《CloudOps云上自动化运维 白皮书2.0》—— 七、安全和合规能力Security——3. 多个层面构建的安全与合规能力(1):https://developer.aliyun.com/article/1222439?groupCode=ecs
2) 实例内GuestOs应用系统安全
a) 实例登陆安全配置
• 实例登陆权限控制
。 登陆账号权限默认非root权限,需用户在本地通过su或sudo提权至root,默认状态不支持root直接使用pem密钥文件登录。
。 建议使用安全的访问控制协议访问ECS主机,并根据镜像类型选择不同的登录凭证:
√ Linux系统:建议配置只支持rsa密钥对的方式登录,不支持在控制台创建口令。
√ Windows系统:使用8位以上包含特殊字符的复杂密码作为登录凭证。
Linux实例:默认非root账号登陆与设置秘钥对登陆实例
• 默认非root账号登陆实例
如果您使用系统用户root登录Linux操作系统的ECS实例,则可以获取系统最高权限。该方式虽然便于您进行系统运维操作,但如果ECS实例被入侵,则会存在影响严重的数据安全风险。
建议用户使用公共云镜像:Anolis OS 8.4 或 Ubuntu 20.04,该版本镜像支持设置普通用户ecs-user作为登录名,其他镜像版本会陆续支持设置普通用户ecs-user登录实例。
• 使用临时下发的SSH密钥对连接linux实例
ECS推荐使用config_ecs_instance_connect插件,可以将SSH公钥发送到指定实例内部供指定用户使用,密钥保留60s。在60s内,您可以通过SSH公钥登录的方式进入实例,无需输入密码。
SSH密钥对通过加密算法生成一对密钥,默认采用RSA 2048位的加密方式。相较于用户名和密码认证方式,SSH密钥对有以下优势:
。 安全性,SSH密钥对登录认证更为安全可靠。
。 密钥对安全强度远高于常规用户口令,可以杜绝暴力破解威胁。
。 不可能通过公钥推导出私钥。
。 便捷性。
。 如果您将公钥配置在Linux实例中,那么,在本地或者另外一台实例中,您可以使用私钥通过SSH命令或相关工具登录目标实例,而不需要输入密码。
。 便于远程登录大量Linux实例,方便管理。如果您需要批量维护多台Linux实例,推荐使用这种方式登录。
建议配置sshd_config默认禁止密码登陆只支持rsa密钥对的方式登录。ssh配置文件中修改关于密码登录的配置选项。
• Windows实例:设置复杂的密码与定期更换
弱口令一直是数据泄露的一个大症结,因为弱口令是最容易出现的也是最容易被利用的漏洞之一。服务器的口令建议至少8位以上,从字符种类上增加口令复杂度,如包含大小写字母、数字和特殊字符等,并且要不定时更新口令,养成良好的安全运维习惯。
ECS设置为强密码:8-30个字符,必须同时包含三项(大写字母、小写字母、数字、()`~!@#$%^&*_-+=|{}[]:;'<>,.?/中的特殊符号),其中Windows实例不能以斜线号(/)为首字符。
b) 服务端口保护
服务器给互联网提供服务的同时会暴露对应的服务端口。从安全管理的角度来说,开启的服务端口越多,越不安全。建议只对外提供必要的服务端口,并修改常见端口为高端口(30000以后),再对提供服务的端口做访问控制。
例如:数据库服务尽量在内网环境使用,避免暴露在公网。如果必须要在公网访问,则需要修改默认连接端口3306为高端口,并根据业务授权可访问的客户端地址。
c) 避免服务弱口令
如果您的服务器使用弱口令登录,黑客可能会非法登录您的服务器,窃取服务器数据或破坏服务器。建议您为服务器设置复杂的登录口令,并定期提升登录口令的安全性。口令提升办法:
• 设置复杂密码。
• 不使用常见或公开的弱口令。
• 定期修改密码。
常见系统的登录弱口令的操作防范,具体方法请参见修改常见的服务器弱口令。
d) 使用IDaaS认证应用系统身份权限
云身份服务IDaaS(英文名:Alibaba Cloud IDentity as a Service,简称IDaaS)是阿里云为企业用户提供的云原生的、经济的、便捷的、标准的身份、权限管理体系。IDaaS提供一站式组织架构、账户全生命周期管理、应用接入实现单点登录(SSO),并控制账号所具备的权限等能力。
e) 数据传输加密
配置安全组或防火墙,确保仅允许 ECS 实例和 API 终端节点或其他敏感远程网络服务之间的加密连接,可使用传输层安全性(TLS1.2及以上版本)等加密协议加密在客户端和实例之间传输的敏感数据。
f) 日志异常监控与审计
根据FireEye M-Trends 2018报告,企业安全防护管理能力薄弱,尤其是亚太地区。全球范围内企业组织的攻击从发生到发现所需时长平均101天,而亚太地域平均需要498天。企业需要长期、可靠、无篡改的日志记录与审计支持来持续缩短这个时间。
建议您(客户)使用云监控、操作审计、日志审计、VPC流日志、应用日志等构建一套异常资源、权限访问监控告警体系,对及时发现问题与止损,对优化安全防御体系有至关重要的意义:
• 使用云监控设置账单报警,防止DDOS攻击。
• 使用操作审计ActionTrail监控未授权的访问、识别潜在安全配置错误、威胁或意外行为,也用于支持质量流程、法律或合规义务,还可以用于威胁识别和响应工作,请使用MFA限制ActionTrail访问权限。
• 启用配置VPC流日志记录VPC网络中弹性网卡ENI传入和传出的流量信息,使用Flowlog日志中心用于VPC的策略统计、弹性网卡流量统计以及网段间流量统计,帮助您快速、有效地分析VPC流日志。
• 使用日志审计服务,日志服务提供一站式数据采集、清洗、分析、可视化和告警功能,支持日志服务相关场景:DevOps、运营、安全、审计。
• 跟踪应用事件日志、Api调用日志。
• 所有日志定期同步SLS、OSS长期保存,并设置好访问权限。
• 添加实例ID、地域、可用区、环境(测试、生产)附加信息到日志中存储,便于排查问题。
《CloudOps云上自动化运维 白皮书2.0》—— 七、安全和合规能力Security——3. 多个层面构建的安全与合规能力(3):https://developer.aliyun.com/article/1222436?groupCode=ecs