带你读《从基础到应用云上安全航行指南》——来上课!一文掌握守住ECS网络安全的最佳方法(1)

本文涉及的产品
云服务器 ECS,每月免费额度200元 3个月
云服务器ECS,u1 2核4GB 1个月
简介: 带你读《从基础到应用云上安全航行指南》——来上课!一文掌握守住ECS网络安全的最佳方法(1)

引言:本文整理自【弹性计算技术公开课——ECS安全季】系列课程中,阿里云弹性计算技术专家刘明带来了《如何守住ECS的第一道防线——网络安全》一节。

 

image.png

一、网络安全中常见问题概览

我们在网络环境中常见的安全问题非常多,在此挑选了几个与网络安全高度相关的场景,带大家简单了解一下。

  image.png

 

 

首先是网络系统安全,举几个例子:

 

第一:路由器、交换机等网络设备存在配置错误,极可能导致恶意入侵,这种是网络设备安全。

第二:Web服务器设计缺陷或者配置不当导致数据泄露,这种是服务器和应用安全、网络信息安全。我们常听说/电影情节中见到黑客对网络请求进行拦截的行为,甚至是直接篡改信息,给用户带来损失。还有一种是在同一个公司中,大家在同一个局域网内部,由于没有细分权限,发生敏感信息的泄露,比如财务部门的数据被泄露,给用户给公司带来损失。

第三:云安全,云环境中的应用没有正确配置安全组、防火墙规则等。

第四:服务器被攻击,由恶意用户发起的DDOS攻击,导致整个服务不可用,以上是网络安全问题的一些常见场景,这些都会给用户带来难以估量的损失。网络安全是一个非常重要的课题,做好防护是阿里云和用户共同的责任。

 

image.png

 

 

上图是解决网络安全问题的一个整体思路:

 

∙        首先做好网络隔离,如果您的服务不能被外部访问,甚至是不能够被内部访问,它一定是安全的。

∙        第二是做好阻断,通过使用云上提供的防火墙能力阻断不安全的访问,或者是仅允许指定端口IP访问。

∙        第三个是对流量进行监控和分析,如果发现了非预期的流量或者是访问,可以第一时间介入,进行相应的处置。

∙        第四个是做好安全防护,可能您的服务是面向公网用户的,攻击没办法完全避免,做好安全防护可以有效的降低安全问题带来的损失。

二、做好网络隔离

按照刚才提到的,讨论一下如何做好网络隔离,把坏人挡在门外,就不用担心他会伤害到您。

 

image.png

 

那么我们如何做好网络隔离?

 

∙        第一:阿里云提供的云上虚拟的局域网专有网络,专有网络相互之间在逻辑上是完全隔离,无法通信的,利用这个特性,可以构建自己的局域网,在每一个专有网络里,用户可以根据自己的需求创建多个交换机,交换机可以绑定网络ACL进行流量的控制。

∙        第二:建议用户把自己的网络设备按照重要程度、部署服务类型、安全等级等进行划分,根据他们的不同把相应的服务部署到不同的交换机下。

∙        第三:尽量使用内网通信,非必要情况下不要使用公网。例如当想进行跨专有网络的通信时,优先使用阿里云提供的终端节点进行服务,终端节点是通过内网进行通信的,以上就是阿里云网络隔离的三大建议,下面会详细的介绍相关的产品。

 

image.png

 

首先,学习一下专有网络。

 

专有网络是专有的云上私有网络,用户可以根据自己的需求在云上创建多个专有网络,在专有网络中,用户可以完全掌控自己的网络,例如可以选择地址IP的范围,阿里云提供ABC三个网段的地址段,例如10.0.0.0掩码是8A类地址段和192.16 8.0.0掩码是16B类地址段。用户可以在专有网络中配置路由表和网关,可以在自己定义的专有网络中使用阿里云的一些资源,如云服务器ECS,云数据库RDS和负载均衡SLB等等,专有网络还有非常多其他高级的功能,在此不再详细介绍,大家可以根据官网文档进行了解。

 

重点介绍安全相关的内容,专有网络提供了丰富的隔离能力:

 

∙        在专有网络之间在逻辑上是彻底隔离的,相互之间默认无法通信。

∙        专有网络内的ECS可以通过内网进行通信减少,这样就可以减少公网的暴露。

∙        每个专业网络内它可以建立多个交换机,可以有利于这种网络的网络和网段的划分,不同交换之间也可以设置一些隔离。

 

这是对专有网络的一些介绍,下面一起了解一下虚拟交换机。

 

image.png

 

接下来,了解虚拟交换机的概念。

 

交换机是组成专有网络的基础网络设备,用来连接不同的语音资源实例,每个专有网络下,用户可以很方便的管理多个虚拟交换机,根据自己的需求进行创建、删除、配置虚拟交换机。

 

左边图中交换机的一些概念,第一,当前的专有网络中有三个交换机,其中的两个位于可用区A,另外一个位于可用区B。每一个交换机都必须会有一个可用区中。

 

专有网络交换机提供的安全能力主要有两点:

 

∙        第一,服务隔离,可以根据服务的安全等级、服务的类型进行网站的划分。

∙        第二是流量控制,专业网络,提供了网络ACL的功能,网络ACL可以绑定到交换机上,对流经交换机的流量进行访问的控制。

这就是交换机的整体概念,继续看一下关于网络隔离的一些其他建议。

 

image.png

 

第一个建议是用户权限分级,设置一个网络的管理员统一来管理网安全组,网络ACL以及流量日志这些高危的权限,避免高危权限的泄露,同时出现问题时也更容易排查;普通用户无法变更网络ACL和安全组的ACL

 

第二个建议是隐藏私密的内容,通过阿里云提供了网络ACL,安全组和云防火墙,限制不易公开的内容访问权限,避免数据泄露。

 

第三个建议是要做服务隔离。

 

图中可以看到,有两个集群,第一个是Mysql服务集群,第二个是web服务集群。把Mysql的服务集群,都放在安全组A里,Web的服务集群都放在安全组B里。在大多数的应用场景下,只需要为安全组A配置一条允许内网进10.0.0.0掩码是8访问3306端口的规则,而安全组B配置一条允许公网及0.0.0.0且掩码是零的访问八零端口的规则,这样不同的服务它有不同的隔离级别。并且每一个服务的访问权限都是最小的。

 

第四个建议是优先使用内网而不是公网进行通信,一个典型的场景是跨VPC的通信,第一种方案,两个VPC都引入公网。第二个方案是为每一个VPC建立一个终端节点,通过终端节点使用内网进行通信,推荐第二种方案,这样可以减少公网暴露,降低安全的风险,这就是讲解的网络隔离的内容。下一个章节会讲解如何通过网络ACL和安全组进行流量的控制。


带你读《从基础到应用云上安全航行指南》——来上课!一文掌握守住ECS网络安全的最佳方法(2):

https://developer.aliyun.com/article/1441582

相关实践学习
一小时快速掌握 SQL 语法
本实验带您学习SQL的基础语法,快速入门SQL。
7天玩转云服务器
云服务器ECS(Elastic Compute Service)是一种弹性可伸缩的计算服务,可降低 IT 成本,提升运维效率。本课程手把手带你了解ECS、掌握基本操作、动手实操快照管理、镜像管理等。了解产品详情: https://www.aliyun.com/product/ecs
目录
相关文章
|
13天前
|
安全 Java 数据处理
Python网络编程基础(Socket编程)多线程/多进程服务器编程
【4月更文挑战第11天】在网络编程中,随着客户端数量的增加,服务器的处理能力成为了一个重要的考量因素。为了处理多个客户端的并发请求,我们通常需要采用多线程或多进程的方式。在本章中,我们将探讨多线程/多进程服务器编程的概念,并通过一个多线程服务器的示例来演示其实现。
|
1月前
|
Linux Shell 网络安全
【Shell 命令集合 网络通讯 】Linux 与SMB服务器进行交互 smbclient命令 使用指南
【Shell 命令集合 网络通讯 】Linux 与SMB服务器进行交互 smbclient命令 使用指南
46 1
|
1天前
|
安全 JavaScript 前端开发
第十六届山东省职业院校技能大赛中职组 “网络安全”赛项竞赛试题—B模块安全事件响应/网络安全数据取证/应用安全
该内容描述了一次网络安全演练,包括七个部分:Linux渗透提权、内存取证、页面信息发现、数字取证调查、网络安全应急响应、Python代码分析和逆向分析。参与者需在模拟环境中收集Flag值,涉及任务如获取服务器信息、提权、解析内存片段、分析网络数据包、处理代码漏洞、解码逆向操作等。每个部分都列出了若干具体任务,要求提取或生成特定信息作为Flag提交。
3 0
|
1天前
|
安全 测试技术 网络安全
2024年山东省职业院校技能大赛中职组 “网络安全”赛项竞赛试题-C安全事件响应/网络安全数据取证/应用安全
B模块涵盖安全事件响应和应用安全,包括Windows渗透测试、页面信息发现、Linux系统提权及网络安全应急响应。在Windows渗透测试中,涉及系统服务扫描、DNS信息提取、管理员密码、.docx文件名及内容、图片中单词等Flag值。页面信息发现任务包括服务器端口、主页Flag、脚本信息、登录成功信息等。Linux系统渗透需收集SSH端口号、主机名、内核版本,并实现提权获取root目录内容和密码。网络安全应急响应涉及删除后门用户、找出ssh后门时间、恢复环境变量文件、识别修改的bin文件格式及定位挖矿病毒钱包地址。
2 0
|
1天前
|
安全 测试技术 Linux
2024年山东省职业院校技能大赛中职组 “网络安全”赛项竞赛试题-A模块安全事件响应/网络安全数据取证/应用安全
该内容描述了一个网络安全挑战,涉及Windows和Linux系统的渗透测试以及隐藏信息探索和内存取证。挑战包括使用Kali Linux对Windows Server进行服务扫描、DNS信息提取、密码获取、文件名和内容查找等。对于Linux系统,任务包括收集服务器信息、提权并查找特定文件内容和密码。此外,还有对Server2007网站的多步骤渗透,寻找登录界面和页面中的隐藏FLAG。最后,需要通过FTP获取win20230306服务器的内存片段,从中提取密码、地址、主机名、挖矿程序信息和浏览器搜索关键词。
2 0
|
1天前
|
安全 测试技术 网络安全
2024年甘肃省职业院校技能大赛中职组 “网络安全”赛项竞赛样题-C模块安全事件响应/网络安全数据取证/应用安全
涉及安全事件响应和应用安全测试。需使用Kali对Windows Server2105进行渗透测试,包括服务扫描、DNS信息提取、管理员密码、文件名与内容、图片中单词等。另外,需收集win20230305的服务器端口、页面信息、脚本、登录后信息等。在Linux Server2214上,要获取SSH端口、主机名、内核版本并进行提权操作。网络安全响应针对Server2228,涉及删除后门用户、查找SSH后门时间、恢复环境变量、识别篡改文件格式和矿池钱包地址。最后,对lin20230509进行网站渗透,获取端口号、数据库服务版本、脚本创建时间、页面路径、内核版本和root目录下的flag文件内容
3 0
|
4天前
|
存储 安全 网络安全
构筑安全之盾:云计算环境下的网络安全与信息保护策略
【4月更文挑战第19天】随着云计算技术的飞速发展,企业和个人越来越依赖于云服务来存储、处理和交换数据。然而,这种便利性背后隐藏着潜在的安全风险。本文深入探讨了在云计算背景下,如何通过综合性的安全措施和策略来强化网络安全防护,确保数据的完整性、可用性和机密性。我们将分析当前面临的主要安全挑战,并基于最新的技术进展提出相应的解决方案,以期达到有效防御外部威胁和内部漏洞的目的。
16 4
|
5天前
|
人工智能 监控 安全
构筑安全之盾:云计算环境下的网络安全策略与实践
【4月更文挑战第19天】 在数字化转型的浪潮中,云计算已成为企业IT架构的核心组成部分。然而,随着云服务使用的普及化,网络安全问题亦变得日益复杂和挑战性。本文将深入探讨如何在云计算环境中实施有效的网络安全策略,保障数据的安全性和完整性。我们将从云服务模型出发,分析不同服务模型下的安全威胁,并提出相应的防护措施。文章还将讨论信息安全管理的最佳实践,包括加密技术、身份验证、访问控制以及安全监控等方面,旨在为企业提供一套全面的云计算安全防护框架。
|
5天前
|
缓存 安全 调度
代理服务器如何保护用户隐私和安全?
Python搭建代理IP池实现接口设置与整体调度
23 10
|
6天前
|
安全 网络协议 网络安全
保障数字世界的安全壁垒:网络安全与信息安全探究
在数字化浪潮的推动下,网络安全和信息安全日益成为社会发展的重要议题。本文将从网络安全漏洞、加密技术和安全意识等方面展开探讨,以期为读者呈现一幅数字世界安全的全景图,并提供一些应对措施与建议。
13 1

相关产品

  • 云服务器 ECS