在使用云服务器的过程中,云服务器的安全问题是很多用户非常关心的问题。阿里云服务器除了提供基础的防护之外,还提供了一系列安全防护类云产品,以确保用户云服务器的安全。本文将详细介绍阿里云服务器的基础安全防护有哪些,以及阿里云的一些安全防护类云产品,帮助用户更好地理解和使用阿里云服务器的安全功能。
一、阿里云服务器基础安全防护
阿里云致力于保证自身云基础设施和服务的安全性,例如机房、虚拟化平台等。同时,阿里云也提供基础的防护功能,但云服务器ECS上的安全性需要阿里云和客户共同承担。在云服务器的安全方面,阿里云实行安全责任共担模型,具体如下:
阿里云负责“云本身”的安全性:阿里云负责保障ECS运行的底层基础设施与服务的安全性,包括运行ECS的物理硬件设备、软件服务、网络设备和管理控制服务等。这确保了云服务器运行在一个安全可靠的环境中。
客户负责“云上”的安全性:客户负责保障ECS内的安全性,包括及时进行操作系统升级和补丁更新、确保ECS内运行的应用软件或工具的安全性、以安全的方式配置和访问ECS本身和上面的服务(比如遵循安全原则进行ECS的网络等参数配置、遵循权限最小化原则配置ECS的管理权限等),以及ECS上数据和流量的安全。这些ECS上的安全性管理与配置是客户在履行安全责任时必须完成的配置工作。
下面,我们将详细介绍阿里云服务器的DDoS基础防护和基础安全服务。
DDoS基础防护
DDoS(分布式拒绝服务)攻击是一种常见的网络攻击方式,通过大量请求淹没目标服务器,导致其无法正常提供服务。阿里云提供的DDoS基础防护服务可以有效防止云服务器ECS实例受到此类恶意攻击,从而保证ECS系统的稳定运行。当流入ECS实例的流量超出实例规格对应的限制时,云安全中心会帮助ECS实例限流,避免ECS系统出现问题。
阿里云云安全中心默认为ECS实例免费提供最大5 Gbps的流量攻击的防护,不同实例规格的免费防护流量可能有所不同。用户可以登录云安全中心DDoS防护管理控制台查看实际防护阈值。
1. DDoS基础防护工作原理
启用DDoS基础防护后,云安全中心会实时监控进入ECS实例的流量。当监测到超大流量或者包括DDoS攻击在内的异常流量时,在不影响正常业务的前提下,云安全中心会将可疑流量从原始网络路径中重定向到净化产品上,识别并剥离恶意流量,并将还原的合法流量回注到原始网络中转发给目标ECS实例。这一过程就是流量清洗。
说明:启用了DDoS基础防护的ECS实例,当来自互联网的流量大于5 Gbps时,为保护整个集群的安全,阿里云会让相应ECS实例进入黑洞,丢弃进入该实例的所有流量,屏蔽公网对它的所有访问。这是为了防止攻击流量影响到其他正常运行的实例。
2. 流量清洗触发条件
流量清洗的触发条件主要包括以下两点:
流量模型的特征:当流量符合攻击流量特征时,就会触发清洗。例如,流量中包含大量异常请求或恶意数据包。
流量大小:DDoS攻击一般流量都非常大,通常都以Gbps为单位。因此,当进入ECS实例的流量达到设置的阈值时,无论是否为正常业务流量,云安全中心都会启动流量清洗,以保护实例免受攻击。
3. 流量清洗方法
流量清洗的方法包括过滤攻击报文、限制流量速度、限制数据包速度等。因此,在使用DDoS基础防护时,用户需要设置以下阈值:
- BPS清洗阈值:当入方向流量超过BPS清洗阈值时,会触发流量清洗。
- PPS清洗阈值:当入方向数据包数超过PPS清洗阈值时,会触发流量清洗。
4. 云服务器ECS的清洗阈值
云服务器ECS的清洗阈值由购买的公网带宽和实例规格综合决定,具体计算方式如下表所示:
| ECS实例购买带宽(Mbps) | 最大BPS清洗阈值(Mbps) | 最大PPS清洗阈值(pps) |
|---|---|---|
| ≤300 | MIN(ECS实例规格,450) | MIN(ECS实例规格,10万) |
| >300 | MIN(ECS实例规格,ECS实例购买带宽*1.5) | MIN(ECS实例规格,ECS实例购买带宽*1,000) |
例如,购买ECS实例规格为ecs.g5.16xlarge,购买带宽为100 Mbps,该实例最大带宽值为20,000 Mbps、最大网络收发包为400万。则清洗阈值计算如下表所示:
| ECS实例购买带宽(Mbps) | 最大BPS清洗阈值(Mbps) | 最大PPS清洗阈值(PPS) |
|---|---|---|
| 100 < 300 | MIN(20,000,450) 最终取值为450。 |
MIN(400万,10万) 最终取值为10万。 |
最终清洗阈值以流量安全产品控制台显示为准。示例如下图所示:
5. 相关操作
云服务器ECS默认开启DDoS基础防护。ECS实例创建后,用户可以执行以下操作:
设置清洗阈值:ECS实例创建后,默认按实例规格对应的最大阈值执行DDoS基础防护。但是,部分实例规格的最大清洗阈值(BPS)可能过大,无法起到应有的防护作用。因此,用户需要根据实际情况调整清洗阈值,以确保防护效果。
取消流量清洗:当进入ECS实例的流量达到清洗阈值时,无论是否为正常业务流量,云安全中心都会启动流量清洗。此时,可能会导致正常业务不可用或受到影响。为了保证正常业务,用户可以手动取消流量清洗,但需谨慎操作,以免实例受到攻击。
基础安全服务
云服务器ECS提供了基础安全服务,包括异常登录检测、漏洞扫描、基线配置核查等。用户可以在ECS控制台或者云安全中心看到云服务器的安全状态,及时发现并处理潜在的安全问题。
1. 背景信息
阿里云云安全中心(Security Center)提供云服务器ECS的基础安全服务,帮助用户收集并呈现安全日志和云上资产指纹。云安全中心主要提供免费版的漏洞检测、安全告警和基线检查服务,帮助用户及时发现并修复安全问题。
2. 计费说明
基础安全服务的计费说明如下:
云服务器ECS的基础安全服务为免费服务,不收取服务费用。
如果用户需要升级为高级版或者企业版云安全中心,可以在云安全中心控制台免费试用或者购买服务,以获得更全面的安全防护功能。
3. 使用安全插件Agent
云安全中心的安全插件Agent是安装在云服务器ECS中的低损耗控件。未安装Agent的云服务器ECS不会受到云安全中心保护,ECS管理控制台页面也不会显示该资产的漏洞、告警、基线漏洞和资产指纹等数据。用户可以按以下方式操作Agent:
创建ECS实例时自动安装Agent:在创建ECS实例时,用户可以选择自动安装Agent,以便实例受到云安全中心的保护。
登录ECS管理控制台手动安装Agent:用户也可以登录ECS管理控制台,手动安装Agent。具体操作步骤如下:
- 在左侧导航栏,选择实例与镜像 > 实例。
- 在顶部菜单栏处,选择地域。
- 创建一台ECS实例,在镜像区域,选中免费安全加固,系统自动为新建ECS实例安装Agent。
4. 查看安全状态
用户可以按以下步骤查看云服务器ECS的安全状态:
- 登录ECS管理控制台。
- 在左侧导航栏,选择实例与镜像 > 实例。
- 在页面左侧顶部,选择目标资源所在的资源组和地域。
- 根据需要选择以下一种方式查看安全状态:
- 方式一:在实例列表页面查看基础安全服务的状态。将鼠标悬停在云安全中心如下图所示的图标上方,即可查看当前实例安全状态。用户可以单击待处理任务对应的立即处理,进入云安全中心控制台查看告警详情。
- 方式二:单击实例ID进入实例详情页面,然后在安全防护区域查看基础安全服务的状态。用户可以单击云安全中心告警项目下的数字或云安全中心右侧的跳转图标,进入云安全中心控制台查看告警详情。
5. 设置告警通知
基础安全服务支持对安全告警处理项目设置告警通知,接收方式为站内信。用户可以按以下方式设置告警通知:
- 登录ECS管理控制台。
- 在概览页面,单击安全防护区域中待处理任务后的立即处理,前往云安全中心管理控制台。
- 在左侧导航栏,选择系统配置 > 通知设置。
- 在安全告警区域,选择消息等级,设置通知方式和通知时间。
二、阿里云的云安全类产品简介
阿里云的云安全类产品涵盖了基础安全、数据安全、业务安全、身份管理、安全服务等不同种类的产品。企业使用这些云产品可以助力企业安全上云。同时,阿里云还为用户提供了安全解决方案,一站式解决云上安全问题。此外,阿里云还会不定期推出一些云安全类活动,为用户提供更多优惠和选择。
阿里云安全产品分类及介绍
1. 基础安全
基础安全防护能力能够快速提升整体安全水位,大大减少安全风险。包含的云安全产品名称及产品主要提供的安全服务如下:
产品1:Web应用防火墙
保障网站和Web应用的安全,防止网站和Web应用被Web攻击、CC攻击、被入侵。详情参考:https://www.aliyun.com/product/waf产品2:云安全中心
系统及服务器安全,实时识别、分析、预警安全威胁的统一安全管理系统,支持防勒索、防病毒、防篡改等。详情参考:https://www.aliyun.com/product/sas产品3:云防火墙
云上统一策略管控,入侵防御(IPS)、东西向、南北向流量可视;业务上云后,业务可视、可管、可控。产品4:堡垒机
集中管理资产权限,全程记录运维操作,可审计操作记录,满足等级保护相关合规需求。产品5:漏洞扫描
提供全面、快速、精准的漏洞扫描及风险监测服务,帮助企业持续地发现暴露在互联网边界上的常见安全风险。
2. 数据安全
满足数据安全法要求,保证数据安全。包含的云安全产品名称及产品主要提供的安全服务如下:
产品1:SSL证书
保障网站传输的数据安全,防止数据被篡改、监听、被劫持。详情参考:https://www.aliyun.com/product/cas产品2:数据库审计
智能解析数据库通信流量,细粒度审计数据库访问行为,帮助企业精准识别、记录云上数据安全威胁。产品3:加密服务
基于国家密码局认证的硬件密码机,保证用户对于密钥安全可靠的管理,支持多种加密算法。
3. 业务安全
- 产品:风险识别
利用机器学习算法、实时计算引擎解决企业账户营销、交易等关键业务中所遇到的欺诈问题,减少企业损失。
4. 身份管理
- 产品:应用身份管理
一个集中式身份管理服务,提供统一的应用门户、用户目录、单点登录等功能,帮助企业实现身份的统一管理和访问控制。
5. 安全服务
- 产品:安全管家
为企业提供安全技术咨询服务,帮助客户建设并优化自身云上安全防御体系,随时保障客户业务的安全运行。
云安全产品主要活动参考
SSL证书首购4折起,新老同享75折起,证书申请加急/部署一对一服务,更有浏览型网站优选:无需单独申请SSL证书,接入网站域名即可快捷实现一键HTTPS,9.9元/月起,支持按月续费。详情参考:https://www.aliyun.com/ntms/act/sslbuy
以上就是本文分享的一些阿里云服务器的安全知识。通过了解阿里云提供的基础安全防护以及如何设置这些防护,用户可以更好地保障云服务器的安全。同时,用户也可以根据需求选择阿里云提供的一些云安全产品,以进一步提升云服务器的安全防护能力。另外,购买之前建议先了解一下当下是否有优惠券或者代金券可以领取,阿里云官方会不定期通过云小站平台等地址推出满减代金券,如果有的话,先领券再购买,价格更实惠。
