带你读《云上自动化运维宝典》——最佳实践分享:如何体系化提升ECS安全性(3)

简介: 带你读《云上自动化运维宝典》——最佳实践分享:如何体系化提升ECS安全性(3)

更多精彩内容,欢迎观看:

带你读《云上自动化运维宝典》——最佳实践分享:如何体系化提升ECS安全性(2):https://developer.aliyun.com/article/1405318


3)开启操作审计

阿里云还强烈建议客户开启操作审计服务。

image.png

 

ActionTrail(操作审计服务)可以帮助用户监控记录云账号对产品、服务的访问和使用行为,用户可以根据这些行为进行安全分析,以监控未授权的访问,识别潜在的安全配置错误、威胁或意外行为,或满足行为合规审计要求等操作。

 

刚刚在身份与访问控制中介绍了ECS的几个产品安全能力。阿里云建议用户基于身份授予访问ECS资源权限;对有更细粒度的ECS资源访问控制需求的用户,推荐使用资源组进行批量授权;建议用户启用操作审计服务,监控云账号对操作行为,以进一步进行安全分析。

 

image.png

 

但使用了 GuestOS安全、网络安全、身份与访问控制几个维度的产品安全能力,仍旧无法保证安全。接下来,继续了解一个安全事件——斯里兰卡国家政务云被黑事件。

image.png

 

20239月份,斯里兰卡国家政务云被攻破,且丢失了4个月的重要数据。分析该事件,发现斯里兰卡政务云中使用了一款软件,这款软件已经过时,不再维护,并且软件中存在着致命的安全漏洞,攻击者通过这个软件漏洞发起了勒索软件攻击,最终导致近4个月的数据永久丢失。

 

导致该事件发生的原因有两个,一是使用了“停服”的软件,另一个是缺失数据备份计划。针对此类安全事件,ECS在数据安全产品及应用安全能力中提供了相应的解决方案。

4) 数据安全

(1)   定期备份数据

阿里云建议用户针对重要的数据制定定期备份计划,用户可以使用快照、镜像备份重要数据。当系统出现问题时,用户使用快照将云盘回滚到之前的某个时刻,或者使用快照或镜像新创建一个云盘或实例,在新云盘或实例中保留之前的备份数据。

 

image.png

 

阿里云建议在创建云盘时启用“自动快照策略”,它将会自动定期备份数据,以防止重要数据以外丢失问题。

 

2)加密数据

对数据安全或法规合规场景有需求的客户,ECS还提供了数据加密能力。

 

image.png

 

用户可以使用ECS免费创建的KMS服务密钥,也可以自行在KMS托管密钥材料创建BYOK密钥,使用这些密钥对落盘数据进行加密,以保证数据安全性。值得注意的是,加密能力一旦开启,将无法禁用。换言之,加密云盘、快照、镜像后,将无法转化为非加密云盘、快照、镜像。且加密密钥销毁后,密钥关联的云盘、快照、镜像中的数据将不可恢复。

 

阿里云强烈建议您在购买实例或购买云盘时,启用加密能力,以更好地保护数据安全性。

3)高密与机密数据保护

对于有更高安全要求的特殊场景,例如金融服务、医疗服务、互联网服务,ECS还提供了加密计算、可信计算能力,对高密、机密数据进行保护。

 

image.png

机密计算、可信计算对整个计算环境,是基于硬件安全芯片,从CPU、内存甚至是device交互整个过程对数据进行的加密保护。它是芯片级别安全环境隔离,能更好地保证数据的安全性。这部分内容会在后续的机密计算专题详细展开讲解。

 

刚刚在数据安全中介绍了ECS的几个产品安全能力,包括定期备份重要数据,开启数据加密,针对于高密、机密业务场景,启用机密计算、可信计算,以便更好的保护数据。

 

image.png

5) 应用安全

回顾前面提及的斯里兰卡政务云被黑安全事件:

 

image.png

其起因除了数据未及时备份之外,还在于系统中客户使用了过期停服的软件。针对该类问题,ECS在应用安全产品能力中提供了解决方案。

1)定期漏洞扫描

云安全中心免费版提供了漏洞扫描能力,可以进行定期漏洞扫描。

 

image.png

 

该能力支持LinuxWindows系统漏洞,也支持Web-CMS等常见漏洞类型的扫描,可以帮助用户更全面地了解自身资产中的漏洞风险;另外,它还能针对近期互联网上爆发的高危漏洞,做应急漏洞检查,帮助用户及时发现系统中存在重大漏洞。阿里云建议用户定期检查、管理漏洞,以确保用户了解自身资产面临的漏洞风险,降低系统被入侵的风险。

2AK泄露检查

除了漏洞扫描之外,云安全中心免费版还支持AK泄露检查。

 

image.png

AK泄露检查可以实时检查GitHub等平台公开源代码中是否包含阿里云账号AK,避免AK泄露风险。

 

在应用安全中,介绍了ECS的几个产品安全能力。

 

image.png

 

建议用户使用云安全中心免费版,定期执行漏洞扫描管理您的漏洞,以及使用AK泄露检查能力,避免AK泄露后的重大安全风险。

4. 总结

前面了解了三个实际发生的安全事件案例,针对这些安全事件,ECS提供了很多产品上的的安全能力解决方案,可以发现仅从某一个或某几个方面做安全防御是远远不够的,纵深安全防御是提升ECS安全性的关键。

 

image.png

 

安全对抗防御不是一个点的防御,而是需要体系化的纵深防御。数据安全和用户隐私一直以来是ECS最重要的原则。为此,ECS投入了大量的资金和精力,为用户提供了从GuestOS安全、身份与访问控制、网络安全、数据安全、应用安全五个维度的安全纵深防御的产品安全能力。未来,阿里云将会在安全领域上持续的投入,为用户提供更安全、更稳定的产品能力。

 

此外,ECS还提供了Cloudops安全性评分工具,旨在引导客户使用ECS产品安全能力,以帮助客户提升云上资产安全性与合规性。通过Cloudops安全性评分工具,用户可以快速提升自身的ECS安全性。

 

以上就是本节课程的全部内容,同时欢迎大家点击链接 / 扫描下方海报中的二维码进入【CloudOps云上运维】课程官网,了解最新课程资讯!

相关实践学习
2分钟自动化部署人生模拟器
本场景将带你借助云效流水线Flow实现人生模拟器小游戏的自动化部署
7天玩转云服务器
云服务器ECS(Elastic Compute Service)是一种弹性可伸缩的计算服务,可降低 IT 成本,提升运维效率。本课程手把手带你了解ECS、掌握基本操作、动手实操快照管理、镜像管理等。了解产品详情: https://www.aliyun.com/product/ecs
相关文章
|
1月前
|
运维 应用服务中间件 网络安全
自动化运维的新篇章:使用Ansible进行服务器配置管理
【10月更文挑战第34天】在现代IT基础设施的快速迭代中,自动化运维成为提升效率、确保一致性的关键手段。本文将通过介绍Ansible工具的使用,展示如何实现高效的服务器配置管理。从基础安装到高级应用,我们将一步步揭开自动化运维的神秘面纱,让你轻松掌握这一技术,为你的运维工作带来革命性的变化。
|
22天前
|
机器学习/深度学习 人工智能 监控
软件测试中的自动化测试策略与最佳实践##
在当今快速发展的软件行业中,自动化测试已成为确保软件质量和加速产品上市的关键工具。本文将探讨自动化测试的重要性,分析不同类型的自动化测试工具和框架,并深入讨论实施自动化测试的最佳实践。通过案例研究和数据分析,我们将揭示如何有效整合自动化测试到软件开发生命周期中,以及它如何帮助团队提高测试效率和覆盖率。 ##
37 1
|
1月前
|
设计模式 前端开发 JavaScript
自动化测试框架设计原则与最佳实践####
本文深入探讨了构建高效、可维护的自动化测试框架的核心原则与策略,旨在为软件测试工程师提供一套系统性的方法指南。通过分析常见误区,结合行业案例,阐述了如何根据项目特性定制自动化策略,优化测试流程,提升测试覆盖率与执行效率。 ####
58 6
|
11天前
|
存储 人工智能 自然语言处理
ChatMCP:基于 MCP 协议开发的 AI 聊天客户端,支持多语言和自动化安装 MCP 服务器
ChatMCP 是一款基于模型上下文协议(MCP)的 AI 聊天客户端,支持多语言和自动化安装。它能够与多种大型语言模型(LLM)如 OpenAI、Claude 和 OLLama 等进行交互,具备自动化安装 MCP 服务器、SSE 传输支持、自动选择服务器、聊天记录管理等功能。
80 15
ChatMCP:基于 MCP 协议开发的 AI 聊天客户端,支持多语言和自动化安装 MCP 服务器
|
20天前
|
运维 Ubuntu 应用服务中间件
自动化运维之路:使用Ansible进行服务器管理
在现代IT基础设施中,自动化运维已成为提高效率和可靠性的关键。本文将引导您通过使用Ansible这一强大的自动化工具来简化日常的服务器管理任务。我们将一起探索如何配置Ansible、编写Playbook以及执行自动化任务,旨在为读者提供一条清晰的路径,从而步入自动化运维的世界。
|
18天前
|
运维 网络安全 Python
自动化运维:使用Ansible实现批量服务器配置
在快速迭代的IT环境中,高效、可靠的服务器管理变得至关重要。本文将介绍如何使用Ansible这一强大的自动化工具,来简化和加速批量服务器配置过程。我们将从基础开始,逐步深入到更复杂的应用场景,确保即使是新手也能跟上节奏。文章将不包含代码示例,而是通过清晰的步骤和逻辑结构,引导读者理解自动化运维的核心概念及其在实际操作中的应用。
|
21天前
|
监控 数据管理 测试技术
API接口自动化测试深度解析与最佳实践指南
本文详细介绍了API接口自动化测试的重要性、核心概念及实施步骤,强调了从明确测试目标、选择合适工具、编写高质量测试用例到构建稳定测试环境、执行自动化测试、分析测试结果、回归测试及集成CI/CD流程的全过程,旨在为开发者提供一套全面的技术指南,确保API的高质量与稳定性。
|
21天前
|
数据管理 测试技术 持续交付
软件测试中的自动化测试策略与最佳实践
在当今快速迭代的软件开发环境中,自动化测试已成为确保软件质量和加速产品上市的关键手段。本文旨在探讨软件测试中的自动化测试策略,包括选择合适的自动化测试工具、构建有效的自动化测试框架以及实施持续集成和持续部署(CI/CD)。通过分析自动化测试的最佳实践,本文为软件开发团队提供了一系列实用的指南,以优化测试流程、提高测试效率并减少人为错误。
54 4
|
19天前
|
运维 Ubuntu 网络协议
自动化运维:使用Ansible进行服务器配置管理
在现代IT架构中,自动化运维已成为提升效率、减少人为错误的关键。本文将介绍如何使用Ansible这一强大的自动化工具来简化和标准化服务器的配置管理过程。通过具体的代码示例和操作步骤,我们将展示如何快速部署应用、管理配置以及自动化日常任务,从而确保环境的一致性和可靠性。
|
1月前
|
运维 安全 Ubuntu
自动化运维:使用Ansible进行服务器配置管理
在现代IT基础设施中,自动化运维是确保高效、稳定和安全服务的关键。本文将深入介绍如何使用Ansible这一开源工具来简化服务器配置管理工作,从基础安装到高级应用,我们将一步步展示如何通过Ansible Playbooks实现自动化部署和维护,旨在帮助读者构建更加灵活和可扩展的运维体系。
43 7

热门文章

最新文章

相关产品

  • 云服务器 ECS