云服务器 ECS 安全:如何提高ECS实例的安全性

本文涉及的产品
Web应用防火墙 3.0,每月20元额度 3个月
云安全中心 免费版,不限时长
全局流量管理 GTM,标准版 1个月
简介:


如何提高ECS实例的安全性

云服务器 ECS 实例是一个虚拟的计算环境,包含了 CPU、内存、操作系统、磁盘、带宽等最基础的服务器组件,是 ECS 提供给每个用户的操作实体。

我们基本可以理解为一个实例就等同于一台虚拟机,那么我们在本地维护的虚拟机一般会做虚拟机实例级别的安全防护,以防止虚拟机被攻击和入侵等。同样的,云上的ECS实例也需要做安全性防护。

ECS实例放置在云上,除了置身于阿里云自身的安全平台外,用户也需要根据实际的需求进一步定制化安全,所以说ECS的安全是阿里云和用户共同构建的。如果ECS实例没有安全的防护,可能会带来不少不良的影响,比如遭受到DDoS而导致业务中断,比如受到Web入侵而导致网页被篡改、挂马,比如被注入而导致信息和数据泄漏等,影响ECS的使用和无法正常提供服务。

一般可以通过设置安全组、AntiDDoS、态势感知、安装安骑士、接入Web应用防火墙等方式提高ECS实例的安全性。下面就从实例层面分别讲解一下如何提高ECS实例的安全性。

设置安全组

安全组是一个逻辑上的分组,这个分组是由同一个地域(Region)内具有相同安全保护需求并相互信任的实例组成。每个实例至少属于一个安全组,在创建的时候就需要指定。同一安全组内的实例之间网络互通,不同安全组的实例之间默认内网不通。可以授权两个安全组之间互访。

设置安全组的好处

安全组是一种虚拟防火墙,具备状态检测包过滤功能。安全组用于设置单台或多台云服务器的网络访问控制,它是重要的网络安全隔离手段,用于在云端划分安全域。安全组规则可以允许或者禁止与安全组相关联的云服务器 ECS 实例的公网和内网的入出方向的访问。

如果没有很好地设置安全组或者安全组规则过于开放,则降低了访问的限制级别,在一定程度上为攻击者敞开了大门。

操作步骤

1、登录 云服务器管理控制台。

2、单击左侧导航中的 安全组。

3、选择地域。

4、单击添加安全组规则。

5、在弹出的对话框中,分别设置网络类型、规则方向、授权策略、协议类型、端口范围、授权类型、授权对象和优先级。

6、点击 确定,成功为该安全组授权一条安全组规则 。

下面结合一个案例来阐述一下,比如只允许特定IP远程登录到实例。

通过配置安全组规则可以设置只让特定 IP 远程登录到实例。只需要在公网入方向配置规则就可以了,以 Linux 服务器为例,设置只让特定 IP 访问 22 端口。

  • 添加一条公网入方向安全组规则,允许访问,协议类型选择 TCP,端口写 22/22,授权类型为地址段访问,授权对象填写允许远程连接的 IP 地址段,格式为 x.x.x.x/xx,即 IP地址/子网掩码,本例中的地址段为 182.92.253.20/32。优先级为 1


image

  • 再添加一条规则,拒绝访问,协议类型选择 TCP,端口写 22/22,授权类型为地址段访问,授权对象写所有 0.0.0.0/0,优先级为 2

最终的效果如下:

来自 IP 182.92.253.20 访问 22 端口优先执行优先级为 1 的规则允许。

来自其他 IP 访问 22 端口优先执行优先级为 2 的规则拒绝了。

AntiDDoS

阿里云云盾可以防护SYN Flood,UDP Flood,ACK Flood,ICMP Flood,DNS Flood,CC攻击等3到7层DDoS的攻击。DDoS基础防护免费为阿里云用户提供最高5G的默认DDoS防护能力。

阿里云在此基础上,推出了安全信誉防护联盟计划,将基于安全信誉分进一步提升DDoS防护能力,用户最高可获得100G以上的免费DDoS防护资源。

为什么需要AntiDDoS

DDoS(Distributed Denial of Service)即分布式拒绝服务。攻击指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DDoS攻击,从而成倍地提高拒绝服务攻击的威力,影响业务和应用正常对用户提供服务。

使用AntiDDoS,无需采购昂贵清洗设备,可以在受到DDoS攻击不会影响访问速度,带宽充足不会被其他用户连带影响,保证业务可用和稳定。

操作步骤

1、进入阿里云官网,登录到 管理控制台。

2、输入用户名密码。

3、通过云盾>DDOS防护>基础防护,查看基础防护配置。

4、可以加入安全信誉防护联盟。勾选服务条款,点选加入安全信誉防护联盟加入联盟。如下图所示。


image


云盾DDoS基础版提供不大于5G的DDoS防护,在此基础上推出了安全信誉防护联盟计划,您可通过加入此联盟,在获得原默认防护能力基础上,会得到免费增量防护带宽机会。

加入联盟后,可查看自己的安全信誉分,并查看安全信誉组成,维护安全信誉,获得更大的防护能力。加盟成功后在基础防护界面显示如下信誉界面。


image

5、【基础防护】点击对应ECS服务器的【查看详情】,如果服务器数量比较多,可以在【云服务器ecs】列表中通过【实例IP】和【实例名称】搜索服务器,再点击对应服务器的【查看详情】。

image


6、进入页面后,可以在【CC防护】点击【已启用】开启CC防护,点击【关闭】则关闭CC防护功能,在【每秒HTTP请求数】可以对每秒http请求数设置清洗阈值,达到阈值后便会触发云盾的清洗。


image


7、如果购买了高级DDoS防护,可以点击【DDoS防护高级设置】可以设置清洗阈值,选择【自动设置】后系统会根据云服务器的流量负载动态调整清洗阈值,选择【手动设置】可以手动对流量和报文数量的阈值进行设置,当超过此阈值后云盾便会开启流量清洗(建议如果网站在做推广或者活动时适当调大)。


image


态势感知

态势感知态势感知提供的是一项SAAS服务,即在大规模云计算环境中,对那些能够引发网络安全态势发生变化的要素进行全面、快速和准确地捕获和分析。然后,把客户当前遇到的安全威胁与过去的威胁进行关联回溯和大数据分析,最终产出未来可能产生的安全事件的威胁风险,并提供一个体系化的安全解决方案。

态势感知的优势

对“渗透攻击”有所感知,以云计算数据平台支撑,因此具有强大的安全数据分析能力,对各种常见类型的攻击可以实时分析和展示。

操作步骤

1、在阿里云用户控制台-《云盾》-《态势感知》中点击免费开启服务,即可使用态势感知。


image


2、通过紧急时间、威胁、弱点、情报、日志等方面,辅以直观的可视化的分析,让安全一目了然。

安装安骑士

服务器安全(安骑士)是云盾推出的一款服务器安全运维管理产品。通过安装在服务器上的轻量级Agent插件与云端防护中心的规则联动,实时感知和防御入侵事件,保障服务器的安全。

安装安骑士的好处

安骑士是很轻量的,服务器上运行的Agent插件,正常状态下只占用1%的CPU、10MB内存。安骑士可以自动识别服务器的Web目录,对服务器的Web目录进行后门文件扫描,支持通用Web软件漏洞扫描和Windows系统漏洞扫描,对服务器常见系统配置缺陷进行检测,包括可疑系统账户、弱口令、注册表等进行检测。

我们可以将安骑士理解为ECS实例上的防病毒软件,如果没有安骑士,相当于少了一个可靠的卫士,我们ECS实例的健康性水平也会相应降低。

操作步骤

1、服务器安全(安骑士)Agent插件目前集成于安全镜像中,在购买ECS后,一般都已经默认安装,您可以进入安骑士控制台-配置中心,查看每台服务器的在线状态。


image

2、若不在线,请按照如下方式下载并安装。

1) 进入服务器安全(安骑士)控制台-设置-安装Agent页面,根据页面提示获取最新版本下载地址,以管理员权限在服务器上运行并安装。

image


2) 对于非阿里云服务器,在安装过程中会提示输入验证Key,这个验证Key用于关联阿里云账号,通过阿里云账号在安骑士控制台使用相关功能,验证key会显示在安装页面中。

3) 大约安装完成2分钟后在云盾·服务器安全(安骑士)控制台-配置中心里查看到在线数据,阿里云服务器将会从离线变成在线,非阿里云机器会新增在服务器列表中。

接入Web应用防火墙

云盾Web应用防火墙(Web Application Firewall, 简称 WAF)基于云安全大数据能力实现,通过防御SQL注入、XSS跨站脚本、常见Web服务器插件漏洞、木马上传、非授权核心资源访问等OWASP常见攻击,过滤海量恶意CC攻击,避免您的网站资产数据泄露,保障网站的安全与可用性。

接入Web应用防火墙的好处

无需安装任何软、硬件,无需更改网站配置、代码,它可以轻松应对各类Web应用攻击,确保网站的Web安全与可用性,淘宝天猫都在用。除了具有强大Web防御能力,还可以指定网站的专属防护,背后是大数据的安全能力。适用于在金融、电商、o2o、互联网+、游戏、政府、保险、政府等各类网站的Web应用安全防护上。

如果缺少WAF,光靠前面提到的防护措施会存在短板,例如在面对如数据泄密、恶意CC、木马上传篡改网页等攻击的时候,就不能拿很好地防护了,可能会导致Web入侵。

操作步骤

1、控制台配置。

1) 登录阿里云控制台,找到云盾->Web应用防火墙->域名配置,点击“添加域名”按钮。


image

2) 弹出的对话框中输入相关信息:

image


3) 获取CNAME。配置好域名后,WAF会自动分配给当前域名一个CNAME,可点击域名信息来查看:


image


4) 上传HTTPS证书和私钥(仅针对HTTPS站点)。如果防护HTTPS站点,必须上传服务器的证书和私钥到WAF,否则访问HTTPS站点会有问题。勾选HTTPS后,会看到红色的“异常”字样,提示当前证书有问题,点击“上传证书”来上传:


image


5) 接入状态异常排查,刚添加完域名时,接入状态可能会提示异常。这是正常的,待修改DNS使用CNAME解析接入WAF后,或者是有正常流量经过WAF以后会变成正常的。

image

2、放行回源IP段。

image


3、本地验证。

1) 以前面步骤中添加的域名 “www.aliyundemo.cn” 为例,hosts文件应该添加如下内容,其中前面的IP地址为对应的WAFIP地址,WAF的IP可以通过ping提供的CNAME来获得。


image


2) 修改hosts文件后保存。然后本地ping一下被防护的域名,预期此时解析到的IP地址应该是刚才绑定的WAF IP地址。如果依然是源站地址,可尝试刷新本地的DNS缓存(Windows的cmd下可以使用ipconfig/flushdns命令)。

3) 确认hosts绑定已经生效(域名已经本地解析为WAF的IP)后,打开浏览器,输入该域名进行访问,如果WAF的配置正确,网站预期能够正常打开。

4) 尝试一下手动模拟一些简单的web攻击命令,如www.aliyundemo.cn/?alert(xss) 预期WAF能够弹出阻拦页面:


image


4、通过DNS供应商或者其他域名解析系统,修改DNS解析。

阿里云给我们ECS实例的安全性提供了这么多的安全产品保驾护航,我们可以根据实际需要选择相应的产品,加强对系统和数据的防护,减少ECS实例接受到的侵害,使其稳定、持久地运行。

原文链接

相关实践学习
2分钟自动化部署人生模拟器
本场景将带你借助云效流水线Flow实现人生模拟器小游戏的自动化部署
7天玩转云服务器
云服务器ECS(Elastic Compute Service)是一种弹性可伸缩的计算服务,可降低 IT 成本,提升运维效率。本课程手把手带你了解ECS、掌握基本操作、动手实操快照管理、镜像管理等。了解产品详情: https://www.aliyun.com/product/ecs
目录
相关文章
|
3天前
|
弹性计算 固态存储 Linux
阿里云服务器、轻量应用服务器、gpu云服务器收费标准与实时活动价格参考
云服务器ECS、轻量应用服务器和gpu云服务器是阿里云的主要云服务器产品,目前轻量应用服务器2核2G收费标准为60元/月,活动价格只要36元/1年或68元1年,云服务器1核1G包月收费标准最低为24.0元/月,GPU云服务器中gn6i实例4核15G配置月付1681.00/1个月起,gn6v实例8核32G配置月付3817.00/1个月起。本文为大家整理汇总了阿里云服务器、轻量应用服务器、gpu云服务器的最新收费标准与活动价格情况,以表格形式展示给大家,以供参考。
|
13天前
|
机器学习/深度学习 人工智能 弹性计算
什么是阿里云GPU云服务器?GPU服务器优势、使用和租赁费用整理
阿里云GPU云服务器提供强大的GPU算力,适用于深度学习、科学计算、图形可视化和视频处理等多种场景。作为亚太领先的云服务提供商,阿里云的GPU云服务器具备灵活的资源配置、高安全性和易用性,支持多种计费模式,帮助企业高效应对计算密集型任务。
|
14天前
|
存储 固态存储 安全
阿里云服务器最新收费标准与云服务器活动价格参考
阿里云服务器最新收费标准参考,入门级1核2G配置收费标准最低64.06/月,2核4G收费标准最低68.0/月,4核8G收费标准最低216.0/月,8核16G收费标准最低432.0/月,目前在阿里云的活动中,2核2G最低36元1年,2核4G企业最低199元1年,2核8G活动价格最低652.32元1年,4核8G活动价格最低955.58元1年,8核16G活动价格最低3815.03元1年。更多不同实例规格及配置的阿里云服务器最新收费标准,活动价格如下文所示。
|
18天前
|
弹性计算
阿里云2核16G云服务器多少钱?亲测ECS内存型r8i租赁价格
阿里云2核16G云服务器,内存型r8i实例1年6折优惠后价格为1901元,月付334.19元,按小时计费0.696221元。更多配置及优惠详情,请访问阿里云ECS页面。
|
8天前
|
人工智能 弹性计算 编解码
阿里云GPU云服务器性能、应用场景及收费标准和活动价格参考
GPU云服务器作为阿里云提供的一种高性能计算服务,通过结合GPU与CPU的计算能力,为用户在人工智能、高性能计算等领域提供了强大的支持。其具备覆盖范围广、超强计算能力、网络性能出色等优势,且计费方式灵活多样,能够满足不同用户的需求。目前用户购买阿里云gpu云服务器gn5 规格族(P100-16G)、gn6i 规格族(T4-16G)、gn6v 规格族(V100-16G)有优惠,本文为大家详细介绍阿里云gpu云服务器的相关性能及收费标准与最新活动价格情况,以供参考和选择。
|
15天前
|
存储 分布式计算 固态存储
阿里云2核16G、4核32G、8核64G配置云服务器租用收费标准与活动价格参考
2核16G、8核64G、4核32G配置的云服务器处理器与内存比为1:8,这种配比的云服务器一般适用于数据分析与挖掘,Hadoop、Spark集群和数据库,缓存等内存密集型场景,因此,多为企业级用户选择。目前2核16G配置按量收费最低收费标准为0.54元/小时,按月租用标准收费标准为260.44元/1个月。4核32G配置的阿里云服务器按量收费标准最低为1.08元/小时,按月租用标准收费标准为520.88元/1个月。8核64G配置的阿里云服务器按量收费标准最低为2.17元/小时,按月租用标准收费标准为1041.77元/1个月。本文介绍这些配置的最新租用收费标准与活动价格情况,以供参考。
|
13天前
|
机器学习/深度学习 人工智能 弹性计算
阿里云GPU服务器全解析_GPU价格收费标准_GPU优势和使用说明
阿里云GPU云服务器提供强大的GPU算力,适用于深度学习、科学计算、图形可视化和视频处理等场景。作为亚太领先的云服务商,阿里云GPU云服务器具备高灵活性、易用性、容灾备份、安全性和成本效益,支持多种实例规格,满足不同业务需求。
|
21天前
|
弹性计算
阿里云2核16G服务器多少钱一年?亲测价格查询1个月和1小时收费标准
阿里云2核16G服务器提供多种ECS实例规格,内存型r8i实例1年6折优惠价为1901元,按月收费334.19元,按小时收费0.696221元。更多规格及详细报价请访问阿里云ECS页面。
57 9
|
17天前
|
监控 Ubuntu Linux
使用VSCode通过SSH远程登录阿里云Linux服务器异常崩溃
通过 VSCode 的 Remote - SSH 插件远程连接阿里云 Ubuntu 22 服务器时,会因高 CPU 使用率导致连接断开。经排查发现,VSCode 连接根目录 ".." 时会频繁调用"rg"(ripgrep)进行文件搜索,导致 CPU 负载过高。解决方法是将连接目录改为"root"(或其他具体的路径),避免不必要的文件检索,从而恢复正常连接。
|
21天前
|
弹性计算 异构计算
2024年阿里云GPU服务器多少钱1小时?亲测价格查询方法
2024年阿里云GPU服务器每小时收费因实例规格不同而异。可通过阿里云GPU服务器页面选择“按量付费”查看具体价格。例如,NVIDIA A100的gn7e实例为34.742元/小时,NVIDIA A10的gn7i实例为12.710156元/小时。更多详情请访问阿里云官网。
66 2
下一篇
无影云桌面