云服務器實踐：數(shù)據(jù)安全最佳實踐

　　 云服務器搭建應用層后，數(shù)據(jù)上云怎樣來更大化的保障數(shù)據(jù)安全成為重要考慮因素，本文小編整理了數(shù)據(jù)安全實踐部分。

　　云服務器 ECS 實例是一個虛擬的計算環(huán)境，包含了 CPU、內存、操作系統(tǒng)、磁盤、帶寬等最基礎的服務器組件，是 ECS 提供給每個用戶的操作實體。

　　我們基本可以理解為一個實例就等同于一臺虛擬機，那么我們在本地維護的虛擬機一般會做虛擬機實例級別的安全防護，以防止虛擬機被攻擊和入侵等。同樣的，云上的ECS實例也需要做安全性防護。

　　ECS實例放置在云上，除了置身于阿里云自身的安全平臺外，用戶也需要根據(jù)實際的需求進一步定制化安全，所以說ECS的安全是阿里云和用戶共同構建的。如果ECS實例沒有安全的防護，可能會帶來不少不良的影響，比如遭受到DDoS而導致業(yè)務中斷，比如受到Web入侵而導致網頁被篡改、掛馬，比如被注入而導致信息和數(shù)據(jù)泄漏等，影響ECS的使用和無法正常提供服務。

　　本文檔從使用云服務器ECS的角度出發(fā)，結合相關產品和運維架構經驗，介紹如何打造云端的數(shù)據(jù)安全。

　　適用對象

　　本文檔適用于剛開始接觸阿里云的個人或者中小企業(yè)用戶。

　　主要內容

　　· 定期備份數(shù)據(jù)

　　· 合理設計安全域

　　· 安全組規(guī)則設置

　　· 登錄口令設置

　　· 服務器端口安全

　　· 系統(tǒng)漏洞防護

　　· 應用漏洞防護

　　· 安全情報收集

　　定期備份數(shù)據(jù)

　　數(shù)據(jù)備份是容災的基礎，目的是降低因系統(tǒng)故障、操作失誤、以及安全問題而導致數(shù)據(jù)丟失的風險。云服務器ECS自帶有快照備份的功能，合理運用ECS快照功能即可滿足大部分用戶數(shù)據(jù)備份的需求。建議用戶根據(jù)自身的業(yè)務情況，制定適合自己的備份策略，您可以選擇 手動創(chuàng)建快照，或者 創(chuàng)建自動快照策略，并 將此策略應用到指定磁盤。推薦每日做一次自動快照，每次快照最少保存7天。養(yǎng)成良好的備份習慣，在故障發(fā)生時，有利于迅速恢復重要數(shù)據(jù)，減少損失。

　　合理設計安全域

　　基于SDN(Software Defined Network)技術研發(fā)的VPC專有網絡，可以供用戶構建自定義專屬網絡，隔離企業(yè)內部不同安全級別的服務器，避免互通網絡環(huán)境下一臺服務器感染后影響到其它應用服務器。

　　建議用戶 創(chuàng)建專有網絡，選擇自有 IP 地址范圍、劃分網段、配置路由表和網關等。用戶可以將比較重要的數(shù)據(jù)存儲在一個跟互聯(lián)網網絡完全隔離的內網環(huán)境，日常運維可以用彈性IP(EIP)或者跳板機的方式，對數(shù)據(jù)進行管理。

　　安全組規(guī)則設置

　　安全組是重要的網絡安全隔離手段，用于設置單臺或多臺云服務器的網絡訪問控制。用戶通過安全組設置實例級別的防火墻策略，可以在網絡層過濾服務器的主動/被動訪問行為，限定服務器對外/對內的的端口訪問，授權訪問地址，從而減少攻擊面，保護服務器的安全。

　　例如Linux系統(tǒng)默認遠程管理端口22，不建議向外網直接開放，可以通過 設置安全組配置ECS公網訪問控制，只授權本地固定IP對服務器進行訪問。您可以查看其它 應用案例，加深對安全組的熟悉程度。對訪問控制有更高要求的用戶或者也可以使第用三方VPN產品，對登錄行為進行數(shù)據(jù)加密，更多軟件盡在 云市場。

　　登錄口令設置

　　弱口令一直是數(shù)據(jù)泄露的一個大癥結，因為弱口令是最容易出現(xiàn)的也是最容易被利用的漏洞之一。服務器的口令建議至少8位以上，從字符種類上增加口令復雜度，如包含大小寫字母、數(shù)字和特殊字符等，并且要不定時更新口令，養(yǎng)成良好的安全運維習慣。

　　服務器端口安全

　　服務器只要給互聯(lián)網提供服務，就會將對應的服務端口暴露在互聯(lián)網，從安全管理的角度來說，開啟的服務端口越多，就越不安全。建議只對外開放提供服務的必要端口，并修改常見端口為高端口(30000以后)，再對提供服務的端口做訪問控制。

　　例如數(shù)據(jù)庫服務盡量在內網環(huán)境使用，避免暴露在公網;如果必須要在公網訪問，則需要修改默認連接端口3306為高端口，并根據(jù)業(yè)務授權可訪問客戶端地址。

　　系統(tǒng)漏洞防護

　　系統(tǒng)漏洞問題這種長期都存在的安全風險，可以通過系統(tǒng)補丁程序，或者 安騎士補丁管理 來解決。Windows系統(tǒng)的補丁更新要一直開啟，Linux系統(tǒng)要設置定期任務執(zhí)行yum update -y來更新系統(tǒng)軟件包及內核。

　　云盾旗下的 安騎士產品 時還能識別防御非法破解密碼的行為，避免被黑客多次猜解密碼而入侵，批量維護服務器安全。安騎士同時還提供針對服務器應用軟件不安全的配置檢測和修復方案，幫助用戶成功修復弱點，提高服務器安全強度。強烈推薦用戶使用。

　　應用漏洞防護

　　應用漏洞是指針對Web應用、緩存、數(shù)據(jù)庫、存儲等服務，通過利用滲透攻擊而非法獲取數(shù)據(jù)的一種安全缺陷。常見應用漏洞包括：SQL注入、XSS跨站、Webshell上傳、后門隔離保護、命令注入、非法HTTP協(xié)議請求、常見Web服務器漏洞攻擊、核心文件非授權訪問、路徑穿越等。這種漏洞不同于系統(tǒng)漏洞，修復存在很大難度，如果程序在設計應用之初，不能對這些應用安全基線面面俱到，服務器安全的堡壘，就往往在這最后一公里被攻破。所以我們推薦通過接入 Web應用防火墻(Web Application Firewall, 簡稱 WAF)這種專業(yè)的防護工具，來輕松應對各類Web應用攻擊，確保網站的Web安全與可用性。

　　安全情報收集

　　在當今暗流涌動的互聯(lián)網安全領域，安全工程師和黑客比拼的就是時間，云盾態(tài)勢感知 可以理解為一種基于大數(shù)據(jù)的安全服務，即在大規(guī)模云計算環(huán)境中，對能夠引發(fā)網絡安全態(tài)勢發(fā)生變化的要素進行全面、快速和準確地捕獲和分析。然后把客戶當前遇到的安全威脅與過去的威脅進行關聯(lián)回溯和大數(shù)據(jù)分析，最終產出未來可能發(fā)生的威脅安全的風險事件，并提供一個體系化的安全解決方案。

　　所以，技術人員除了在做好日常安全運維的同時，還要盡可能掌握全面的信息，提升預警能力，在發(fā)現(xiàn)安全問題的時候可以及時進行修復和處理，才能真正保證云服務器ECS的數(shù)據(jù)安全閉環(huán)。
 

　　【阿里云，阿里巴巴集團旗下云計算品牌，全球卓越的云計算技術和服務提供商。海商(descansotropical.com)作為阿里云湖南唯一授權服務中心，國內知名商城系統(tǒng)及商城網站建設提供商，專為企業(yè)提供專業(yè)完善電商整體解決方案、微商云、視頻云、醫(yī)療云等，咨詢阿里云服務器詳情可電聯(lián)：18684778716(微信同號)】