带你读《CloudOps云上自动化运维 白皮书2.0》之25:3. 多个层面构建的安全与合规能力(2)

简介: 带你读《CloudOps云上自动化运维 白皮书2.0》之25:3. 多个层面构建的安全与合规能力(2)

《CloudOps云上自动化运维 白皮书2.0》—— 七、安全和合规能力Security——3. 多个层面构建的安全与合规能力(1):https://developer.aliyun.com/article/1222439?groupCode=ecs


2) 实例内GuestOs应用系统安全

 

a) 实例登陆安全配置

 

实例登陆权限控制

 

登陆账号权限默认非root权限,需用户在本地通过su或sudo提权至root,默认状态不支持root直接使用pem密钥文件登录

建议使用安全的访问控制协议访问ECS主机,并根据镜像类型选择不同的登录凭证:

√  Linux系统:建议配置只支持rsa密钥对的方式登录,不支持在控制台创建口令

√  Windows系统:使用8位以上包含特殊字符的复杂密码作为登录凭证

 

Linux实例:默认非root账号登陆与设置秘钥对登陆实例

 

默认非root账号登陆实例

 

如果您使用系统用户root登录Linux操作系统的ECS实例,则可以获取系统最高权限。该方式虽然便于您进行系统运维操作,但如果ECS实例被入侵,则会存在影响严重的数据安全风险。

 

建议用户使用公共云镜像:Anolis OS 8.4 或 Ubuntu 20.04,该版本镜像支持设置普通用户ecs-user作为登录名,其他镜像版本会陆续支持设置普通用户ecs-user登录实例。

 

image.png

 

使用临时下发的SSH密钥对连接linux实例

 

ECS推荐使用config_ecs_instance_connect插件,可以将SSH公钥发送到指定实例内部供指定用户使用,密钥保留60s。在60s内,您可以通过SSH公钥登录的方式进入实例,无需输入密码。

 

SSH密钥对通过加密算法生成一对密钥,默认采用RSA 2048位的加密方式。相较于用户名和密码认证方式,SSH密钥对有以下优势:

 

安全性,SSH密钥对登录认证更为安全可靠。

密钥对安全强度远高于常规用户口令,可以杜绝暴力破解威胁。

不可能通过公钥推导出私钥。

便捷性。

如果您将公钥配置在Linux实例中,那么,在本地或者另外一台实例中,您可以使用私钥通过SSH命令或相关工具登录目标实例,而不需要输入密码。

便于远程登录大量Linux实例,方便管理。如果您需要批量维护多台Linux实例,推荐使用这种方式登录。

 

建议配置sshd_config默认禁止密码登陆只支持rsa密钥对的方式登录。ssh配置文件中修改关于密码登录的配置选项。

 

Windows实例:设置复杂的密码与定期更换

 

弱口令一直是数据泄露的一个大症结,因为弱口令是最容易出现的也是最容易被利用的漏洞之一。服务器的口令建议至少8位以上,从字符种类上增加口令复杂度,如包含大小写字母、数字和特殊字符等,并且要不定时更新口令,养成良好的安全运维习惯。

 

ECS设置为强密码:8-30个字符,必须同时包含三项(大写字母、小写字母、数字、()`~!@#$%^&*_-+=|{}[]:;'<>,.?/中的特殊符号),其中Windows实例不能以斜线号(/)为首字符

 

b) 服务端口保护

 

服务器给互联网提供服务的同时会暴露对应的服务端口。从安全管理的角度来说,开启的服务端口越多,越不安全。建议只对外提供必要的服务端口,并修改常见端口为高端口(30000以后),再对提供服务的端口做访问控制。

 

例如:数据库服务尽量在内网环境使用,避免暴露在公网。如果必须要在公网访问,则需要修改默认连接端口3306为高端口,并根据业务授权可访问的客户端地址。

 

c) 避免服务弱口令

 

如果您的服务器使用弱口令登录,黑客可能会非法登录您的服务器,窃取服务器数据或破坏服务器。建议您为服务器设置复杂的登录口令,并定期提升登录口令的安全性。口令提升办法:

 

设置复杂密码

不使用常见或公开的弱口令

定期修改密码

 

常见系统的登录弱口令的操作防范,具体方法请参见修改常见的服务器弱口令

 

d) 使用IDaaS认证应用系统身份权限

 

云身份服务IDaaS(英文名:Alibaba Cloud IDentity as a Service,简称IDaaS)是阿里云为企业用户提供的云原生的、经济的、便捷的、标准的身份、权限管理体系。IDaaS提供一站式组织架构、账户全生命周期管理、应用接入实现单点登录(SSO),并控制账号所具备的权限等能力。

 

e) 数据传输加密

 

配置安全组或防火墙,确保仅允许 ECS 实例和 API 终端节点或其他敏感远程网络服务之间的加密连接,可使用传输层安全性TLS1.2及以上版本等加密协议加密在客户端和实例之间传输的敏感数据。

 

f) 日志异常监控与审计

 

根据FireEye M-Trends 2018报告,企业安全防护管理能力薄弱,尤其是亚太地区。全球范围内企业组织的攻击从发生到发现所需时长平均101天,而亚太地域平均需要498天。企业需要长期、可靠、无篡改的日志记录与审计支持来持续缩短这个时间。

 

建议您客户使用云监控、操作审计、日志审计、VPC流日志、应用日志等构建一套异常资源、权限访问监控告警体系,对及时发现问题与止损,对优化安全防御体系有至关重要的意义:

 

使用云监控设置账单报警,防止DDOS攻击

 

使用操作审计ActionTrail监控未授权的访问、识别潜在安全配置错误、威胁或意外行为,也用于支持质量流程、法律或合规义务,还可以用于威胁识别和响应工作,请使用MFA限制ActionTrail访问权限

 

启用配置VPC流日志记录VPC网络中弹性网卡ENI传入和传出的流量信息,使用Flowlog日志中心用于VPC的策略统计、弹性网卡流量统计以及网段间流量统计,帮助您快速、有效地分析VPC流日志

 

使用日志审计服务,日志服务提供一站式数据采集、清洗、分析、可视化和告警功能,支持日志服务相关场景:DevOps、运营、安全、审计

 

跟踪应用事件日志、Api调用日志

 

所有日志定期同步SLS、OSS长期保存,并设置好访问权限

 

添加实例ID、地域、可用区、环境测试、生产附加信息到日志中存储,便于排查问题



《CloudOps云上自动化运维 白皮书2.0》—— 七、安全和合规能力Security——3. 多个层面构建的安全与合规能力(3):https://developer.aliyun.com/article/1222436?groupCode=ecs


相关文章
|
1月前
|
监控 jenkins 测试技术
自动化测试框架的构建与实践
【10月更文挑战第40天】在软件开发周期中,测试环节扮演着至关重要的角色。本文将引导你了解如何构建一个高效的自动化测试框架,并深入探讨其设计原则、实现方法及维护策略。通过实际代码示例和清晰的步骤说明,我们将一起探索如何确保软件质量,同时提升开发效率。
44 1
|
1月前
|
测试技术 开发者 Python
自动化测试之美:从零构建你的软件质量防线
【10月更文挑战第34天】在数字化时代的浪潮中,软件成为我们生活和工作不可或缺的一部分。然而,随着软件复杂性的增加,如何保证其质量和稳定性成为开发者面临的一大挑战。自动化测试,作为现代软件开发过程中的关键实践,不仅提高了测试效率,还确保了软件产品的质量。本文将深入浅出地介绍自动化测试的概念、重要性以及实施步骤,带领读者从零基础开始,一步步构建起属于自己的软件质量防线。通过具体实例,我们将探索如何有效地设计和执行自动化测试脚本,最终实现软件开发流程的优化和产品质量的提升。无论你是软件开发新手,还是希望提高项目质量的资深开发者,这篇文章都将为你提供宝贵的指导和启示。
|
2天前
|
数据采集 机器学习/深度学习 人工智能
基于AI的网络流量分析:构建智能化运维体系
基于AI的网络流量分析:构建智能化运维体系
32 13
|
21天前
|
人工智能 自然语言处理 JavaScript
Agent-E:基于 AutoGen 代理框架构建的 AI 浏览器自动化系统
Agent-E 是一个基于 AutoGen 代理框架构建的智能自动化系统,专注于浏览器内的自动化操作。它能够执行多种复杂任务,如填写表单、搜索和排序电商产品、定位网页内容等,从而提高在线效率,减少重复劳动。本文将详细介绍 Agent-E 的功能、技术原理以及如何运行该系统。
72 5
Agent-E:基于 AutoGen 代理框架构建的 AI 浏览器自动化系统
|
1天前
|
Prometheus 运维 监控
Prometheus+Grafana+NodeExporter:构建出色的Linux监控解决方案,让你的运维更轻松
本文介绍如何使用 Prometheus + Grafana + Node Exporter 搭建 Linux 主机监控系统。Prometheus 负责收集和存储指标数据,Grafana 用于可视化展示,Node Exporter 则采集主机的性能数据。通过 Docker 容器化部署,简化安装配置过程。完成安装后,配置 Prometheus 抓取节点数据,并在 Grafana 中添加数据源及导入仪表盘模板,实现对 Linux 主机的全面监控。整个过程简单易行,帮助运维人员轻松掌握系统状态。
18 3
|
6天前
|
Serverless 决策智能 UED
构建全天候自动化智能导购助手:从部署者的视角审视Multi-Agent架构解决方案
在构建基于多代理系统(Multi-Agent System, MAS)的智能导购助手过程中,作为部署者,我体验到了从初步接触到深入理解再到实际应用的一系列步骤。整个部署过程得到了充分的引导和支持,文档详尽全面,使得部署顺利完成,未遇到明显的报错或异常情况。尽管初次尝试时对某些复杂配置环节需反复确认,但整体流程顺畅。
|
11天前
|
缓存 监控 安全
公司电脑监控软件的 Gradle 构建自动化优势
在数字化办公环境中,公司电脑监控软件面临代码更新频繁、依赖管理和构建复杂等挑战。Gradle 构建自动化工具以其强大的依赖管理、灵活的构建脚本定制及高效的构建缓存与增量构建特性,显著提升了软件开发效率和质量,支持软件的持续更新与优化,满足企业对员工电脑使用情况的监控与管理需求。
25 3
|
23天前
|
数据库 Docker 容器
Docker在现代软件开发中扮演着重要角色,通过Dockerfile自动化构建Docker镜像,实现高效、可重复的构建过程。
Docker在现代软件开发中扮演着重要角色,通过Dockerfile自动化构建Docker镜像,实现高效、可重复的构建过程。Dockerfile定义了构建镜像所需的所有指令,包括基础镜像选择、软件安装、文件复制等,极大提高了开发和部署的灵活性与一致性。掌握Dockerfile的编写,对于提升软件开发效率和环境管理具有重要意义。
44 9
|
21天前
|
运维 jenkins Java
Jenkins 自动化局域网管控软件构建与部署流程
在企业局域网管理中,Jenkins 作为自动化工具,通过配置源码管理、构建及部署步骤,实现了高效、稳定的软件开发与部署流程,显著提升局域网管控软件的开发与运维效率。
37 5
|
1月前
|
jenkins 测试技术 持续交付
自动化测试框架的构建与优化:提升软件交付效率的关键####
本文深入探讨了自动化测试框架的核心价值,通过对比传统手工测试方法的局限性,揭示了自动化测试在现代软件开发生命周期中的重要性。不同于常规摘要仅概述内容,本部分强调了自动化测试如何显著提高测试覆盖率、缩短测试周期、降低人力成本,并促进持续集成/持续部署(CI/CD)流程的实施,最终实现软件质量和开发效率的双重飞跃。通过具体案例分析,展示了从零开始构建自动化测试框架的策略与最佳实践,包括选择合适的工具、设计高效的测试用例结构、以及如何进行性能调优等关键步骤。此外,还讨论了在实施过程中可能遇到的挑战及应对策略,为读者提供了一套可操作的优化指南。 ####

热门文章

最新文章