NO IMAGE

摘要: 如何提高ECS例項的安全性 雲伺服器 ECS 例項是一個虛擬的計算環境,包含了 CPU、記憶體、作業系統、磁碟、頻寬等最基礎的伺服器元件,是 ECS 提供給每個使用者的操作實體。 我們基本可以理解為一個例項就等同於一臺虛擬機器,那麼我們在本地維護的虛擬機器一般會做虛擬機器例項級別的安全防護,以防止虛擬機器被攻擊和入侵等。

如何提高ECS例項的安全性

雲伺服器 ECS 例項是一個虛擬的計算環境,包含了 CPU、記憶體、作業系統、磁碟、頻寬等最基礎的伺服器元件,是 ECS 提供給每個使用者的操作實體。

首先分享個福利:2018年6月10日,阿里雲推出了一款代金券(領取地址:https://bbs.aliyun.com/read/578104.html,這是阿里雲官方推出的產品代金券)

我們基本可以理解為一個例項就等同於一臺虛擬機器,那麼我們在本地維護的虛擬機器一般會做虛擬機器例項級別的安全防護,以防止虛擬機器被攻擊和入侵等。同樣的,雲上的ECS例項也需要做安全性防護。

ECS例項放置在雲上,除了置身於阿里雲自身的安全平臺外,使用者也需要根據實際的需求進一步定製化安全,所以說ECS的安全是阿里雲和使用者共同構建的。如果ECS例項沒有安全的防護,可能會帶來不少不良的影響,比如遭受到DDoS而導致業務中斷,比如受到Web入侵而導致網頁被篡改、掛馬,比如被注入而導致資訊和資料洩漏等,影響ECS的使用和無法正常提供服務。

一般可以通過設定安全組、AntiDDoS、態勢感知、安裝安騎士、接入Web應用防火牆等方式提高ECS例項的安全性。下面就從例項層面分別講解一下如何提高ECS例項的安全性。

設定安全組

安全組是一個邏輯上的分組,這個分組是由同一個地域(Region)內具有相同安全保護需求並相互信任的例項組成。每個例項至少屬於一個安全組,在建立的時候就需要指定。同一安全組內的例項之間網路互通,不同安全組的例項之間預設內網不通。可以授權兩個安全組之間互訪。

設定安全組的好處

安全組是一種虛擬防火牆,具備狀態檢測包過濾功能。安全組用於設定單臺或多臺雲伺服器的網路訪問控制,它是重要的網路安全隔離手段,用於在雲端劃分安全域。安全組規則可以允許或者禁止與安全組相關聯的雲伺服器 ECS 例項的公網和內網的入出方向的訪問。

如果沒有很好地設定安全組或者安全組規則過於開放,則降低了訪問的限制級別,在一定程度上為攻擊者敞開了大門。

操作步驟

1、登入 雲伺服器管理控制檯。

2、單擊左側導航中的 安全組。

3、選擇地域。

4、單擊新增安全組規則。

5、在彈出的對話方塊中,分別設定網路型別、規則方向、授權策略、協議型別、埠範圍、授權型別、授權物件和優先順序。

6、點選 確定,成功為該安全組授權一條安全組規則 。

下面結合一個案例來闡述一下,比如只允許特定IP遠端登入到例項。

通過配置安全組規則可以設定只讓特定 IP 遠端登入到例項。只需要在公網入方向配置規則就可以了,以 Linux 伺服器為例,設定只讓特定 IP 訪問 22 埠。

  • 新增一條公網入方向安全組規則,允許訪問,協議型別選擇 TCP,埠寫 22/22,授權型別為地址段訪問,授權物件填寫允許遠端連線的 IP 地址段,格式為 x.x.x.x/xx,即 IP地址/子網掩碼,本例中的地址段為 182.92.253.20/32。優先順序為 1

image

  • 再新增一條規則,拒絕訪問,協議型別選擇 TCP,埠寫 22/22,授權型別為地址段訪問,授權物件寫所有 0.0.0.0/0,優先順序為 2

最終的效果如下:

來自 IP 182.92.253.20 訪問 22 埠優先執行優先順序為 1 的規則允許。

來自其他 IP 訪問 22 埠優先執行優先順序為 2 的規則拒絕了。

AntiDDoS

阿里云云盾可以防護SYN Flood,UDP Flood,ACK Flood,ICMP Flood,DNS Flood,CC攻擊等3到7層DDoS的攻擊。DDoS基礎防護免費為阿里雲使用者提供最高5G的預設DDoS防護能力。

阿里雲在此基礎上,推出了安全信譽防護聯盟計劃,將基於安全信譽分進一步提升DDoS防護能力,使用者最高可獲得100G以上的免費DDoS防護資源。

為什麼需要AntiDDoS

DDoS(Distributed Denial of Service)即分散式拒絕服務。攻擊指藉助於客戶/伺服器技術,將多個計算機聯合起來作為攻擊平臺,對一個或多個目標發動DDoS攻擊,從而成倍地提高拒絕服務攻擊的威力,影響業務和應用正常對使用者提供服務。

使用AntiDDoS,無需採購昂貴清洗裝置,可以在受到DDoS攻擊不會影響訪問速度,頻寬充足不會被其他使用者連帶影響,保證業務可用和穩定。

操作步驟

1、進入阿里雲官網,登入到 管理控制檯。

2、輸入使用者名稱密碼。

3、通過雲盾>DDOS防護>基礎防護,檢視基礎防護配置。

4、可以加入安全信譽防護聯盟。勾選服務條款,點選加入安全信譽防護聯盟加入聯盟。如下圖所示。

image

雲盾DDoS基礎版提供不大於5G的DDoS防護,在此基礎上推出了安全信譽防護聯盟計劃,您可通過加入此聯盟,在獲得原預設防護能力基礎上,會得到免費增量防護頻寬機會。

加入聯盟後,可檢視自己的安全信譽分,並檢視安全信譽組成,維護安全信譽,獲得更大的防護能力。加盟成功後在基礎防護介面顯示如下信譽介面。

image

5、【基礎防護】點選對應ECS伺服器的【檢視詳情】,如果伺服器數量比較多,可以在【雲伺服器ecs】列表中通過【例項IP】和【例項名稱】搜尋伺服器,再點選對應伺服器的【檢視詳情】。

image

6、進入頁面後,可以在【CC防護】點選【已啟用】開啟CC防護,點選【關閉】則關閉CC防護功能,在【每秒HTTP請求數】可以對每秒http請求數設定清洗閾值,達到閾值後便會觸發雲盾的清洗。

image

7、如果購買了高階DDoS防護,可以點選【DDoS防護高階設定】可以設定清洗閾值,選擇【自動設定】後系統會根據雲伺服器的流量負載動態調整清洗閾值,選擇【手動設定】可以手動對流量和報文數量的閾值進行設定,當超過此閾值後雲盾便會開啟流量清洗(建議如果網站在做推廣或者活動時適當調大)。

image

態勢感知

態勢感知態勢感知提供的是一項SAAS服務,即在大規模雲端計算環境中,對那些能夠引發網路安全態勢發生變化的要素進行全面、快速和準確地捕獲和分析。然後,把客戶當前遇到的安全威脅與過去的威脅進行關聯回溯和大資料分析,最終產出未來可能產生的安全事件的威脅風險,並提供一個體系化的安全解決方案。

態勢感知的優勢

對“滲透攻擊”有所感知,以雲端計算資料平臺支撐,因此具有強大的安全資料分析能力,對各種常見型別的攻擊可以實時分析和展示。

操作步驟

1、在阿里雲使用者控制檯-《雲盾》-《態勢感知》中點選免費開啟服務,即可使用態勢感知。

image

2、通過緊急時間、威脅、弱點、情報、日誌等方面,輔以直觀的視覺化的分析,讓安全一目瞭然。

安裝安騎士

伺服器安全(安騎士)是雲盾推出的一款伺服器安全運維管理產品。通過安裝在伺服器上的輕量級Agent外掛與雲端防護中心的規則聯動,實時感知和防禦入侵事件,保障伺服器的安全。

安裝安騎士的好處

安騎士是很輕量的,伺服器上執行的Agent外掛,正常狀態下只佔用1%的CPU、10MB記憶體。安騎士可以自動識別伺服器的Web目錄,對伺服器的Web目錄進行後門檔案掃描,支援通用Web軟體漏洞掃描和Windows系統漏洞掃描,對伺服器常見系統配置缺陷進行檢測,包括可疑係統賬戶、弱口令、登錄檔等進行檢測。

我們可以將安騎士理解為ECS例項上的防病毒軟體,如果沒有安騎士,相當於少了一個可靠的衛士,我們ECS例項的健康性水平也會相應降低。

操作步驟

1、伺服器安全(安騎士)Agent外掛目前整合於安全映象中,在購買ECS後,一般都已經預設安裝,您可以進入安騎士控制檯-配置中心,檢視每臺伺服器的線上狀態。

image

2、若不線上,請按照如下方式下載並安裝。

1) 進入伺服器安全(安騎士)控制檯-設定-安裝Agent頁面,根據頁面提示獲取最新版本下載地址,以管理員許可權在伺服器上執行並安裝。

image

2) 對於非阿里雲伺服器,在安裝過程中會提示輸入驗證Key,這個驗證Key用於關聯阿里雲賬號,通過阿里雲賬號在安騎士控制檯使用相關功能,驗證key會顯示在安裝頁面中。

3) 大約安裝完成2分鐘後在雲盾·伺服器安全(安騎士)控制檯-配置中心裡檢視到線上資料,阿里雲伺服器將會從離線變成線上,非阿里雲機器會新增在伺服器列表中。

接入Web應用防火牆

雲盾Web應用防火牆(Web Application Firewall, 簡稱 WAF)基於雲安全大資料能力實現,通過防禦SQL隱碼攻擊、XSS跨站指令碼、常見Web伺服器外掛漏洞、木馬上傳、非授權核心資源訪問等OWASP常見攻擊,過濾海量惡意CC攻擊,避免您的網站資產資料洩露,保障網站的安全與可用性。

接入Web應用防火牆的好處

無需安裝任何軟、硬體,無需更改網站配置、程式碼,它可以輕鬆應對各類Web應用攻擊,確保網站的Web安全與可用性,淘寶天貓都在用。除了具有強大Web防禦能力,還可以指定網站的專屬防護,背後是大資料的安全能力。適用於在金融、電商、o2o、網際網路 、遊戲、政府、保險、政府等各類網站的Web應用安全防護上。

如果缺少WAF,光靠前面提到的防護措施會存在短板,例如在面對如資料洩密、惡意CC、木馬上傳篡改網頁等攻擊的時候,就不能拿很好地防護了,可能會導致Web入侵。

操作步驟

1、控制檯配置。

1) 登入阿里雲控制檯,找到雲盾->Web應用防火牆->域名配置,點選“新增域名”按鈕。

image

2) 彈出的對話方塊中輸入相關資訊:

image

3) 獲取CNAME。配置好域名後,WAF會自動分配給當前域名一個CNAME,可點選域名資訊來檢視:

image

4) 上傳HTTPS證書和私鑰(僅針對HTTPS站點)。如果防護HTTPS站點,必須上傳伺服器的證書和私鑰到WAF,否則訪問HTTPS站點會有問題。勾選HTTPS後,會看到紅色的“異常”字樣,提示當前證書有問題,點選“上傳證書”來上傳:

image

5) 接入狀態異常排查,剛新增完域名時,接入狀態可能會提示異常。這是正常的,待修改DNS使用CNAME解析接入WAF後,或者是有正常流量經過WAF以後會變成正常的。

image

2、放行回源IP段。

image

3、本地驗證。

1) 以前面步驟中新增的域名 “www.aliyundemo.cn” 為例,hosts檔案應該新增如下內容,其中前面的IP地址為對應的WAFIP地址,WAF的IP可以通過ping提供的CNAME來獲得。

image

2) 修改hosts檔案後儲存。然後本地ping一下被防護的域名,預期此時解析到的IP地址應該是剛才繫結的WAF IP地址。如果依然是源站地址,可嘗試重新整理本地的DNS快取(Windows的cmd下可以使用ipconfig/flushdns命令)。

3) 確認hosts繫結已經生效(域名已經本地解析為WAF的IP)後,開啟瀏覽器,輸入該域名進行訪問,如果WAF的配置正確,網站預期能夠正常開啟。

4) 嘗試一下手動模擬一些簡單的web攻擊命令,如www.aliyundemo.cn/?alert(xss) 預期WAF能夠彈出阻攔頁面:

image

4、通過DNS供應商或者其他域名解析系統,修改DNS解析。

阿里雲給我們ECS例項的安全性提供了這麼多的安全產品保駕護航,我們可以根據實際需要選擇相應的產品,加強對系統和資料的防護,減少ECS例項接受到的侵害,使其穩定、持久地執行。