云服務(wù)器實(shí)踐：數(shù)據(jù)安全最佳實(shí)踐

　　 云服務(wù)器搭建應(yīng)用層后，數(shù)據(jù)上云怎樣來(lái)更大化的保障數(shù)據(jù)安全成為重要考慮因素，本文小編整理了數(shù)據(jù)安全實(shí)踐部分。

　　云服務(wù)器 ECS 實(shí)例是一個(gè)虛擬的計(jì)算環(huán)境，包含了 CPU、內(nèi)存、操作系統(tǒng)、磁盤、帶寬等最基礎(chǔ)的服務(wù)器組件，是 ECS 提供給每個(gè)用戶的操作實(shí)體。

　　我們基本可以理解為一個(gè)實(shí)例就等同于一臺(tái)虛擬機(jī)，那么我們?cè)诒镜鼐S護(hù)的虛擬機(jī)一般會(huì)做虛擬機(jī)實(shí)例級(jí)別的安全防護(hù)，以防止虛擬機(jī)被攻擊和入侵等。同樣的，云上的ECS實(shí)例也需要做安全性防護(hù)。

　　ECS實(shí)例放置在云上，除了置身于阿里云自身的安全平臺(tái)外，用戶也需要根據(jù)實(shí)際的需求進(jìn)一步定制化安全，所以說(shuō)ECS的安全是阿里云和用戶共同構(gòu)建的。如果ECS實(shí)例沒(méi)有安全的防護(hù)，可能會(huì)帶來(lái)不少不良的影響，比如遭受到DDoS而導(dǎo)致業(yè)務(wù)中斷，比如受到Web入侵而導(dǎo)致網(wǎng)頁(yè)被篡改、掛馬，比如被注入而導(dǎo)致信息和數(shù)據(jù)泄漏等，影響ECS的使用和無(wú)法正常提供服務(wù)。

　　本文檔從使用云服務(wù)器ECS的角度出發(fā)，結(jié)合相關(guān)產(chǎn)品和運(yùn)維架構(gòu)經(jīng)驗(yàn)，介紹如何打造云端的數(shù)據(jù)安全。

　　適用對(duì)象

　　本文檔適用于剛開始接觸阿里云的個(gè)人或者中小企業(yè)用戶。

　　主要內(nèi)容

　　· 定期備份數(shù)據(jù)

　　· 合理設(shè)計(jì)安全域

　　· 安全組規(guī)則設(shè)置

　　· 登錄口令設(shè)置

　　· 服務(wù)器端口安全

　　· 系統(tǒng)漏洞防護(hù)

　　· 應(yīng)用漏洞防護(hù)

　　· 安全情報(bào)收集

　　定期備份數(shù)據(jù)

　　數(shù)據(jù)備份是容災(zāi)的基礎(chǔ)，目的是降低因系統(tǒng)故障、操作失誤、以及安全問(wèn)題而導(dǎo)致數(shù)據(jù)丟失的風(fēng)險(xiǎn)。云服務(wù)器ECS自帶有快照備份的功能，合理運(yùn)用ECS快照功能即可滿足大部分用戶數(shù)據(jù)備份的需求。建議用戶根據(jù)自身的業(yè)務(wù)情況，制定適合自己的備份策略，您可以選擇 手動(dòng)創(chuàng)建快照，或者 創(chuàng)建自動(dòng)快照策略，并 將此策略應(yīng)用到指定磁盤。推薦每日做一次自動(dòng)快照，每次快照最少保存7天。養(yǎng)成良好的備份習(xí)慣，在故障發(fā)生時(shí)，有利于迅速恢復(fù)重要數(shù)據(jù)，減少損失。

　　合理設(shè)計(jì)安全域

　　基于SDN(Software Defined Network)技術(shù)研發(fā)的VPC專有網(wǎng)絡(luò)，可以供用戶構(gòu)建自定義專屬網(wǎng)絡(luò)，隔離企業(yè)內(nèi)部不同安全級(jí)別的服務(wù)器，避免互通網(wǎng)絡(luò)環(huán)境下一臺(tái)服務(wù)器感染后影響到其它應(yīng)用服務(wù)器。

　　建議用戶 創(chuàng)建專有網(wǎng)絡(luò)，選擇自有 IP 地址范圍、劃分網(wǎng)段、配置路由表和網(wǎng)關(guān)等。用戶可以將比較重要的數(shù)據(jù)存儲(chǔ)在一個(gè)跟互聯(lián)網(wǎng)網(wǎng)絡(luò)完全隔離的內(nèi)網(wǎng)環(huán)境，日常運(yùn)維可以用彈性IP(EIP)或者跳板機(jī)的方式，對(duì)數(shù)據(jù)進(jìn)行管理。

　　安全組規(guī)則設(shè)置

　　安全組是重要的網(wǎng)絡(luò)安全隔離手段，用于設(shè)置單臺(tái)或多臺(tái)云服務(wù)器的網(wǎng)絡(luò)訪問(wèn)控制。用戶通過(guò)安全組設(shè)置實(shí)例級(jí)別的防火墻策略，可以在網(wǎng)絡(luò)層過(guò)濾服務(wù)器的主動(dòng)/被動(dòng)訪問(wèn)行為，限定服務(wù)器對(duì)外/對(duì)內(nèi)的的端口訪問(wèn)，授權(quán)訪問(wèn)地址，從而減少攻擊面，保護(hù)服務(wù)器的安全。

　　例如Linux系統(tǒng)默認(rèn)遠(yuǎn)程管理端口22，不建議向外網(wǎng)直接開放，可以通過(guò) 設(shè)置安全組配置ECS公網(wǎng)訪問(wèn)控制，只授權(quán)本地固定IP對(duì)服務(wù)器進(jìn)行訪問(wèn)。您可以查看其它 應(yīng)用案例，加深對(duì)安全組的熟悉程度。對(duì)訪問(wèn)控制有更高要求的用戶或者也可以使第用三方VPN產(chǎn)品，對(duì)登錄行為進(jìn)行數(shù)據(jù)加密，更多軟件盡在 云市場(chǎng)。

　　登錄口令設(shè)置

　　弱口令一直是數(shù)據(jù)泄露的一個(gè)大癥結(jié)，因?yàn)槿蹩诹钍亲钊菀壮霈F(xiàn)的也是最容易被利用的漏洞之一。服務(wù)器的口令建議至少8位以上，從字符種類上增加口令復(fù)雜度，如包含大小寫字母、數(shù)字和特殊字符等，并且要不定時(shí)更新口令，養(yǎng)成良好的安全運(yùn)維習(xí)慣。

　　服務(wù)器端口安全

　　服務(wù)器只要給互聯(lián)網(wǎng)提供服務(wù)，就會(huì)將對(duì)應(yīng)的服務(wù)端口暴露在互聯(lián)網(wǎng)，從安全管理的角度來(lái)說(shuō)，開啟的服務(wù)端口越多，就越不安全。建議只對(duì)外開放提供服務(wù)的必要端口，并修改常見(jiàn)端口為高端口(30000以后)，再對(duì)提供服務(wù)的端口做訪問(wèn)控制。

　　例如數(shù)據(jù)庫(kù)服務(wù)盡量在內(nèi)網(wǎng)環(huán)境使用，避免暴露在公網(wǎng);如果必須要在公網(wǎng)訪問(wèn)，則需要修改默認(rèn)連接端口3306為高端口，并根據(jù)業(yè)務(wù)授權(quán)可訪問(wèn)客戶端地址。

　　系統(tǒng)漏洞防護(hù)

　　系統(tǒng)漏洞問(wèn)題這種長(zhǎng)期都存在的安全風(fēng)險(xiǎn)，可以通過(guò)系統(tǒng)補(bǔ)丁程序，或者 安騎士補(bǔ)丁管理 來(lái)解決。Windows系統(tǒng)的補(bǔ)丁更新要一直開啟，Linux系統(tǒng)要設(shè)置定期任務(wù)執(zhí)行yum update -y來(lái)更新系統(tǒng)軟件包及內(nèi)核。

　　云盾旗下的 安騎士產(chǎn)品 時(shí)還能識(shí)別防御非法破解密碼的行為，避免被黑客多次猜解密碼而入侵，批量維護(hù)服務(wù)器安全。安騎士同時(shí)還提供針對(duì)服務(wù)器應(yīng)用軟件不安全的配置檢測(cè)和修復(fù)方案，幫助用戶成功修復(fù)弱點(diǎn)，提高服務(wù)器安全強(qiáng)度。強(qiáng)烈推薦用戶使用。

　　應(yīng)用漏洞防護(hù)

　　應(yīng)用漏洞是指針對(duì)Web應(yīng)用、緩存、數(shù)據(jù)庫(kù)、存儲(chǔ)等服務(wù)，通過(guò)利用滲透攻擊而非法獲取數(shù)據(jù)的一種安全缺陷。常見(jiàn)應(yīng)用漏洞包括：SQL注入、XSS跨站、Webshell上傳、后門隔離保護(hù)、命令注入、非法HTTP協(xié)議請(qǐng)求、常見(jiàn)Web服務(wù)器漏洞攻擊、核心文件非授權(quán)訪問(wèn)、路徑穿越等。這種漏洞不同于系統(tǒng)漏洞，修復(fù)存在很大難度，如果程序在設(shè)計(jì)應(yīng)用之初，不能對(duì)這些應(yīng)用安全基線面面俱到，服務(wù)器安全的堡壘，就往往在這最后一公里被攻破。所以我們推薦通過(guò)接入 Web應(yīng)用防火墻(Web Application Firewall, 簡(jiǎn)稱 WAF)這種專業(yè)的防護(hù)工具，來(lái)輕松應(yīng)對(duì)各類Web應(yīng)用攻擊，確保網(wǎng)站的Web安全與可用性。

　　安全情報(bào)收集

　　在當(dāng)今暗流涌動(dòng)的互聯(lián)網(wǎng)安全領(lǐng)域，安全工程師和黑客比拼的就是時(shí)間，云盾態(tài)勢(shì)感知 可以理解為一種基于大數(shù)據(jù)的安全服務(wù)，即在大規(guī)模云計(jì)算環(huán)境中，對(duì)能夠引發(fā)網(wǎng)絡(luò)安全態(tài)勢(shì)發(fā)生變化的要素進(jìn)行全面、快速和準(zhǔn)確地捕獲和分析。然后把客戶當(dāng)前遇到的安全威脅與過(guò)去的威脅進(jìn)行關(guān)聯(lián)回溯和大數(shù)據(jù)分析，最終產(chǎn)出未來(lái)可能發(fā)生的威脅安全的風(fēng)險(xiǎn)事件，并提供一個(gè)體系化的安全解決方案。

　　所以，技術(shù)人員除了在做好日常安全運(yùn)維的同時(shí)，還要盡可能掌握全面的信息，提升預(yù)警能力，在發(fā)現(xiàn)安全問(wèn)題的時(shí)候可以及時(shí)進(jìn)行修復(fù)和處理，才能真正保證云服務(wù)器ECS的數(shù)據(jù)安全閉環(huán)。
 

　　【阿里云，阿里巴巴集團(tuán)旗下云計(jì)算品牌，全球卓越的云計(jì)算技術(shù)和服務(wù)提供商。海商(westcoastpropertyservices.com)作為阿里云湖南唯一授權(quán)服務(wù)中心，國(guó)內(nèi)知名商城系統(tǒng)及商城網(wǎng)站建設(shè)提供商，專為企業(yè)提供專業(yè)完善電商整體解決方案、微商云、視頻云、醫(yī)療云等，咨詢阿里云服務(wù)器詳情可電聯(lián)：18684778716(微信同號(hào))】