云服務器實踐：提高ECS實例的安全性

　　 云服務器搭建應用層后，數據上云怎樣來更大化的保障數據安全成為重要考慮因素，提高ECS實際的安全性能應該怎么操作呢?

　　云服務器 ECS 實例是一個虛擬的計算環(huán)境，包含了 CPU、內存、操作系統(tǒng)、磁盤、帶寬等最基礎的服務器組件，是 ECS 提供給每個用戶的操作實體。

　　我們基本可以理解為一個實例就等同于一臺虛擬機，那么我們在本地維護的虛擬機一般會做虛擬機實例級別的安全防護，以防止虛擬機被攻擊和入侵等。同樣的，云上的ECS實例也需要做安全性防護。

　　ECS實例放置在云上，除了置身于阿里云自身的安全平臺外，用戶也需要根據實際的需求進一步定制化安全，所以說ECS的安全是阿里云和用戶共同構建的。如果ECS實例沒有安全的防護，可能會帶來不少不良的影響，比如遭受到DDoS而導致業(yè)務中斷，比如受到Web入侵而導致網頁被篡改、掛馬，比如被注入而導致信息和數據泄漏等，影響ECS的使用和無法正常提供服務。

　　一般可以通過設置安全組、AntiDDoS、態(tài)勢感知、安裝安騎士、接入Web應用防火墻等方式提高ECS實例的安全性。下面就從實例層面分別講解一下如何提高ECS實例的安全性。

　　安全組是一個邏輯上的分組，這個分組是由同一個地域(Region)內具有相同安全保護需求并相互信任的實例組成。每個實例至少屬于一個安全組，在創(chuàng)建的時候就需要指定。同一安全組內的實例之間網絡互通，不同安全組的實例之間默認內網不通?？梢允跈鄡蓚€安全組之間互訪。

　　設置安全組

　　·

　　設置安全組的好處

　　·

　　安全組是一種虛擬防火墻，具備狀態(tài)檢測包過濾功能。安全組用于設置單臺或多臺云服務器的網絡訪問控制，它是重要的網絡安全隔離手段，用于在云端劃分安全域。安全組規(guī)則可以允許或者禁止與安全組相關聯的云服務器 ECS 實例的公網和內網的入出方向的訪問。

　　·

　　如果沒有很好地設置安全組或者安全組規(guī)則過于開放，則降低了訪問的限制級別，在一定程度上為攻擊者敞開了大門。

　　·

　　·

　　操作步驟

　　·

　　i. 登錄 云服務器管理控制臺。

　　ii. 單擊左側導航中的 安全組。

　　iii. 選擇地域。

　　iv. 單擊添加安全組規(guī)則。

　　v. 在彈出的對話框中，分別設置網絡類型、規(guī)則方向、授權策略、協議類型、端口范圍、授權類型、授權對象和優(yōu)先級。

　　vi. 點擊 確定，成功為該安全組授權一條安全組規(guī)則 。

　　下面結合一個案例來闡述一下，比如只允許特定IP遠程登錄到實例。

　　通過配置安全組規(guī)則可以設置只讓特定 IP 遠程登錄到實例。只需要在公網入方向配置規(guī)則就可以了，以 Linux 服務器為例，設置只讓特定 IP 訪問 22 端口。

　　i. 添加一條公網入方向安全組規(guī)則，允許訪問，協議類型選擇 TCP，端口寫 22/22，授權類型為地址段訪問，授權對象填寫允許遠程連接的 IP 地址段，格式為 x.x.x.x/xx，即 IP地址/子網掩碼，本例中的地址段為 182.92.253.20/32。優(yōu)先級為 1。

　　ii. 再添加一條規(guī)則，拒絕訪問，協議類型選擇 TCP，端口寫 22/22，授權類型為地址段訪問，授權對象寫所有 0.0.0.0/0，優(yōu)先級為 2。

　　最終的效果如下：

　　來自 IP 182.92.253.20 訪問 22 端口優(yōu)先執(zhí)行優(yōu)先級為 1 的規(guī)則允許。

　　來自其他 IP 訪問 22 端口優(yōu)先執(zhí)行優(yōu)先級為 2 的規(guī)則拒絕了。

　　AntiDDoS

　　阿里云云盾可以防護SYN Flood，UDP Flood，ACK Flood，ICMP Flood，DNS Flood，CC攻擊等3到7層DDoS的攻擊。DDoS基礎防護免費為阿里云用戶提供最高5G的默認DDoS防護能力。

　　阿里云在此基礎上，推出了安全信譽防護聯盟計劃，將基于安全信譽分進一步提升DDoS防護能力，用戶最高可獲得100G以上的免費DDoS防護資源。

　　·

　　為什么需要AntiDDoS

　　·

　　DDoS(Distributed Denial of Service)即分布式拒絕服務。攻擊指借助于客戶/服務器技術，將多個計算機聯合起來作為攻擊平臺，對一個或多個目標發(fā)動DDoS攻擊，從而成倍地提高拒絕服務攻擊的威力，影響業(yè)務和應用正常對用戶提供服務。

　　·

　　使用AntiDDoS，無需采購昂貴清洗設備，可以在受到DDoS攻擊不會影響訪問速度，帶寬充足不會被其他用戶連帶影響，保證業(yè)務可用和穩(wěn)定。

　　·

　　·

　　操作步驟

　　·

　　i. 進入阿里云官網，登錄到管理控制臺。

　　ii. 輸入用戶名密碼。

　　iii. 通過云盾 > DDOS防護 > 基礎防護，查看基礎防護配置。

　　iv. 可以加入安全信譽防護聯盟。勾選服務條款，點選加入安全信譽防護聯盟加入聯盟。如下圖所示。

　　云盾DDoS基礎版提供不大于5G的DDoS防護，在此基礎上推出了安全信譽防護聯盟計劃，您可通過加入此聯盟，在獲得原默認防護能力基礎上，會得到免費增量防護帶寬機會。

　　v.

　　加入聯盟后，可查看自己的安全信譽分，并查看安全信譽組成，維護安全信譽，獲得更大的防護能力。加盟成功后在基礎防護界面顯示如下信譽界面。

　　vi.

　　vii. 在基礎防護頁面，點擊對應ECS服務器的查看詳情，如果服務器數量比較多，可以在云服務器ecs列表中通過實例IP和實例名稱搜索服務器，再點擊對應服務器的查看詳情。

　　viii. 進入頁面后，可以在CC防護頁面點擊已啟用開啟CC防護，點擊關閉則關閉CC防護功能，在每秒HTTP請求數可以對每秒http請求數設置清洗閾值，達到閾值后便會觸發(fā)云盾的清洗。

　　ix. 如果購買了高級DDoS防護，可以點擊DDoS防護高級設置可以設置清洗閾值，選擇自動設置后系統(tǒng)會根據云服務器的流量負載動態(tài)調整清洗閾值，選擇手動設置可以手動對流量和報文數量的閾值進行設置，當超過此閾值后云盾便會開啟流量清洗(建議如果網站在做推廣或者活動時適當調大)。

　　態(tài)勢感知

　　態(tài)勢感知態(tài)勢感知提供的是一項SAAS服務，即在大規(guī)模云計算環(huán)境中，對那些能夠引發(fā)網絡安全態(tài)勢發(fā)生變化的要素進行全面、快速和準確地捕獲和分析。然后，把客戶當前遇到的安全威脅與過去的威脅進行關聯回溯和大數據分析，最終產出未來可能產生的安全事件的威脅風險，并提供一個體系化的安全解決方案。

　　·

　　態(tài)勢感知的優(yōu)勢

　　·

　　對“滲透攻擊”有所感知，以云計算數據平臺支撐，因此具有強大的安全數據分析能力，對各種常見類型的攻擊可以實時分析和展示。

　　·

　　·

　　操作步驟

　　·

　　i. 在管理控制臺的態(tài)勢感知中點擊免費開啟服務，即可使用態(tài)勢感知。

　　ii. 通過緊急時間、威脅、弱點、情報、日志等方面，輔以直觀的可視化的分析，讓安全一目了然。

　　安裝安騎士

　　服務器安全(安騎士)是云盾推出的一款服務器安全運維管理產品。通過安裝在服務器上的輕量級Agent插件與云端防護中心的規(guī)則聯動，實時感知和防御入侵事件，保障服務器的安全。

　　·

　　安裝安騎士的好處

　　·

　　安騎士是很輕量的，服務器上運行的Agent插件，正常狀態(tài)下只占用1%的CPU、10MB內存。安騎士可以自動識別服務器的Web目錄，對服務器的Web目錄進行后門文件掃描，支持通用Web軟件漏洞掃描和Windows系統(tǒng)漏洞掃描，對服務器常見系統(tǒng)配置缺陷進行檢測，包括可疑系統(tǒng)賬戶、弱口令、注冊表等進行檢測。

　　·

　　我們可以將安騎士理解為ECS實例上的防病毒軟件，如果沒有安騎士，相當于少了一個可靠的衛(wèi)士，我們ECS實例的健康性水平也會相應降低。

　　·

　　·

　　操作步驟

　　·

　　i. 服務器安全(安騎士)Agent插件目前集成于安全鏡像中，在創(chuàng)建實例時選擇安全加固后，您可以進入安騎士控制臺-配置中心，查看每臺服務器的在線狀態(tài)。

　　ii. 若不在線，請按照如下方式下載并安裝。

　　a. 進入服務器安全(安騎士)控制臺-設置-安裝Agent頁面，根據頁面提示獲取最新版本下載地址，以管理員權限在服務器上運行并安裝。

　　b. 對于非阿里云服務器，在安裝過程中會提示輸入驗證Key，這個驗證Key用于關聯阿里云賬號，通過阿里云賬號在安騎士控制臺使用相關功能，驗證key會顯示在安裝頁面中。

　　c. 大約安裝完成2分鐘后在云盾·服務器安全(安騎士)控制臺-配置中心里查看到在線數據，阿里云服務器將會從離線變成在線，非阿里云機器會新增在服務器列表中。

　　接入Web應用防火墻

　　云盾Web應用防火墻(Web Application Firewall, 簡稱 WAF)基于云安全大數據能力實現，通過防御SQL注入、XSS跨站腳本、常見Web服務器插件漏洞、木馬上傳、非授權核心資源訪問等OWASP常見攻擊，過濾海量惡意CC攻擊，避免您的網站資產數據泄露，保障網站的安全與可用性。

　　·

　　接入Web應用防火墻的好處

　　·

　　無需安裝任何軟、硬件，無需更改網站配置、代碼，它可以輕松應對各類Web應用攻擊，確保網站的Web安全與可用性，淘寶天貓都在用。除了具有強大Web防御能力，還可以指定網站的專屬防護，背后是大數據的安全能力。適用于在金融、電商、o2o、互聯網+、游戲、政府、保險、政府等各類網站的Web應用安全防護上。

　　·

　　如果缺少WAF，光靠前面提到的防護措施會存在短板，例如在面對如數據泄密、惡意CC、木馬上傳篡改網頁等攻擊的時候，就不能拿很好地防護了，可能會導致Web入侵。

　　·

　　·

　　操作步驟

　　·

　　i. 控制臺配置。

　　a. 登錄阿里云控制臺，找到云盾 > Web應用防火墻 > 域名配置，點擊添加域名按鈕。

　　b. 彈出的對話框中輸入相關信息：

　　c. 獲取CNAME。配置好域名后，WAF會自動分配給當前域名一個CNAME，可點擊域名信息來查看：

　　d. 上傳HTTPS證書和私鑰(僅針對HTTPS站點)。如果防護HTTPS站點，必須上傳服務器的證書和私鑰到WAF，否則訪問HTTPS站點會有問題。勾選HTTPS后，會看到紅色的“異常”字樣，提示當前證書有問題，點擊上傳證書來上傳：

　　e. 接入狀態(tài)異常排查，剛添加完域名時，接入狀態(tài)可能會提示異常。這是正常的，待修改DNS使用CNAME解析接入WAF后，或者是有正常流量經過WAF以后會變成正常的。

　　ii. 放行回源IP段。

　　iii. 本地驗證。

　　a. 以前面步驟中添加的域名 “www.aliyundemo.cn” 為例，hosts文件應該添加如下內容，其中前面的IP地址為對應的WAFIP地址，WAF的IP可以通過ping提供的CNAME來獲得。

　　b. 修改hosts文件后保存。然后本地ping一下被防護的域名，預期此時解析到的IP地址應該是剛才綁定的WAF IP地址。如果依然是源站地址，可嘗試刷新本地的DNS緩存(Windows的cmd下可以使用ipconfig/flushdns命令)。

　　c. 確認hosts綁定已經生效(域名已經本地解析為WAF的IP)后，打開瀏覽器，輸入該域名進行訪問，如果WAF的配置正確，網站預期能夠正常打開。

　　d. 嘗試一下手動模擬一些簡單的web攻擊命令，如www.aliyundemo.cn/?alert(xss) 預期WAF能夠彈出阻攔頁面：

　　iv. 通過DNS供應商或者其他域名解析系統(tǒng)，修改DNS解析。

　　阿里云給我們ECS實例的安全性提供了這么多的安全產品保駕護航，我們可以根據實際需要選擇相應的產品，加強對系統(tǒng)和數據的防護，減少ECS實例接受到的侵害，使其穩(wěn)定、持久地運行。

　　v.
 

　　【阿里云，阿里巴巴集團旗下云計算品牌，全球卓越的云計算技術和服務提供商。海商(m.zytcm.com.cn)作為阿里云湖南唯一授權服務中心，國內知名商城系統(tǒng)及商城網站建設提供商，專為企業(yè)提供專業(yè)完善電商整體解決方案、微商云、視頻云、醫(yī)療云等，咨詢阿里云服務器詳情可電聯：18684778716(微信同號)】