云服務(wù)器搭建應(yīng)用層后，數(shù)據(jù)上云怎樣來更大化的保障數(shù)據(jù)安全成為重要考慮因素，提高ECS實際的安全性能應(yīng)該怎么操作呢?

　　云服務(wù)器 ECS 實例是一個虛擬的計算環(huán)境，包含了 CPU、內(nèi)存、操作系統(tǒng)、磁盤、帶寬等最基礎(chǔ)的服務(wù)器組件，是 ECS 提供給每個用戶的操作實體。

　　我們基本可以理解為一個實例就等同于一臺虛擬機，那么我們在本地維護的虛擬機一般會做虛擬機實例級別的安全防護，以防止虛擬機被攻擊和入侵等。同樣的，云上的ECS實例也需要做安全性防護。

　　ECS實例放置在云上，除了置身于阿里云自身的安全平臺外，用戶也需要根據(jù)實際的需求進一步定制化安全，所以說ECS的安全是阿里云和用戶共同構(gòu)建的。如果ECS實例沒有安全的防護，可能會帶來不少不良的影響，比如遭受到DDoS而導(dǎo)致業(yè)務(wù)中斷，比如受到Web入侵而導(dǎo)致網(wǎng)頁被篡改、掛馬，比如被注入而導(dǎo)致信息和數(shù)據(jù)泄漏等，影響ECS的使用和無法正常提供服務(wù)。

　　一般可以通過設(shè)置安全組、AntiDDoS、態(tài)勢感知、安裝安騎士、接入Web應(yīng)用防火墻等方式提高ECS實例的安全性。下面就從實例層面分別講解一下如何提高ECS實例的安全性。

　　安全組是一個邏輯上的分組，這個分組是由同一個地域(Region)內(nèi)具有相同安全保護需求并相互信任的實例組成。每個實例至少屬于一個安全組，在創(chuàng)建的時候就需要指定。同一安全組內(nèi)的實例之間網(wǎng)絡(luò)互通，不同安全組的實例之間默認(rèn)內(nèi)網(wǎng)不通。可以授權(quán)兩個安全組之間互訪。

　　設(shè)置安全組

　　·

　　設(shè)置安全組的好處

　　·

　　安全組是一種虛擬防火墻，具備狀態(tài)檢測包過濾功能。安全組用于設(shè)置單臺或多臺云服務(wù)器的網(wǎng)絡(luò)訪問控制，它是重要的網(wǎng)絡(luò)安全隔離手段，用于在云端劃分安全域。安全組規(guī)則可以允許或者禁止與安全組相關(guān)聯(lián)的云服務(wù)器 ECS 實例的公網(wǎng)和內(nèi)網(wǎng)的入出方向的訪問。

　　·

　　如果沒有很好地設(shè)置安全組或者安全組規(guī)則過于開放，則降低了訪問的限制級別，在一定程度上為攻擊者敞開了大門。

　　·

　　·

　　操作步驟

　　·

　　i. 登錄 云服務(wù)器管理控制臺。

　　ii. 單擊左側(cè)導(dǎo)航中的 安全組。

　　iii. 選擇地域。

　　iv. 單擊添加安全組規(guī)則。

　　v. 在彈出的對話框中，分別設(shè)置網(wǎng)絡(luò)類型、規(guī)則方向、授權(quán)策略、協(xié)議類型、端口范圍、授權(quán)類型、授權(quán)對象和優(yōu)先級。

　　vi. 點擊 確定，成功為該安全組授權(quán)一條安全組規(guī)則 。

　　下面結(jié)合一個案例來闡述一下，比如只允許特定IP遠程登錄到實例。

　　通過配置安全組規(guī)則可以設(shè)置只讓特定 IP 遠程登錄到實例。只需要在公網(wǎng)入方向配置規(guī)則就可以了，以 Linux 服務(wù)器為例，設(shè)置只讓特定 IP 訪問 22 端口。

　　i. 添加一條公網(wǎng)入方向安全組規(guī)則，允許訪問，協(xié)議類型選擇 TCP，端口寫 22/22，授權(quán)類型為地址段訪問，授權(quán)對象填寫允許遠程連接的 IP 地址段，格式為 x.x.x.x/xx，即 IP地址/子網(wǎng)掩碼，本例中的地址段為 182.92.253.20/32。優(yōu)先級為 1。

　　ii. 再添加一條規(guī)則，拒絕訪問，協(xié)議類型選擇 TCP，端口寫 22/22，授權(quán)類型為地址段訪問，授權(quán)對象寫所有 0.0.0.0/0，優(yōu)先級為 2。

　　最終的效果如下：

　　來自 IP 182.92.253.20 訪問 22 端口優(yōu)先執(zhí)行優(yōu)先級為 1 的規(guī)則允許。

　　來自其他 IP 訪問 22 端口優(yōu)先執(zhí)行優(yōu)先級為 2 的規(guī)則拒絕了。

　　AntiDDoS

　　阿里云云盾可以防護SYN Flood，UDP Flood，ACK Flood，ICMP Flood，DNS Flood，CC攻擊等3到7層DDoS的攻擊。DDoS基礎(chǔ)防護免費為阿里云用戶提供最高5G的默認(rèn)DDoS防護能力。

　　阿里云在此基礎(chǔ)上，推出了安全信譽防護聯(lián)盟計劃，將基于安全信譽分進一步提升DDoS防護能力，用戶最高可獲得100G以上的免費DDoS防護資源。

　　·

　　為什么需要AntiDDoS

　　·

　　DDoS(Distributed Denial of Service)即分布式拒絕服務(wù)。攻擊指借助于客戶/服務(wù)器技術(shù)，將多個計算機聯(lián)合起來作為攻擊平臺，對一個或多個目標(biāo)發(fā)動DDoS攻擊，從而成倍地提高拒絕服務(wù)攻擊的威力，影響業(yè)務(wù)和應(yīng)用正常對用戶提供服務(wù)。

　　·

　　使用AntiDDoS，無需采購昂貴清洗設(shè)備，可以在受到DDoS攻擊不會影響訪問速度，帶寬充足不會被其他用戶連帶影響，保證業(yè)務(wù)可用和穩(wěn)定。

　　·

　　·

　　操作步驟

　　·

　　i. 進入阿里云官網(wǎng)，登錄到管理控制臺。

　　ii. 輸入用戶名密碼。

　　iii. 通過云盾 > DDOS防護 > 基礎(chǔ)防護，查看基礎(chǔ)防護配置。

　　iv. 可以加入安全信譽防護聯(lián)盟。勾選服務(wù)條款，點選加入安全信譽防護聯(lián)盟加入聯(lián)盟。如下圖所示。

　　云盾DDoS基礎(chǔ)版提供不大于5G的DDoS防護，在此基礎(chǔ)上推出了安全信譽防護聯(lián)盟計劃，您可通過加入此聯(lián)盟，在獲得原默認(rèn)防護能力基礎(chǔ)上，會得到免費增量防護帶寬機會。

　　v.

　　加入聯(lián)盟后，可查看自己的安全信譽分，并查看安全信譽組成，維護安全信譽，獲得更大的防護能力。加盟成功后在基礎(chǔ)防護界面顯示如下信譽界面。

　　vi.

　　vii. 在基礎(chǔ)防護頁面，點擊對應(yīng)ECS服務(wù)器的查看詳情，如果服務(wù)器數(shù)量比較多，可以在云服務(wù)器ecs列表中通過實例IP和實例名稱搜索服務(wù)器，再點擊對應(yīng)服務(wù)器的查看詳情。

　　viii. 進入頁面后，可以在CC防護頁面點擊已啟用開啟CC防護，點擊關(guān)閉則關(guān)閉CC防護功能，在每秒HTTP請求數(shù)可以對每秒http請求數(shù)設(shè)置清洗閾值，達到閾值后便會觸發(fā)云盾的清洗。

　　ix. 如果購買了高級DDoS防護，可以點擊DDoS防護高級設(shè)置可以設(shè)置清洗閾值，選擇自動設(shè)置后系統(tǒng)會根據(jù)云服務(wù)器的流量負載動態(tài)調(diào)整清洗閾值，選擇手動設(shè)置可以手動對流量和報文數(shù)量的閾值進行設(shè)置，當(dāng)超過此閾值后云盾便會開啟流量清洗(建議如果網(wǎng)站在做推廣或者活動時適當(dāng)調(diào)大)。

　　態(tài)勢感知

　　態(tài)勢感知態(tài)勢感知提供的是一項SAAS服務(wù)，即在大規(guī)模云計算環(huán)境中，對那些能夠引發(fā)網(wǎng)絡(luò)安全態(tài)勢發(fā)生變化的要素進行全面、快速和準(zhǔn)確地捕獲和分析。然后，把客戶當(dāng)前遇到的安全威脅與過去的威脅進行關(guān)聯(lián)回溯和大數(shù)據(jù)分析，最終產(chǎn)出未來可能產(chǎn)生的安全事件的威脅風(fēng)險，并提供一個體系化的安全解決方案。

　　·

　　態(tài)勢感知的優(yōu)勢

　　·

　　對“滲透攻擊”有所感知，以云計算數(shù)據(jù)平臺支撐，因此具有強大的安全數(shù)據(jù)分析能力，對各種常見類型的攻擊可以實時分析和展示。

　　·

　　·

　　操作步驟

　　·

　　i. 在管理控制臺的態(tài)勢感知中點擊免費開啟服務(wù)，即可使用態(tài)勢感知。

　　ii. 通過緊急時間、威脅、弱點、情報、日志等方面，輔以直觀的可視化的分析，讓安全一目了然。

　　安裝安騎士

　　服務(wù)器安全(安騎士)是云盾推出的一款服務(wù)器安全運維管理產(chǎn)品。通過安裝在服務(wù)器上的輕量級Agent插件與云端防護中心的規(guī)則聯(lián)動，實時感知和防御入侵事件，保障服務(wù)器的安全。

　　·

　　安裝安騎士的好處

　　·

　　安騎士是很輕量的，服務(wù)器上運行的Agent插件，正常狀態(tài)下只占用1%的CPU、10MB內(nèi)存。安騎士可以自動識別服務(wù)器的Web目錄，對服務(wù)器的Web目錄進行后門文件掃描，支持通用Web軟件漏洞掃描和Windows系統(tǒng)漏洞掃描，對服務(wù)器常見系統(tǒng)配置缺陷進行檢測，包括可疑系統(tǒng)賬戶、弱口令、注冊表等進行檢測。

　　·

　　我們可以將安騎士理解為ECS實例上的防病毒軟件，如果沒有安騎士，相當(dāng)于少了一個可靠的衛(wèi)士，我們ECS實例的健康性水平也會相應(yīng)降低。

　　·

　　·

　　操作步驟

　　·

　　i. 服務(wù)器安全(安騎士)Agent插件目前集成于安全鏡像中，在創(chuàng)建實例時選擇安全加固后，您可以進入安騎士控制臺-配置中心，查看每臺服務(wù)器的在線狀態(tài)。

　　ii. 若不在線，請按照如下方式下載并安裝。

　　a. 進入服務(wù)器安全(安騎士)控制臺-設(shè)置-安裝Agent頁面，根據(jù)頁面提示獲取最新版本下載地址，以管理員權(quán)限在服務(wù)器上運行并安裝。

　　b. 對于非阿里云服務(wù)器，在安裝過程中會提示輸入驗證Key，這個驗證Key用于關(guān)聯(lián)阿里云賬號，通過阿里云賬號在安騎士控制臺使用相關(guān)功能，驗證key會顯示在安裝頁面中。

　　c. 大約安裝完成2分鐘后在云盾·服務(wù)器安全(安騎士)控制臺-配置中心里查看到在線數(shù)據(jù)，阿里云服務(wù)器將會從離線變成在線，非阿里云機器會新增在服務(wù)器列表中。

　　接入Web應(yīng)用防火墻

　　云盾Web應(yīng)用防火墻(Web Application Firewall, 簡稱 WAF)基于云安全大數(shù)據(jù)能力實現(xiàn)，通過防御SQL注入、XSS跨站腳本、常見Web服務(wù)器插件漏洞、木馬上傳、非授權(quán)核心資源訪問等OWASP常見攻擊，過濾海量惡意CC攻擊，避免您的網(wǎng)站資產(chǎn)數(shù)據(jù)泄露，保障網(wǎng)站的安全與可用性。

　　·

　　接入Web應(yīng)用防火墻的好處

　　·

　　無需安裝任何軟、硬件，無需更改網(wǎng)站配置、代碼，它可以輕松應(yīng)對各類Web應(yīng)用攻擊，確保網(wǎng)站的Web安全與可用性，淘寶天貓都在用。除了具有強大Web防御能力，還可以指定網(wǎng)站的專屬防護，背后是大數(shù)據(jù)的安全能力。適用于在金融、電商、o2o、互聯(lián)網(wǎng)+、游戲、政府、保險、政府等各類網(wǎng)站的Web應(yīng)用安全防護上。

　　·

　　如果缺少WAF，光靠前面提到的防護措施會存在短板，例如在面對如數(shù)據(jù)泄密、惡意CC、木馬上傳篡改網(wǎng)頁等攻擊的時候，就不能拿很好地防護了，可能會導(dǎo)致Web入侵。

　　·

　　·

　　操作步驟

　　·

　　i. 控制臺配置。

　　a. 登錄阿里云控制臺，找到云盾 > Web應(yīng)用防火墻 > 域名配置，點擊添加域名按鈕。

　　b. 彈出的對話框中輸入相關(guān)信息：

　　c. 獲取CNAME。配置好域名后，WAF會自動分配給當(dāng)前域名一個CNAME，可點擊域名信息來查看：

　　d. 上傳HTTPS證書和私鑰(僅針對HTTPS站點)。如果防護HTTPS站點，必須上傳服務(wù)器的證書和私鑰到WAF，否則訪問HTTPS站點會有問題。勾選HTTPS后，會看到紅色的“異常”字樣，提示當(dāng)前證書有問題，點擊上傳證書來上傳：

　　e. 接入狀態(tài)異常排查，剛添加完域名時，接入狀態(tài)可能會提示異常。這是正常的，待修改DNS使用CNAME解析接入WAF后，或者是有正常流量經(jīng)過WAF以后會變成正常的。

　　ii. 放行回源IP段。

　　iii. 本地驗證。

　　a. 以前面步驟中添加的域名 “www.aliyundemo.cn” 為例，hosts文件應(yīng)該添加如下內(nèi)容，其中前面的IP地址為對應(yīng)的WAFIP地址，WAF的IP可以通過ping提供的CNAME來獲得。

　　b. 修改hosts文件后保存。然后本地ping一下被防護的域名，預(yù)期此時解析到的IP地址應(yīng)該是剛才綁定的WAF IP地址。如果依然是源站地址，可嘗試刷新本地的DNS緩存(Windows的cmd下可以使用ipconfig/flushdns命令)。

　　c. 確認(rèn)hosts綁定已經(jīng)生效(域名已經(jīng)本地解析為WAF的IP)后，打開瀏覽器，輸入該域名進行訪問，如果WAF的配置正確，網(wǎng)站預(yù)期能夠正常打開。

　　d. 嘗試一下手動模擬一些簡單的web攻擊命令，如www.aliyundemo.cn/?alert(xss) 預(yù)期WAF能夠彈出阻攔頁面：

　　iv. 通過DNS供應(yīng)商或者其他域名解析系統(tǒng)，修改DNS解析。

　　阿里云給我們ECS實例的安全性提供了這么多的安全產(chǎn)品保駕護航，我們可以根據(jù)實際需要選擇相應(yīng)的產(chǎn)品，加強對系統(tǒng)和數(shù)據(jù)的防護，減少ECS實例接受到的侵害，使其穩(wěn)定、持久地運行。

　　v.
 

　　【阿里云，阿里巴巴集團旗下云計算品牌，全球卓越的云計算技術(shù)和服務(wù)提供商。海商(www.gstsqh.com.cn)作為阿里云湖南唯一授權(quán)服務(wù)中心，國內(nèi)知名商城系統(tǒng)及商城網(wǎng)站建設(shè)提供商，專為企業(yè)提供專業(yè)完善電商整體解決方案、微商云、視頻云、醫(yī)療云等，咨詢阿里云服務(wù)器詳情可電聯(lián)：18684778716(微信同號)】