为了更好地帮助用户在借助DevOps工具缩短开发周期、提升业务效率的同时,也能让业务保持稳定、安全、可靠,且低成本地持续运营,阿里云弹性计算团队独家出品的【弹性计算技术公开课_CloudOps云上运维季】正式启动。阿里云弹性计算团队十三位产品专家和技术专家共同分享云上运维深度实践,详细阐述如何利用CloudOps工具实现运维提效、弹性降本。该系列共10节直播课程,在阿里云官网、阿里云微信视频号、CSDN官网、阿里云钉钉视频号、阿里云开发者微信视频号同步播出,本次课程由战略合作媒体CSDN独家支持。
CloudOps云上运维系列课程第八节由阿里云弹性计算高级技术专家张振华和阿里云弹性计算技术专家陈怀可主讲《体系化提升ECS安全性的最佳实践》
Cloudops是阿里云为用户倾力打造云上自动化运维工具,它除了能提供云上业务降本增效,提升ECS可用性和ECS弹性能力的解决方案之外,也提供了ECS安全防护方面的运维能力。在用户允许的前提下,可以为用户的云上ECS做一次安全方面的“体检”,为用户提供安全方面的指导建议和意见,为用户在云上ECS的环境安全保驾护航。
本节课的主要分为以下四个部分:
第一部分,云上ECS所面临的典型安全威胁及云上安全的责任共担模型;第二部分,ECS的安全能力图谱;第三部分,借助cloudops体系化地提升ECS安全性;最后,课程总结。
1. 云上ECS面临的典型安全威胁
1) 云上ECS面临的典型安全威胁
根据历史经验和以往的用户工单统计,目前云上ECS主要面临5种安全威胁,包括蠕虫或木马类病毒、DDos网络攻击、勒索软件、用户AK或密钥泄露,以及利用漏洞从公网进行的直接Web类入侵。
有关于阿里云与各类安全威胁的对抗记录中,有这样一组数据:阿里云平均每年要对客户发出10万次挖矿病毒的告警;阿里云防御过的最大一次DDos攻击达到了惊人的2.08Tbps,防御了每秒万亿级别的网络峰值流量;阿里云每年通过漏洞检测可以发现3亿个系统漏洞,并提示用户及时修复漏洞;2022年,阿里云帮助用户清理的黑客工具超过700万个。
总之,阿里云一直在帮助用户守护云上ECS的安全,并一直把增强用户ECS的安全防护能力作为非常重要的事情来对待。
2) 安全的责任共担模型
为提升用户在云上ECS的安全防护能力,阿里云也需要得到用户的全力支持和配合。
首先,阿里云作为云厂商,会负责基础设施和云服务的安全性。其中,基础设施包括了物理主机安全、硬件安全加固、虚拟化安全等,为用户提供安全、合规、可靠服务所需的基础设施;云服务安全包括控制平面、数据安全、通信安全及合规性等全方位的安全保障。总而言之,阿里云负责云本身的安全性。
而作为用户,也需要保障云上的安全性。这里主要包括了用户自身的数据安全、网络安全、身份和访问控制安全,以及GuestOS内的系统和软件层面的安全。
在这种安全责任共担的模型下,阿里云保障云平台层面的安全并提供云产品的安全能力和Cloudops安全服务给用户,同时,也希望用户能在阿里云的建议下,及时地对ECS进行安全加固,提升自身的安全水位,以降低对安全威胁的顾虑,更专注于核心业务的发展。
2. ECS安全能力图谱
首先了解一下ECS作为一款云产品所提供的安全能力,即ECS安全能力图谱。
1) ECS安全能力图谱
ECS的安全能力分为5个模块,这5个模块的安全能力,都被Cloudops安全性能力评估所覆盖。这5个模块的能力说明如下图所示。
从下至上依次进行介绍:
(1)GuestOS安全:指的是用户虚拟机内的安全能力。ECS会提供远程登陆的安全保护,以及操作系统中镜像加固和自动安装安全补丁的保护能力。
(2)网络安全:ECS提供了强大的网络隔离和访问控制能力,包括了普通安全组与企业级安全组两种安全组、VPC隔离和网络ACL两种网络隔离能力,以及PrivateLink私网连接的能力,避免用户通过公网访问业务,会将不需要暴露的内部业务和服务暴露给公网,带来潜在的安全风险。
(3)身份与访问控制:身份认证是非常重要的安全能力,阿里云提供了多达6种不同的认证方式,比较推荐的是MFA多因素认证模式。在访问授权方面,阿里云提供了单个ECS实例级别的访问控制能力,以及通过资源组来进行批量授权的能力。操作审计,可以为用户提供事后的操作审计日志和记录,方便用户排查历史上针对ECS实例的操作内容、操作时间、操作人等信息。
(4)数据安全:ECS提供了对于快照、镜像的自动备份、加密,以及针对于计算环境的安全,如机密计算实例,可以保护计算环境的安全。
(5)应用安全:用户可以借助云安全中心和阿里云其他安全产品,实现对ECS内的应用漏洞检测、修复等安全加固。此外,阿里云还提供了应用防火墙WAF、DDos防护、堡垒机等其他安全产品,这里不作一一介绍。
2) CloudOps安全性能力评分
在阿里云看来,保护用户数据安全和用户隐私是ECS非常重要的任务和目标。为此,阿里云提供了Cloud0ps安全性能力评分,引导用户正确使用ECS产品的安全特性,帮助用户提升云上资产的安全与合规性。
在阿里云看来,保护用户数据安全和用户隐私是ECS非常重要的任务和目标。为此,阿里云提供了Cloud0ps安全性能力评分,引导用户正确使用ECS产品的安全特性,帮助用户提升云上资产的安全与合规性。
用户只需要在ECS控制台左侧的导航页中,找到“概览”,点击“概览”后,在右侧找到“ECS使用成熟度评估与洞察”,进行成熟度评分,就可以看到自己安全性能力的评估详情。根据评分结果和ECS提供的指导意见,可以一步步操作进行安全加固。
更多精彩内容,欢迎观看:
带你读《云上自动化运维宝典》——最佳实践分享:如何体系化提升ECS安全性(2):https://developer.aliyun.com/article/1405318
