开发者社区> 程序员老爹> 正文
阿里云
为了无法计算的价值
打开APP
阿里云APP内打开

基于阿里云的企业安全最佳实践

简介: 账户安全管理1、为云账户和高风险权限RAM用户启用多因素认证(MFA)。2、授权予高风险特权操作时,使用带IP和MFA限制条件的授权策略进行授权。3、分离用户管理、权限管理与资源管理的RAM用户,分权制衡。
+关注继续查看

image
账户安全管理
1、为云账户和高风险权限RAM用户启用多因素认证(MFA)。
2、授权予高风险特权操作时,使用带IP和MFA限制条件的授权策略进行授权。
3、分离用户管理、权限管理与资源管理的RAM用户,分权制衡。
4、使用群组给RAM用户分配权限。
5、善用STS安全令牌服务,为临时用户提供短期访问资源的权限凭证。
6、为云账户和RAM登录用户配置强密码策略。
7、不要为云账户(主账号)创建Access Key,避免AK泄漏的巨大风险。
8、定期轮转用户登录密码和Access Key。
9、将控制台用户与API用户分离。
10、使用策略限制条件来增强安全性,比如访问源IP,时间等。比如,授权用户Alice可以关停ECS实例,限制条件是Alice必须在指定时间、并且用户公司网络中执行该操作。
11、及时调整和撤销RAM用户不再需要的权限。
12、遵循最小授权原则,不要过度授权。最小授权原则是安全设计的基本原则,当用户需要给用户授权时,请授予刚好满足他工作所需的权限,而不要过度授权。
密钥管理服务
1、加密与解密实践
用户可以直接调用KMS的API,使用指定的用户主密钥(CMK)来加密、解密数据。这种场景适用于少量(少于4KB)数据的加解密,用户的数据会通过安全信道传递到KMS服务端,对应的结果将在服务端完成加密、解密后通过安全信道返回给用户。
2、信封加密
用户可以直接调用KMS的API,使用指定的用户主密钥(CMK)来产生、解密数据密钥,并自行使用数据密钥在本地加解密数据。这种场景适用于大量数据的加解密,用户的数据无需通过网络传输大量数据,可以低成本的实现大量数据的加解密。
云服务器ECS
为了更好地使用云服务器ECS,建议您遵循阿里云安全的最佳实践指导,注意几个主要原则:
1、在创建ECS时进行合理的安全配置。
2、网络安全组设置,公网安全组和私网安全组都只保留业务需要使用的端口。
3、创建快照。
4、实例登录使用SSH密钥对。
5、关注操作系统安全漏洞并定期升级。
6、使用安骑士保护ECS实例安全。
负载均衡SLB
1、使用SLB时,需要检查勿将后端ECS实例的管理端口通过SLB转发至公网,比如ECS的22、3389、3306、6379等高危端口。
2、如果仅是做私网负载均衡,用户可以选择私网SLB实例。公网实例和私网实例的不同。公网实例:负载均衡实例仅提供公网IP,可以通过Internet访问的负载均衡服务。私网实例:负载均衡实例仅提供阿里云私网IP地址,只能通过阿里云内部网络访问该负载均衡服务,Internet用户无法访问。
3、SLB提供了HTTPS监听,支持单向和双向认证,建议使用。
云数据库RDS
1、网络设置
RDS支持公网的访问和私网的访问,如果仅在阿里云内部使用,建议设置为私网访问。如果在VPC内访问,建议选择VPC实例。
2、IP白名单设置
通过RDS控制台,设置RDS连接IP白名单为对应的ECS私网IP或者云服务的私网IP。
3、数据加密
(1)SSL/TLS:RDS提供MySQL和SQL Server的安全套接层协议。用户可以使用RDS提供的服务器端证书来验证目标地址和端口的数据库服务是否为RDS提供,从而有效避免中间人攻击。
(2)TDE:RDS提供MySQL和SQL Server的透明数据加密功能。RDS for MySQL的TDE由阿里云自研,RDS for SQL Server的TDE基于SQL Server企业版改造而来。
对象存储OSS
1、数据访问控制
OSS提供Bucket级别的权限访问控制,一般将应用的静态图片、CSS、JS等资源放到OSS上面,应当设置Bucket为public-read。如果是用户业务中的敏感数据,建议用户将Bucket设置为private并使用AK认证。
2、数据传输完整性
数据在客户端和服务器之间传输时有可能会出错。OSS现在支持对各种方式上传的object返回其CRC64值,客户端可以和本地计算的CRC64值做对比,从而完成数据完整性的验证。
DDoS高防IP
用户开通高防IP服务,需要把域名解析到高防IP清洗中心上。对于非Web业务,把业务IP换成高防IP服务,配置源站IP。对于Web业务,用户需要通过域名DNS服务商修改域名对应的A记录,指向高防IP。 完成域名解析的修改后,所有公网流量都会通过高防IP服务的清洗中心,通过端口协议转发的方式将用户的访问通过高防IP服务转发到源站,恶意攻击流量在高防IP清洗中心进行过滤后,正常流量返回源站,确保源站业务持续稳定访问。 高防IP服务和云盾Web应用防火墙(WAF)、阿里云的CDN完全兼容,最佳的部署架构是:将高防IP、CDN和WAF结合在一起,为用户提供保护和加速,即:高防IP(入口层,DDoS防护)-> CDN(静态资源加速) -> Web应用防火墙(中间层,应用层防护)-> 源站(ECS/SLB/VPC/IDC…)。
Web应用防火墙
1、配置源站ECS安全组或SLB白名单,可以防止黑客直接攻击源站IP
注意:源站保护不是必须的,不配置不会影响正常业务转发,但不做源站保护可能导致攻击者在源站IP暴露的情况下绕过WAF防护直接攻击源站。
2、使用WAF来防止敏感信息泄露
防泄漏功能主要覆盖包括网站存在敏感信息泄漏,尤其是手机号、身份证、信用卡等信息的过滤。本功能可以防御URL未授权访问;通过越权查看漏洞访问;网页存在敏感信息被恶意爬虫爬取访问等场景。
3、使用WAF有效防御WordPress反射攻击防御
WAF高级版及以上版本用户可以通过精准访问控制规则有效防御WordPress反射攻击。
安骑士(主机安全)
通过使用安装在云服务器上的轻量级软件安骑士,与云端安全中心联动,为客户提供漏洞管理、基线检查和入侵检测等功能,帮助客户看清楚“系统弱点”,查出“入侵事件”,加快事件“响应速度”。
态势感知
态势感知为客户提供资产管理、安全监控、入侵回溯、黑客定位、情报预警等功能特性。在以下场景建议使用态势感知产品了解安全情况。
1、全面了解云上业务的安全态势:如攻击情况,入侵情况,防御效果,自身业务弱点,主机对外提供服务的安全状态等。
2、入侵行为分析:用户云上业务遭到入侵,主机负载突然增加,或收到告警短信主机ECS被入侵时,态势感知可提供入侵行为检测、入侵行为分析和安全事件详情。
3、日志分析:态势感知提供全SaaS化的日志检索平台,免安装免维护,即开即用,支持逻辑(布尔表达式)检索,支持50个维度的数据逻辑组合,秒级出结果。
4、代码外泄感知:态势感知情报采集系统提供企业客户相关的情报,包括数据泄露情报,用户名密码泄露情报,暗网相关情报,IM群攻击预谋情报等。

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
阿里云企业版实例迁移工具最佳实践
本文整理自IoT事业部-产品解决方案架构师一澄,在物联网平台存量设备如何一键迁移企业版实例的分享。本篇内容主要分为两个部分: 1.企业实例迁移的背景与挑战 2.阿里云企业实例迁移工具详解
306 0
阿里云人脸搜索最佳实践
人脸人体识别技术是基于阿里云深度学习算法,结合图像或视频的人脸检测、分析、比对以及人体检测等技术,为您提供人脸人体的检测定位、人脸属性识别和人脸比对等能力。阿里云视觉智能开放平台提供1:N人脸查找的功能,在向人脸库添加Face的时候,算法会根据添加的人脸计算一组特征记录到后端,但是并不会保存原始图片,这样在查询人脸的时候,就无法返回原始图片。很多用户使用过程中都有这样的使用场景:希望查询人脸的时候,将对应的相似人脸的原始图片也返回。这里结合阿里云oss服务,通过用户侧自己在oss保存图片的方式,实现查询人脸后不仅返回相似人脸样本信息,也返回原始图片的效果。
2751 0
企业上云最佳实践客户故事
阿里云最佳实践团队为企业用户上云提供最优化上云指导,为了给您提供更好的服务,现诚征企业上云最佳实践的客户故事。填写征集书还可抽取阿里云公仔哦!
862 0
企业上云最佳实践客户故事
阿里云最佳实践团队为企业用户上云提供最优化上云指导,为了给您提供更好的服务,现诚征企业上云最佳实践的客户故事。填写征集书还可抽取阿里云公仔哦!
653 0
阿里云数据分析最佳实践:二维数据可视化 + 设备数据下发
这里分别演示通过二维数据可视化功能展示设备位置 + 通过数据分析实现定时下发数据到设备。
299 0
阿里云直播转点播最佳实践
在前不久刚刚落幕的深圳云栖大会现场,有一个直播间体验项目引起了现场参会嘉宾的关注。云栖直播间是以视频云技术为基础,为云计算从业者量身打造了一个科技直播间,让每位嘉宾都可以过一把当“网红主播”的瘾。
4473 0
基于阿里云移动推送的移动应用推送模式最佳实践
### 一、概念 以下概念对应系统设计时的语义,对于如何合理使用移动推送有借鉴意义 #### 1.1 设备 安装并使用开发者移动应用的装置 #### 1.2 设备ID 阿里云移动推送为设备分配的唯一ID,可以通过阿里云移动推送SDK端提供的接口获取 #### 1.
3797 0
高德地图基于阿里云MaxCompute的最佳实践
云计算带来的变革不言而喻,作为一种新型的IT交付模式,切实为企业节省IT成本、加快IT与企业业务结合效率、提升创新能力、加强管理水平以及增强系统本身的可靠性等方面提供巨大支持,是企业实现新发展的重要途径,它已然成为全球IT产业的主流声音。
7991 0
高德运维基于阿里云的最佳实践
云计算带来的变革不言而喻,作为一种新型的IT交付模式,切实为企业节省IT成本、加快IT与企业业务结合效率、提升创新能力、加强管理水平以及增强系统本身的可靠性等方面提供巨大支持,是企业实现新发展的重要途径,它已然成为全球IT产业的主流声音。
3813 0
+关注
程序员老爹
关注企业上云,企业IT治理,企业服务
4
文章
0
问答
文章排行榜
最热
最新
相关电子书
更多
低代码开发师(初级)实战教程
立即下载
阿里巴巴DevOps 最佳实践手册
立即下载
冬季实战营第三期:MySQL数据库进阶实战
立即下载