雲伺服器ECS安全>ECS資料安全最佳實踐
ECS資料安全最佳實踐
本文件從雲伺服器ECS使用的角度出發,結合相關產品和運維架構經驗,介紹如何打造雲端的資料安全。
適用物件
本文件適用於剛開始接觸阿里雲的個人或者中小企業使用者。
主要內容
- 定期備份資料
- 合理設計安全域
- 安全組規則設定
- 登入口令設定
- 伺服器埠安全
- 系統漏洞防護
- 應用漏洞防護
- 安全情報收集
定期備份資料
資料備份是容災的基礎,目的是降低因系統故障、操作失誤、以及安全問題而導致資料丟失的風險。雲伺服器ECS自帶有快照備份的功能,合理運用ECS快照功能即可滿足大部分使用者資料備份的需求。建議使用者根據自身的業務情況,制定適合自己的備份策略,您可以選擇手動建立快照,或者建立自動快照策略,並將此策略應用到指定磁碟。推薦每日做一次自動快照,每次快照最少儲存7天。養成良好的備份習慣,在故障發生時,有利於迅速恢復重要資料,減少損失。
合理設計安全域
基於SDN(Software Defined Network)技術研發的VPC專有網路,可以供使用者構建自定義專屬網路,隔離企業內部不同安全級別的伺服器,避免互通網路環境下一臺伺服器感染後影響到其它應用伺服器。
建議使用者建立專有網路,選擇自有 IP 地址範圍、劃分網段、配置路由表和閘道器等。使用者可以將比較重要的資料儲存在一個跟網際網路網路完全隔離的內網環境,日常運維可以用彈性IP(EIP)或者跳板機的方式,對資料進行管理。
安全組規則設定
安全組是重要的網路安全隔離手段,用於設定單臺或多臺雲伺服器的網路訪問控制。使用者通過安全組設定例項級別的防火牆策略,可以在網路層過濾伺服器的主動/被動訪問行為,限定伺服器對外/對內的的埠訪問,授權訪問地址,從而減少攻擊面,保護伺服器的安全。
例如Linux系統預設遠端管理埠22,不建議向外網直接開放,可以通過設定安全組配置ECS公網訪問控制,只授權本地固定IP對伺服器進行訪問;您可以檢視其它應用案例,加深對安全組的熟悉程度。對訪問控制有更高要求的使用者或者也可以使第用三方VPN產品,對登入行為進行資料加密,更多軟體盡在雲市場。
登入口令設定
弱口令一直是資料洩露的一個大症結,因為弱口令是最容易出現的也是最容易被利用的漏洞之一。伺服器的口令建議至少8位以上,從字元種類上增加口令複雜度,如包含大小寫字母、數字和特殊字元等,並且要不定時更新口令,養成良好的安全運維習慣。
伺服器埠安全
伺服器只要給網際網路提供服務,就會將對應的服務埠暴露在網際網路,從安全管理的角度來說,開啟的服務埠越多,就越不安全。建議只對外開放提供服務的必要埠,並修改常見埠為高階口(30000以後),再對提供服務的埠做訪問控制。
例如資料庫服務儘量在內網環境使用,避免暴露在公網;如果必須要在公網訪問,則需要修改預設連線埠3306為高階口,並根據業務授權可訪問客戶端地址。
系統漏洞防護
系統漏洞問題這種長期都存在的安全風險,可以通過系統補丁程式,或者安騎士補丁管理來解決。Windows系統的補丁更新要一直開啟,Linux系統要設定定期任務執行yum update -y來更新系統軟體包及核心。
雲盾旗下的安騎士產品,可以主動檢測網站後門,第一時間打補丁修復漏洞,同時還能識別防禦非法破解密碼的行為,避免被黑客多次猜解密碼而入侵,批量維護伺服器安全。安騎士同時還提供針對伺服器應用軟體不安全的配置檢測和修復方案,幫助使用者成功修復弱點,提高伺服器安全強度。強烈推薦使用者使用。
應用漏洞防護
應用漏洞是指標對Web應用、快取、資料庫、儲存等服務,通過利用滲透攻擊而非法獲取資料的一種安全缺陷。常見應用漏洞包括:SQL隱碼攻擊、XSS跨站、Webshell上傳、後門隔離保護、命令注入、非法HTTP協議請求、常見Web伺服器漏洞攻擊、核心檔案非授權訪問、路徑穿越等。這種漏洞不同於系統漏洞,修復存在很大難度,如果程式在設計應用之初,不能對這些應用安全基線面面俱到,伺服器安全的堡壘,就往往在這最後一公里被攻破。所以我們推薦通過接入Web應用防火牆(Web Application Firewall, 簡稱 WAF)這種專業的防護工具,來輕鬆應對各類Web應用攻擊,確保網站的Web安全與可用性。
安全情報收集
在當今暗流湧動的網際網路安全領域,安全工程師和黑客比拼的就是時間,雲盾態勢感知可以理解為一種基於大資料的安全服務,即在大規模雲端計算環境中,對能夠引發網路安全態勢發生變化的要素進行全面、快速和準確地捕獲和分析。然後把客戶當前遇到的安全威脅與過去的威脅進行關聯回溯和大資料分析,最終產出未來可能發生的威脅安全的風險事件,並提供一個體系化的安全解決方案。
所以,技術人員除了在做好日常安全運維的同時,還要儘可能掌握全面的資訊,提升預警能力,在發現安全問題的時候可以及時進行修復和處理,才能真正保證雲伺服器ECS的資料安全閉環。
相關文章
- 雲伺服器ECS安全:ECS安全組實踐(一)伺服器
- ECS彈性雲伺服器常用埠、安全組伺服器
- 騰訊安全姬生利:《資料安全法》下,雲上資料安全最佳實踐
- 華為雲彈性雲伺服器ECS搭建FTP服務實踐伺服器FTP
- 雲伺服器ECS使用OpenAPI管理ECS:使用OpenAPI彈性建立ECS例項伺服器API
- 阿里雲ECS伺服器CentOS7上系統安全加固阿里伺服器CentOS
- windowsserver2008阿里雲ECS伺服器安全設定WindowsServer阿里伺服器
- 【推薦】如何使用好阿里雲的網路安全隔離?深入分享阿里雲ECS安全組實踐經驗阿里
- SaaS 模式雲資料倉儲 MaxCompute 資料安全最佳實踐模式
- 資料庫安全最佳實踐:基本指南資料庫
- 【伺服器資料恢復】某雲ECS伺服器資料恢復案例伺服器資料恢復
- 雲伺服器ECS是什麼?伺服器
- 什麼是雲伺服器ECS伺服器
- ECS例項RAM角色實踐
- 高效查詢ECS可用資源的實踐
- 雲伺服器 ECS 有哪些優勢?伺服器
- 阿里雲伺服器ECS選型阿里伺服器
- 查詢雲伺服器ECS的映象伺服器
- 阿里雲伺服器ECS配置LNMP阿里伺服器LNMP
- 雲伺服器ECS和輕雲伺服器區別伺服器
- 阿里雲ECS雲伺服器新手上路阿里伺服器
- MongoDB最佳安全實踐MongoDB
- Dockerfile 安全最佳實踐Docker
- ECS7天實踐進階訓練營Day2:基於阿里雲ECS部署MediaWiki阿里
- 彈性雲伺服器(Elastic Cloud Server,ECS)伺服器ASTCloudServer
- 阿里雲伺服器 ECS 選購指南阿里伺服器
- 使用OpenApi彈性管理雲伺服器ECSAPI伺服器
- 阿里雲伺服器ECS掛載資料盤—linux系統阿里伺服器Linux
- 怎麼把本地資料庫檔案上傳到雲伺服器ecs資料庫伺服器
- HTTPS安全最佳實踐HTTP
- HTTPS最佳安全實踐HTTP
- 湖南省資料安全治理高峰論壇舉辦,騰訊安全構建政企資料安全最佳實踐
- 阿里雲ECS伺服器配置全攻略阿里伺服器
- 阿里雲ecs 伺服器配置 nginx https阿里伺服器NginxHTTP
- [基礎常識]遷移ECS雲伺服器伺服器
- DATEGE:阿里雲國際雲伺服器ecs建站流程阿里伺服器
- 雲同學大白話第1期:雲伺服器ECS伺服器
- 【資料庫資料恢復】華為雲ECS網站伺服器mysql資料庫資料恢復案例資料庫資料恢復網站伺服器MySql