《CloudOps云上自动化运维 白皮书2.0》—— 七、安全和合规能力Security——3. 多个层面构建的安全与合规能力(5):https://developer.aliyun.com/article/1222430?groupCode=ecs
6) 应用资源管理
规模化、自动化运维与审计云上资源,避免因低级错误的配置变更造成出现“例外”或单点资产保护遗漏情况。
建议您(客户)统一实例、安全组的命名安全与部署约定,统一命名规范,定期检测、提醒或删除不符合命名规范的安全组、实例。使用Tag标签规模化管理资源,使用云助手自动化运维资源通道,使用配置审计Config对资源进行合规审计,使用应用配置管理ACM集中管理所有应用配置。
• Tag标签
标签可以标记资源,允许企业或个人将相同作用的云服务器ECS资源归类,便于搜索和资源聚合:
。 使用Tag规模化识别、分类、定位云资源的管理与计费。
。 使用自动化工具管理Tag标签,从而更轻松地自动管理、搜索和过滤标签和资源。
• 云助手
传统的运维通道需要借助SSH取得密钥进行管理,并开放相应的网络端口,密钥管理不当以及网络端口暴露都会对云上资源带来很大的安全隐患。
云助手是专为云服务器ECS打造的原生自动化运维工具,通过免密码、免登录、无需使用跳板机的形式,在ECS实例上实现批量运维、执行命令(Shell、Powershell和Bat)和发送文件等操作。
典型的使用场景包括:安装卸载软件、启动或停止服务、分发配置文件和执行一般的命令(或脚本)等。可以帮助客户安全、高效的运维云上资源。通过云助手,可以在云服务器ECS上实现批量运维、执行命令和发送文件等操作;通过云助手Session Manager,可以交互式运维ECS实例。
以上运维操作都无需密码,无需登录,ECS实例不需要使用公网,也不需要通过跳板机,通过云助手以下安全机制保证运维通道的安全性:
。 权限控制:云助手通过RAM策略,从实例、资源组、标签、源IP地址等多个维度控制用户对实例的访问权限。只有具有权限的用户才能通过云助手通道运维ECS实例。
。 链路可靠:全链路采用Https协议进行交互,传输过程中对数据进行加密。ECS实例入方向采用内部安全管控链路,无需用户开放端口,降低被入侵的风险;出方向通过内网进行通信,无需暴露公网即可使用。
。 内容安全:通过云助手通道传输的命令内容,通过加密及签名校验的方式,确保传输过程中无法被篡改,保证命令内容的安全性。
。 日志审计:通过云助手通道传输的命令、文件都可以通过API进行审计,用户可以查询执行的时间、身份、执行内容、执行结果等信息。同时支持将日志投递到存储(OSS)或日志(SLS)等系统中,提供日志归档、分析能力。
• 配置审计Config
配置审计Config是面向云上资源的审计服务,为用户提供跨区域的资源清单和检索能力,记录资源的历史配置快照,形成配置时间线。当资源发生配置变更时,自动触发合规评估,并针对“不合规”配置发出告警。使用户能够实现对于海量云上资源合规性的自主监控,应对企业内部和外部合规的需要。
• 应用配置管理ACM
应用配置管理ACM(Application Configuration Management)是一款在分布式架构环境中对应用配置进行集中管理和推送的产品。凭借配置变更、配置推送、历史版本管理、灰度发布、配置变更审计等配置管理工具,ACM能帮助您集中管理所有应用环境中的配置,降低分布式系统中管理配置的成本,并降低因错误的配置变更造成可用性下降甚至发生故障的风险。
