在使用云服务器的过程中,云服务器的安全问题是很多用户非常关心的问题,阿里云服务器不仅提供了一些基础防护,我们也可以选择其他的云安全类产品来确保我们云服务器的安全。本文为大家介绍一下阿里云服务器的基础安全防护有哪些,以及阿里云的一些安全防护类云产品。
一、阿里云服务器基础安全防护
阿里云保证自身云基础设施和服务的安全,例如机房、虚拟化平台等,同时提供基础的防护,云服务器ECS上的安全性需要阿里云和客户共同承担,在云服务器的- 安全方面实行安全责任共担模型。
阿里云负责“云本身”的安全性:阿里云负责保障ECS运行的底层基础设施与服务的安全性,包括运行ECS的物理硬件设备、软件服务、网络设备和管理控制服务等。
客户负责“云上”的安全性:客户负责保障ECS内的安全性,包括客户需要及时进行操作系统升级和补丁更新、确保ECS内运行的应用软件或工具的安全性、以安全的方式配置和访问ECS本身和上面的服务(比如遵循安全原则进行ECS的网络等参数配置、遵循权限最小化原则配置ECS的管理权限等),以及ECS上数据和流量的安全。这些ECS上的安全性管理与配置是客户在履行安全责任时必须完成的配置工作。
下面我们主要介绍一下阿里云服务器的DDoS基础防护和基础安全服务。
DDoS基础防护
DDoS基础防护服务可以有效防止云服务器ECS实例受到恶意攻击,从而保证ECS系统的稳定,即当流入ECS实例的流量超出实例规格对应的限制时,云安全中心就会帮助ECS实例限流,避免ECS系统出现问题。
阿里云云安全中心默认为ECS实例免费提供最大5 Gbps的流量攻击的防护,不同实例规格的免费防护流量不同,您可以登录云安全中心DDoS防护管理控制台查看实际防护阈值。
1、DDoS基础防护工作原理
启用DDoS基础防护后,云安全中心会实时监控进入ECS实例的流量。当监测到超大流量或者包括DDoS攻击在内的异常流量时,在不影响正常业务的前提下,云安全中心会将可疑流量从原始网络路径中重定向到净化产品上,识别并剥离恶意流量,并将还原的合法流量回注到原始网络中转发给目标ECS实例。这一过程,就是流量清洗。
说明:启用了DDoS基础防护的ECS实例,当来自互联网的流量大于5 Gbps时,为保护整个集群的安全,阿里云会让相应ECS实例进入黑洞,丢弃进入该实例的所有流量,屏蔽公网对它的所有访问。
2、流量清洗触发条件
流量清洗的触发条件包括:
- 流量模型的特征。当流量符合攻击流量特征时,就会触发清洗。
- 流量大小。DDoS攻击一般流量都非常大,通常都以Gbps为单位,因此,当进入ECS实例的流量达到设置的阈值时,无论是否为正常业务流量,云安全中心都会启动流量清洗。
3、流量清洗方法
流量清洗的方法包括:过滤攻击报文、限制流量速度、限制数据包速度等。所以,在使用DDoS基础防护时,您需要设置以下阈值。
- BPS清洗阈值:当入方向流量超过BPS清洗阈值时,会触发流量清洗。
- PPS清洗阈值:当入方向数据包数超过PPS清洗阈值时,会触发流量清洗。
4、云服务器ECS的清洗阈值
云服务器ECS的清洗阈值由购买的公网带宽和实例规格综合决定,具体计算方式如下表所示。
| ECS实例购买带宽(Mbps) | 最大BPS清洗阈值(Mbps) | 最大PPS清洗阈值(pps) |
|---|---|---|
| ≤300 | MIN(ECS实例规格,450) | MIN(ECS实例规格,10万) |
| >300 | MIN(ECS实例规格,ECS实例购买带宽*1.5) | MIN(ECS实例规格,ECS实例购买带宽*1,000) |
例如,购买ECS实例规格为ecs.g5.16xlarge,购买带宽为100 Mbps,该实例最大带宽值为20,000 Mbps、最大网络收发包为400万。则清洗阈值计算如下表所示。
| ECS实例购买带宽(Mbps) | 最大BPS清洗阈值(Mbps) | 最大PPS清洗阈值(PPS) |
|---|---|---|
| 100 < 300 | MIN(20,000,450) 最终取值为450。 |
MIN(400万,10万) 最终取值为10万。 |
最终清洗阈值以流量安全产品控制台显示为准。示例如下图所示。
5、相关操作
云服务器ECS默认开启DDoS基础防护。ECS实例创建后,您可以执行以下操作:
- 设置清洗阈值:ECS实例创建后,默认按实例规格对应的最大阈值执行DDoS基础防护。但是,部分实例规格的最大清洗阈值(BPS)可能过大,无法起到应有的防护作用,因此,您需要根据实际情况调整清洗阈值。
- 取消流量清洗:当进入ECS实例的流量达到清洗阈值时,无论是否为正常业务流量,云安全中心都会启动流量清洗,此时,可能会导致正常业务不可用或受到影响。为了保证正常业务,您可以手动取消流量清洗。
基础安全服务
云服务器ECS提供了基础安全服务,包括异常登录检测、漏洞扫描、基线配置核查等。我们可以在ECS控制台或者云安全中心看到云服务器的安全状态。
1、背景信息
由阿里云云安全中心(Security Center)提供云服务器ECS的基础安全服务,帮助您收集并呈现安全日志和云上资产指纹,主要提供免费版的漏洞检测、安全告警和基线检查服务。
2、计费说明
基础安全服务的计费说明如下:
- 云服务器ECS的基础安全服务为免费服务,不收取服务费用。
- 如果您需要升级为高级版或者企业版云安全中心,可以在云安全中心控制台免费试用或者购买服务。
3、使用安全插件Agent
云安全中心的安全插件Agent是安装在云服务器ECS中的低损耗的控件。未安装Agent的云服务器ECS不会受到云安全中心保护,ECS管理控制台页面也不会显示该资产的漏洞、告警、基线漏洞和资产指纹等数据。我们可以按以下方式操作Agent。
- 创建ECS实例时自动安装Agent
- 登录ECS管理控制台。
- 在左侧导航栏,选择实例与镜像 > 实例。
- 在顶部菜单栏处,选择地域。
- 创建一台ECS实例,在镜像区域,选中免费安全加固,系统自动为新建ECS实例安装Agent。
4、查看安全状态
您可以按以下步骤查看云服务器ECS的安全状态。
- 登录ECS管理控制台。
- 在左侧导航栏,选择实例与镜像 > 实例。
- 在页面左侧顶部,选择目标资源所在的资源组和地域。
4、根据需要选择以下一种方式查看安全状态:
- 方式一:在实例列表页面查看基础安全服务的状态。
将鼠标悬停在云安全中心如下图所示的图标上方,即可查看当前实例安全状态。您可以单击待处理任务对应的立即处理,进入云安全中心控制台查看告警详情。
- 方式二:单击实例ID进入实例详情页面,然后在安全防护区域查看基础安全服务的状态。
您可以单击云安全中心告警项目下的数字或云安全中心右侧的跳转图标,进入云安全中心控制台查看告警详情。
5、设置告警通知
基础安全服务支持对安全告警处理项目设置告警通知,接收方式为站内信。您可以按以下方式设置告警通知。
- 登录ECS管理控制台。
- 在概览页面,单击安全防护区域中待处理任务后的立即处理,前往云安全中心管理控制台。
- 在左侧导航栏,选择系统配置 > 通知设置。
- 在安全告警区域,选择消息等级,设置通知方式和通知时间。
二、阿里云的云安全类产品简介
阿里云的云安全类产品包括了基础安全、数据安全、业务安全、身份管理、安全服务等不同种类的产品,企业使用这些云产品产品可助力企业安全上云,另外,阿里云还为用户提供了安全解决方案,一站式解决云上安全问题,同时还会不定期推出一些云安全类活动。
阿里云安全产品
1.基础安全
基础安全防护能力,能够快速提升整体安全水位,大大减少安全风险。包含的云安全产品名称及产品主要提供的安全服务如下:
产品1:Web应用防火墙
保障网站和Web应用的安全,防止网站和Web应用被Web攻击、CC攻击、被入侵。
详情参考:https://www.aliyun.com/product/waf
产品2:云安全中心
系统及服务器安全,实时识别、分析、预警安全威胁的统一安全管理系统,支持防勒索、防病毒、防篡改等。
详情参考:https://www.aliyun.com/product/sas
产品3:云防火墙
云上统一策略管控,入侵防御(IPS)、东西向、南北向流量可视;业务上云后,业务可视、可管、可控。
产品4:堡垒机
集中管理资产权限,全程记录运维操作,可审计操作记录,满足等级保护相关合规需求
产品5:漏洞扫描
提供全面、快速、精准的漏洞扫描及风险监测服务,帮助企业持续地发现暴露在互联网边界上的常见安全风险
2.数据安全
满足数据安全法要求,保证数据安全。包含的云安全产品名称及产品主要提供的安全服务如下:
产品1:SSL证书
保障网站传输的数据安全,防止数据被篡改、监听、被劫持。
详情参考:https://www.aliyun.com/product/cas
产品2:数据库审计
智能解析数据库通信流量,细粒度审计数据库访问行为,帮助企业精准识别、记录云上数据安全威胁。
产品3:加密服务
基于国家密码局认证的硬件密码机,保证用户对于密钥安全可靠的管理,支持多种加密算法。
3.业务安全
产品:风险识别
机器学习算法、实时计算引擎解决企业账户营销、交易等关键业务中所遇到的欺诈问题,减少企业损失。
4.身份管理
产品:应用身份管理
一个集中式身份管理服务,提供统一的应用门户、用户目录、单点登录等功能。
5.安全服务
产品:安全管家
为企业提供安全技术咨询服务,帮助客户建设并优化自身云上安全防御体系,随时保障客户业务。
以上就是小编分享的一些阿里云服务器的安全知识,我们可以了解阿里云提供的一些基础的安全防护有哪些,以及如何设置这些防护,同时,也可以根据需求来选择阿里云提供的一些云安全产品。
