更多精彩内容,欢迎观看:
带你读《云上自动化运维宝典》——最佳实践分享:如何体系化提升ECS安全性(2):https://developer.aliyun.com/article/1405318
(3)开启操作审计
阿里云还强烈建议客户开启操作审计服务。
ActionTrail(操作审计服务)可以帮助用户监控记录云账号对产品、服务的访问和使用行为,用户可以根据这些行为进行安全分析,以监控未授权的访问,识别潜在的安全配置错误、威胁或意外行为,或满足行为合规审计要求等操作。
刚刚在身份与访问控制中介绍了ECS的几个产品安全能力。阿里云建议用户基于身份授予访问ECS资源权限;对有更细粒度的ECS资源访问控制需求的用户,推荐使用资源组进行批量授权;建议用户启用操作审计服务,监控云账号对操作行为,以进一步进行安全分析。
但使用了 GuestOS安全、网络安全、身份与访问控制几个维度的产品安全能力,仍旧无法保证安全。接下来,继续了解一个安全事件——斯里兰卡国家政务云被黑事件。
2023年9月份,斯里兰卡国家政务云被攻破,且丢失了4个月的重要数据。分析该事件,发现斯里兰卡政务云中使用了一款软件,这款软件已经过时,不再维护,并且软件中存在着致命的安全漏洞,攻击者通过这个软件漏洞发起了勒索软件攻击,最终导致近4个月的数据永久丢失。
导致该事件发生的原因有两个,一是使用了“停服”的软件,另一个是缺失数据备份计划。针对此类安全事件,ECS在数据安全产品及应用安全能力中提供了相应的解决方案。
4) 数据安全
(1) 定期备份数据
阿里云建议用户针对重要的数据制定定期备份计划,用户可以使用快照、镜像备份重要数据。当系统出现问题时,用户使用快照将云盘回滚到之前的某个时刻,或者使用快照或镜像新创建一个云盘或实例,在新云盘或实例中保留之前的备份数据。
阿里云建议在创建云盘时启用“自动快照策略”,它将会自动定期备份数据,以防止重要数据以外丢失问题。
(2)加密数据
对数据安全或法规合规场景有需求的客户,ECS还提供了数据加密能力。
用户可以使用ECS免费创建的KMS服务密钥,也可以自行在KMS托管密钥材料创建BYOK密钥,使用这些密钥对落盘数据进行加密,以保证数据安全性。值得注意的是,加密能力一旦开启,将无法禁用。换言之,加密云盘、快照、镜像后,将无法转化为非加密云盘、快照、镜像。且加密密钥销毁后,密钥关联的云盘、快照、镜像中的数据将不可恢复。
阿里云强烈建议您在购买实例或购买云盘时,启用加密能力,以更好地保护数据安全性。
(3)高密与机密数据保护
对于有更高安全要求的特殊场景,例如金融服务、医疗服务、互联网服务,ECS还提供了加密计算、可信计算能力,对高密、机密数据进行保护。
机密计算、可信计算对整个计算环境,是基于硬件安全芯片,从CPU、内存甚至是device交互整个过程对数据进行的加密保护。它是芯片级别安全环境隔离,能更好地保证数据的安全性。这部分内容会在后续的机密计算专题详细展开讲解。
刚刚在数据安全中介绍了ECS的几个产品安全能力,包括定期备份重要数据,开启数据加密,针对于高密、机密业务场景,启用机密计算、可信计算,以便更好的保护数据。
5) 应用安全
回顾前面提及的斯里兰卡政务云被黑安全事件:
其起因除了数据未及时备份之外,还在于系统中客户使用了过期停服的软件。针对该类问题,ECS在应用安全产品能力中提供了解决方案。
(1)定期漏洞扫描
云安全中心免费版提供了漏洞扫描能力,可以进行定期漏洞扫描。
该能力支持Linux、Windows系统漏洞,也支持Web-CMS等常见漏洞类型的扫描,可以帮助用户更全面地了解自身资产中的漏洞风险;另外,它还能针对近期互联网上爆发的高危漏洞,做应急漏洞检查,帮助用户及时发现系统中存在重大漏洞。阿里云建议用户定期检查、管理漏洞,以确保用户了解自身资产面临的漏洞风险,降低系统被入侵的风险。
(2)AK泄露检查
除了漏洞扫描之外,云安全中心免费版还支持AK泄露检查。
AK泄露检查可以实时检查GitHub等平台公开源代码中是否包含阿里云账号AK,避免AK泄露风险。
在应用安全中,介绍了ECS的几个产品安全能力。
建议用户使用云安全中心免费版,定期执行漏洞扫描管理您的漏洞,以及使用AK泄露检查能力,避免AK泄露后的重大安全风险。
4. 总结
前面了解了三个实际发生的安全事件案例,针对这些安全事件,ECS提供了很多产品上的的安全能力解决方案,可以发现仅从某一个或某几个方面做安全防御是远远不够的,纵深安全防御是提升ECS安全性的关键。
安全对抗防御不是一个点的防御,而是需要体系化的纵深防御。数据安全和用户隐私一直以来是ECS最重要的原则。为此,ECS投入了大量的资金和精力,为用户提供了从GuestOS安全、身份与访问控制、网络安全、数据安全、应用安全五个维度的安全纵深防御的产品安全能力。未来,阿里云将会在安全领域上持续的投入,为用户提供更安全、更稳定的产品能力。
此外,ECS还提供了Cloudops安全性评分工具,旨在引导客户使用ECS产品安全能力,以帮助客户提升云上资产安全性与合规性。通过Cloudops安全性评分工具,用户可以快速提升自身的ECS安全性。
以上就是本节课程的全部内容,同时欢迎大家点击链接 / 扫描下方海报中的二维码进入【CloudOps云上运维】课程官网,了解最新课程资讯!
