《企业运维之弹性计算原理与实践》——第四章 ECS 进阶概念-安全——第四章(上):ECS 进阶概念-安全(6) https://developer.aliyun.com/article/1231556?groupCode=supportservice
9. 远程运维解决方案
• 事前:终端认证安全,确认正确的身份,保证安全的访问终端环境。
实人认证:实名校验、生物识别、权威数据源。
UEM:终端认证,包括可信认证,包括可信手机、TOTP 令牌、设备互认;
终端可信,包括网络准入安全性评估;高效办公,如视频会议、云投屏等。
• 事中:网络访问、传输安全,合规准入,私密传输,精细授权。
UEM:网络准入管控、远程办公一键入网。
堡垒机:最小化授权,细粒度分权,高危操作行为自动拦截。
VPN 网络传输加密,建立可信网络通道。
• 事后:业务安全监控审计,操作行为全量审计,重点资产强关注,风险事件有效追溯。
堡垒机:访问行为录播记录,有效回放追溯。
数据库审计:数据库行为细粒度全量审计;数据库风险事件及时定位。
10.云上应用系统安全解决方案
• 网络层安全防御实践
通过 VPC 和安全组来建立不同的区域
部署边界检测和防御系统
抗 D 系统
• 数据层安全防御实践
数据库系统安全加固
数据备份和恢复
• 运维管理安全实践
VPN
堡垒机
访问控制 RAM
• 主机层安全防御实践
操作系统安全加固
主机防火墙设置
防恶意代码系统
主机安全系统(云安全中心)
• 应用层安全防御实践
应用软件安全加固
漏洞扫描
11.ECS 安全总结
• 定期备份数据
• 合理设计安全域
• 设置安全组规则
• 增加口令复杂度
• 保护服务器端口安全
• 防护系统漏洞
• 防护应用漏洞
