在使用云服务器的过程中,云服务器的安全问题是很多用户非常关心的问题,阿里云服务器除了提供基础的防护之外,我们也可以选择其他的云安全类产品来确保我们云服务器的安全。本文为大家介绍阿里云服务器的基础安全防护机制,以及阿里云提供的各类云安全产品,帮助大家了解云服务器基础防护以及各个云产品的主要功能,并选择合适的防护手段。
一、阿里云服务器基础安全防护体系
阿里云深知云基础设施和服务安全的重要性,因此,在保障云服务器ECS的安全方面,采取了“安全责任共担模型”。这一模型明确了阿里云与客户各自的安全责任边界,确保双方共同协作,构建坚不可摧的安全防线。
1、阿里云负责“云本身”的安全性
阿里云作为云服务提供商,承担着保障ECS底层基础设施与服务安全的重任。这包括但不限于:
- 物理硬件设备安全:阿里云的数据中心采用高标准建设,配备先进的物理安全设施,如门禁系统、监控摄像头等,确保物理环境的安全。
- 软件服务安全:阿里云持续对虚拟化平台、操作系统等软件进行安全更新和补丁管理,防止已知漏洞被利用。
- 网络设备安全:阿里云的网络架构经过精心设计,采用多层防护机制,有效抵御DDoS攻击等网络威胁。
- 管理控制服务安全:阿里云的管理控制平台采用严格的访问控制和身份验证机制,确保只有授权人员才能进行操作。
2、客户负责“云上”的安全性
客户作为云服务器的使用者,同样承担着重要的安全责任。这主要包括:
- 操作系统升级与补丁更新:客户应及时对ECS实例的操作系统进行升级,并安装最新的安全补丁,以防止系统漏洞被攻击。
- 应用软件安全:客户应确保ECS内运行的应用软件或工具来源可靠,且经过充分的安全测试,避免使用存在安全隐患的软件。
- 安全配置与访问控制:客户应遵循安全原则,对ECS的网络参数、管理权限等进行合理配置,确保访问控制的安全有效。
- 数据与流量安全:客户应采取措施保护ECS上的数据安全,如使用加密技术传输敏感数据,并监控网络流量,及时发现并应对异常流量。
3、DDoS基础防护
DDoS(Distributed Denial of Service)攻击是云服务器面临的常见威胁之一。阿里云云安全中心为ECS实例提供了免费的DDoS基础防护服务,有效防止恶意攻击,确保ECS系统的稳定运行。
- 工作原理:启用DDoS基础防护后,云安全中心会实时监控进入ECS实例的流量。当监测到超大流量或异常流量(如DDoS攻击)时,云安全中心会将可疑流量重定向到净化产品上,进行识别并剥离恶意流量,然后将还原的合法流量回注到原始网络中转发给目标ECS实例。这一过程即为流量清洗。
- 清洗阈值:阿里云云安全中心默认为ECS实例免费提供最大5 Gbps的流量攻击防护。不同实例规格的免费防护流量不同,用户可登录云安全中心DDoS防护管理控制台查看实际防护阈值。用户还可根据实际需求设置BPS(Bits Per Second)和PPS(Packets Per Second)清洗阈值,以更灵活地应对DDoS攻击。
- 流量清洗触发条件:流量清洗的触发条件主要包括流量模型的特征和流量大小。当流量符合攻击流量特征或达到设置的阈值时,云安全中心会启动流量清洗。
- 相关操作:云服务器ECS默认开启DDoS基础防护。用户可在ECS实例创建后,根据实际需要调整清洗阈值或手动取消流量清洗,以确保正常业务的顺利进行。
特别说明:当来自互联网的流量大于5Gbps时,为保护整个集群的安全,阿里云可能会让相应ECS实例进入黑洞状态,丢弃进入该实例的所有流量,屏蔽公网对它的所有访问。因此,用户应合理配置清洗阈值,避免误触发黑洞机制。
4、基础安全服务
阿里云云安全中心还为ECS实例提供了基础安全服务,包括异常登录检测、漏洞扫描、基线配置核查等,帮助用户全面了解云服务器的安全状态。
- 服务背景:云安全中心作为阿里云的安全管理平台,负责收集并呈现安全日志和云上资产指纹,为用户提供免费版的漏洞检测、安全告警和基线检查服务。
- 计费说明:基础安全服务为免费服务,不收取任何服务费用。如需更高级别的安全防护,用户可选择升级为高级版或企业版云安全中心。
- 安全插件Agent:云安全中心的安全插件Agent是安装在云服务器ECS中的低损耗控件。未安装Agent的云服务器ECS不会受到云安全中心保护,且ECS管理控制台页面也不会显示该资产的漏洞、告警、基线漏洞和资产指纹等数据。用户可在创建ECS实例时自动安装Agent,或登录ECS管理控制台手动安装。
- 查看安全状态:用户可登录ECS管理控制台,通过实例列表页面或实例详情页面查看云服务器ECS的安全状态。对于存在安全告警的实例,用户可单击相应告警项目下的数字或跳转图标,进入云安全中心控制台查看告警详情。
- 设置告警通知:基础安全服务支持对安全告警处理项目设置告警通知,接收方式为站内信。用户可登录ECS管理控制台,在系统配置中的通知设置页面,选择消息等级、设置通知方式和通知时间,以便及时接收安全告警信息。
二、阿里云云安全类产品解析
阿里云提供了丰富多样的云安全类产品,涵盖基础安全、数据安全、业务安全、身份管理以及安全服务等多个领域。这些产品不仅能够满足企业用户在不同场景下的安全需求,还能助力企业安全上云,实现云上业务的安全可控。
1、云安全
在云安全领域,阿里云提供了多款领先的安全产品,帮助用户构建坚不可摧的云上防线。
产品1:DDoS防护
阿里云DDoS防护服务以其覆盖全球的DDoS防护网络为基础,结合阿里巴巴自研的DDoS攻击检测和智能防护体系,为用户提供可管理的DDoS防护服务。该服务能够自动、快速地缓解网络攻击对业务造成的延迟增加、访问受限、业务中断等影响,从而减少业务损失,降低潜在DDoS攻击风险。通过阿里云DDoS防护服务,用户可以轻松应对各种DDoS攻击,保障业务的稳定运行。产品详情:https://www.aliyun.com/product/security/ddos
产品亮点:
- 全球防护网络:阿里云DDoS防护服务拥有覆盖全球的防护节点,能够为用户提供全天候、全方位的防护。
- 智能防护体系:结合阿里巴巴自研的DDoS攻击检测和智能防护体系,能够自动识别并防御各种DDoS攻击。
- 可视化管理:提供可视化的管理界面,方便用户实时监控和管理防护状态。
产品2:Web应用防火墙 WAF
Web应用防火墙(WAF)是阿里云为网站或APP提供的一款重要安全产品。它能够对业务流量进行恶意特征识别及防护,将正常、安全的流量回源到服务器。通过WAF的防护,用户可以有效避免网站服务器被恶意入侵,保障业务的核心数据安全。同时,WAF还能够解决因恶意攻击导致的服务器性能异常问题,提升用户的业务体验。产品详情:https://www.aliyun.com/product/waf
产品亮点:
- 精准识别:WAF能够精准识别各种恶意流量和攻击行为,确保业务流量的正常回源。
- 高效防护:通过云端的智能防护机制,WAF能够为用户提供高效、可靠的防护服务。
- 灵活配置:提供丰富的配置选项,方便用户根据实际需求进行灵活配置。
产品3:云防火墙
阿里云云防火墙是一款云原生的云上边界网络安全防护产品。它能够提供统一的互联网边界、NAT边界、VPC边界、主机边界流量管控与安全防护。云防火墙结合了情报的实时入侵防护、全流量可视化分析、智能化访问控制、日志溯源分析等能力,是用户的网络边界防护与等保合规利器。通过云防火墙的防护,用户可以轻松应对各种网络威胁和攻击行为。
产品亮点:
- 边界防护:提供全面的边界防护能力,确保用户云上资源的安全。
- 智能化管理:通过智能化的管理界面和工具,方便用户进行实时监控和管理。
- 合规性支持:支持等保合规要求,帮助用户顺利通过等保测评。
产品4:云安全中心
云安全中心是阿里云为用户提供的一款实时识别、分析、预警安全威胁的服务器主机安全管理系统。它通过防勒索、漏洞扫描修复、防病毒、防篡改、合规检查等安全能力,帮助用户实现威胁检测、响应、溯源的自动化安全运营闭环。云安全中心不仅保护云上主机、本地服务器和容器安全,还能够满足监管合规要求。
产品亮点:
- 全面防护:提供全面的主机安全防护能力,确保用户云上资源的安全。
- 自动化运营:通过自动化的安全运营闭环,降低用户的安全管理成本。
- 合规性支持:支持多种监管合规要求,帮助用户顺利通过相关审核和检查。
产品5:主机安全
主机安全是阿里云为用户提供的一款实时识别、分析、预警安全威胁的服务器主机安全管理系统。它与云安全中心类似,但更加注重多云主机和线下IDC的威胁检测、响应和溯源。通过主机安全的防护,用户可以轻松应对各种针对主机的攻击行为,保障业务的核心数据安全。
产品亮点:
- 多云支持:支持多云主机和线下IDC的安全防护需求。
- 高效响应:提供高效的安全响应机制,确保用户能够及时发现并处理安全事件。
- 深度溯源:通过深度溯源能力,帮助用户了解攻击行为的来源和传播路径。
产品6:漏洞管理
阿里云漏洞管理产品支持对常见Linux软件漏洞、Windows系统漏洞、Web-CMS漏洞、应用漏洞、应急漏洞五种漏洞类型进行扫描。通过漏洞管理产品的防护,用户可以全面地了解资产中的漏洞风险,并支持CVE系统漏洞的一键修复。这有助于用户及时发现并修复潜在的安全漏洞,提升系统的整体安全性。
产品亮点:
- 全面扫描:支持多种漏洞类型的全面扫描和识别。
- 一键修复:提供一键修复功能,方便用户快速修复漏洞风险。
- 实时更新:漏洞库实时更新,确保用户能够及时了解最新的漏洞信息。
产品7:容器安全
随着容器化技术的普及和应用,容器安全已成为云安全领域的重要议题。阿里云容器安全产品为云原生容器化环境提供全面的安全防护能力。从镜像构建、镜像文件的安全风险检测,到针对容器运行时的威胁检测与防御、漏洞风险评估以及容器基线的配置合规,容器安全产品提供全链路的容器生命周期产品解决方案。通过容器安全的防护,用户可以确保容器化应用的安全性和稳定性。
产品亮点:
- 全链路防护:提供全链路的容器安全防护能力。
- 智能检测:通过智能检测机制及时发现并处理容器安全事件。
- 配置合规:确保容器基线的配置合规性,提升系统的整体安全性。
产品8:云安全基线管理
云安全基线管理从身份权限、云产品最佳安全实践、合规检测三个场景实现对云平台配置风险的识别。它支持在统一的控制台对基础设施安全配置进行分析与管理,帮助用户及时发现并修复潜在的安全风险。通过云安全基线管理的防护,用户可以确保云平台的整体安全性和稳定性。
产品亮点:
- 多场景支持:支持多种场景下的云平台配置风险识别。
- 统一控制台:提供统一的控制台方便用户进行实时监控和管理。
- 智能分析:通过智能分析机制及时发现并处理潜在的安全风险。
产品9:云统一威胁管理
云统一威胁管理支持跨账号、跨产品的安全告警日志、网络流日志、系统日志、应用日志等统一采集、标准化和存储。它聚焦威胁检测、事件调查和响应编排等安全能力,为客户提升云上安全运营效率。通过云统一威胁管理的防护,用户可以轻松应对各种跨账号、跨产品的安全威胁和攻击行为。
产品亮点:
- 跨账号支持:支持跨账号的安全威胁管理和防护。
- 统一采集和存储:提供统一的安全日志采集和存储能力。
- 高效响应:通过高效的响应机制确保用户能够及时处理安全事件。
产品10:运维安全中心(堡垒机)
运维安全中心(堡垒机)是阿里云为用户提供的云上统一、高效、安全运维通道。它用于集中管理资产权限、全程监控操作行为、实时还原运维场景。通过运维安全中心的防护,用户可以确保云端运维身份的可鉴别性、权限的可管控性、风险的可阻断性以及操作的可审计性。同时,它还能够助力用户通过等保合规审核。
产品亮点:
- 统一运维通道:提供统一的运维通道方便用户进行集中管理。
- 全程监控:通过全程监控操作行为确保运维过程的安全性和合规性。
- 实时还原:支持运维场景的实时还原方便用户进行问题排查和处理。
产品11:办公安全平台SASE
办公安全平台(SASE)是阿里云首个一站式办公安全管控平台。它能够帮助企业快速构建零信任内网访问、办公数据防泄漏、上网行为管理与审计、办公访问加速等在内的办公安全体系。通过SASE的防护,企业无需再投资复杂且昂贵的安全硬件设备即可实现全面的办公安全防护。
产品亮点:
- 一站式管控:提供一站式的办公安全管控能力方便用户进行统一管理。
- 零信任架构:采用零信任架构确保内网访问的安全性。
- 高效防护:通过高效的防护机制确保办公数据的安全性和合规性。
2、数据安全
在数据安全领域,阿里云同样提供了多款领先的安全产品,帮助用户保护数据资产的安全性和完整性。
产品1:数字证书管理服务(原SSL证书)
数字证书管理服务是阿里云为用户提供的一款集云上SSL证书生命周期管理和数字证书应用为一体的SAAS服务。该服务具备签发、管理服务器证书和各类终端证书的能力,同时提供云上证书自动化应用部署的解决方案。通过数字证书管理服务的防护,用户可以轻松实现数据传输加密和信源加密,保障数据在传输过程中的安全性和完整性。目前SSL证书新老同享8折起,可通过产品详情页进入:https://www.aliyun.com/product/cas
产品亮点:
- 全生命周期管理:提供SSL证书的全生命周期管理能力。
- 自动化部署:支持云上证书的自动化应用部署方便用户快速上线。
- 高效管理:通过高效的管理界面和工具方便用户进行实时监控和管理。
产品2:加密服务
加密服务是阿里云基于国家密码局认证的硬件加密机提供的一款云上数据加解密服务。用户能够通过加密服务对密钥进行安全可靠的管理,并使用多种加密算法对云上业务数据进行可靠的加解密运算。通过加密服务的防护,用户可以确保数据在存储和传输过程中的安全性和完整性。
产品亮点:
- 硬件加密机支持:基于国家密码局认证的硬件加密机提供可靠的加密服务。
- 多种加密算法支持:支持多种加密算法满足用户不同的加密需求。
- 安全可靠:通过安全可靠的管理机制确保密钥和数据的安全性。
产品3:密钥管理服务
密钥管理服务(KMS)是阿里云针对云上数据加密需求精心设计的密码应用服务。它为用户的应用提供符合国密要求的密钥服务及极简应用加解密服务,帮助用户轻松使用密钥来加密保护敏感的数据资产。通过KMS的防护,用户可以确保数据在存储和传输过程中的安全性和合规性。
产品亮点:
- 符合国密要求:提供符合国密要求的密钥服务满足用户的合规性需求。
- 极简应用:提供极简的应用加解密服务方便用户快速上手。
- 安全可靠:通过安全可靠的管理机制确保密钥和数据的安全性。
产品4:数据安全中心(敏感数据保护)
数据安全中心是阿里云为用户提供的一款敏感数据自动识别、分级分类、大数据安全审计与数据脱敏等数据安全能力的服务。它通过一体化的云上全域数据防泄漏与安全解决方案帮助客户实现等保2.0二级有关“安全审计”与三级有关“个人信息保护”的合规要求,并满足《数据安全法》中提出的有关要求。通过数据安全中心的防护,用户可以确保敏感数据的安全性和合规性。
产品亮点:
- 敏感数据识别:提供敏感数据的自动识别能力方便用户快速发现潜在风险。
- 分级分类:支持对敏感数据进行分级分类管理方便用户进行精细化管理。
- 合规性支持:支持多种合规性要求帮助用户顺利通过相关审核和检查。
产品5:数据库审计
数据库审计是阿里云为用户提供的一款智能解析数据库通信流量、细粒度审计数据库访问行为的服务。它通过对数据库全量行为的审计溯源、危险攻击的实时告警、风险语句的智能预警等方式提供敏感的数据库资产安全的监控保障。同时,它还满足等保2.0“安全审计”相关要求帮助用户顺利通过等保测评。
产品亮点:
- 智能解析:提供智能的数据库通信流量解析能力方便用户快速了解访问行为。
- 细粒度审计:支持细粒度的数据库访问行为审计满足用户的精细化管理需求。
- 合规性支持:满足等保2.0相关要求帮助用户顺利通过等保测评。
3、身份安全
在身份安全领域,阿里云提供了多款身份认证和管理产品,帮助用户确保身份的真实性和权限的合规性。
产品1:终端访问控制系统 UEM
终端访问控制系统(UEM)是阿里云为用户提供的一款对移动端和PC端办公设备(Windows、macOS、Android、iOS)进行统一安全管理的服务。通过UEM的防护,企业可以助力数字办公转型为员工提供随时、随地、高效、安全的办公体验。同时,它还能够高效连接员工设备与企业资源无论员工身在何处都是理想办公空间。
产品亮点:
- 统一安全管理:提供对移动端和PC端办公设备的统一安全管理能力。
- 高效办公体验:助力数字办公转型为员工提供高效、安全的办公体验。
- 灵活连接:高效连接员工设备与企业资源提升办公效率。
产品2:应用身份服务 (IDaaS)
应用身份服务(IDaaS)是阿里云原生企业身份管理服务。它旗下EIAM(Enterprise IAM)用于保护企业内部身份CIAM(Customer IAM)提供面向外部会员的身份管理。通过集成多种无密码认证方式加强登录安全IDaaS能够为企业提供全面的身份认证和管理能力。
产品亮点:
- 原生支持:作为阿里云原生服务IDaaS与阿里云其他服务无缝集成。
- 多种认证方式:集成多种无密码认证方式提升登录安全性。
- 全面管理能力:提供全面的身份认证和管理能力满足企业不同场景下的需求。
产品3:访问控制 RAM
访问控制(RAM)是阿里云为用户提供的一款安全地集中管理对阿里云服务和资源访问的服务。通过RAM用户可以创建并管理子用户和用户组并通过权限管控他们对云资源的访问。这有助于企业实现细粒度的权限管理确保资源的安全性和合规性。
产品亮点:
- 集中管理:提供对阿里云服务和资源的集中管理能力。
- 细粒度权限管理:支持细粒度的权限管理方便用户进行精细化管理。
- 安全合规:通过安全的权限管理机制确保资源的安全性和合规性。
4、安全服务
在安全服务领域,阿里云提供了多款专业的安全服务产品,帮助用户构建完善的安全防护体系。
产品1:安全管家服务
阿里云安全管家服务是结合阿里云专家累积的云上最佳安全运营实践为云上用户提供深度安全检测及响应服务。通过安全管家服务用户可以快速构建基础安全运营体系保障云上业务的安全稳定运行。
产品亮点:
- 专家实践:结合阿里云专家累积的云上最佳安全运营实践提供专业服务。
- 深度检测:提供深度的安全检测能力及时发现潜在安全风险。
- 快速响应:通过快速响应机制确保用户能够及时处理安全事件。
产品2:等保咨询服务
等保咨询服务是阿里云整合云安全产品的技术优势联合优质等保咨询、等保测评合作资源为客户提供的一站式等保咨询服务。它全面覆盖等保定级、备案、建设整改以及测评阶段帮助客户高效地通过等保测评。
产品亮点:
- 一站式服务:提供一站式的等保咨询服务方便用户进行统一管理。
- 全面覆盖:全面覆盖等保定级、备案、建设整改以及测评阶段满足用户不同需求。
- 高效通过:通过专业的咨询服务帮助客户高效地通过等保测评。
产品3:安全评估加固服务
在客户授权委托下阿里云安全服务团队对云上资产开展全面的风险评估活动或者主机、Web漏洞扫描服务。通过提供专业的基线加固、漏洞修复、组件升级等服务帮助客户提升云上资产的安全性。
产品亮点:
- 全面评估:对云上资产开展全面的风险评估活动及时发现潜在安全风险。
- 专业加固:提供专业的基线加固、漏洞修复、组件升级等服务确保资产的安全性。
- 持续优化:通过持续优化服务帮助客户不断提升云上资产的安全性。
产品4:渗透测试服务
渗透测试是一种黑盒安全测试方法。阿里云安全专家通过模拟真实黑客的技术手段对目标进行漏洞检测突破系统的安全防护手段深入评估漏洞可能造成的实际影响。通过渗透测试服务企业可以挖掘出正常业务流程中的隐藏安全缺陷和漏洞并提出修复建议从而提升整体安全性。
产品亮点:
- 真实模拟:通过模拟真实黑客的技术手段进行漏洞检测提高测试的准确性和有效性。
- 深入评估:深入评估漏洞可能造成的实际影响帮助企业全面了解自身安全状况。
- 修复建议:提供详细的修复建议方便企业快速修复漏洞风险。
5、业务安全
在业务安全领域,阿里云提供了多款针对特定业务场景的安全产品,帮助用户保障业务的正常运行和数据的完整性。
产品1:实人认证
实人认证是阿里云为用户提供的一款对用户身份信息真实性核验的服务。它包含证件OCR识别、活体检测、人脸对比等能力安全效果在金融场景被有效验证广泛应用于社交、网约车出行、银行、保险等行业。通过实人认证服务用户可以确保用户身份的真实性防止欺诈行为的发生。
产品亮点:
- 多种核验方式:提供证件OCR识别、活体检测、人脸对比等多种核验方式提高认证的准确性和可靠性。
- 广泛应用:广泛应用于社交、网约车出行、银行、保险等行业满足用户不同场景下的需求。
- 安全有效:通过安全有效的认证机制防止欺诈行为的发生保障业务的正常运行。
产品2:风险识别
风险识别(Fraud Detection)是阿里云为用户提供的一款实时分析、精准识别、全场景覆盖的业务风险管理产品。它基于海量攻防样本、机器学习算法以及流式计算等技术帮助企业一站式管理用户注册、营销活动、交易、信贷申请等关键业务中的欺诈风险。通过风险识别服务企业可以及时发现并处理潜在的欺诈行为保障业务的正常运行和数据的完整性。
产品亮点:
- 实时分析:提供实时的风险分析能力帮助企业快速发现潜在欺诈行为。
- 精准识别:通过精准的识别机制提高欺诈行为的识别准确率。
- 全场景覆盖:覆盖用户注册、营销活动、交易、信贷申请等关键业务场景满足企业不同需求。
产品3:内容安全
内容安全作为阿里云在业务安全领域的重要一环,不仅支持对图片、视频、语音等多种多媒体内容的风险检测,还具备高度的灵活性和可扩展性。用户可以根据自身的业务需求,自定义风险内容的识别规则和阈值,从而实现对内容的精准管控。此外,内容安全服务还提供了详尽的风险报告和数据分析,帮助用户深入了解平台上的内容风险状况,为后续的运营决策提供有力支持。
产品亮点:
- 高度灵活:支持自定义风险内容的识别规则和阈值,满足用户多样化的业务需求。
- 详尽报告:提供详尽的风险报告和数据分析,帮助用户深入了解内容风险状况。
- 持续优化:阿里云团队会不断优化算法和模型,提升内容安全服务的准确性和效率。
产品4:验证码 Captcha
验证码Captcha是阿里云推出的一款新一代验证码产品,广泛应用于账号注册、短信发送、票务预订、信息查询、免费下载、论坛发帖、在线投票等交互模块。通过简单、安全、多样的交互逻辑,Captcha能够有效区分机器脚本和自然人,提供高效的验证服务。同时,Captcha还保持了真实的用户体验,避免了传统验证码可能带来的繁琐和不便。
产品亮点:
- 高效验证:通过简单、安全、多样的交互逻辑,提供高效的验证服务。
- 真实体验:保持真实的用户体验,避免繁琐和不便。
- 广泛应用:支持多种交互模块的应用场景,满足用户多样化的验证需求。
阿里云服务器安全是一个系统工程,需要用户从基础防护做起,充分利用阿里云的云安全产品,构建全方位的安全防护体系。通过合理配置密码策略、定期更新系统、设置防火墙规则、使用云盾、KMS、云监控和安全审计等安全产品和服务,用户可以有效提升服务器的安全性,保护业务连续性和数据安全。
