如何提高ECS实例的安全性
云服务器 ECS 实例是一个虚拟的计算环境,包含了 CPU、内存、操作系统、磁盘、带宽等最基础的服务器组件,是 ECS 提供给每个用户的操作实体。
我们基本可以理解为一个实例就等同于一台虚拟机,那么我们在本地维护的虚拟机一般会做虚拟机实例级别的安全防护,以防止虚拟机被攻击和入侵等。同样的,云上的ECS实例也需要做安全性防护。
ECS实例放置在云上,除了置身于阿里云自身的安全平台外,用户也需要根据实际的需求进一步定制化安全,所以说ECS的安全是阿里云和用户共同构建的。如果ECS实例没有安全的防护,可能会带来不少不良的影响,比如遭受到DDoS而导致业务中断,比如受到Web入侵而导致网页被篡改、挂马,比如被注入而导致信息和数据泄漏等,影响ECS的使用和无法正常提供服务。
一般可以通过设置安全组、AntiDDoS、态势感知、安装安骑士、接入Web应用防火墙等方式提高ECS实例的安全性。下面就从实例层面分别讲解一下如何提高ECS实例的安全性。
设置安全组
安全组是一个逻辑上的分组,这个分组是由同一个地域(Region)内具有相同安全保护需求并相互信任的实例组成。每个实例至少属于一个安全组,在创建的时候就需要指定。同一安全组内的实例之间网络互通,不同安全组的实例之间默认内网不通。可以授权两个安全组之间互访。
设置安全组的好处
安全组是一种虚拟防火墙,具备状态检测包过滤功能。安全组用于设置单台或多台云服务器的网络访问控制,它是重要的网络安全隔离手段,用于在云端划分安全域。安全组规则可以允许或者禁止与安全组相关联的云服务器 ECS 实例的公网和内网的入出方向的访问。
如果没有很好地设置安全组或者安全组规则过于开放,则降低了访问的限制级别,在一定程度上为攻击者敞开了大门。
操作步骤
1、登录 云服务器管理控制台。
2、单击左侧导航中的 安全组。
3、选择地域。
4、单击添加安全组规则。
5、在弹出的对话框中,分别设置网络类型、规则方向、授权策略、协议类型、端口范围、授权类型、授权对象和优先级。
6、点击 确定,成功为该安全组授权一条安全组规则 。
下面结合一个案例来阐述一下,比如只允许特定IP远程登录到实例。
通过配置安全组规则可以设置只让特定 IP 远程登录到实例。只需要在公网入方向配置规则就可以了,以 Linux 服务器为例,设置只让特定 IP 访问 22 端口。
- 添加一条公网入方向安全组规则,允许访问,协议类型选择 TCP,端口写 22/22,授权类型为地址段访问,授权对象填写允许远程连接的 IP 地址段,格式为 x.x.x.x/xx,即 IP地址/子网掩码,本例中的地址段为 182.92.253.20/32。优先级为 1
- 再添加一条规则,拒绝访问,协议类型选择 TCP,端口写 22/22,授权类型为地址段访问,授权对象写所有 0.0.0.0/0,优先级为 2
最终的效果如下:
来自 IP 182.92.253.20 访问 22 端口优先执行优先级为 1 的规则允许。
来自其他 IP 访问 22 端口优先执行优先级为 2 的规则拒绝了。
AntiDDoS
阿里云云盾可以防护SYN Flood,UDP Flood,ACK Flood,ICMP Flood,DNS Flood,CC攻击等3到7层DDoS的攻击。DDoS基础防护免费为阿里云用户提供最高5G的默认DDoS防护能力。
阿里云在此基础上,推出了安全信誉防护联盟计划,将基于安全信誉分进一步提升DDoS防护能力,用户最高可获得100G以上的免费DDoS防护资源。
为什么需要AntiDDoS
DDoS(Distributed Denial of Service)即分布式拒绝服务。攻击指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DDoS攻击,从而成倍地提高拒绝服务攻击的威力,影响业务和应用正常对用户提供服务。
使用AntiDDoS,无需采购昂贵清洗设备,可以在受到DDoS攻击不会影响访问速度,带宽充足不会被其他用户连带影响,保证业务可用和稳定。
操作步骤
1、进入阿里云官网,登录到 管理控制台。
2、输入用户名密码。
3、通过云盾>DDOS防护>基础防护,查看基础防护配置。
4、可以加入安全信誉防护联盟。勾选服务条款,点选加入安全信誉防护联盟加入联盟。如下图所示。
云盾DDoS基础版提供不大于5G的DDoS防护,在此基础上推出了安全信誉防护联盟计划,您可通过加入此联盟,在获得原默认防护能力基础上,会得到免费增量防护带宽机会。
加入联盟后,可查看自己的安全信誉分,并查看安全信誉组成,维护安全信誉,获得更大的防护能力。加盟成功后在基础防护界面显示如下信誉界面。
5、【基础防护】点击对应ECS服务器的【查看详情】,如果服务器数量比较多,可以在【云服务器ecs】列表中通过【实例IP】和【实例名称】搜索服务器,再点击对应服务器的【查看详情】。
6、进入页面后,可以在【CC防护】点击【已启用】开启CC防护,点击【关闭】则关闭CC防护功能,在【每秒HTTP请求数】可以对每秒http请求数设置清洗阈值,达到阈值后便会触发云盾的清洗。
7、如果购买了高级DDoS防护,可以点击【DDoS防护高级设置】可以设置清洗阈值,选择【自动设置】后系统会根据云服务器的流量负载动态调整清洗阈值,选择【手动设置】可以手动对流量和报文数量的阈值进行设置,当超过此阈值后云盾便会开启流量清洗(建议如果网站在做推广或者活动时适当调大)。
态势感知
态势感知态势感知提供的是一项SAAS服务,即在大规模云计算环境中,对那些能够引发网络安全态势发生变化的要素进行全面、快速和准确地捕获和分析。然后,把客户当前遇到的安全威胁与过去的威胁进行关联回溯和大数据分析,最终产出未来可能产生的安全事件的威胁风险,并提供一个体系化的安全解决方案。
态势感知的优势
对“渗透攻击”有所感知,以云计算数据平台支撑,因此具有强大的安全数据分析能力,对各种常见类型的攻击可以实时分析和展示。
操作步骤
1、在阿里云用户控制台-《云盾》-《态势感知》中点击免费开启服务,即可使用态势感知。
2、通过紧急时间、威胁、弱点、情报、日志等方面,辅以直观的可视化的分析,让安全一目了然。
安装安骑士
服务器安全(安骑士)是云盾推出的一款服务器安全运维管理产品。通过安装在服务器上的轻量级Agent插件与云端防护中心的规则联动,实时感知和防御入侵事件,保障服务器的安全。
安装安骑士的好处
安骑士是很轻量的,服务器上运行的Agent插件,正常状态下只占用1%的CPU、10MB内存。安骑士可以自动识别服务器的Web目录,对服务器的Web目录进行后门文件扫描,支持通用Web软件漏洞扫描和Windows系统漏洞扫描,对服务器常见系统配置缺陷进行检测,包括可疑系统账户、弱口令、注册表等进行检测。
我们可以将安骑士理解为ECS实例上的防病毒软件,如果没有安骑士,相当于少了一个可靠的卫士,我们ECS实例的健康性水平也会相应降低。
操作步骤
1、服务器安全(安骑士)Agent插件目前集成于安全镜像中,在购买ECS后,一般都已经默认安装,您可以进入安骑士控制台-配置中心,查看每台服务器的在线状态。
2、若不在线,请按照如下方式下载并安装。
1) 进入服务器安全(安骑士)控制台-设置-安装Agent页面,根据页面提示获取最新版本下载地址,以管理员权限在服务器上运行并安装。
2) 对于非阿里云服务器,在安装过程中会提示输入验证Key,这个验证Key用于关联阿里云账号,通过阿里云账号在安骑士控制台使用相关功能,验证key会显示在安装页面中。
3) 大约安装完成2分钟后在云盾·服务器安全(安骑士)控制台-配置中心里查看到在线数据,阿里云服务器将会从离线变成在线,非阿里云机器会新增在服务器列表中。
接入Web应用防火墙
云盾Web应用防火墙(Web Application Firewall, 简称 WAF)基于云安全大数据能力实现,通过防御SQL注入、XSS跨站脚本、常见Web服务器插件漏洞、木马上传、非授权核心资源访问等OWASP常见攻击,过滤海量恶意CC攻击,避免您的网站资产数据泄露,保障网站的安全与可用性。
接入Web应用防火墙的好处
无需安装任何软、硬件,无需更改网站配置、代码,它可以轻松应对各类Web应用攻击,确保网站的Web安全与可用性,淘宝天猫都在用。除了具有强大Web防御能力,还可以指定网站的专属防护,背后是大数据的安全能力。适用于在金融、电商、o2o、互联网+、游戏、政府、保险、政府等各类网站的Web应用安全防护上。
如果缺少WAF,光靠前面提到的防护措施会存在短板,例如在面对如数据泄密、恶意CC、木马上传篡改网页等攻击的时候,就不能拿很好地防护了,可能会导致Web入侵。
操作步骤
1、控制台配置。
1) 登录阿里云控制台,找到云盾->Web应用防火墙->域名配置,点击“添加域名”按钮。
2) 弹出的对话框中输入相关信息:
3) 获取CNAME。配置好域名后,WAF会自动分配给当前域名一个CNAME,可点击域名信息来查看:
4) 上传HTTPS证书和私钥(仅针对HTTPS站点)。如果防护HTTPS站点,必须上传服务器的证书和私钥到WAF,否则访问HTTPS站点会有问题。勾选HTTPS后,会看到红色的“异常”字样,提示当前证书有问题,点击“上传证书”来上传:
5) 接入状态异常排查,刚添加完域名时,接入状态可能会提示异常。这是正常的,待修改DNS使用CNAME解析接入WAF后,或者是有正常流量经过WAF以后会变成正常的。
2、放行回源IP段。
3、本地验证。
1) 以前面步骤中添加的域名 “www.aliyundemo.cn” 为例,hosts文件应该添加如下内容,其中前面的IP地址为对应的WAFIP地址,WAF的IP可以通过ping提供的CNAME来获得。
2) 修改hosts文件后保存。然后本地ping一下被防护的域名,预期此时解析到的IP地址应该是刚才绑定的WAF IP地址。如果依然是源站地址,可尝试刷新本地的DNS缓存(Windows的cmd下可以使用ipconfig/flushdns命令)。
3) 确认hosts绑定已经生效(域名已经本地解析为WAF的IP)后,打开浏览器,输入该域名进行访问,如果WAF的配置正确,网站预期能够正常打开。
4) 尝试一下手动模拟一些简单的web攻击命令,如www.aliyundemo.cn/?alert(xss) 预期WAF能够弹出阻拦页面:
4、通过DNS供应商或者其他域名解析系统,修改DNS解析。
阿里云给我们ECS实例的安全性提供了这么多的安全产品保驾护航,我们可以根据实际需要选择相应的产品,加强对系统和数据的防护,减少ECS实例接受到的侵害,使其稳定、持久地运行。