带你读《从基础到应用云上安全航行指南》——阿里云产品专家教你如何全方位构建ECS安全体系(2)

本文涉及的产品
资源编排,不限时长
无影云电脑企业版,4核8GB 120小时 1个月
无影云电脑个人版,1个月黄金款+200核时
简介: 带你读《从基础到应用云上安全航行指南》——阿里云产品专家教你如何全方位构建ECS安全体系(2)

带你读《从基础到应用云上安全航行指南》——阿里云产品专家教你如何全方位构建ECS安全体系(1):https://developer.aliyun.com/article/1441593


二、安全责任共担模型介绍

第二部分将为大家详细介绍ECS的安全责任共担模型。这个责任模型是我们进行云上安全实践的重要基础,也是主要依据之一。在介绍模型之前,先为介绍一下ECS的底层架构,因为这也是我们对ECS的安全性进行配置的一个基础。

 

在传统的云下应用架构下,搭建一个信息系统,需要自行负责信息系统所以来的所有底层软硬件的资源和服务搭建。如果把信息系统的搭建比作为一个房子,那在我们的传统服务模式下,我们则需要自行准备搭建一个房子所需要的全部资源。其实这里可以类比为我们在乡下宅基地自建房,需要选址打地基,设计房屋构造和布局,拉上水电煤等技术服务,最后做内部装潢,可能还需要判断房子外围是否需要加盖院子和围墙,来保障房子的安全。所以我们可以看到,在传统架构下,所有的任务和服务都需要我们自行设计、自行管理和自行维护。

 

而在infrastructure as service基础设施及服务这种的服务模式下,我们可以看到云服务提供商就像房地产开发商一样,每一个基础且重要的建房步骤都由云服务提供商来负责管理和维护,同时他们还需要保障不同的用户或者不同房子之间的资源隔离问题,需要做到互不影响。而我们作为用户,只需要根据业务需要以及当前的属性去做一些选择和配置即可。

 

那我们来看一下选购一个ECS和选购一个房子有哪些重要的参考参数呢?

 

首先就是选择地域和可用区,ECS的地域和可用区类似于房子地段的情况,地段由城市和县市决定。在地域和可用区的选择上,主要交由用户选择。建议大家选择在更靠近业务服务的目标用户的区域,这样整个网络延迟相对更低。

 

其次选择对应的VPC和交换机。VPC是用户自定义的一种私有网络,而不同的VPC之间在逻辑上是完全隔离的,但同一个VPC中子网又是默认互通的,交换机则是将一个VPC划分成一个或多个子网,所以从这个概念上来说我们可以把VPC理解为一个小区,同一个小区中的房子在不出小区的情况下就能够互通,如果我们在一个小区中有多套房子,就可以通过交换机操作类似单元楼的方式进行划分,方便管理。所以在某种程度上,我们选择ECSVPC和交换机,其实就相当于我们在选择房子所在的一个小区和单元楼。

 

然后我们要选择ECS镜像。ECS镜像我们也叫操作系统,其实我们在选择镜像的时候,可以分不同的类型和版本,比如我们选择Windows server 2023这个版本。这就相当于我们去选择这个房子的户型究竟是三室两厅还是两室两厅。

 

下一步选择对应的ECS安全组。安全组其实是一个虚拟的防火墙,主要用来控制安全组内的ECS实例的入出方向的流量,相当于我们设置的一个规则来允许什么人可以进出单元楼,所以我们可以把安全组类比做门禁卡,可以通过设置门禁卡的规则来限定什么样的人能够进入我们的小区,进入我们的房子。

 

最后则是选择实例的用户名和密码,也就相当于房子钥匙,不同的人可以用钥匙打开我们的门,进入到房子中去,所以如果我们的用户名和密码没有得到很好的保障,则相当于我们的钥匙也没有得到很好的保管,那么我们整个ECS其实是可以任由大家访问的。

 

理解了整个ECS架构,我们就可以看到作为ECS用户,我们就相当于一个房子的租客一样,需要我们作为租客(用户),对房子中所有的基础设施的配置来负责,包括对应的ECS有没有设置对应的网络隔离,整个实例操作系统的安全性有没有得到保障等等,以及有没有设置对应的访问策略,以及在里面跑的这些应用是否安全。这意味着整个ECS内部的这一部分是由我们作为用户,需要自己管理并负责的。而云服务提供商其实就和房地产开发商一样,主要负责两部分的安全,第一部分其实负责对整个地域和可用区里面的基础设施进行和管理和维护,第二部分其实对于我们这个虚拟化服务和云产品的管理和服务进行负责。

 

image.png

 

在了解底层架构之后,我们再来讨论ECS的安全责任共担模型,其实就会发现,这个模型会更清晰。上图右侧列举了云服务提供商和我们的用户之间的责任边界,可以看到云服务提供商对云本身的安全性负责,而云本身的安全性分成了两个维度,第一个就是基础设施的安全性,第二个是云服务的安全性。基础设施的安全性主要包括底层硬件的主机安全,以及一些虚拟化的安全。要提供一个安全、合规、可靠的基础设施,这也类似于我们房子的地基,房子的地基是否安全,房体所使用的钢筋水泥土是否符合国家建筑安全的规定。云厂商的第二个安全责任就是需要对云服务的安全性负责,主要是云服务本身是否安全。

 

而在这个基础上,用户侧需要围绕云上安全性需要做哪些事情呢?上文介绍到了ECS一些重要的参数和组件,其实也是我们在提升ECS安全性方面所需要考虑的几个维度,目前我们可以分为四个维度。

 

最底层GuestOs安全其实是我们ECS所有安全的基础,相当于房子的门窗和钥匙是否安全。其次是访问安全,本质上来说,主要控制有哪些用户能够访问我们的实例。第三块是网络安全,主要通过网络隔离和网络控制手段提升整个网络的安全性。最后一部分是数据安全,也是云上安全的最终目标,当然其中也存在着不同的维度,比如我们可以用快照做数据备份,也可以对存储的数据进行加密,甚至可以通过机密计算的方式保证数据在计算过程中的安全性,这里预告一下,数据安全在后续章节也会有讲师为大家做深入的开展。

 

整体来说,ECS的安全责任共担模型明确了云厂商和用户大家的责任边界,以及在每个维度上用户能够做的提升ECS安全性的一些事情。

 

image.png

 

前面介绍的安全责任共担模型其实是一个整体大原则,根据《中华人民共和国网络安全法》以及《互联网信息服务管理办法》等相关法律规定,他们对厂商和云平台其实提出了更多的法律监管的要求,也意味着云平台除了前面提到的需要对云本身的安全性负责意外,还需要根据国家的法律法规对以下的两类违法行为进行主动管控。

 

第一点要强调的就是ECS上的一些违法行为,第二个则是ECS上的一些违法信息。第一类是违法行为,包括我们在ECS上对其他云产品发起攻击,或者说我们对云产品进行一些扫描、渗透、测试等探测行为,或者我们使用云产品去搭建DDos的防御服务,还包括我们使用云产品从事一些虚拟货币相关的工作活动,比如挖矿等,均属于违规行为。第二类是违法信息,指的则是我们在ECS上搭建一些网站服务,提供色情低俗的内容,或者有欺骗、赌博等非法行为,以及出现危害国家安全,破坏政治社会稳定的信息。在这种情况下,云平台有权依照相关的法律采取相应的封禁措施。

 

对于存在一般违法行为的ECS,阿里云会对ECS上的url和域名采取一些阻断动作。如果出现账号被封禁,用户可以申请免费解禁,或者申请主动解禁。但对于严重的违法行为,我们除了阻断url和域名访问意外,还会禁止用户解禁,除非用户把数据完全删除/完全释放,才会解禁。对于情节严重的违法违规行为,我们会对ECS采取关停甚至限制对应账号访问的行为。当然如果用户在使用ECS过程中,因为上述问题被阿里云采取了封禁措施,用户也会收到对应的ECS系统事件以及对应的短信、邮件、站内信的通知。大家可以根据对应的通知来采取相关的措施进行及时清理。如果没有及时清理,接下来ECS可能就没有办法正常使用。

 

image.png


带你读《从基础到应用云上安全航行指南》——阿里云产品专家教你如何全方位构建ECS安全体系(3):

https://developer.aliyun.com/article/1441591

相关实践学习
2分钟自动化部署人生模拟器
本场景将带你借助云效流水线Flow实现人生模拟器小游戏的自动化部署
7天玩转云服务器
云服务器ECS(Elastic Compute Service)是一种弹性可伸缩的计算服务,可降低 IT 成本,提升运维效率。本课程手把手带你了解ECS、掌握基本操作、动手实操快照管理、镜像管理等。了解产品详情: https://www.aliyun.com/product/ecs
目录
相关文章
|
6天前
|
弹性计算 运维 安全
阿里云轻量应用服务器与ECS的区别及选择指南
轻量应用服务器和云服务器ECS(Elastic Compute Service)是两款颇受欢迎的产品。本文将对这两者进行详细的对比,帮助用户更好地理解它们之间的区别,并根据自身需求做出明智的选择。
|
7天前
|
SQL 弹性计算 安全
阿里云上云优选与飞天加速计划活动区别及购买云服务器后续必做功课参考
对于很多用户来说,购买云服务器通常都是通过阿里云当下的各种活动来购买,这就有必要了解这些活动的区别,同时由于活动内的云服务器购买之后还需要单独购买并挂载数据盘,还需要设置远程密码以及安全组等操作之后才能正常使用云服务器。本文就为大家介绍一下目前比较热门的上云优选与飞天加速计划两个活动的区别,以及通过活动来购买云服务器之后的一些必做功课,确保云服务器可以正常使用,以供参考。
|
11天前
|
弹性计算 运维 Serverless
产品测评 | ECS的健康保障新助手——云服务诊断
本文评测了阿里云的云服务诊断工具,该工具旨在帮助运维工程师和开发者快速定位和解决云资源问题。工具提供了“健康状态”和“诊断”两大核心功能,能够实时监控云资源状态,排查如网站无法访问、ECS故障等多种问题,并给出修复建议。该工具显著提升了排障效率,但在文档清晰度、功能描述准确性及部分功能实现上仍有改进空间。总体而言,该工具值得推荐给其他用户或团队使用。
|
9天前
|
弹性计算 安全 开发工具
灵码评测-阿里云提供的ECS python3 sdk做安全组管理
批量变更阿里云ECS安全组策略(批量变更)
|
4天前
|
机器学习/深度学习 人工智能 编解码
阿里云GPU云服务器优惠收费标准,GPU服务器优缺点与适用场景详解
随着人工智能、大数据分析和高性能计算的发展,对计算资源的需求不断增加。GPU凭借强大的并行计算能力和高效的浮点运算性能,逐渐成为处理复杂计算任务的首选工具。阿里云提供了从入门级到旗舰级的多种GPU服务器,涵盖GN5、GN6、GN7、GN8和GN9系列,分别适用于图形渲染、视频编码、深度学习推理、训练和高性能计算等场景。本文详细介绍各系列的规格、价格和适用场景,帮助用户根据实际需求选择最合适的GPU实例。
|
6天前
|
弹性计算 Linux 数据安全/隐私保护
阿里云上快速搭建幻兽帕鲁游戏联机服务器指南
对于热爱幻兽帕鲁游戏的玩家来说,搭建一台专属的联机服务器无疑能够大大提升游戏体验。阿里云作为领先的云计算服务商,为玩家提供了便捷、高效的服务器搭建方案。本文将为您详细介绍如何在阿里云上快速搭建幻兽帕鲁游戏联机服务器,让您轻松享受多人游戏的乐趣。
|
27天前
|
存储 人工智能 弹性计算
阿里云弹性计算(ECS)提供强大的AI工作负载平台,支持灵活的资源配置与高性能计算,适用于AI训练与推理
阿里云弹性计算(ECS)提供强大的AI工作负载平台,支持灵活的资源配置与高性能计算,适用于AI训练与推理。通过合理优化资源分配、利用自动伸缩及高效数据管理,ECS能显著提升AI系统的性能与效率,降低运营成本,助力科研与企业用户在AI领域取得突破。
46 6
|
1月前
|
人工智能 弹性计算 编解码
阿里云GPU云服务器性能、应用场景及收费标准和活动价格参考
GPU云服务器作为阿里云提供的一种高性能计算服务,通过结合GPU与CPU的计算能力,为用户在人工智能、高性能计算等领域提供了强大的支持。其具备覆盖范围广、超强计算能力、网络性能出色等优势,且计费方式灵活多样,能够满足不同用户的需求。目前用户购买阿里云gpu云服务器gn5 规格族(P100-16G)、gn6i 规格族(T4-16G)、gn6v 规格族(V100-16G)有优惠,本文为大家详细介绍阿里云gpu云服务器的相关性能及收费标准与最新活动价格情况,以供参考和选择。
|
1月前
|
机器学习/深度学习 人工智能 弹性计算
什么是阿里云GPU云服务器?GPU服务器优势、使用和租赁费用整理
阿里云GPU云服务器提供强大的GPU算力,适用于深度学习、科学计算、图形可视化和视频处理等多种场景。作为亚太领先的云服务提供商,阿里云的GPU云服务器具备灵活的资源配置、高安全性和易用性,支持多种计费模式,帮助企业高效应对计算密集型任务。
109 6
|
1月前
|
存储 分布式计算 固态存储
阿里云2核16G、4核32G、8核64G配置云服务器租用收费标准与活动价格参考
2核16G、8核64G、4核32G配置的云服务器处理器与内存比为1:8,这种配比的云服务器一般适用于数据分析与挖掘,Hadoop、Spark集群和数据库,缓存等内存密集型场景,因此,多为企业级用户选择。目前2核16G配置按量收费最低收费标准为0.54元/小时,按月租用标准收费标准为260.44元/1个月。4核32G配置的阿里云服务器按量收费标准最低为1.08元/小时,按月租用标准收费标准为520.88元/1个月。8核64G配置的阿里云服务器按量收费标准最低为2.17元/小时,按月租用标准收费标准为1041.77元/1个月。本文介绍这些配置的最新租用收费标准与活动价格情况,以供参考。

相关产品

  • 云服务器 ECS