带你读《CloudOps云上自动化运维 白皮书2.0》之25：3. 多个层面构建的安全与合规能力（2）

《CloudOps云上自动化运维 白皮书2.0》—— 七、安全和合规能力Security——3. 多个层面构建的安全与合规能力（1）：https://developer.aliyun.com/article/1222439?groupCode=ecs

2) 实例内GuestOs应用系统安全

 

a) 实例登陆安全配置

 

• 实例登陆权限控制

 

｡ 登陆账号权限默认非root权限，需用户在本地通过su或sudo提权至root，默认状态不支持root直接使用pem密钥文件登录。

｡ 建议使用安全的访问控制协议访问ECS主机，并根据镜像类型选择不同的登录凭证：

√  Linux系统：建议配置只支持rsa密钥对的方式登录，不支持在控制台创建口令。

√  Windows系统：使用8位以上包含特殊字符的复杂密码作为登录凭证。

 

Linux实例：默认非root账号登陆与设置秘钥对登陆实例

 

• 默认非root账号登陆实例

 

如果您使用系统用户root登录Linux操作系统的ECS实例，则可以获取系统最高权限。该方式虽然便于您进行系统运维操作，但如果ECS实例被入侵，则会存在影响严重的数据安全风险。

 

建议用户使用公共云镜像：Anolis OS 8.4 或 Ubuntu 20.04，该版本镜像支持设置普通用户ecs-user作为登录名，其他镜像版本会陆续支持设置普通用户ecs-user登录实例。

 

 

• 使用临时下发的SSH密钥对连接linux实例

 

ECS推荐使用config_ecs_instance_connect插件，可以将SSH公钥发送到指定实例内部供指定用户使用，密钥保留60s。在60s内，您可以通过SSH公钥登录的方式进入实例，无需输入密码。

 

SSH密钥对通过加密算法生成一对密钥，默认采用RSA 2048位的加密方式。相较于用户名和密码认证方式，SSH密钥对有以下优势：

 

｡ 安全性，SSH密钥对登录认证更为安全可靠。

｡ 密钥对安全强度远高于常规用户口令，可以杜绝暴力破解威胁。

｡ 不可能通过公钥推导出私钥。

｡ 便捷性。

｡ 如果您将公钥配置在Linux实例中，那么，在本地或者另外一台实例中，您可以使用私钥通过SSH命令或相关工具登录目标实例，而不需要输入密码。

｡ 便于远程登录大量Linux实例，方便管理。如果您需要批量维护多台Linux实例，推荐使用这种方式登录。

 

建议配置sshd_config默认禁止密码登陆只支持rsa密钥对的方式登录。ssh配置文件中修改关于密码登录的配置选项。

 

• Windows实例：设置复杂的密码与定期更换

 

弱口令一直是数据泄露的一个大症结，因为弱口令是最容易出现的也是最容易被利用的漏洞之一。服务器的口令建议至少8位以上，从字符种类上增加口令复杂度，如包含大小写字母、数字和特殊字符等，并且要不定时更新口令，养成良好的安全运维习惯。

 

ECS设置为强密码：8-30个字符，必须同时包含三项（大写字母、小写字母、数字、()`~!@#$%^&*_-+=|{}[]:;'<>,.?/中的特殊符号），其中Windows实例不能以斜线号（/）为首字符。

 

b) 服务端口保护

 

服务器给互联网提供服务的同时会暴露对应的服务端口。从安全管理的角度来说，开启的服务端口越多，越不安全。建议只对外提供必要的服务端口，并修改常见端口为高端口（30000以后），再对提供服务的端口做访问控制。

 

例如：数据库服务尽量在内网环境使用，避免暴露在公网。如果必须要在公网访问，则需要修改默认连接端口3306为高端口，并根据业务授权可访问的客户端地址。

 

c) 避免服务弱口令

 

如果您的服务器使用弱口令登录，黑客可能会非法登录您的服务器，窃取服务器数据或破坏服务器。建议您为服务器设置复杂的登录口令，并定期提升登录口令的安全性。口令提升办法：

 

• 设置复杂密码。

• 不使用常见或公开的弱口令。

• 定期修改密码。

 

常见系统的登录弱口令的操作防范，具体方法请参见修改常见的服务器弱口令。

 

d) 使用IDaaS认证应用系统身份权限

 

云身份服务IDaaS（英文名：Alibaba Cloud IDentity as a Service，简称IDaaS）是阿里云为企业用户提供的云原生的、经济的、便捷的、标准的身份、权限管理体系。IDaaS提供一站式组织架构、账户全生命周期管理、应用接入实现单点登录（SSO），并控制账号所具备的权限等能力。

 

e) 数据传输加密

 

配置安全组或防火墙，确保仅允许 ECS 实例和 API 终端节点或其他敏感远程网络服务之间的加密连接，可使用传输层安全性（TLS1.2及以上版本）等加密协议加密在客户端和实例之间传输的敏感数据。

 

f) 日志异常监控与审计

 

根据FireEye M-Trends 2018报告，企业安全防护管理能力薄弱，尤其是亚太地区。全球范围内企业组织的攻击从发生到发现所需时长平均101天，而亚太地域平均需要498天。企业需要长期、可靠、无篡改的日志记录与审计支持来持续缩短这个时间。

 

建议您（客户）使用云监控、操作审计、日志审计、VPC流日志、应用日志等构建一套异常资源、权限访问监控告警体系，对及时发现问题与止损，对优化安全防御体系有至关重要的意义：

 

• 使用云监控设置账单报警，防止DDOS攻击。

 

• 使用操作审计ActionTrail监控未授权的访问、识别潜在安全配置错误、威胁或意外行为，也用于支持质量流程、法律或合规义务，还可以用于威胁识别和响应工作，请使用MFA限制ActionTrail访问权限。

 

• 启用配置VPC流日志记录VPC网络中弹性网卡ENI传入和传出的流量信息，使用Flowlog日志中心用于VPC的策略统计、弹性网卡流量统计以及网段间流量统计，帮助您快速、有效地分析VPC流日志。

 

• 使用日志审计服务，日志服务提供一站式数据采集、清洗、分析、可视化和告警功能，支持日志服务相关场景：DevOps、运营、安全、审计。

 

• 跟踪应用事件日志、Api调用日志。

 

• 所有日志定期同步SLS、OSS长期保存，并设置好访问权限。

 

• 添加实例ID、地域、可用区、环境（测试、生产）附加信息到日志中存储，便于排查问题。

《CloudOps云上自动化运维 白皮书2.0》—— 七、安全和合规能力Security——3. 多个层面构建的安全与合规能力（3）：https://developer.aliyun.com/article/1222436?groupCode=ecs