带你读《从基础到应用云上安全航行指南》——阿里云产品专家教你如何全方位构建ECS安全体系(2)

本文涉及的产品
云服务器 ECS,每月免费额度280元 3个月
云服务器ECS,u1 2核4GB 1个月
简介: 带你读《从基础到应用云上安全航行指南》——阿里云产品专家教你如何全方位构建ECS安全体系(2)

带你读《从基础到应用云上安全航行指南》——阿里云产品专家教你如何全方位构建ECS安全体系(1):https://developer.aliyun.com/article/1441593


二、安全责任共担模型介绍

第二部分将为大家详细介绍ECS的安全责任共担模型。这个责任模型是我们进行云上安全实践的重要基础,也是主要依据之一。在介绍模型之前,先为介绍一下ECS的底层架构,因为这也是我们对ECS的安全性进行配置的一个基础。

 

在传统的云下应用架构下,搭建一个信息系统,需要自行负责信息系统所以来的所有底层软硬件的资源和服务搭建。如果把信息系统的搭建比作为一个房子,那在我们的传统服务模式下,我们则需要自行准备搭建一个房子所需要的全部资源。其实这里可以类比为我们在乡下宅基地自建房,需要选址打地基,设计房屋构造和布局,拉上水电煤等技术服务,最后做内部装潢,可能还需要判断房子外围是否需要加盖院子和围墙,来保障房子的安全。所以我们可以看到,在传统架构下,所有的任务和服务都需要我们自行设计、自行管理和自行维护。

 

而在infrastructure as service基础设施及服务这种的服务模式下,我们可以看到云服务提供商就像房地产开发商一样,每一个基础且重要的建房步骤都由云服务提供商来负责管理和维护,同时他们还需要保障不同的用户或者不同房子之间的资源隔离问题,需要做到互不影响。而我们作为用户,只需要根据业务需要以及当前的属性去做一些选择和配置即可。

 

那我们来看一下选购一个ECS和选购一个房子有哪些重要的参考参数呢?

 

首先就是选择地域和可用区,ECS的地域和可用区类似于房子地段的情况,地段由城市和县市决定。在地域和可用区的选择上,主要交由用户选择。建议大家选择在更靠近业务服务的目标用户的区域,这样整个网络延迟相对更低。

 

其次选择对应的VPC和交换机。VPC是用户自定义的一种私有网络,而不同的VPC之间在逻辑上是完全隔离的,但同一个VPC中子网又是默认互通的,交换机则是将一个VPC划分成一个或多个子网,所以从这个概念上来说我们可以把VPC理解为一个小区,同一个小区中的房子在不出小区的情况下就能够互通,如果我们在一个小区中有多套房子,就可以通过交换机操作类似单元楼的方式进行划分,方便管理。所以在某种程度上,我们选择ECSVPC和交换机,其实就相当于我们在选择房子所在的一个小区和单元楼。

 

然后我们要选择ECS镜像。ECS镜像我们也叫操作系统,其实我们在选择镜像的时候,可以分不同的类型和版本,比如我们选择Windows server 2023这个版本。这就相当于我们去选择这个房子的户型究竟是三室两厅还是两室两厅。

 

下一步选择对应的ECS安全组。安全组其实是一个虚拟的防火墙,主要用来控制安全组内的ECS实例的入出方向的流量,相当于我们设置的一个规则来允许什么人可以进出单元楼,所以我们可以把安全组类比做门禁卡,可以通过设置门禁卡的规则来限定什么样的人能够进入我们的小区,进入我们的房子。

 

最后则是选择实例的用户名和密码,也就相当于房子钥匙,不同的人可以用钥匙打开我们的门,进入到房子中去,所以如果我们的用户名和密码没有得到很好的保障,则相当于我们的钥匙也没有得到很好的保管,那么我们整个ECS其实是可以任由大家访问的。

 

理解了整个ECS架构,我们就可以看到作为ECS用户,我们就相当于一个房子的租客一样,需要我们作为租客(用户),对房子中所有的基础设施的配置来负责,包括对应的ECS有没有设置对应的网络隔离,整个实例操作系统的安全性有没有得到保障等等,以及有没有设置对应的访问策略,以及在里面跑的这些应用是否安全。这意味着整个ECS内部的这一部分是由我们作为用户,需要自己管理并负责的。而云服务提供商其实就和房地产开发商一样,主要负责两部分的安全,第一部分其实负责对整个地域和可用区里面的基础设施进行和管理和维护,第二部分其实对于我们这个虚拟化服务和云产品的管理和服务进行负责。

 

image.png

 

在了解底层架构之后,我们再来讨论ECS的安全责任共担模型,其实就会发现,这个模型会更清晰。上图右侧列举了云服务提供商和我们的用户之间的责任边界,可以看到云服务提供商对云本身的安全性负责,而云本身的安全性分成了两个维度,第一个就是基础设施的安全性,第二个是云服务的安全性。基础设施的安全性主要包括底层硬件的主机安全,以及一些虚拟化的安全。要提供一个安全、合规、可靠的基础设施,这也类似于我们房子的地基,房子的地基是否安全,房体所使用的钢筋水泥土是否符合国家建筑安全的规定。云厂商的第二个安全责任就是需要对云服务的安全性负责,主要是云服务本身是否安全。

 

而在这个基础上,用户侧需要围绕云上安全性需要做哪些事情呢?上文介绍到了ECS一些重要的参数和组件,其实也是我们在提升ECS安全性方面所需要考虑的几个维度,目前我们可以分为四个维度。

 

最底层GuestOs安全其实是我们ECS所有安全的基础,相当于房子的门窗和钥匙是否安全。其次是访问安全,本质上来说,主要控制有哪些用户能够访问我们的实例。第三块是网络安全,主要通过网络隔离和网络控制手段提升整个网络的安全性。最后一部分是数据安全,也是云上安全的最终目标,当然其中也存在着不同的维度,比如我们可以用快照做数据备份,也可以对存储的数据进行加密,甚至可以通过机密计算的方式保证数据在计算过程中的安全性,这里预告一下,数据安全在后续章节也会有讲师为大家做深入的开展。

 

整体来说,ECS的安全责任共担模型明确了云厂商和用户大家的责任边界,以及在每个维度上用户能够做的提升ECS安全性的一些事情。

 

image.png

 

前面介绍的安全责任共担模型其实是一个整体大原则,根据《中华人民共和国网络安全法》以及《互联网信息服务管理办法》等相关法律规定,他们对厂商和云平台其实提出了更多的法律监管的要求,也意味着云平台除了前面提到的需要对云本身的安全性负责意外,还需要根据国家的法律法规对以下的两类违法行为进行主动管控。

 

第一点要强调的就是ECS上的一些违法行为,第二个则是ECS上的一些违法信息。第一类是违法行为,包括我们在ECS上对其他云产品发起攻击,或者说我们对云产品进行一些扫描、渗透、测试等探测行为,或者我们使用云产品去搭建DDos的防御服务,还包括我们使用云产品从事一些虚拟货币相关的工作活动,比如挖矿等,均属于违规行为。第二类是违法信息,指的则是我们在ECS上搭建一些网站服务,提供色情低俗的内容,或者有欺骗、赌博等非法行为,以及出现危害国家安全,破坏政治社会稳定的信息。在这种情况下,云平台有权依照相关的法律采取相应的封禁措施。

 

对于存在一般违法行为的ECS,阿里云会对ECS上的url和域名采取一些阻断动作。如果出现账号被封禁,用户可以申请免费解禁,或者申请主动解禁。但对于严重的违法行为,我们除了阻断url和域名访问意外,还会禁止用户解禁,除非用户把数据完全删除/完全释放,才会解禁。对于情节严重的违法违规行为,我们会对ECS采取关停甚至限制对应账号访问的行为。当然如果用户在使用ECS过程中,因为上述问题被阿里云采取了封禁措施,用户也会收到对应的ECS系统事件以及对应的短信、邮件、站内信的通知。大家可以根据对应的通知来采取相关的措施进行及时清理。如果没有及时清理,接下来ECS可能就没有办法正常使用。

 

image.png


带你读《从基础到应用云上安全航行指南》——阿里云产品专家教你如何全方位构建ECS安全体系(3):

https://developer.aliyun.com/article/1441591

相关实践学习
一小时快速掌握 SQL 语法
本实验带您学习SQL的基础语法,快速入门SQL。
7天玩转云服务器
云服务器ECS(Elastic Compute Service)是一种弹性可伸缩的计算服务,可降低 IT 成本,提升运维效率。本课程手把手带你了解ECS、掌握基本操作、动手实操快照管理、镜像管理等。了解产品详情: https://www.aliyun.com/product/ecs
目录
相关文章
|
8天前
招募!阿里云x魔搭社区发起Create@AI创客松邀你探索下一代多维智能体应用
招募!阿里云x魔搭社区发起Create@AI创客松邀你探索下一代多维智能体应用
259 0
|
26天前
|
SQL 弹性计算 安全
购买阿里云活动内云服务器之后设置密码、安全组、增加带宽、挂载云盘教程
当我们通过阿里云的活动购买完云服务器之后,并不是立马就能使用了,还需要我们设置云服务器密码,配置安全组等基本操作之后才能使用,有的用户还需要购买并挂载数据盘到云服务器上,很多新手用户由于是初次使用阿里云服务器,因此并不知道这些设置的操作流程,下面给大家介绍下这些设置的具体操作流程。
购买阿里云活动内云服务器之后设置密码、安全组、增加带宽、挂载云盘教程
|
5天前
|
云安全 数据采集 安全
阿里云安全产品,Web应用防火墙与云防火墙产品各自作用简介
阿里云提供两种关键安全产品:Web应用防火墙和云防火墙。Web应用防火墙专注网站安全,防护Web攻击、CC攻击和Bot防御,具备流量管理、大数据防御能力和简易部署。云防火墙是SaaS化的网络边界防护,管理南北向和东西向流量,提供访问控制、入侵防御和流量可视化。两者结合可实现全面的网络和应用安全。
阿里云安全产品,Web应用防火墙与云防火墙产品各自作用简介
|
5天前
|
弹性计算 安全
电子好书发您分享《阿里云第八代企业级ECS实例,为企业提供更安全的云上防护》
阿里云第八代ECS实例,搭载第五代英特尔至强处理器与飞天+CIPU架构,提升企业云服务安全与算力。[阅读详情](https://developer.aliyun.com/ebook/8303/116162?spm=a2c6h.26392459.ebook-detail.5.76bf7e5al1Zn4U) ![image](https://ucc.alicdn.com/pic/developer-ecology/cok6a6su42rzm_f422f7cb775444bbbfc3e61ad86800c2.png)
31 14
|
14天前
|
消息中间件 Kubernetes Kafka
Terraform阿里云创建资源1分钟创建集群一键发布应用Terraform 创建 Kubernetes 集群
Terraform阿里云创建资源1分钟创建集群一键发布应用Terraform 创建 Kubernetes 集群
11 0
|
18天前
|
云安全 编解码
阿里云安全视频审核的最大文件大小为**200MB**。
阿里云安全视频审核的最大文件大小为**200MB**。
12 1
|
28天前
|
弹性计算 人工智能 物联网
挖掘阿里云ECS的潜力:创意应用和未来可能性
在云厂商中,我觉得开发者更信赖阿里云的云产品,而且随着阿里云最近宣布云产品降价的消息,会有更多的开发者和企业选择阿里云的云产品。这里拿阿里云的云服务器来做说明,阿里云的云服务器ECS为用户提供了强大的计算资源和灵活的扩展性,使其成为搭建各种有趣和创意应用的理想平台。除了已知的小游戏、小程序和个人网盘等应用案例之外,本文还会进一步探讨ECS在特定场景下的实践经验,并挖掘其在其他领域的潜力,为大家带来更多创意和启发。
552 3
挖掘阿里云ECS的潜力:创意应用和未来可能性
|
29天前
|
缓存 运维 监控
应用研发平台EMAS 常见问题之用华为的推送界面阿里云收不到如何解决
应用研发平台EMAS(Enterprise Mobile Application Service)是阿里云提供的一个全栈移动应用开发平台,集成了应用开发、测试、部署、监控和运营服务;本合集旨在总结EMAS产品在应用开发和运维过程中的常见问题及解决方案,助力开发者和企业高效解决技术难题,加速移动应用的上线和稳定运行。
381 2
|
1月前
|
云安全 人工智能 安全

相关产品

  • 云服务器 ECS