云服務(wù)器實(shí)踐：提高ECS實(shí)例的安全性

　　 云服務(wù)器搭建應(yīng)用層后，數(shù)據(jù)上云怎樣來更大化的保障數(shù)據(jù)安全成為重要考慮因素，提高ECS實(shí)際的安全性能應(yīng)該怎么操作呢?

　　云服務(wù)器 ECS 實(shí)例是一個(gè)虛擬的計(jì)算環(huán)境，包含了 CPU、內(nèi)存、操作系統(tǒng)、磁盤、帶寬等最基礎(chǔ)的服務(wù)器組件，是 ECS 提供給每個(gè)用戶的操作實(shí)體。

　　我們基本可以理解為一個(gè)實(shí)例就等同于一臺(tái)虛擬機(jī)，那么我們?cè)诒镜鼐S護(hù)的虛擬機(jī)一般會(huì)做虛擬機(jī)實(shí)例級(jí)別的安全防護(hù)，以防止虛擬機(jī)被攻擊和入侵等。同樣的，云上的ECS實(shí)例也需要做安全性防護(hù)。

　　ECS實(shí)例放置在云上，除了置身于阿里云自身的安全平臺(tái)外，用戶也需要根據(jù)實(shí)際的需求進(jìn)一步定制化安全，所以說ECS的安全是阿里云和用戶共同構(gòu)建的。如果ECS實(shí)例沒有安全的防護(hù)，可能會(huì)帶來不少不良的影響，比如遭受到DDoS而導(dǎo)致業(yè)務(wù)中斷，比如受到Web入侵而導(dǎo)致網(wǎng)頁(yè)被篡改、掛馬，比如被注入而導(dǎo)致信息和數(shù)據(jù)泄漏等，影響ECS的使用和無法正常提供服務(wù)。

　　一般可以通過設(shè)置安全組、AntiDDoS、態(tài)勢(shì)感知、安裝安騎士、接入Web應(yīng)用防火墻等方式提高ECS實(shí)例的安全性。下面就從實(shí)例層面分別講解一下如何提高ECS實(shí)例的安全性。

　　安全組是一個(gè)邏輯上的分組，這個(gè)分組是由同一個(gè)地域(Region)內(nèi)具有相同安全保護(hù)需求并相互信任的實(shí)例組成。每個(gè)實(shí)例至少屬于一個(gè)安全組，在創(chuàng)建的時(shí)候就需要指定。同一安全組內(nèi)的實(shí)例之間網(wǎng)絡(luò)互通，不同安全組的實(shí)例之間默認(rèn)內(nèi)網(wǎng)不通。可以授權(quán)兩個(gè)安全組之間互訪。

　　設(shè)置安全組

　　·

　　設(shè)置安全組的好處

　　·

　　安全組是一種虛擬防火墻，具備狀態(tài)檢測(cè)包過濾功能。安全組用于設(shè)置單臺(tái)或多臺(tái)云服務(wù)器的網(wǎng)絡(luò)訪問控制，它是重要的網(wǎng)絡(luò)安全隔離手段，用于在云端劃分安全域。安全組規(guī)則可以允許或者禁止與安全組相關(guān)聯(lián)的云服務(wù)器 ECS 實(shí)例的公網(wǎng)和內(nèi)網(wǎng)的入出方向的訪問。

　　·

　　如果沒有很好地設(shè)置安全組或者安全組規(guī)則過于開放，則降低了訪問的限制級(jí)別，在一定程度上為攻擊者敞開了大門。

　　·

　　·

　　操作步驟

　　·

　　i. 登錄 云服務(wù)器管理控制臺(tái)。

　　ii. 單擊左側(cè)導(dǎo)航中的 安全組。

　　iii. 選擇地域。

　　iv. 單擊添加安全組規(guī)則。

　　v. 在彈出的對(duì)話框中，分別設(shè)置網(wǎng)絡(luò)類型、規(guī)則方向、授權(quán)策略、協(xié)議類型、端口范圍、授權(quán)類型、授權(quán)對(duì)象和優(yōu)先級(jí)。

　　vi. 點(diǎn)擊 確定，成功為該安全組授權(quán)一條安全組規(guī)則 。

　　下面結(jié)合一個(gè)案例來闡述一下，比如只允許特定IP遠(yuǎn)程登錄到實(shí)例。

　　通過配置安全組規(guī)則可以設(shè)置只讓特定 IP 遠(yuǎn)程登錄到實(shí)例。只需要在公網(wǎng)入方向配置規(guī)則就可以了，以 Linux 服務(wù)器為例，設(shè)置只讓特定 IP 訪問 22 端口。

　　i. 添加一條公網(wǎng)入方向安全組規(guī)則，允許訪問，協(xié)議類型選擇 TCP，端口寫 22/22，授權(quán)類型為地址段訪問，授權(quán)對(duì)象填寫允許遠(yuǎn)程連接的 IP 地址段，格式為 x.x.x.x/xx，即 IP地址/子網(wǎng)掩碼，本例中的地址段為 182.92.253.20/32。優(yōu)先級(jí)為 1。

　　ii. 再添加一條規(guī)則，拒絕訪問，協(xié)議類型選擇 TCP，端口寫 22/22，授權(quán)類型為地址段訪問，授權(quán)對(duì)象寫所有 0.0.0.0/0，優(yōu)先級(jí)為 2。

　　最終的效果如下：

　　來自 IP 182.92.253.20 訪問 22 端口優(yōu)先執(zhí)行優(yōu)先級(jí)為 1 的規(guī)則允許。

　　來自其他 IP 訪問 22 端口優(yōu)先執(zhí)行優(yōu)先級(jí)為 2 的規(guī)則拒絕了。

　　AntiDDoS

　　阿里云云盾可以防護(hù)SYN Flood，UDP Flood，ACK Flood，ICMP Flood，DNS Flood，CC攻擊等3到7層DDoS的攻擊。DDoS基礎(chǔ)防護(hù)免費(fèi)為阿里云用戶提供最高5G的默認(rèn)DDoS防護(hù)能力。

　　阿里云在此基礎(chǔ)上，推出了安全信譽(yù)防護(hù)聯(lián)盟計(jì)劃，將基于安全信譽(yù)分進(jìn)一步提升DDoS防護(hù)能力，用戶最高可獲得100G以上的免費(fèi)DDoS防護(hù)資源。

　　·

　　為什么需要AntiDDoS

　　·

　　DDoS(Distributed Denial of Service)即分布式拒絕服務(wù)。攻擊指借助于客戶/服務(wù)器技術(shù)，將多個(gè)計(jì)算機(jī)聯(lián)合起來作為攻擊平臺(tái)，對(duì)一個(gè)或多個(gè)目標(biāo)發(fā)動(dòng)DDoS攻擊，從而成倍地提高拒絕服務(wù)攻擊的威力，影響業(yè)務(wù)和應(yīng)用正常對(duì)用戶提供服務(wù)。

　　·

　　使用AntiDDoS，無需采購(gòu)昂貴清洗設(shè)備，可以在受到DDoS攻擊不會(huì)影響訪問速度，帶寬充足不會(huì)被其他用戶連帶影響，保證業(yè)務(wù)可用和穩(wěn)定。

　　·

　　·

　　操作步驟

　　·

　　i. 進(jìn)入阿里云官網(wǎng)，登錄到管理控制臺(tái)。

　　ii. 輸入用戶名密碼。

　　iii. 通過云盾 > DDOS防護(hù) > 基礎(chǔ)防護(hù)，查看基礎(chǔ)防護(hù)配置。

　　iv. 可以加入安全信譽(yù)防護(hù)聯(lián)盟。勾選服務(wù)條款，點(diǎn)選加入安全信譽(yù)防護(hù)聯(lián)盟加入聯(lián)盟。如下圖所示。

　　云盾DDoS基礎(chǔ)版提供不大于5G的DDoS防護(hù)，在此基礎(chǔ)上推出了安全信譽(yù)防護(hù)聯(lián)盟計(jì)劃，您可通過加入此聯(lián)盟，在獲得原默認(rèn)防護(hù)能力基礎(chǔ)上，會(huì)得到免費(fèi)增量防護(hù)帶寬機(jī)會(huì)。

　　v.

　　加入聯(lián)盟后，可查看自己的安全信譽(yù)分，并查看安全信譽(yù)組成，維護(hù)安全信譽(yù)，獲得更大的防護(hù)能力。加盟成功后在基礎(chǔ)防護(hù)界面顯示如下信譽(yù)界面。

　　vi.

　　vii. 在基礎(chǔ)防護(hù)頁(yè)面，點(diǎn)擊對(duì)應(yīng)ECS服務(wù)器的查看詳情，如果服務(wù)器數(shù)量比較多，可以在云服務(wù)器ecs列表中通過實(shí)例IP和實(shí)例名稱搜索服務(wù)器，再點(diǎn)擊對(duì)應(yīng)服務(wù)器的查看詳情。

　　viii. 進(jìn)入頁(yè)面后，可以在CC防護(hù)頁(yè)面點(diǎn)擊已啟用開啟CC防護(hù)，點(diǎn)擊關(guān)閉則關(guān)閉CC防護(hù)功能，在每秒HTTP請(qǐng)求數(shù)可以對(duì)每秒http請(qǐng)求數(shù)設(shè)置清洗閾值，達(dá)到閾值后便會(huì)觸發(fā)云盾的清洗。

　　ix. 如果購(gòu)買了高級(jí)DDoS防護(hù)，可以點(diǎn)擊DDoS防護(hù)高級(jí)設(shè)置可以設(shè)置清洗閾值，選擇自動(dòng)設(shè)置后系統(tǒng)會(huì)根據(jù)云服務(wù)器的流量負(fù)載動(dòng)態(tài)調(diào)整清洗閾值，選擇手動(dòng)設(shè)置可以手動(dòng)對(duì)流量和報(bào)文數(shù)量的閾值進(jìn)行設(shè)置，當(dāng)超過此閾值后云盾便會(huì)開啟流量清洗(建議如果網(wǎng)站在做推廣或者活動(dòng)時(shí)適當(dāng)調(diào)大)。

　　態(tài)勢(shì)感知

　　態(tài)勢(shì)感知態(tài)勢(shì)感知提供的是一項(xiàng)SAAS服務(wù)，即在大規(guī)模云計(jì)算環(huán)境中，對(duì)那些能夠引發(fā)網(wǎng)絡(luò)安全態(tài)勢(shì)發(fā)生變化的要素進(jìn)行全面、快速和準(zhǔn)確地捕獲和分析。然后，把客戶當(dāng)前遇到的安全威脅與過去的威脅進(jìn)行關(guān)聯(lián)回溯和大數(shù)據(jù)分析，最終產(chǎn)出未來可能產(chǎn)生的安全事件的威脅風(fēng)險(xiǎn)，并提供一個(gè)體系化的安全解決方案。

　　·

　　態(tài)勢(shì)感知的優(yōu)勢(shì)

　　·

　　對(duì)“滲透攻擊”有所感知，以云計(jì)算數(shù)據(jù)平臺(tái)支撐，因此具有強(qiáng)大的安全數(shù)據(jù)分析能力，對(duì)各種常見類型的攻擊可以實(shí)時(shí)分析和展示。

　　·

　　·

　　操作步驟

　　·

　　i. 在管理控制臺(tái)的態(tài)勢(shì)感知中點(diǎn)擊免費(fèi)開啟服務(wù)，即可使用態(tài)勢(shì)感知。

　　ii. 通過緊急時(shí)間、威脅、弱點(diǎn)、情報(bào)、日志等方面，輔以直觀的可視化的分析，讓安全一目了然。

　　安裝安騎士

　　服務(wù)器安全(安騎士)是云盾推出的一款服務(wù)器安全運(yùn)維管理產(chǎn)品。通過安裝在服務(wù)器上的輕量級(jí)Agent插件與云端防護(hù)中心的規(guī)則聯(lián)動(dòng)，實(shí)時(shí)感知和防御入侵事件，保障服務(wù)器的安全。

　　·

　　安裝安騎士的好處

　　·

　　安騎士是很輕量的，服務(wù)器上運(yùn)行的Agent插件，正常狀態(tài)下只占用1%的CPU、10MB內(nèi)存。安騎士可以自動(dòng)識(shí)別服務(wù)器的Web目錄，對(duì)服務(wù)器的Web目錄進(jìn)行后門文件掃描，支持通用Web軟件漏洞掃描和Windows系統(tǒng)漏洞掃描，對(duì)服務(wù)器常見系統(tǒng)配置缺陷進(jìn)行檢測(cè)，包括可疑系統(tǒng)賬戶、弱口令、注冊(cè)表等進(jìn)行檢測(cè)。

　　·

　　我們可以將安騎士理解為ECS實(shí)例上的防病毒軟件，如果沒有安騎士，相當(dāng)于少了一個(gè)可靠的衛(wèi)士，我們ECS實(shí)例的健康性水平也會(huì)相應(yīng)降低。

　　·

　　·

　　操作步驟

　　·

　　i. 服務(wù)器安全(安騎士)Agent插件目前集成于安全鏡像中，在創(chuàng)建實(shí)例時(shí)選擇安全加固后，您可以進(jìn)入安騎士控制臺(tái)-配置中心，查看每臺(tái)服務(wù)器的在線狀態(tài)。

　　ii. 若不在線，請(qǐng)按照如下方式下載并安裝。

　　a. 進(jìn)入服務(wù)器安全(安騎士)控制臺(tái)-設(shè)置-安裝Agent頁(yè)面，根據(jù)頁(yè)面提示獲取最新版本下載地址，以管理員權(quán)限在服務(wù)器上運(yùn)行并安裝。

　　b. 對(duì)于非阿里云服務(wù)器，在安裝過程中會(huì)提示輸入驗(yàn)證Key，這個(gè)驗(yàn)證Key用于關(guān)聯(lián)阿里云賬號(hào)，通過阿里云賬號(hào)在安騎士控制臺(tái)使用相關(guān)功能，驗(yàn)證key會(huì)顯示在安裝頁(yè)面中。

　　c. 大約安裝完成2分鐘后在云盾·服務(wù)器安全(安騎士)控制臺(tái)-配置中心里查看到在線數(shù)據(jù)，阿里云服務(wù)器將會(huì)從離線變成在線，非阿里云機(jī)器會(huì)新增在服務(wù)器列表中。

　　接入Web應(yīng)用防火墻

　　云盾Web應(yīng)用防火墻(Web Application Firewall, 簡(jiǎn)稱 WAF)基于云安全大數(shù)據(jù)能力實(shí)現(xiàn)，通過防御SQL注入、XSS跨站腳本、常見Web服務(wù)器插件漏洞、木馬上傳、非授權(quán)核心資源訪問等OWASP常見攻擊，過濾海量惡意CC攻擊，避免您的網(wǎng)站資產(chǎn)數(shù)據(jù)泄露，保障網(wǎng)站的安全與可用性。

　　·

　　接入Web應(yīng)用防火墻的好處

　　·

　　無需安裝任何軟、硬件，無需更改網(wǎng)站配置、代碼，它可以輕松應(yīng)對(duì)各類Web應(yīng)用攻擊，確保網(wǎng)站的Web安全與可用性，淘寶天貓都在用。除了具有強(qiáng)大Web防御能力，還可以指定網(wǎng)站的專屬防護(hù)，背后是大數(shù)據(jù)的安全能力。適用于在金融、電商、o2o、互聯(lián)網(wǎng)+、游戲、政府、保險(xiǎn)、政府等各類網(wǎng)站的Web應(yīng)用安全防護(hù)上。

　　·

　　如果缺少WAF，光靠前面提到的防護(hù)措施會(huì)存在短板，例如在面對(duì)如數(shù)據(jù)泄密、惡意CC、木馬上傳篡改網(wǎng)頁(yè)等攻擊的時(shí)候，就不能拿很好地防護(hù)了，可能會(huì)導(dǎo)致Web入侵。

　　·

　　·

　　操作步驟

　　·

　　i. 控制臺(tái)配置。

　　a. 登錄阿里云控制臺(tái)，找到云盾 > Web應(yīng)用防火墻 > 域名配置，點(diǎn)擊添加域名按鈕。

　　b. 彈出的對(duì)話框中輸入相關(guān)信息：

　　c. 獲取CNAME。配置好域名后，WAF會(huì)自動(dòng)分配給當(dāng)前域名一個(gè)CNAME，可點(diǎn)擊域名信息來查看：

　　d. 上傳HTTPS證書和私鑰(僅針對(duì)HTTPS站點(diǎn))。如果防護(hù)HTTPS站點(diǎn)，必須上傳服務(wù)器的證書和私鑰到WAF，否則訪問HTTPS站點(diǎn)會(huì)有問題。勾選HTTPS后，會(huì)看到紅色的“異常”字樣，提示當(dāng)前證書有問題，點(diǎn)擊上傳證書來上傳：

　　e. 接入狀態(tài)異常排查，剛添加完域名時(shí)，接入狀態(tài)可能會(huì)提示異常。這是正常的，待修改DNS使用CNAME解析接入WAF后，或者是有正常流量經(jīng)過WAF以后會(huì)變成正常的。

　　ii. 放行回源IP段。

　　iii. 本地驗(yàn)證。

　　a. 以前面步驟中添加的域名 “www.aliyundemo.cn” 為例，hosts文件應(yīng)該添加如下內(nèi)容，其中前面的IP地址為對(duì)應(yīng)的WAFIP地址，WAF的IP可以通過ping提供的CNAME來獲得。

　　b. 修改hosts文件后保存。然后本地ping一下被防護(hù)的域名，預(yù)期此時(shí)解析到的IP地址應(yīng)該是剛才綁定的WAF IP地址。如果依然是源站地址，可嘗試刷新本地的DNS緩存(Windows的cmd下可以使用ipconfig/flushdns命令)。

　　c. 確認(rèn)hosts綁定已經(jīng)生效(域名已經(jīng)本地解析為WAF的IP)后，打開瀏覽器，輸入該域名進(jìn)行訪問，如果WAF的配置正確，網(wǎng)站預(yù)期能夠正常打開。

　　d. 嘗試一下手動(dòng)模擬一些簡(jiǎn)單的web攻擊命令，如www.aliyundemo.cn/?alert(xss) 預(yù)期WAF能夠彈出阻攔頁(yè)面：

　　iv. 通過DNS供應(yīng)商或者其他域名解析系統(tǒng)，修改DNS解析。

　　阿里云給我們ECS實(shí)例的安全性提供了這么多的安全產(chǎn)品保駕護(hù)航，我們可以根據(jù)實(shí)際需要選擇相應(yīng)的產(chǎn)品，加強(qiáng)對(duì)系統(tǒng)和數(shù)據(jù)的防護(hù)，減少ECS實(shí)例接受到的侵害，使其穩(wěn)定、持久地運(yùn)行。

　　v.
 

　　【阿里云，阿里巴巴集團(tuán)旗下云計(jì)算品牌，全球卓越的云計(jì)算技術(shù)和服務(wù)提供商。海商(descansotropical.com)作為阿里云湖南唯一授權(quán)服務(wù)中心，國(guó)內(nèi)知名商城系統(tǒng)及商城網(wǎng)站建設(shè)提供商，專為企業(yè)提供專業(yè)完善電商整體解決方案、微商云、視頻云、醫(yī)療云等，咨詢阿里云服務(wù)器詳情可電聯(lián)：18684778716(微信同號(hào))】