带你读《从基础到应用云上安全航行指南》——九大提升ECS实例操作系统安全性的技巧(3)

本文涉及的产品
无影云电脑个人版,1个月黄金款+200核时
无影云电脑企业版,4核8GB 120小时 1个月
资源编排,不限时长
简介: 带你读《从基础到应用云上安全航行指南》——九大提升ECS实例操作系统安全性的技巧(3)

带你读《从基础到应用云上安全航行指南》——九大提升ECS实例操作系统安全性的技巧(2)

https://developer.aliyun.com/article/1441588

四、进阶提升操作系统的安全性

除了访问操作系统安全以及操作系统安全加固外,一些等保合规、审计场景都会有更多的一些安全要求。接下来看一下进阶提升操作系统安全主要包括的几个内容,一个是日志审计,另外一个是等保合规两类型。

 

首先是日志审计,我们为什么需要做日志审计。

 

image.png

 

根据FireEye M-Trends 2018报告,企业安全防护管理能力比较薄弱。尤其是亚太地区,全球范围内企业组织的攻击从发生到发现的时间需要101天。而亚太地区平均需要498天,企业需要长期可靠、无篡改的日志和审计支持来持续缩短这时间。

 

同时,日资审计也是法律的刚性需求,无论是在中国境内还是在海外,企业落实日志审计也越来越迫切,尤其是中国内地在2017年实施了网络安全法,以及2019年之后实施的《网络安全等保2.0标准》。

 

image.png

 

我们建议启用会话管理登录实例。在您启用会话管理登录您的实例时,我们建议您同时启用会话管理操作记录投递能力,它允许用户将会话管理操作记录投递到您的存储对象或者日志服务中进行持久化存储,以便以续对操作记录进行进一步的查询、分析、审计。

 

如图所示它能够记录到哪账号对哪实例做了什么样的操作,操作命令以对应的输出分别是什么,这对后续的安全分析是非常有意义的。

 

image.png

 

另外,我们还强烈建议客户开启操作审计服务。操作审计服务可以帮助您监控记录到云账号对产品服务的访问以及使用行为,您可以根据这些行为进行安全分析,以监控未授权的访问,识别潜在的安全配置错误、威胁和意外行为。或满足某些合规审计的一些操作。

 

image.png

 

除了登录审计以及操作审计外,我们建议您开启日志审计服务。日志审计服务在继承现有日志服务的功能之外,还支持多账号下实时自动化、中心化采集云产品的日志进行审计,同时还支持审计所需要的存储、查询以及信息汇总。日志审计覆盖了多种技术产品,包括存储、网络、数据库、安全等产品,您也可以将您的应用日志接入到日志审计服务中,支持自由对接其他生态产品或者是自由的授课中心。

 

很多企业自身有成熟的法规条件以及合规审计团队,对账号、设备的操作、网络行为资质进行审计,客户可以直接消费原生的一些日志,也可以使用日志审计服务的审计功能,构建并输出合规的一个审计信息。

 

日志审计中有开启登录审计、操作审计日志审计服务,以满足相关的法律法规要求。对于等保合规,我们还提供了更多的安全能力。

 

image.png

说到等保合规不得不提到堡垒机。什么是堡垒机?

 

阿里云运维安全中心,也就是堡垒机。堡垒机用于集中管理资产权限,全程监控操作行为,实时还原运维场景,保障云端运维的身份可以鉴别、权限可以控制、操作可以审计。解决了众多资产管理难、运维职责权限不清晰以及运维事件难追溯等等问题,阿里云为您在Workbench连接ECS实例时提供了便捷的堡垒机访问方案。

 

image.png

 

什么场景下需要使用堡垒机?

 

首先是国家在不断加强对网络数据安全的管控要求,纵观整运维的过程,种种的数据运维安全风险,运维安全行为的管控势在必行,国家也在多个安全保护规则中增加了对相关安全需求。

 

什么样的场景下需要使用堡垒机?

 

首先是国家在不断加强对网络数据安全的管控要求,比如等保二级,等保三级,也就是过国内的等保合规使用堡垒机就可以。另外企业自身的运维风险开始不断的增加,有一些客户需要确定来源,身份定位,操作过程回溯,以及账号密码的管理,运维的管控等等,可以使用堡垒机。

 

image.png

 

堡垒机能够做些什么?

 

 

堡垒机常用的安全能力包括账密的一些托管,堡垒机支持资产运维免登录,对账号密码进行统一托管,无需用户进行输入账号和密码。另外运维的身份鉴别,在仿冒用户登录防范上,堡垒机支持双因子认证功能。另外运维权限管控的收敛,堡垒机具有细粒度的权限管控能力,可以根据用户组进行划分资产访问权限,另外还具有高危行为拦截能力。

 

在恶意访问行为上,云盾堡垒机可以对敏感的高危操作,比如删库(rm -rf /*)等行为进行自动的阻断拦截。另外一个比较重要的是审计的溯源,云盾暴力机支持可视化审计记录,通过直观录播的方式,更真实的还原了全行为场景。

 

image.png

 

除了堡垒机之外,还提供了符合国家等保2.0三级版本的镜像,您可以在新购ECS实例时选择公共镜像,会自动提示满足等保合规的镜像,这些镜像天然符合三级等保合规的要求,包括了身份鉴别、访问控制、入侵防御、恶意代码防范等等对应的一些要求。

  image.png

 

另外,在云安全中心中还支持了合规检查的功能,合规检查功能提供了等保合规检查以及ISO 27001合规检查认证,您可以使用该功能检查系统中是否符合等保合规要求,以及ISO 27001国际信息安全管理体系的一认证标准。

五、总结

前面提供了很多提升操作系统安全性的一些建议,包括提升访问操作系统安全性方案中的使用密钥对连接实力,杜绝暴力破解的一些威胁,使用会话管理、免密连接实例,免公网、免跳板机、免密码提升访问操作系统安全性,以及避免了端口的0.0.0的授权,仅开放必要端口提供给有限的IP访问,以减少攻击面。

 

也有操作系统安全加固相关的方案,使OOS补丁基线自动更新安全补丁,避免了高危安全漏洞导致的系统安全风险,使用Alibaba cloud Linux操作系统的内核热补丁的能力,能够快速平稳的升级的操作系统安全补丁,使用免费的基础安全服务,比如定期漏洞扫描、异常登录检查、AK泄露检查等等,提高对应的安全性。

 

  image.png

对安全有更高要求的客户,我们还提供了进阶提升操作系统安全性的方案,开启登录审计日志、操作审计日志、日志审计服务,对日志进行定期的审计分析,缩短攻击发生到发现的时间,降低企业安全损失。使用堡垒机,在满足等保合规的场景下管理运维,控制权限、身份鉴别、账密托管、高危行为阻断、审计溯源,以进一步提升操作系统安全。

 

使用三级等保合规形象,以基础安全服务中的合规检查能力,以帮助您更快速、高效、持续的实现等保合规制度。系统从来不是一个点的安全,需要更多维度的终身安全防疫。

 

以上就是本次课程的全部内容。

相关实践学习
2分钟自动化部署人生模拟器
本场景将带你借助云效流水线Flow实现人生模拟器小游戏的自动化部署
7天玩转云服务器
云服务器ECS(Elastic Compute Service)是一种弹性可伸缩的计算服务,可降低 IT 成本,提升运维效率。本课程手把手带你了解ECS、掌握基本操作、动手实操快照管理、镜像管理等。了解产品详情: https://www.aliyun.com/product/ecs
目录
相关文章
|
20天前
|
弹性计算 监控 负载均衡
|
10天前
|
存储 缓存 前端开发
如何优化 SSR 应用以减少服务器压力
优化SSR应用以减少服务器压力,可采用代码分割、缓存策略、数据预加载、服务端性能优化、使用CDN、SSR与SSG结合、限制并发请求、SSR与CSR平滑切换、优化前端资源及利用框架特性等策略。这些方法能有效提升性能和稳定性,同时保证用户体验。
|
19天前
|
安全 Linux 数据安全/隐私保护
Vanilla OS:下一代安全 Linux 发行版
【10月更文挑战第30天】
41 0
Vanilla OS:下一代安全 Linux 发行版
|
1月前
|
机器学习/深度学习 人工智能 运维
企业内训|LLM大模型在服务器和IT网络运维中的应用-某日企IT运维部门
本课程是为某在华日资企业集团的IT运维部门专门定制开发的企业培训课程,本课程旨在深入探讨大型语言模型(LLM)在服务器及IT网络运维中的应用,结合当前技术趋势与行业需求,帮助学员掌握LLM如何为运维工作赋能。通过系统的理论讲解与实践操作,学员将了解LLM的基本知识、模型架构及其在实际运维场景中的应用,如日志分析、故障诊断、网络安全与性能优化等。
62 2
|
14天前
|
弹性计算 开发工具 git
2分钟在阿里云ECS控制台部署个人应用(图文示例)
作为一名程序员,我在部署托管于Github/Gitee的代码到阿里云ECS服务器时,经常遇到繁琐的手动配置问题。近期,阿里云ECS控制台推出了一键构建部署功能,简化了这一过程,支持Gitee和GitHub仓库,自动处理git、docker等安装配置,无需手动登录服务器执行命令,大大提升了部署效率。本文将详细介绍该功能的使用方法和适用场景。
2分钟在阿里云ECS控制台部署个人应用(图文示例)
|
3天前
|
存储 机器学习/深度学习 编解码
阿里云服务器计算型c8i实例解析:实例规格性能及使用场景和最新价格参考
计算型c8i实例作为阿里云服务器家族中的重要成员,以其卓越的计算性能、稳定的算力输出、强劲的I/O引擎以及芯片级的安全加固,广泛适用于机器学习推理、数据分析、批量计算、视频编码、游戏服务器前端、高性能科学和工程应用以及Web前端服务器等多种场景。本文将全面介绍阿里云服务器计算型c8i实例,从规格族特性、适用场景、详细规格指标、性能优势、实际应用案例,到最新的活动价格,以供大家参考。
|
8天前
|
存储 弹性计算 缓存
阿里云服务器通用型g8i实例性能与使用场景介绍及最新收费标准参考
阿里云ECS通用型g8i服务器采用阿里云全新CIPU架构,可提供稳定的算力输出、更强劲的I/O引擎以及芯片级的安全加固。ECS通用型g8i实例支持开启或关闭超线程配置,单台g8i实例最高支持100万IOPS。阿里云ECS通用型g8i实例CPU采用Intel®Xeon®Emerald Rapids或者Intel®Xeon®Sapphire Rapids,主频不低于2.7 GHz,全核睿频3.2GHz。本文为大家介绍通用型g8i实例性能与使用场景介绍及最新收费标准,以供参考。
|
9天前
|
弹性计算 缓存 数据挖掘
阿里云服务器经济型e和通用算力型u1实例区别及选择参考
在阿里云目前的活动中,经济型e和通用算力型u1实例是两个比较热门的云服务器实例规格,收费标准相对其他计算型、通用型和内存型实例来说要更低一些,经济型e实例ECS云服务器2核2G3M带宽新购和续费都是99元1年,通用算力型u1实例2核4G5M带宽新购和续费都只要199元1年、4核8G云服务器955.58元1年。有的新手用户并不清楚他们之间的区别及如何选择,本文将介绍阿里云服务器中的经济型e实例和通用算力型u1实例的特点、区别以及新手选择参考。
|
17天前
|
存储 缓存 安全
阿里云服务器内存型r7、r8a、r8y、r8i实例区别及选择参考
随着阿里云2024年金秋云创季的开始,目前在阿里云的活动中,属于内存型实例规格的云服务器有内存型r7、内存型r8a、内存型r8y和内存型r8i这几个实例规格,相比于活动内的经济型e和通用算力型u1等实例规格来说,这些实例规格等性能更强,虽然这几个实例规格的云服务器通常处理器与内存的配比为都是1:8,但是他们在处理器、存储、网络、安全等方面等性能并不是一样的,所以他们的适用场景也有着不同。本文为大家介绍内存型r7、r8a、r8y、r8i实例的性能、适用场景的区别以及选择参考。
|
20天前
|
机器学习/深度学习 弹性计算 编解码
阿里云服务器c7/c8a/c8y/c8i/g7/g8a/g8y/g8i/r7/r8a/r8y/r8i实例区别及选择参考
在阿里云目前的活动中,除了特价的轻量应用服务器和经济型e及通用算力型u1实例之外,属于计算型实例的实例有计算型c7/c8a/c8y/c8i,属于通用型实例的有通用型g7/g8a/g8y/g8i,属于内存型实例的有内存型r7/r8a/r8y/r8i。本文将详细介绍阿里云服务器中的c7、c8a、c8y、c8i、g7、g8a、g8y、g8i、r7、r8a、r8y、r8i等实例规格的性能、适用场景及选择参考,帮助用户更好地选择合适的云服务器实例。

相关产品

  • 云服务器 ECS
  • 下一篇
    无影云桌面