基于阿里云的企业安全最佳实践

本文涉及的产品
云数据库 RDS SQL Server,独享型 2核4GB
云服务器 ECS,每月免费额度280元 3个月
对象存储 OSS,20GB 3个月
简介: 账户安全管理1、为云账户和高风险权限RAM用户启用多因素认证(MFA)。2、授权予高风险特权操作时,使用带IP和MFA限制条件的授权策略进行授权。3、分离用户管理、权限管理与资源管理的RAM用户,分权制衡。

image
账户安全管理
1、为云账户和高风险权限RAM用户启用多因素认证(MFA)。
2、授权予高风险特权操作时,使用带IP和MFA限制条件的授权策略进行授权。
3、分离用户管理、权限管理与资源管理的RAM用户,分权制衡。
4、使用群组给RAM用户分配权限。
5、善用STS安全令牌服务,为临时用户提供短期访问资源的权限凭证。
6、为云账户和RAM登录用户配置强密码策略。
7、不要为云账户(主账号)创建Access Key,避免AK泄漏的巨大风险。
8、定期轮转用户登录密码和Access Key。
9、将控制台用户与API用户分离。
10、使用策略限制条件来增强安全性,比如访问源IP,时间等。比如,授权用户Alice可以关停ECS实例,限制条件是Alice必须在指定时间、并且用户公司网络中执行该操作。
11、及时调整和撤销RAM用户不再需要的权限。
12、遵循最小授权原则,不要过度授权。最小授权原则是安全设计的基本原则,当用户需要给用户授权时,请授予刚好满足他工作所需的权限,而不要过度授权。
密钥管理服务
1、加密与解密实践
用户可以直接调用KMS的API,使用指定的用户主密钥(CMK)来加密、解密数据。这种场景适用于少量(少于4KB)数据的加解密,用户的数据会通过安全信道传递到KMS服务端,对应的结果将在服务端完成加密、解密后通过安全信道返回给用户。
2、信封加密
用户可以直接调用KMS的API,使用指定的用户主密钥(CMK)来产生、解密数据密钥,并自行使用数据密钥在本地加解密数据。这种场景适用于大量数据的加解密,用户的数据无需通过网络传输大量数据,可以低成本的实现大量数据的加解密。
云服务器ECS
为了更好地使用云服务器ECS,建议您遵循阿里云安全的最佳实践指导,注意几个主要原则:
1、在创建ECS时进行合理的安全配置。
2、网络安全组设置,公网安全组和私网安全组都只保留业务需要使用的端口。
3、创建快照。
4、实例登录使用SSH密钥对。
5、关注操作系统安全漏洞并定期升级。
6、使用安骑士保护ECS实例安全。
负载均衡SLB
1、使用SLB时,需要检查勿将后端ECS实例的管理端口通过SLB转发至公网,比如ECS的22、3389、3306、6379等高危端口。
2、如果仅是做私网负载均衡,用户可以选择私网SLB实例。公网实例和私网实例的不同。公网实例:负载均衡实例仅提供公网IP,可以通过Internet访问的负载均衡服务。私网实例:负载均衡实例仅提供阿里云私网IP地址,只能通过阿里云内部网络访问该负载均衡服务,Internet用户无法访问。
3、SLB提供了HTTPS监听,支持单向和双向认证,建议使用。
云数据库RDS
1、网络设置
RDS支持公网的访问和私网的访问,如果仅在阿里云内部使用,建议设置为私网访问。如果在VPC内访问,建议选择VPC实例。
2、IP白名单设置
通过RDS控制台,设置RDS连接IP白名单为对应的ECS私网IP或者云服务的私网IP。
3、数据加密
(1)SSL/TLS:RDS提供MySQL和SQL Server的安全套接层协议。用户可以使用RDS提供的服务器端证书来验证目标地址和端口的数据库服务是否为RDS提供,从而有效避免中间人攻击。
(2)TDE:RDS提供MySQL和SQL Server的透明数据加密功能。RDS for MySQL的TDE由阿里云自研,RDS for SQL Server的TDE基于SQL Server企业版改造而来。
对象存储OSS
1、数据访问控制
OSS提供Bucket级别的权限访问控制,一般将应用的静态图片、CSS、JS等资源放到OSS上面,应当设置Bucket为public-read。如果是用户业务中的敏感数据,建议用户将Bucket设置为private并使用AK认证。
2、数据传输完整性
数据在客户端和服务器之间传输时有可能会出错。OSS现在支持对各种方式上传的object返回其CRC64值,客户端可以和本地计算的CRC64值做对比,从而完成数据完整性的验证。
DDoS高防IP
用户开通高防IP服务,需要把域名解析到高防IP清洗中心上。对于非Web业务,把业务IP换成高防IP服务,配置源站IP。对于Web业务,用户需要通过域名DNS服务商修改域名对应的A记录,指向高防IP。 完成域名解析的修改后,所有公网流量都会通过高防IP服务的清洗中心,通过端口协议转发的方式将用户的访问通过高防IP服务转发到源站,恶意攻击流量在高防IP清洗中心进行过滤后,正常流量返回源站,确保源站业务持续稳定访问。 高防IP服务和云盾Web应用防火墙(WAF)、阿里云的CDN完全兼容,最佳的部署架构是:将高防IP、CDN和WAF结合在一起,为用户提供保护和加速,即:高防IP(入口层,DDoS防护)-> CDN(静态资源加速) -> Web应用防火墙(中间层,应用层防护)-> 源站(ECS/SLB/VPC/IDC…)。
Web应用防火墙
1、配置源站ECS安全组或SLB白名单,可以防止黑客直接攻击源站IP
注意:源站保护不是必须的,不配置不会影响正常业务转发,但不做源站保护可能导致攻击者在源站IP暴露的情况下绕过WAF防护直接攻击源站。
2、使用WAF来防止敏感信息泄露
防泄漏功能主要覆盖包括网站存在敏感信息泄漏,尤其是手机号、身份证、信用卡等信息的过滤。本功能可以防御URL未授权访问;通过越权查看漏洞访问;网页存在敏感信息被恶意爬虫爬取访问等场景。
3、使用WAF有效防御WordPress反射攻击防御
WAF高级版及以上版本用户可以通过精准访问控制规则有效防御WordPress反射攻击。
安骑士(主机安全)
通过使用安装在云服务器上的轻量级软件安骑士,与云端安全中心联动,为客户提供漏洞管理、基线检查和入侵检测等功能,帮助客户看清楚“系统弱点”,查出“入侵事件”,加快事件“响应速度”。
态势感知
态势感知为客户提供资产管理、安全监控、入侵回溯、黑客定位、情报预警等功能特性。在以下场景建议使用态势感知产品了解安全情况。
1、全面了解云上业务的安全态势:如攻击情况,入侵情况,防御效果,自身业务弱点,主机对外提供服务的安全状态等。
2、入侵行为分析:用户云上业务遭到入侵,主机负载突然增加,或收到告警短信主机ECS被入侵时,态势感知可提供入侵行为检测、入侵行为分析和安全事件详情。
3、日志分析:态势感知提供全SaaS化的日志检索平台,免安装免维护,即开即用,支持逻辑(布尔表达式)检索,支持50个维度的数据逻辑组合,秒级出结果。
4、代码外泄感知:态势感知情报采集系统提供企业客户相关的情报,包括数据泄露情报,用户名密码泄露情报,暗网相关情报,IM群攻击预谋情报等。

相关实践学习
一小时快速掌握 SQL 语法
本实验带您学习SQL的基础语法,快速入门SQL。
7天玩转云服务器
云服务器ECS(Elastic Compute Service)是一种弹性可伸缩的计算服务,可降低 IT 成本,提升运维效率。本课程手把手带你了解ECS、掌握基本操作、动手实操快照管理、镜像管理等。了解产品详情: https://www.aliyun.com/product/ecs
相关文章
|
17天前
|
存储 弹性计算 数据库
阿里云权益中心,助力学生、开发者、企业用云上云无忧
阿里云权益中心支持学生、开发者和企业快速上云,提供“99计划”惠及中小企业和开发者,包括云产品试用、精选优惠和上云扶持。高校用户可通过“云工开物”计划享专属优惠。企业用户可获上云抵扣、1对1服务及成长权益。多种云产品免费试用,降低上云门槛。
阿里云权益中心,助力学生、开发者、企业用云上云无忧
|
30天前
|
SQL 弹性计算 安全
购买阿里云活动内云服务器之后设置密码、安全组、增加带宽、挂载云盘教程
当我们通过阿里云的活动购买完云服务器之后,并不是立马就能使用了,还需要我们设置云服务器密码,配置安全组等基本操作之后才能使用,有的用户还需要购买并挂载数据盘到云服务器上,很多新手用户由于是初次使用阿里云服务器,因此并不知道这些设置的操作流程,下面给大家介绍下这些设置的具体操作流程。
购买阿里云活动内云服务器之后设置密码、安全组、增加带宽、挂载云盘教程
|
1月前
|
自然语言处理
阿里云百炼大模型服务--企业知识检索问答指南
阿里云百炼提供的企业知识检索问答应用可以帮助大家实现让大模型瞬间“开挂”的技能。结合上传的知识数据,大模型识别解析学习文档内容,最终给出生成式回复。我们在通义千问-Turbo/Max大模型基础上,将文件上传、读取、切片、向量化等过程都开发好预置在应用中,实现开箱即用,更能满足您的日常需求。
|
8天前
|
云安全 数据采集 安全
阿里云安全产品,Web应用防火墙与云防火墙产品各自作用简介
阿里云提供两种关键安全产品:Web应用防火墙和云防火墙。Web应用防火墙专注网站安全,防护Web攻击、CC攻击和Bot防御,具备流量管理、大数据防御能力和简易部署。云防火墙是SaaS化的网络边界防护,管理南北向和东西向流量,提供访问控制、入侵防御和流量可视化。两者结合可实现全面的网络和应用安全。
阿里云安全产品,Web应用防火墙与云防火墙产品各自作用简介
|
8天前
|
弹性计算 安全
电子好书发您分享《阿里云第八代企业级ECS实例,为企业提供更安全的云上防护》
阿里云第八代ECS实例,搭载第五代英特尔至强处理器与飞天+CIPU架构,提升企业云服务安全与算力。[阅读详情](https://developer.aliyun.com/ebook/8303/116162?spm=a2c6h.26392459.ebook-detail.5.76bf7e5al1Zn4U) ![image](https://ucc.alicdn.com/pic/developer-ecology/cok6a6su42rzm_f422f7cb775444bbbfc3e61ad86800c2.png)
33 14
|
18天前
|
消息中间件 NoSQL Kafka
云原生最佳实践系列 5:基于函数计算 FC 实现阿里云 Kafka 消息内容控制 MongoDB DML 操作
该方案描述了一个大数据ETL流程,其中阿里云Kafka消息根据内容触发函数计算(FC)函数,执行针对MongoDB的增、删、改操作。
|
21天前
|
云安全 编解码
阿里云安全视频审核的最大文件大小为**200MB**。
阿里云安全视频审核的最大文件大小为**200MB**。
13 1
|
22天前
|
存储 关系型数据库 数据库
超1/3中国500强企业都在用的「汇联易」,为什么选用阿里云RDS?
迎峰而上:汇联易依托阿里云RDS通用云盘,加速业务智能化升级
超1/3中国500强企业都在用的「汇联易」,为什么选用阿里云RDS?
|
1月前
|
云安全 人工智能 安全

热门文章

最新文章