例如在面对数据泄密、恶意CC、木马上传篡改网页等攻击的时候,不能全面地防护,可能会导致Web入侵。

接入Web应用防火墙的具体步骤,请参见部署WAF防护

阿里云为ECS实例的安全性提供了这么多的安全产品保驾护航,您可以根据实际需要选择相应的产品,加强对系统和数据的防护,减少ECS实例受到侵害,使其稳定、持久地运行。