云服務(wù)器實踐：數(shù)據(jù)安全最佳實踐

　　 云服務(wù)器搭建應(yīng)用層后，數(shù)據(jù)上云怎樣來更大化的保障數(shù)據(jù)安全成為重要考慮因素，本文小編整理了數(shù)據(jù)安全實踐部分。

　　云服務(wù)器 ECS 實例是一個虛擬的計算環(huán)境，包含了 CPU、內(nèi)存、操作系統(tǒng)、磁盤、帶寬等最基礎(chǔ)的服務(wù)器組件，是 ECS 提供給每個用戶的操作實體。

　　我們基本可以理解為一個實例就等同于一臺虛擬機(jī)，那么我們在本地維護(hù)的虛擬機(jī)一般會做虛擬機(jī)實例級別的安全防護(hù)，以防止虛擬機(jī)被攻擊和入侵等。同樣的，云上的ECS實例也需要做安全性防護(hù)。

　　ECS實例放置在云上，除了置身于阿里云自身的安全平臺外，用戶也需要根據(jù)實際的需求進(jìn)一步定制化安全，所以說ECS的安全是阿里云和用戶共同構(gòu)建的。如果ECS實例沒有安全的防護(hù)，可能會帶來不少不良的影響，比如遭受到DDoS而導(dǎo)致業(yè)務(wù)中斷，比如受到Web入侵而導(dǎo)致網(wǎng)頁被篡改、掛馬，比如被注入而導(dǎo)致信息和數(shù)據(jù)泄漏等，影響ECS的使用和無法正常提供服務(wù)。

　　本文檔從使用云服務(wù)器ECS的角度出發(fā)，結(jié)合相關(guān)產(chǎn)品和運(yùn)維架構(gòu)經(jīng)驗，介紹如何打造云端的數(shù)據(jù)安全。

　　適用對象

　　本文檔適用于剛開始接觸阿里云的個人或者中小企業(yè)用戶。

　　主要內(nèi)容

　　· 定期備份數(shù)據(jù)

　　· 合理設(shè)計安全域

　　· 安全組規(guī)則設(shè)置

　　· 登錄口令設(shè)置

　　· 服務(wù)器端口安全

　　· 系統(tǒng)漏洞防護(hù)

　　· 應(yīng)用漏洞防護(hù)

　　· 安全情報收集

　　定期備份數(shù)據(jù)

　　數(shù)據(jù)備份是容災(zāi)的基礎(chǔ)，目的是降低因系統(tǒng)故障、操作失誤、以及安全問題而導(dǎo)致數(shù)據(jù)丟失的風(fēng)險。云服務(wù)器ECS自帶有快照備份的功能，合理運(yùn)用ECS快照功能即可滿足大部分用戶數(shù)據(jù)備份的需求。建議用戶根據(jù)自身的業(yè)務(wù)情況，制定適合自己的備份策略，您可以選擇 手動創(chuàng)建快照，或者 創(chuàng)建自動快照策略，并 將此策略應(yīng)用到指定磁盤。推薦每日做一次自動快照，每次快照最少保存7天。養(yǎng)成良好的備份習(xí)慣，在故障發(fā)生時，有利于迅速恢復(fù)重要數(shù)據(jù)，減少損失。

　　合理設(shè)計安全域

　　基于SDN(Software Defined Network)技術(shù)研發(fā)的VPC專有網(wǎng)絡(luò)，可以供用戶構(gòu)建自定義專屬網(wǎng)絡(luò)，隔離企業(yè)內(nèi)部不同安全級別的服務(wù)器，避免互通網(wǎng)絡(luò)環(huán)境下一臺服務(wù)器感染后影響到其它應(yīng)用服務(wù)器。

　　建議用戶 創(chuàng)建專有網(wǎng)絡(luò)，選擇自有 IP 地址范圍、劃分網(wǎng)段、配置路由表和網(wǎng)關(guān)等。用戶可以將比較重要的數(shù)據(jù)存儲在一個跟互聯(lián)網(wǎng)網(wǎng)絡(luò)完全隔離的內(nèi)網(wǎng)環(huán)境，日常運(yùn)維可以用彈性IP(EIP)或者跳板機(jī)的方式，對數(shù)據(jù)進(jìn)行管理。

　　安全組規(guī)則設(shè)置

　　安全組是重要的網(wǎng)絡(luò)安全隔離手段，用于設(shè)置單臺或多臺云服務(wù)器的網(wǎng)絡(luò)訪問控制。用戶通過安全組設(shè)置實例級別的防火墻策略，可以在網(wǎng)絡(luò)層過濾服務(wù)器的主動/被動訪問行為，限定服務(wù)器對外/對內(nèi)的的端口訪問，授權(quán)訪問地址，從而減少攻擊面，保護(hù)服務(wù)器的安全。

　　例如Linux系統(tǒng)默認(rèn)遠(yuǎn)程管理端口22，不建議向外網(wǎng)直接開放，可以通過 設(shè)置安全組配置ECS公網(wǎng)訪問控制，只授權(quán)本地固定IP對服務(wù)器進(jìn)行訪問。您可以查看其它 應(yīng)用案例，加深對安全組的熟悉程度。對訪問控制有更高要求的用戶或者也可以使第用三方VPN產(chǎn)品，對登錄行為進(jìn)行數(shù)據(jù)加密，更多軟件盡在 云市場。

　　登錄口令設(shè)置

　　弱口令一直是數(shù)據(jù)泄露的一個大癥結(jié)，因為弱口令是最容易出現(xiàn)的也是最容易被利用的漏洞之一。服務(wù)器的口令建議至少8位以上，從字符種類上增加口令復(fù)雜度，如包含大小寫字母、數(shù)字和特殊字符等，并且要不定時更新口令，養(yǎng)成良好的安全運(yùn)維習(xí)慣。

　　服務(wù)器端口安全

　　服務(wù)器只要給互聯(lián)網(wǎng)提供服務(wù)，就會將對應(yīng)的服務(wù)端口暴露在互聯(lián)網(wǎng)，從安全管理的角度來說，開啟的服務(wù)端口越多，就越不安全。建議只對外開放提供服務(wù)的必要端口，并修改常見端口為高端口(30000以后)，再對提供服務(wù)的端口做訪問控制。

　　例如數(shù)據(jù)庫服務(wù)盡量在內(nèi)網(wǎng)環(huán)境使用，避免暴露在公網(wǎng);如果必須要在公網(wǎng)訪問，則需要修改默認(rèn)連接端口3306為高端口，并根據(jù)業(yè)務(wù)授權(quán)可訪問客戶端地址。

　　系統(tǒng)漏洞防護(hù)

　　系統(tǒng)漏洞問題這種長期都存在的安全風(fēng)險，可以通過系統(tǒng)補(bǔ)丁程序，或者 安騎士補(bǔ)丁管理 來解決。Windows系統(tǒng)的補(bǔ)丁更新要一直開啟，Linux系統(tǒng)要設(shè)置定期任務(wù)執(zhí)行yum update -y來更新系統(tǒng)軟件包及內(nèi)核。

　　云盾旗下的 安騎士產(chǎn)品 時還能識別防御非法破解密碼的行為，避免被黑客多次猜解密碼而入侵，批量維護(hù)服務(wù)器安全。安騎士同時還提供針對服務(wù)器應(yīng)用軟件不安全的配置檢測和修復(fù)方案，幫助用戶成功修復(fù)弱點，提高服務(wù)器安全強(qiáng)度。強(qiáng)烈推薦用戶使用。

　　應(yīng)用漏洞防護(hù)

　　應(yīng)用漏洞是指針對Web應(yīng)用、緩存、數(shù)據(jù)庫、存儲等服務(wù)，通過利用滲透攻擊而非法獲取數(shù)據(jù)的一種安全缺陷。常見應(yīng)用漏洞包括：SQL注入、XSS跨站、Webshell上傳、后門隔離保護(hù)、命令注入、非法HTTP協(xié)議請求、常見Web服務(wù)器漏洞攻擊、核心文件非授權(quán)訪問、路徑穿越等。這種漏洞不同于系統(tǒng)漏洞，修復(fù)存在很大難度，如果程序在設(shè)計應(yīng)用之初，不能對這些應(yīng)用安全基線面面俱到，服務(wù)器安全的堡壘，就往往在這最后一公里被攻破。所以我們推薦通過接入 Web應(yīng)用防火墻(Web Application Firewall, 簡稱 WAF)這種專業(yè)的防護(hù)工具，來輕松應(yīng)對各類Web應(yīng)用攻擊，確保網(wǎng)站的Web安全與可用性。

　　安全情報收集

　　在當(dāng)今暗流涌動的互聯(lián)網(wǎng)安全領(lǐng)域，安全工程師和黑客比拼的就是時間，云盾態(tài)勢感知 可以理解為一種基于大數(shù)據(jù)的安全服務(wù)，即在大規(guī)模云計算環(huán)境中，對能夠引發(fā)網(wǎng)絡(luò)安全態(tài)勢發(fā)生變化的要素進(jìn)行全面、快速和準(zhǔn)確地捕獲和分析。然后把客戶當(dāng)前遇到的安全威脅與過去的威脅進(jìn)行關(guān)聯(lián)回溯和大數(shù)據(jù)分析，最終產(chǎn)出未來可能發(fā)生的威脅安全的風(fēng)險事件，并提供一個體系化的安全解決方案。

　　所以，技術(shù)人員除了在做好日常安全運(yùn)維的同時，還要盡可能掌握全面的信息，提升預(yù)警能力，在發(fā)現(xiàn)安全問題的時候可以及時進(jìn)行修復(fù)和處理，才能真正保證云服務(wù)器ECS的數(shù)據(jù)安全閉環(huán)。
 

　　【阿里云，阿里巴巴集團(tuán)旗下云計算品牌，全球卓越的云計算技術(shù)和服務(wù)提供商。海商(m.zytcm.com.cn)作為阿里云湖南唯一授權(quán)服務(wù)中心，國內(nèi)知名商城系統(tǒng)及商城網(wǎng)站建設(shè)提供商，專為企業(yè)提供專業(yè)完善電商整體解決方案、微商云、視頻云、醫(yī)療云等，咨詢阿里云服務(wù)器詳情可電聯(lián)：18684778716(微信同號)】