带你读《从基础到应用云上安全航行指南》——阿里云产品专家教你如何全方位构建ECS安全体系(2)

本文涉及的产品
云服务器 ECS,每月免费额度200元 3个月
云服务器ECS,u1 2核4GB 1个月
简介: 带你读《从基础到应用云上安全航行指南》——阿里云产品专家教你如何全方位构建ECS安全体系(2)

带你读《从基础到应用云上安全航行指南》——阿里云产品专家教你如何全方位构建ECS安全体系(1):https://developer.aliyun.com/article/1441593


二、安全责任共担模型介绍

第二部分将为大家详细介绍ECS的安全责任共担模型。这个责任模型是我们进行云上安全实践的重要基础,也是主要依据之一。在介绍模型之前,先为介绍一下ECS的底层架构,因为这也是我们对ECS的安全性进行配置的一个基础。

 

在传统的云下应用架构下,搭建一个信息系统,需要自行负责信息系统所以来的所有底层软硬件的资源和服务搭建。如果把信息系统的搭建比作为一个房子,那在我们的传统服务模式下,我们则需要自行准备搭建一个房子所需要的全部资源。其实这里可以类比为我们在乡下宅基地自建房,需要选址打地基,设计房屋构造和布局,拉上水电煤等技术服务,最后做内部装潢,可能还需要判断房子外围是否需要加盖院子和围墙,来保障房子的安全。所以我们可以看到,在传统架构下,所有的任务和服务都需要我们自行设计、自行管理和自行维护。

 

而在infrastructure as service基础设施及服务这种的服务模式下,我们可以看到云服务提供商就像房地产开发商一样,每一个基础且重要的建房步骤都由云服务提供商来负责管理和维护,同时他们还需要保障不同的用户或者不同房子之间的资源隔离问题,需要做到互不影响。而我们作为用户,只需要根据业务需要以及当前的属性去做一些选择和配置即可。

 

那我们来看一下选购一个ECS和选购一个房子有哪些重要的参考参数呢?

 

首先就是选择地域和可用区,ECS的地域和可用区类似于房子地段的情况,地段由城市和县市决定。在地域和可用区的选择上,主要交由用户选择。建议大家选择在更靠近业务服务的目标用户的区域,这样整个网络延迟相对更低。

 

其次选择对应的VPC和交换机。VPC是用户自定义的一种私有网络,而不同的VPC之间在逻辑上是完全隔离的,但同一个VPC中子网又是默认互通的,交换机则是将一个VPC划分成一个或多个子网,所以从这个概念上来说我们可以把VPC理解为一个小区,同一个小区中的房子在不出小区的情况下就能够互通,如果我们在一个小区中有多套房子,就可以通过交换机操作类似单元楼的方式进行划分,方便管理。所以在某种程度上,我们选择ECSVPC和交换机,其实就相当于我们在选择房子所在的一个小区和单元楼。

 

然后我们要选择ECS镜像。ECS镜像我们也叫操作系统,其实我们在选择镜像的时候,可以分不同的类型和版本,比如我们选择Windows server 2023这个版本。这就相当于我们去选择这个房子的户型究竟是三室两厅还是两室两厅。

 

下一步选择对应的ECS安全组。安全组其实是一个虚拟的防火墙,主要用来控制安全组内的ECS实例的入出方向的流量,相当于我们设置的一个规则来允许什么人可以进出单元楼,所以我们可以把安全组类比做门禁卡,可以通过设置门禁卡的规则来限定什么样的人能够进入我们的小区,进入我们的房子。

 

最后则是选择实例的用户名和密码,也就相当于房子钥匙,不同的人可以用钥匙打开我们的门,进入到房子中去,所以如果我们的用户名和密码没有得到很好的保障,则相当于我们的钥匙也没有得到很好的保管,那么我们整个ECS其实是可以任由大家访问的。

 

理解了整个ECS架构,我们就可以看到作为ECS用户,我们就相当于一个房子的租客一样,需要我们作为租客(用户),对房子中所有的基础设施的配置来负责,包括对应的ECS有没有设置对应的网络隔离,整个实例操作系统的安全性有没有得到保障等等,以及有没有设置对应的访问策略,以及在里面跑的这些应用是否安全。这意味着整个ECS内部的这一部分是由我们作为用户,需要自己管理并负责的。而云服务提供商其实就和房地产开发商一样,主要负责两部分的安全,第一部分其实负责对整个地域和可用区里面的基础设施进行和管理和维护,第二部分其实对于我们这个虚拟化服务和云产品的管理和服务进行负责。

 

image.png

 

在了解底层架构之后,我们再来讨论ECS的安全责任共担模型,其实就会发现,这个模型会更清晰。上图右侧列举了云服务提供商和我们的用户之间的责任边界,可以看到云服务提供商对云本身的安全性负责,而云本身的安全性分成了两个维度,第一个就是基础设施的安全性,第二个是云服务的安全性。基础设施的安全性主要包括底层硬件的主机安全,以及一些虚拟化的安全。要提供一个安全、合规、可靠的基础设施,这也类似于我们房子的地基,房子的地基是否安全,房体所使用的钢筋水泥土是否符合国家建筑安全的规定。云厂商的第二个安全责任就是需要对云服务的安全性负责,主要是云服务本身是否安全。

 

而在这个基础上,用户侧需要围绕云上安全性需要做哪些事情呢?上文介绍到了ECS一些重要的参数和组件,其实也是我们在提升ECS安全性方面所需要考虑的几个维度,目前我们可以分为四个维度。

 

最底层GuestOs安全其实是我们ECS所有安全的基础,相当于房子的门窗和钥匙是否安全。其次是访问安全,本质上来说,主要控制有哪些用户能够访问我们的实例。第三块是网络安全,主要通过网络隔离和网络控制手段提升整个网络的安全性。最后一部分是数据安全,也是云上安全的最终目标,当然其中也存在着不同的维度,比如我们可以用快照做数据备份,也可以对存储的数据进行加密,甚至可以通过机密计算的方式保证数据在计算过程中的安全性,这里预告一下,数据安全在后续章节也会有讲师为大家做深入的开展。

 

整体来说,ECS的安全责任共担模型明确了云厂商和用户大家的责任边界,以及在每个维度上用户能够做的提升ECS安全性的一些事情。

 

image.png

 

前面介绍的安全责任共担模型其实是一个整体大原则,根据《中华人民共和国网络安全法》以及《互联网信息服务管理办法》等相关法律规定,他们对厂商和云平台其实提出了更多的法律监管的要求,也意味着云平台除了前面提到的需要对云本身的安全性负责意外,还需要根据国家的法律法规对以下的两类违法行为进行主动管控。

 

第一点要强调的就是ECS上的一些违法行为,第二个则是ECS上的一些违法信息。第一类是违法行为,包括我们在ECS上对其他云产品发起攻击,或者说我们对云产品进行一些扫描、渗透、测试等探测行为,或者我们使用云产品去搭建DDos的防御服务,还包括我们使用云产品从事一些虚拟货币相关的工作活动,比如挖矿等,均属于违规行为。第二类是违法信息,指的则是我们在ECS上搭建一些网站服务,提供色情低俗的内容,或者有欺骗、赌博等非法行为,以及出现危害国家安全,破坏政治社会稳定的信息。在这种情况下,云平台有权依照相关的法律采取相应的封禁措施。

 

对于存在一般违法行为的ECS,阿里云会对ECS上的url和域名采取一些阻断动作。如果出现账号被封禁,用户可以申请免费解禁,或者申请主动解禁。但对于严重的违法行为,我们除了阻断url和域名访问意外,还会禁止用户解禁,除非用户把数据完全删除/完全释放,才会解禁。对于情节严重的违法违规行为,我们会对ECS采取关停甚至限制对应账号访问的行为。当然如果用户在使用ECS过程中,因为上述问题被阿里云采取了封禁措施,用户也会收到对应的ECS系统事件以及对应的短信、邮件、站内信的通知。大家可以根据对应的通知来采取相关的措施进行及时清理。如果没有及时清理,接下来ECS可能就没有办法正常使用。

 

image.png


带你读《从基础到应用云上安全航行指南》——阿里云产品专家教你如何全方位构建ECS安全体系(3):

https://developer.aliyun.com/article/1441591

相关实践学习
一小时快速掌握 SQL 语法
本实验带您学习SQL的基础语法,快速入门SQL。
7天玩转云服务器
云服务器ECS(Elastic Compute Service)是一种弹性可伸缩的计算服务,可降低 IT 成本,提升运维效率。本课程手把手带你了解ECS、掌握基本操作、动手实操快照管理、镜像管理等。了解产品详情: https://www.aliyun.com/product/ecs
目录
相关文章
|
1天前
|
人工智能 API
阿里云微服务引擎及 API 网关 2024 年 4 月产品动态
阿里云微服务引擎及 API 网关 2024 年 4 月产品动态。
|
1天前
|
运维 Cloud Native 应用服务中间件
阿里云微服务引擎 MSE 及 API 网关 2024 年 04 月产品动态
阿里云微服务引擎 MSE 面向业界主流开源微服务项目, 提供注册配置中心和分布式协调(原生支持 Nacos/ZooKeeper/Eureka )、云原生网关(原生支持Higress/Nginx/Envoy,遵循Ingress标准)、微服务治理(原生支持 Spring Cloud/Dubbo/Sentinel,遵循 OpenSergo 服务治理规范)能力。API 网关 (API Gateway),提供 APl 托管服务,覆盖设计、开发、测试、发布、售卖、运维监测、安全管控、下线等 API 生命周期阶段。帮助您快速构建以 API 为核心的系统架构.满足新技术引入、系统集成、业务中台等诸多场景需要。
|
2天前
|
弹性计算 负载均衡 容灾
应用阿里云弹性计算:打造高可用性云服务器ECS架构
阿里云弹性计算助力构建高可用云服务器ECS架构,通过实例分布、负载均衡、弹性IP、数据备份及多可用区部署,确保业务连续稳定。自动容错和迁移功能进一步增强容灾能力,提供全方位高可用保障。
9 0
|
2天前
|
存储 弹性计算 监控
探索阿里云弹性计算:如何优化云服务器ECS的性能与成本
在云时代,【阿里云ECS】的性能优化与成本控制至关重要。利用实例规格选择、自动伸缩、网络和存储配置,可增强性能、减少成本。结合监控工具和优化建议,用户能解决性能问题,提升应用稳定性,实现高效且经济的云计算运营。
9 1
|
2天前
|
弹性计算 运维 监控
解密阿里云弹性计算:探索云服务器ECS的核心功能
阿里云ECS是核心计算服务,提供弹性云服务器资源,支持实例按需配置、集群管理和监控,集成安全防护,确保服务稳定、安全,助力高效业务运营。
11 0
|
3天前
|
Cloud Native 关系型数据库 分布式数据库
数据库性能诊断工具DBdoctor通过阿里云PolarDB产品生态集成认证
DBdoctor(V3.1.0)成功通过阿里云PolarDB分布式版(V2.3)集成认证,展现优秀兼容性和稳定性。此工具是聚好看科技的内核级数据库性能诊断产品,运用eBPF技术诊断SQL执行,提供智能巡检、根因分析和优化建议。最新版V3.1.1增加了对PolarDB-X和OceanBase的支持,以及基于cost的索引诊断功能。PolarDB-X是阿里巴巴的高性能云原生分布式数据库,兼容MySQL生态。用户可通过提供的下载地址、在线试用链接和部署指南体验DBdoctor。
|
11天前
|
存储 弹性计算 固态存储
阿里云服务器CPU内存配置详细指南,如何选择合适云服务器配置?
阿里云服务器配置选择涉及CPU、内存、公网带宽和磁盘。个人开发者或中小企业推荐使用轻量应用服务器或ECS经济型e实例,如2核2G3M配置,适合低流量网站。企业用户则应选择企业级独享型ECS,如通用算力型u1、计算型c7或通用型g7,至少2核4G配置,公网带宽建议5M,系统盘可选SSD或ESSD云盘。选择时考虑实际应用需求和性能稳定性。
117 6
|
13天前
|
域名解析 弹性计算 Linux
阿里云购买云服务器、注册域名、备案及绑定图文教程参考
本文为大家介绍了2024年购买阿里云服务器和注册域名,绑定以及备案的教程,适合需要在阿里云购买云服务器、注册域名并备案的用户参考,新手用户可通过此文您了解在从购买云服务器到完成备案的流程。
阿里云购买云服务器、注册域名、备案及绑定图文教程参考
|
2天前
|
负载均衡 固态存储 Linux
阿里云轻量应用服务器、云服务器、gpu云服务器最新收费标准参考
轻量应用服务器、云服务器、gpu云服务器是阿里云服务器产品中,比较热门的云服务器产品类型,不同类型的云服务器产品收费模式与收费标准是不一样的,本文为大家展示这几个云服务器产品的最新收费标准情况,以供参考。
阿里云轻量应用服务器、云服务器、gpu云服务器最新收费标准参考
|
3天前
|
弹性计算 运维 安全
阿里云ecs使用体验
整了台服务器部署项目上线

相关产品

  • 云服务器 ECS