云服务器 ECS 安全:如何提高ECS实例的安全性

本文涉及的产品
Web应用防火墙 3.0,每月20元额度 3个月
.cn 域名,1个 12个月
云安全中心 免费版,不限时长
简介: 如何提高ECS实例的安全性云服务器 ECS 实例是一个虚拟的计算环境,包含了 CPU、内存、操作系统、磁盘、带宽等最基础的服务器组件,是 ECS 提供给每个用户的操作实体。8月最新优惠云服务器地址2折 点击了解我们基本可以理解为一个实例就等同于一台虚拟机,那么我们在本地维护的虚拟机一般会做虚拟机实例级别的安全防护,以防止虚拟机被攻击和入侵等。

如何提高ECS实例的安全性

云服务器 ECS 实例是一个虚拟的计算环境,包含了 CPU、内存、操作系统、磁盘、带宽等最基础的服务器组件,是 ECS 提供给每个用户的操作实体。
8月最新优惠云服务器地址2折 点击了解
我们基本可以理解为一个实例就等同于一台虚拟机,那么我们在本地维护的虚拟机一般会做虚拟机实例级别的安全防护,以防止虚拟机被攻击和入侵等。同样的,云上的ECS实例也需要做安全性防护。

ECS实例放置在云上,除了置身于阿里云自身的安全平台外,用户也需要根据实际的需求进一步定制化安全,所以说ECS的安全是阿里云和用户共同构建的。如果ECS实例没有安全的防护,可能会带来不少不良的影响,比如遭受到DDoS而导致业务中断,比如受到Web入侵而导致网页被篡改、挂马,比如被注入而导致信息和数据泄漏等,影响ECS的使用和无法正常提供服务。

一般可以通过设置安全组、AntiDDoS、态势感知、安装安骑士、接入Web应用防火墙等方式提高ECS实例的安全性。下面就从实例层面分别讲解一下如何提高ECS实例的安全性。

设置安全组

安全组是一个逻辑上的分组,这个分组是由同一个地域(Region)内具有相同安全保护需求并相互信任的实例组成。每个实例至少属于一个安全组,在创建的时候就需要指定。同一安全组内的实例之间网络互通,不同安全组的实例之间默认内网不通。可以授权两个安全组之间互访。

【主机爆款特惠】限时优惠 低至3折 点击了解

设置安全组的好处

安全组是一种虚拟防火墙,具备状态检测包过滤功能。安全组用于设置单台或多台云服务器的网络访问控制,它是重要的网络安全隔离手段,用于在云端划分安全域。安全组规则可以允许或者禁止与安全组相关联的云服务器 ECS 实例的公网和内网的入出方向的访问。

如果没有很好地设置安全组或者安全组规则过于开放,则降低了访问的限制级别,在一定程度上为攻击者敞开了大门。

操作步骤

1、登录 云服务器管理控制台

2、单击左侧导航中的 安全组。

3、选择地域。

4、单击添加安全组规则。

5、在弹出的对话框中,分别设置网络类型、规则方向、授权策略、协议类型、端口范围、授权类型、授权对象和优先级。

6、点击 确定,成功为该安全组授权一条安全组规则 。

下面结合一个案例来阐述一下,比如只允许特定IP远程登录到实例。

通过配置安全组规则可以设置只让特定 IP 远程登录到实例。只需要在公网入方向配置规则就可以了,以 Linux 服务器为例,设置只让特定 IP 访问 22 端口。

添加一条公网入方向安全组规则,允许访问,协议类型选择 TCP,端口写 22/22,授权类型为地址段访问,授权对象填写允许远程连接的 IP 地址段,格式为 x.x.x.x/xx,即 IP地址/子网掩码,本例中的地址段为 182.92.253.20/32。优先级为 1

image

再添加一条规则,拒绝访问,协议类型选择 TCP,端口写 22/22,授权类型为地址段访问,授权对象写所有 0.0.0.0/0,优先级为 2

最终的效果如下:

来自 IP 182.92.253.20 访问 22 端口优先执行优先级为 1 的规则允许。

来自其他 IP 访问 22 端口优先执行优先级为 2 的规则拒绝了。

AntiDDoS

阿里云云盾可以防护SYN Flood,UDP Flood,ACK Flood,ICMP Flood,DNS Flood,CC攻击等3到7层DDoS的攻击。DDoS基础防护免费为阿里云用户提供最高5G的默认DDoS防护能力。

阿里云在此基础上,推出了安全信誉防护联盟计划,将基于安全信誉分进一步提升DDoS防护能力,用户最高可获得100G以上的免费DDoS防护资源。

为什么需要AntiDDoS

DDoS(Distributed Denial of Service)即分布式拒绝服务。攻击指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DDoS攻击,从而成倍地提高拒绝服务攻击的威力,影响业务和应用正常对用户提供服务。

使用AntiDDoS,无需采购昂贵清洗设备,可以在受到DDoS攻击不会影响访问速度,带宽充足不会被其他用户连带影响,保证业务可用和稳定。

操作步骤

1、进入阿里云官网,登录到 管理控制台。

2、输入用户名密码。

3、通过云盾>DDOS防护>基础防护,查看基础防护配置。

4、可以加入安全信誉防护联盟。勾选服务条款,点选加入安全信誉防护联盟加入联盟。如下图所示。

image

云盾DDoS基础版提供不大于5G的DDoS防护,在此基础上推出了安全信誉防护联盟计划,您可通过加入此联盟,在获得原默认防护能力基础上,会得到免费增量防护带宽机会。

加入联盟后,可查看自己的安全信誉分,并查看安全信誉组成,维护安全信誉,获得更大的防护能力。加盟成功后在基础防护界面显示如下信誉界面。

image

5、【基础防护】点击对应ECS服务器的【查看详情,如果服务器数量比较多,可以在【云服务器ecs】列表中通过【实例IP】和【实例名称】搜索服务器,再点击对应服务器的【查看详情】

image

6、进入页面后,可以在【CC防护】点击【已启用】开启CC防护,点击【关闭】则关闭CC防护功能,在【每秒HTTP请求数】可以对每秒http请求数设置清洗阈值,达到阈值后便会触发云盾的清洗。

image

7、如果购买了高级DDoS防护,可以点击【DDoS防护高级设置】可以设置清洗阈值,选择【自动设置】后系统会根据云服务器的流量负载动态调整清洗阈值,选择【手动设置】可以手动对流量和报文数量的阈值进行设置,当超过此阈值后云盾便会开启流量清洗(建议如果网站在做推广或者活动时适当调大)。

image

态势感知

态势感知态势感知提供的是一项SAAS服务,即在大规模云计算环境中,对那些能够引发网络安全态势发生变化的要素进行全面、快速和准确地捕获和分析。然后,把客户当前遇到的安全威胁与过去的威胁进行关联回溯和大数据分析,最终产出未来可能产生的安全事件的威胁风险,并提供一个体系化的安全解决方案。

态势感知的优势

对“渗透攻击”有所感知,以云计算数据平台支撑,因此具有强大的安全数据分析能力,对各种常见类型的攻击可以实时分析和展示。

操作步骤

1、在阿里云用户控制台-《云盾》-《态势感知》中点击免费开启服务,即可使用态势感知。

image

2、通过紧急时间、威胁、弱点、情报、日志等方面,辅以直观的可视化的分析,让安全一目了然。

安装安骑士

服务器安全(安骑士)是云盾推出的一款服务器安全运维管理产品。通过安装在服务器上的轻量级Agent插件与云端防护中心的规则联动,实时感知和防御入侵事件,保障服务器的安全。

安装安骑士的好处

安骑士是很轻量的,服务器上运行的Agent插件,正常状态下只占用1%的CPU、10MB内存。安骑士可以自动识别服务器的Web目录,对服务器的Web目录进行后门文件扫描,支持通用Web软件漏洞扫描和Windows系统漏洞扫描,对服务器常见系统配置缺陷进行检测,包括可疑系统账户、弱口令、注册表等进行检测。

我们可以将安骑士理解为ECS实例上的防病毒软件,如果没有安骑士,相当于少了一个可靠的卫士,我们ECS实例的健康性水平也会相应降低。

操作步骤

1、服务器安全(安骑士)Agent插件目前集成于安全镜像中,在购买ECS后,一般都已经默认安装,您可以进入安骑士控制台-配置中心,查看每台服务器的在线状态。

image

2、若不在线,请按照如下方式下载并安装。

1) 进入服务器安全(安骑士)控制台-设置-安装Agent页面,根据页面提示获取最新版本下载地址,以管理员权限在服务器上运行并安装。

image

2) 对于非阿里云服务器,在安装过程中会提示输入验证Key,这个验证Key用于关联阿里云账号,通过阿里云账号在安骑士控制台使用相关功能,验证key会显示在安装页面中。

3) 大约安装完成2分钟后在云盾·服务器安全(安骑士)控制台-配置中心里查看到在线数据,阿里云服务器将会从离线变成在线,非阿里云机器会新增在服务器列表中。

接入Web应用防火墙

云盾Web应用防火墙(Web Application Firewall, 简称 WAF)基于云安全大数据能力实现,通过防御SQL注入、XSS跨站脚本、常见Web服务器插件漏洞、木马上传、非授权核心资源访问等OWASP常见攻击,过滤海量恶意CC攻击,避免您的网站资产数据泄露,保障网站的安全与可用性。

接入Web应用防火墙的好处

无需安装任何软、硬件,无需更改网站配置、代码,它可以轻松应对各类Web应用攻击,确保网站的Web安全与可用性,淘宝天猫都在用。除了具有强大Web防御能力,还可以指定网站的专属防护,背后是大数据的安全能力。适用于在金融、电商、o2o、互联网+、游戏、政府、保险、政府等各类网站的Web应用安全防护上。

如果缺少WAF,光靠前面提到的防护措施会存在短板,例如在面对如数据泄密、恶意CC、木马上传篡改网页等攻击的时候,就不能拿很好地防护了,可能会导致Web入侵。

操作步骤

1、控制台配置。

1) [登录阿里云控制台](),找到云盾->Web应用防火墙->域名配置,点击“添加域名”按钮。

image

2) 弹出的对话框中输入相关信息:

image

3) 获取CNAME。配置好域名后,WAF会自动分配给当前域名一个CNAME,可点击域名信息来查看:

image

4) 上传HTTPS证书和私钥(仅针对HTTPS站点)。如果防护HTTPS站点,必须上传服务器的证书和私钥到WAF,否则访问HTTPS站点会有问题。勾选HTTPS后,会看到红色的“异常”字样,提示当前证书有问题,点击“上传证书”来上传:

image

5) 接入状态异常排查,刚添加完域名时,接入状态可能会提示异常。这是正常的,待修改DNS使用CNAME解析接入WAF后,或者是有正常流量经过WAF以后会变成正常的。

image

2、放行回源IP段。

image

3、本地验证。

1) 以前面步骤中添加的域名 “www.aliyundemo.cn” 为例,hosts文件应该添加如下内容,其中前面的IP地址为对应的WAFIP地址,WAF的IP可以通过ping提供的CNAME来获得。

image

2) 修改hosts文件后保存。然后本地ping一下被防护的域名,预期此时解析到的IP地址应该是刚才绑定的WAF IP地址。如果依然是源站地址,可尝试刷新本地的DNS缓存(Windows的cmd下可以使用ipconfig/flushdns命令)。

3) 确认hosts绑定已经生效(域名已经本地解析为WAF的IP)后,打开浏览器,输入该域名进行访问,如果WAF的配置正确,网站预期能够正常打开。

4) 尝试一下手动模拟一些简单的web攻击命令,如www.aliyundemo.cn/?alert(xss) 预期WAF能够弹出阻拦页面:

image

4、通过DNS供应商或者其他域名解析系统,修改DNS解析。

阿里云给我们ECS实例的安全性提供了这么多的安全产品保驾护航,我们可以根据实际需要选择相应的产品,加强对系统和数据的防护,减少ECS实例接受到的侵害,使其稳定、持久地运行。

相关实践学习
2分钟自动化部署人生模拟器
本场景将带你借助云效流水线Flow实现人生模拟器小游戏的自动化部署
7天玩转云服务器
云服务器ECS(Elastic Compute Service)是一种弹性可伸缩的计算服务,可降低 IT 成本,提升运维效率。本课程手把手带你了解ECS、掌握基本操作、动手实操快照管理、镜像管理等。了解产品详情: https://www.aliyun.com/product/ecs
目录
相关文章
|
15天前
|
弹性计算 数据挖掘 应用服务中间件
阿里云轻量应用服务器68元与云服务器99元和199元区别及选择参考
目前阿里云有三款特惠云服务器,第一款轻量云服务器2核2G68元一年,第二款经济型云服务器2核2G3M带宽99元1年,第三款通用算力型2核4G5M带宽199元一年。有的新手用户并不是很清楚他们之间的区别,因此不知道如何选择。本文来介绍一下它们之间的区别以及选择参考。
291 87
|
11天前
|
存储 弹性计算 安全
阿里云服务器经济型e实例4核16G和8核32G特惠云服务器测评参考
阿里云有两款特惠云服务器——4核16G10M带宽和4核32G10M带宽,系统盘都是100G ESSD Entry,价格分别仅需70元1个月和160元1个月。那么,这两款云服务器到底性能如何?适用于哪些场景?是否值得购买?本文将全方位深入测评这两款特惠云服务器,并为您提供详细的购买建议。
|
1月前
|
存储 缓存 固态存储
阿里云服务器租用价格参考,云服务器收费标准与活动价格表参考
本文为大家展示阿里云服务器最新的收费标准与活动价格情况,以供了解和参考。
阿里云服务器租用价格参考,云服务器收费标准与活动价格表参考
|
18天前
|
云安全 监控 安全
服务器的使用安全如何保障
德迅卫士主机安全软件,采用自适应安全架构,有效解决传统专注防御手段的被动处境,精准捕捉每一个安全隐患,为您的主机筑起坚不可摧的安全防线
|
19天前
|
机器学习/深度学习 弹性计算 缓存
简单聊聊,阿里云2核2G3M带宽云服务器与轻量应用服务器区别及选择参考
2核2G3M带宽云服务器与轻量应用服务器是目前阿里云的活动中,入门级走量型云服务器,轻量云服务器2核2G3M带宽68元一年,经济型e实例云服务器2核2G3M带宽99元1年。同样的配置,对于有的新手用户来说,有必要了解一下他们之间的区别,以及各自的购买和续费相关政策,从而选择更适合自己需求的云服务器。本文为大家简单分析一下我们应该选择哪一款。
|
24天前
|
存储 弹性计算 运维
端到端的ECS可观测性方案,助力云上业务安全稳定
本文介绍了云原生时代保障业务系统可靠性的方法和挑战,重点探讨了阿里云ECS在提升业务稳定性、性能监控及自动化恢复方面的能力。文章分为以下几个部分:首先,阐述了业务可靠性的三个阶段(事前预防、事中处理、事后跟进);其次,分析了云上业务系统面临的困难与挑战,并提出了通过更实时的监测和自动化工具有效规避风险;接着,详细描述了ECS实例稳定性和性能问题的解决方案;然后,介绍了即将发布的ECS Lens产品,它将全面提升云上业务的洞察能力和异常感知能力;最后,通过具体案例展示了如何利用OS自动重启和公网带宽自适应调节等功能确保业务连续性。总结部分强调了ECS致力于增强性能和稳定性的目标。
|
22天前
|
弹性计算 安全 搜索推荐
阿里云国际站注册教程:阿里云服务器安全设置
阿里云国际站注册教程:阿里云服务器安全设置 在云计算领域,阿里云是一个备受推崇的品牌,因其强大的技术支持和优质的服务而受到众多用户的青睐。本文将为您介绍阿里云国际站的注册过程,并重点讲解如何进行阿里云服务器的安全设置。
|
1月前
|
存储 弹性计算 数据挖掘
阿里云服务器e实例和u1实例有什么区别?ECS经济型和通用算力性能特性及优势详解
阿里云ECS云服务器的经济型e实例和通用算力型u1实例在性能、适用场景和价格上各有优势。e实例适合个人开发者和轻量级应用,性价比高;u1实例则更适合中小企业,提供更稳定的性能和更高的网络带宽。选择时可根据具体需求和预算进行决策。
|
8天前
|
存储 弹性计算 应用服务中间件
阿里云轻量应用服务器出新品通用型实例了,全球26个地域可选
近日,阿里云再度发力,推出了首款全新升级的轻量应用服务器——通用型实例。这款服务器实例不仅标配了200Mbps峰值公网带宽,更在计算、存储、网络等基础资源上进行了全面优化,旨在为中小企业和开发者提供更加轻量、易用、普惠的云计算服务,满足其对于通用计算小算力的迫切需求。目前,这款新品已在全球26个地域正式上线,为全球用户提供了更加便捷、高效的上云选择。
|
25天前
|
机器学习/深度学习 人工智能 PyTorch
阿里云GPU云服务器怎么样?产品优势、应用场景介绍与最新活动价格参考
阿里云GPU云服务器怎么样?阿里云GPU结合了GPU计算力与CPU计算力,主要应用于于深度学习、科学计算、图形可视化、视频处理多种应用场景,本文为您详细介绍阿里云GPU云服务器产品优势、应用场景以及最新活动价格。
阿里云GPU云服务器怎么样?产品优势、应用场景介绍与最新活动价格参考