带你读《从基础到应用云上安全航行指南》——九大提升ECS实例操作系统安全性的技巧(3)

本文涉及的产品
云服务器 ECS,每月免费额度200元 3个月
云服务器ECS,u1 2核4GB 1个月
简介: 带你读《从基础到应用云上安全航行指南》——九大提升ECS实例操作系统安全性的技巧(3)

带你读《从基础到应用云上安全航行指南》——九大提升ECS实例操作系统安全性的技巧(2)

https://developer.aliyun.com/article/1441588

四、进阶提升操作系统的安全性

除了访问操作系统安全以及操作系统安全加固外,一些等保合规、审计场景都会有更多的一些安全要求。接下来看一下进阶提升操作系统安全主要包括的几个内容,一个是日志审计,另外一个是等保合规两类型。

 

首先是日志审计,我们为什么需要做日志审计。

 

image.png

 

根据FireEye M-Trends 2018报告,企业安全防护管理能力比较薄弱。尤其是亚太地区,全球范围内企业组织的攻击从发生到发现的时间需要101天。而亚太地区平均需要498天,企业需要长期可靠、无篡改的日志和审计支持来持续缩短这时间。

 

同时,日资审计也是法律的刚性需求,无论是在中国境内还是在海外,企业落实日志审计也越来越迫切,尤其是中国内地在2017年实施了网络安全法,以及2019年之后实施的《网络安全等保2.0标准》。

 

image.png

 

我们建议启用会话管理登录实例。在您启用会话管理登录您的实例时,我们建议您同时启用会话管理操作记录投递能力,它允许用户将会话管理操作记录投递到您的存储对象或者日志服务中进行持久化存储,以便以续对操作记录进行进一步的查询、分析、审计。

 

如图所示它能够记录到哪账号对哪实例做了什么样的操作,操作命令以对应的输出分别是什么,这对后续的安全分析是非常有意义的。

 

image.png

 

另外,我们还强烈建议客户开启操作审计服务。操作审计服务可以帮助您监控记录到云账号对产品服务的访问以及使用行为,您可以根据这些行为进行安全分析,以监控未授权的访问,识别潜在的安全配置错误、威胁和意外行为。或满足某些合规审计的一些操作。

 

image.png

 

除了登录审计以及操作审计外,我们建议您开启日志审计服务。日志审计服务在继承现有日志服务的功能之外,还支持多账号下实时自动化、中心化采集云产品的日志进行审计,同时还支持审计所需要的存储、查询以及信息汇总。日志审计覆盖了多种技术产品,包括存储、网络、数据库、安全等产品,您也可以将您的应用日志接入到日志审计服务中,支持自由对接其他生态产品或者是自由的授课中心。

 

很多企业自身有成熟的法规条件以及合规审计团队,对账号、设备的操作、网络行为资质进行审计,客户可以直接消费原生的一些日志,也可以使用日志审计服务的审计功能,构建并输出合规的一个审计信息。

 

日志审计中有开启登录审计、操作审计日志审计服务,以满足相关的法律法规要求。对于等保合规,我们还提供了更多的安全能力。

 

image.png

说到等保合规不得不提到堡垒机。什么是堡垒机?

 

阿里云运维安全中心,也就是堡垒机。堡垒机用于集中管理资产权限,全程监控操作行为,实时还原运维场景,保障云端运维的身份可以鉴别、权限可以控制、操作可以审计。解决了众多资产管理难、运维职责权限不清晰以及运维事件难追溯等等问题,阿里云为您在Workbench连接ECS实例时提供了便捷的堡垒机访问方案。

 

image.png

 

什么场景下需要使用堡垒机?

 

首先是国家在不断加强对网络数据安全的管控要求,纵观整运维的过程,种种的数据运维安全风险,运维安全行为的管控势在必行,国家也在多个安全保护规则中增加了对相关安全需求。

 

什么样的场景下需要使用堡垒机?

 

首先是国家在不断加强对网络数据安全的管控要求,比如等保二级,等保三级,也就是过国内的等保合规使用堡垒机就可以。另外企业自身的运维风险开始不断的增加,有一些客户需要确定来源,身份定位,操作过程回溯,以及账号密码的管理,运维的管控等等,可以使用堡垒机。

 

image.png

 

堡垒机能够做些什么?

 

 

堡垒机常用的安全能力包括账密的一些托管,堡垒机支持资产运维免登录,对账号密码进行统一托管,无需用户进行输入账号和密码。另外运维的身份鉴别,在仿冒用户登录防范上,堡垒机支持双因子认证功能。另外运维权限管控的收敛,堡垒机具有细粒度的权限管控能力,可以根据用户组进行划分资产访问权限,另外还具有高危行为拦截能力。

 

在恶意访问行为上,云盾堡垒机可以对敏感的高危操作,比如删库(rm -rf /*)等行为进行自动的阻断拦截。另外一个比较重要的是审计的溯源,云盾暴力机支持可视化审计记录,通过直观录播的方式,更真实的还原了全行为场景。

 

image.png

 

除了堡垒机之外,还提供了符合国家等保2.0三级版本的镜像,您可以在新购ECS实例时选择公共镜像,会自动提示满足等保合规的镜像,这些镜像天然符合三级等保合规的要求,包括了身份鉴别、访问控制、入侵防御、恶意代码防范等等对应的一些要求。

  image.png

 

另外,在云安全中心中还支持了合规检查的功能,合规检查功能提供了等保合规检查以及ISO 27001合规检查认证,您可以使用该功能检查系统中是否符合等保合规要求,以及ISO 27001国际信息安全管理体系的一认证标准。

五、总结

前面提供了很多提升操作系统安全性的一些建议,包括提升访问操作系统安全性方案中的使用密钥对连接实力,杜绝暴力破解的一些威胁,使用会话管理、免密连接实例,免公网、免跳板机、免密码提升访问操作系统安全性,以及避免了端口的0.0.0的授权,仅开放必要端口提供给有限的IP访问,以减少攻击面。

 

也有操作系统安全加固相关的方案,使OOS补丁基线自动更新安全补丁,避免了高危安全漏洞导致的系统安全风险,使用Alibaba cloud Linux操作系统的内核热补丁的能力,能够快速平稳的升级的操作系统安全补丁,使用免费的基础安全服务,比如定期漏洞扫描、异常登录检查、AK泄露检查等等,提高对应的安全性。

 

  image.png

对安全有更高要求的客户,我们还提供了进阶提升操作系统安全性的方案,开启登录审计日志、操作审计日志、日志审计服务,对日志进行定期的审计分析,缩短攻击发生到发现的时间,降低企业安全损失。使用堡垒机,在满足等保合规的场景下管理运维,控制权限、身份鉴别、账密托管、高危行为阻断、审计溯源,以进一步提升操作系统安全。

 

使用三级等保合规形象,以基础安全服务中的合规检查能力,以帮助您更快速、高效、持续的实现等保合规制度。系统从来不是一个点的安全,需要更多维度的终身安全防疫。

 

以上就是本次课程的全部内容。

相关实践学习
一小时快速掌握 SQL 语法
本实验带您学习SQL的基础语法,快速入门SQL。
7天玩转云服务器
云服务器ECS(Elastic Compute Service)是一种弹性可伸缩的计算服务,可降低 IT 成本,提升运维效率。本课程手把手带你了解ECS、掌握基本操作、动手实操快照管理、镜像管理等。了解产品详情: https://www.aliyun.com/product/ecs
目录
相关文章
|
17天前
|
存储 Unix 程序员
面试题:Ctrl + C在不同操作系统下的应用
字节跳动面试题:Ctrl + C在不同操作系统下的应用
35 1
|
1月前
|
SQL 弹性计算 安全
购买阿里云活动内云服务器之后设置密码、安全组、增加带宽、挂载云盘教程
当我们通过阿里云的活动购买完云服务器之后,并不是立马就能使用了,还需要我们设置云服务器密码,配置安全组等基本操作之后才能使用,有的用户还需要购买并挂载数据盘到云服务器上,很多新手用户由于是初次使用阿里云服务器,因此并不知道这些设置的操作流程,下面给大家介绍下这些设置的具体操作流程。
购买阿里云活动内云服务器之后设置密码、安全组、增加带宽、挂载云盘教程
|
1月前
|
弹性计算 Ubuntu Linux
AMD实例使用|AMD实例规格与操作系统兼容性说明
不同的AMD实例可能需要特定版本的驱动程序和内核来运行。购买AMD实例规格时,建议您使用官方支持的操作系统版本,以确保其包含适用于您的AMD实例的必要驱动程序和内核版本。本文主要说明不同代系的AMD实例与不同版本的操作系统镜像之间的兼容性。
|
7天前
|
缓存 安全 调度
代理服务器如何保护用户隐私和安全?
Python搭建代理IP池实现接口设置与整体调度
24 10
|
14天前
|
弹性计算 安全
电子好书发您分享《阿里云第八代企业级ECS实例,为企业提供更安全的云上防护》
阿里云第八代ECS实例,搭载第五代英特尔至强处理器与飞天+CIPU架构,提升企业云服务安全与算力。[阅读详情](https://developer.aliyun.com/ebook/8303/116162?spm=a2c6h.26392459.ebook-detail.5.76bf7e5al1Zn4U) ![image](https://ucc.alicdn.com/pic/developer-ecology/cok6a6su42rzm_f422f7cb775444bbbfc3e61ad86800c2.png)
35 14
|
25天前
|
存储 缓存 PHP
阿里云服务器实例、CPU内存、带宽、操作系统选择参考
对于使用阿里云服务器的用户来说,云服务器的选择和使用非常重要,如果实例、内存、CPU、带宽等配置选择错误,可能会影响到自己业务在云服务器上的计算性能及后期运营状况,本文为大家介绍一下阿里云服务器实例、CPU内存、带宽、操作系统的选择注意事项,以供参考。
阿里云服务器实例、CPU内存、带宽、操作系统选择参考
|
28天前
|
弹性计算 DataWorks 关系型数据库
ECS安全组问题之加入多个安全组如何解决
ECS(Elastic Compute Service,弹性计算服务)是云计算服务提供商提供的一种基础云服务,允许用户在云端获取和配置虚拟服务器。以下是ECS服务使用中的一些常见问题及其解答的合集:
|
1月前
|
弹性计算 人工智能 物联网
挖掘阿里云ECS的潜力:创意应用和未来可能性
在云厂商中,我觉得开发者更信赖阿里云的云产品,而且随着阿里云最近宣布云产品降价的消息,会有更多的开发者和企业选择阿里云的云产品。这里拿阿里云的云服务器来做说明,阿里云的云服务器ECS为用户提供了强大的计算资源和灵活的扩展性,使其成为搭建各种有趣和创意应用的理想平台。除了已知的小游戏、小程序和个人网盘等应用案例之外,本文还会进一步探讨ECS在特定场景下的实践经验,并挖掘其在其他领域的潜力,为大家带来更多创意和启发。
556 3
挖掘阿里云ECS的潜力:创意应用和未来可能性
|
1月前
|
弹性计算 网络安全 文件存储
ECS热门应用 | 安装家用内网穿透服务
使用云服务器ECS,让家庭网络可以被外部网络访问。不在家时,也可以读取备份资料。
|
1月前
|
开发框架 Java .NET
JavaWeb概念、应用、服务器
静态网站是指在服务器上预先准备好的网页内容,用户访问时服务器直接将这些静态页面发送给用户浏览器,没有经过额外的处理或数据库查询。
12 0

相关产品

  • 云服务器 ECS