带你读《从基础到应用云上安全航行指南》——九大提升ECS实例操作系统安全性的技巧（3）

带你读《从基础到应用云上安全航行指南》——九大提升ECS实例操作系统安全性的技巧（2）

：https://developer.aliyun.com/article/1441588

四、进阶提升操作系统的安全性

除了访问操作系统安全以及操作系统安全加固外，一些等保合规、审计场景都会有更多的一些安全要求。接下来看一下进阶提升操作系统安全主要包括的几个内容，一个是日志审计，另外一个是等保合规两类型。

 

首先是日志审计，我们为什么需要做日志审计。

 

 

根据FireEye M-Trends 2018报告，企业安全防护管理能力比较薄弱。尤其是亚太地区，全球范围内企业组织的攻击从发生到发现的时间需要101天。而亚太地区平均需要498天，企业需要长期可靠、无篡改的日志和审计支持来持续缩短这时间。

 

同时，日资审计也是法律的刚性需求，无论是在中国境内还是在海外，企业落实日志审计也越来越迫切，尤其是中国内地在2017年实施了网络安全法，以及2019年之后实施的《网络安全等保2.0标准》。

 

 

我们建议启用会话管理登录实例。在您启用会话管理登录您的实例时，我们建议您同时启用会话管理操作记录投递能力，它允许用户将会话管理操作记录投递到您的存储对象或者日志服务中进行持久化存储，以便以续对操作记录进行进一步的查询、分析、审计。

 

如图所示它能够记录到哪账号对哪实例做了什么样的操作，操作命令以对应的输出分别是什么，这对后续的安全分析是非常有意义的。

 

 

另外，我们还强烈建议客户开启操作审计服务。操作审计服务可以帮助您监控记录到云账号对产品服务的访问以及使用行为，您可以根据这些行为进行安全分析，以监控未授权的访问，识别潜在的安全配置错误、威胁和意外行为。或满足某些合规审计的一些操作。

 

 

除了登录审计以及操作审计外，我们建议您开启日志审计服务。日志审计服务在继承现有日志服务的功能之外，还支持多账号下实时自动化、中心化采集云产品的日志进行审计，同时还支持审计所需要的存储、查询以及信息汇总。日志审计覆盖了多种技术产品，包括存储、网络、数据库、安全等产品，您也可以将您的应用日志接入到日志审计服务中，支持自由对接其他生态产品或者是自由的授课中心。

 

很多企业自身有成熟的法规条件以及合规审计团队，对账号、设备的操作、网络行为资质进行审计，客户可以直接消费原生的一些日志，也可以使用日志审计服务的审计功能，构建并输出合规的一个审计信息。

 

日志审计中有开启登录审计、操作审计日志审计服务，以满足相关的法律法规要求。对于等保合规，我们还提供了更多的安全能力。

 

说到等保合规不得不提到堡垒机。什么是堡垒机？

 

阿里云运维安全中心，也就是堡垒机。堡垒机用于集中管理资产权限，全程监控操作行为，实时还原运维场景，保障云端运维的身份可以鉴别、权限可以控制、操作可以审计。解决了众多资产管理难、运维职责权限不清晰以及运维事件难追溯等等问题，阿里云为您在Workbench连接ECS实例时提供了便捷的堡垒机访问方案。

 

 

什么场景下需要使用堡垒机？

 

首先是国家在不断加强对网络数据安全的管控要求，纵观整运维的过程，种种的数据运维安全风险，运维安全行为的管控势在必行，国家也在多个安全保护规则中增加了对相关安全需求。

 

什么样的场景下需要使用堡垒机？

 

首先是国家在不断加强对网络数据安全的管控要求，比如等保二级，等保三级，也就是过国内的等保合规使用堡垒机就可以。另外企业自身的运维风险开始不断的增加，有一些客户需要确定来源，身份定位，操作过程回溯，以及账号密码的管理，运维的管控等等，可以使用堡垒机。

 

 

堡垒机能够做些什么？

 

 

堡垒机常用的安全能力包括账密的一些托管，堡垒机支持资产运维免登录，对账号密码进行统一托管，无需用户进行输入账号和密码。另外运维的身份鉴别，在仿冒用户登录防范上，堡垒机支持双因子认证功能。另外运维权限管控的收敛，堡垒机具有细粒度的权限管控能力，可以根据用户组进行划分资产访问权限，另外还具有高危行为拦截能力。

 

在恶意访问行为上，云盾堡垒机可以对敏感的高危操作，比如删库（rm -rf /*）等行为进行自动的阻断拦截。另外一个比较重要的是审计的溯源，云盾暴力机支持可视化审计记录，通过直观录播的方式，更真实的还原了全行为场景。

 

 

除了堡垒机之外，还提供了符合国家等保2.0三级版本的镜像，您可以在新购ECS实例时选择公共镜像，会自动提示满足等保合规的镜像，这些镜像天然符合三级等保合规的要求，包括了身份鉴别、访问控制、入侵防御、恶意代码防范等等对应的一些要求。

 

 

另外，在云安全中心中还支持了合规检查的功能，合规检查功能提供了等保合规检查以及ISO 27001合规检查认证，您可以使用该功能检查系统中是否符合等保合规要求，以及ISO 27001国际信息安全管理体系的一认证标准。

五、总结

前面提供了很多提升操作系统安全性的一些建议，包括提升访问操作系统安全性方案中的使用密钥对连接实力，杜绝暴力破解的一些威胁，使用会话管理、免密连接实例，免公网、免跳板机、免密码提升访问操作系统安全性，以及避免了端口的0.0.0的授权，仅开放必要端口提供给有限的IP访问，以减少攻击面。

 

也有操作系统安全加固相关的方案，使OOS补丁基线自动更新安全补丁，避免了高危安全漏洞导致的系统安全风险，使用Alibaba cloud Linux操作系统的内核热补丁的能力，能够快速平稳的升级的操作系统安全补丁，使用免费的基础安全服务，比如定期漏洞扫描、异常登录检查、AK泄露检查等等，提高对应的安全性。

 

 

对安全有更高要求的客户，我们还提供了进阶提升操作系统安全性的方案，开启登录审计日志、操作审计日志、日志审计服务，对日志进行定期的审计分析，缩短攻击发生到发现的时间，降低企业安全损失。使用堡垒机，在满足等保合规的场景下管理运维，控制权限、身份鉴别、账密托管、高危行为阻断、审计溯源，以进一步提升操作系统安全。

 

使用三级等保合规形象，以基础安全服务中的合规检查能力，以帮助您更快速、高效、持续的实现等保合规制度。系统从来不是一个点的安全，需要更多维度的终身安全防疫。

 

以上就是本次课程的全部内容。