基于阿里云的企业安全最佳实践

简介: 账户安全管理1、为云账户和高风险权限RAM用户启用多因素认证(MFA)。2、授权予高风险特权操作时,使用带IP和MFA限制条件的授权策略进行授权。3、分离用户管理、权限管理与资源管理的RAM用户,分权制衡。

image
账户安全管理
1、为云账户和高风险权限RAM用户启用多因素认证(MFA)。
2、授权予高风险特权操作时,使用带IP和MFA限制条件的授权策略进行授权。
3、分离用户管理、权限管理与资源管理的RAM用户,分权制衡。
4、使用群组给RAM用户分配权限。
5、善用STS安全令牌服务,为临时用户提供短期访问资源的权限凭证。
6、为云账户和RAM登录用户配置强密码策略。
7、不要为云账户(主账号)创建Access Key,避免AK泄漏的巨大风险。
8、定期轮转用户登录密码和Access Key。
9、将控制台用户与API用户分离。
10、使用策略限制条件来增强安全性,比如访问源IP,时间等。比如,授权用户Alice可以关停ECS实例,限制条件是Alice必须在指定时间、并且用户公司网络中执行该操作。
11、及时调整和撤销RAM用户不再需要的权限。
12、遵循最小授权原则,不要过度授权。最小授权原则是安全设计的基本原则,当用户需要给用户授权时,请授予刚好满足他工作所需的权限,而不要过度授权。
密钥管理服务
1、加密与解密实践
用户可以直接调用KMS的API,使用指定的用户主密钥(CMK)来加密、解密数据。这种场景适用于少量(少于4KB)数据的加解密,用户的数据会通过安全信道传递到KMS服务端,对应的结果将在服务端完成加密、解密后通过安全信道返回给用户。
2、信封加密
用户可以直接调用KMS的API,使用指定的用户主密钥(CMK)来产生、解密数据密钥,并自行使用数据密钥在本地加解密数据。这种场景适用于大量数据的加解密,用户的数据无需通过网络传输大量数据,可以低成本的实现大量数据的加解密。
云服务器ECS
为了更好地使用云服务器ECS,建议您遵循阿里云安全的最佳实践指导,注意几个主要原则:
1、在创建ECS时进行合理的安全配置。
2、网络安全组设置,公网安全组和私网安全组都只保留业务需要使用的端口。
3、创建快照。
4、实例登录使用SSH密钥对。
5、关注操作系统安全漏洞并定期升级。
6、使用安骑士保护ECS实例安全。
负载均衡SLB
1、使用SLB时,需要检查勿将后端ECS实例的管理端口通过SLB转发至公网,比如ECS的22、3389、3306、6379等高危端口。
2、如果仅是做私网负载均衡,用户可以选择私网SLB实例。公网实例和私网实例的不同。公网实例:负载均衡实例仅提供公网IP,可以通过Internet访问的负载均衡服务。私网实例:负载均衡实例仅提供阿里云私网IP地址,只能通过阿里云内部网络访问该负载均衡服务,Internet用户无法访问。
3、SLB提供了HTTPS监听,支持单向和双向认证,建议使用。
云数据库RDS
1、网络设置
RDS支持公网的访问和私网的访问,如果仅在阿里云内部使用,建议设置为私网访问。如果在VPC内访问,建议选择VPC实例。
2、IP白名单设置
通过RDS控制台,设置RDS连接IP白名单为对应的ECS私网IP或者云服务的私网IP。
3、数据加密
(1)SSL/TLS:RDS提供MySQL和SQL Server的安全套接层协议。用户可以使用RDS提供的服务器端证书来验证目标地址和端口的数据库服务是否为RDS提供,从而有效避免中间人攻击。
(2)TDE:RDS提供MySQL和SQL Server的透明数据加密功能。RDS for MySQL的TDE由阿里云自研,RDS for SQL Server的TDE基于SQL Server企业版改造而来。
对象存储OSS
1、数据访问控制
OSS提供Bucket级别的权限访问控制,一般将应用的静态图片、CSS、JS等资源放到OSS上面,应当设置Bucket为public-read。如果是用户业务中的敏感数据,建议用户将Bucket设置为private并使用AK认证。
2、数据传输完整性
数据在客户端和服务器之间传输时有可能会出错。OSS现在支持对各种方式上传的object返回其CRC64值,客户端可以和本地计算的CRC64值做对比,从而完成数据完整性的验证。
DDoS高防IP
用户开通高防IP服务,需要把域名解析到高防IP清洗中心上。对于非Web业务,把业务IP换成高防IP服务,配置源站IP。对于Web业务,用户需要通过域名DNS服务商修改域名对应的A记录,指向高防IP。 完成域名解析的修改后,所有公网流量都会通过高防IP服务的清洗中心,通过端口协议转发的方式将用户的访问通过高防IP服务转发到源站,恶意攻击流量在高防IP清洗中心进行过滤后,正常流量返回源站,确保源站业务持续稳定访问。 高防IP服务和云盾Web应用防火墙(WAF)、阿里云的CDN完全兼容,最佳的部署架构是:将高防IP、CDN和WAF结合在一起,为用户提供保护和加速,即:高防IP(入口层,DDoS防护)-> CDN(静态资源加速) -> Web应用防火墙(中间层,应用层防护)-> 源站(ECS/SLB/VPC/IDC…)。
Web应用防火墙
1、配置源站ECS安全组或SLB白名单,可以防止黑客直接攻击源站IP
注意:源站保护不是必须的,不配置不会影响正常业务转发,但不做源站保护可能导致攻击者在源站IP暴露的情况下绕过WAF防护直接攻击源站。
2、使用WAF来防止敏感信息泄露
防泄漏功能主要覆盖包括网站存在敏感信息泄漏,尤其是手机号、身份证、信用卡等信息的过滤。本功能可以防御URL未授权访问;通过越权查看漏洞访问;网页存在敏感信息被恶意爬虫爬取访问等场景。
3、使用WAF有效防御WordPress反射攻击防御
WAF高级版及以上版本用户可以通过精准访问控制规则有效防御WordPress反射攻击。
安骑士(主机安全)
通过使用安装在云服务器上的轻量级软件安骑士,与云端安全中心联动,为客户提供漏洞管理、基线检查和入侵检测等功能,帮助客户看清楚“系统弱点”,查出“入侵事件”,加快事件“响应速度”。
态势感知
态势感知为客户提供资产管理、安全监控、入侵回溯、黑客定位、情报预警等功能特性。在以下场景建议使用态势感知产品了解安全情况。
1、全面了解云上业务的安全态势:如攻击情况,入侵情况,防御效果,自身业务弱点,主机对外提供服务的安全状态等。
2、入侵行为分析:用户云上业务遭到入侵,主机负载突然增加,或收到告警短信主机ECS被入侵时,态势感知可提供入侵行为检测、入侵行为分析和安全事件详情。
3、日志分析:态势感知提供全SaaS化的日志检索平台,免安装免维护,即开即用,支持逻辑(布尔表达式)检索,支持50个维度的数据逻辑组合,秒级出结果。
4、代码外泄感知:态势感知情报采集系统提供企业客户相关的情报,包括数据泄露情报,用户名密码泄露情报,暗网相关情报,IM群攻击预谋情报等。

相关实践学习
通义万相文本绘图与人像美化
本解决方案展示了如何利用自研的通义万相AIGC技术在Web服务中实现先进的图像生成。
7天玩转云服务器
云服务器ECS(Elastic Compute Service)是一种弹性可伸缩的计算服务,可降低 IT 成本,提升运维效率。本课程手把手带你了解ECS、掌握基本操作、动手实操快照管理、镜像管理等。了解产品详情: https://www.aliyun.com/product/ecs
相关文章
|
4月前
|
人工智能 安全 API
阿里云/本地部署OpenClaw实现桌面自动化指南:免费大模型API配置+集成Desktop Control技能教程
本文结合2026年最新技术实践,完整拆解OpenClaw全平台(阿里云+本地MacOS/Linux/Windows11)部署流程,详解阿里云千问与免费大模型API配置方法,深度解析Desktop Control技能的安装、核心功能与实战场景,并附上全场景常见问题解答,所有代码命令可直接复制执行,助力用户快速掌握AI桌面自动化能力。
2778 6
|
4月前
|
人工智能 JavaScript API
少走90%弯路!OpenClaw阿里云/本地部署与Claude Code协同+5条最佳实践+百炼API配置及避坑指南
OpenClaw(原Clawdbot)作为开源AI Agent框架,核心优势是“自然语言驱动自动化执行”,而Claude Code凭借精准的代码生成、逻辑校验能力,成为OpenClaw的最佳搭档——两者协同,既能让OpenClaw高效执行终端命令、处理自动化任务,又能通过Claude Code优化代码逻辑、规避语法错误,大幅提升任务落地效率。但新手在实际使用中,往往陷入“部署困难、API配置出错、协同逻辑混乱”的困境,即便花费数小时,也难以发挥两者的核心价值。
2965 6
|
7月前
|
弹性计算 固态存储 大数据
今年阿里云服务器租用配置报价全览:包年包月与按需计费价格对比
现在阿里云服务器租用费用多少钱?小编通过查询全网最新关于阿里云服务器租用价格的资料,整理了今年最新的云服务器租用价格表,包括轻量应用服务器、云服务器ECS和GPU服务器。现在最新阿里云服务器租用费用价格表,轻量2核2G轻量服务器一年68元,折合5.6元1个月,新老用户同享99元一年服务器,2核4G5M服务器ECS优惠价199元一年(企业专享),2核4G4M轻量服务器298元一年,4核8G服务器955元一年,4核16G10M服务器70元1个月、210元3个月,8核32G服务器160元1个月、480元3个月,整理2026阿里云服务器租用费用价格表,包括一年优惠价格、一个月和1小时收费明细表:
|
弹性计算 人工智能 自然语言处理
GPU实验室-通过GPU云服务器生成AI视频
自多态模型GPT-4发布后,AIGC(AI Generated Content,AI生成内容)时代正扑面而来,从单一的文字文本,演化到更丰富的图片、视频、音频、3D模型等。本文基于阿里云GPU服务器和文本生成视频模型,采用Unet3D结构,通过从纯高斯噪声视频中,迭代去噪的过程,实现文本生成视频功能。
|
12月前
|
人工智能 物联网 机器人
面向多模态感知与反思的智能体架构Agentic AI的实践路径与挑战
Agentic AI(能动智能体)代表人工智能从被动响应向主动规划、自主决策的范式转变。本文系统解析其核心架构,涵盖感知、记忆、意图识别、决策与执行五大模块,并探讨多智能体协作机制与通信协议设计。结合代码示例,展示意图识别、任务规划与异步执行的实现方式,分析该架构的优势与挑战,如高自主性与通信复杂性等问题。最后展望未来方向,包括引入RAG、LoRA与多模态感知等技术,推动Agentic AI在自动编程、机器人协作等场景的广泛应用。
面向多模态感知与反思的智能体架构Agentic AI的实践路径与挑战
|
12月前
|
数据可视化 Java 测试技术
Git Flow 现代实操指南含从代码提交到 CI/CD 全流程的实用技巧与长尾关键词解析 Git Flow
本指南结合现代技术趋势,详解Git Flow工作流,涵盖GitHub Actions自动化、Conventional Commits规范、Gitmoji可视化等内容,助你实现代码到CI/CD的全流程管理,提升团队开发效率与代码质量。
824 2
|
人工智能 算法 自动驾驶
人工智能的伦理困境:技术发展与社会责任的平衡
在人工智能(AI)技术飞速发展的今天,我们面临着一个前所未有的伦理困境。本文将探讨AI技术带来的挑战,以及如何在技术创新与社会责任之间找到平衡点。我们将从隐私保护、就业影响、算法偏见等方面进行分析,并提出相应的解决方案。
|
安全 数据安全/隐私保护

热门文章

最新文章