云布道师
引言:【弹性计算技术公开课——ECS 安全季】第二节课程由阿里云弹性计算技术专家陈怀可带来,本文内容整理自他的课程,供各位阅览。
安全事件案例回顾与操作系统安全概念介绍
在介绍操作系统安全概念前,我们先来看一下国际上曾经发生过的几个真实的安全事件。
第一个安全事件:国外某政务官员,他是一非常喜欢发推特的人,可能不知道的是,他在就任期间,他的推特账号曾经被人盗用过。像这类知名的公众人物,他们的一言一行都会对社会产生重大的影响,可想而知,他们的账号被盗用的影响会有多大。整个安全事件的过程比较简单,简单梳理一下。
在 2012 年 LinkedIn 网站被攻击,2016 年,相关的数据库被泄露出去,泄露的数据库中有包含这位官员的账号和密码,通过这个账号密码,攻击者攻击了他的推特账号。这就是典型的撞库攻击,因为在大多数人的行为习惯中,习惯性的会在所有的产品中长期使用一个或几个固定的密码。而不会特意去修改。这位官员同大多数人一样,使用同一套密码,最终导致了他的推特账号被入侵。回过头看整个安全事件,导致这一起事件的根本原因在于长期使用一套固定的密码,而且没有进行修改。
再来看另外一个安全案例,去年九月,斯里兰卡国家政务云被黑,同时丢失了四个月的重要数据。
详细看一下这个事件的前后因果,斯里兰卡国家政务云中使用一款软件叫做Microsoft exchange 2013 版本,这款软件其实已经过期不再被维护,并且软件中存在着致命的安全漏洞,因为财政方面的问题,没有得到及时升级维护,攻击者通过这软件漏洞发起了勒索软件攻击,最终导致近四个月数据的永久丢失。可以清晰的知道,导致这一起安全事件的根本原因在于使用了停服的软件,软件没有得到及时的升级更新安全补丁。
回顾刚刚的两个安全案例,在案例 1 中,用户用于登录系统的账密泄露了以后,攻击者利用泄露的账密攻击系统,导致系统被入侵,如果访问操作系统常用的账密泄露了,攻击者能够很轻易的登录到操作系统,部署勒索键,导起关键数据信息等等危害。
案例 2 中,系统未及时更新安全补丁,导致攻击者利用漏洞进行入侵并部署勒索软件,攻击者经常使用操作系统内未及时修复的安全漏洞实施入侵攻击。那么该如何保护我们的操作系统呢?
我们来将操作系统的安全分为三个部分,第一部分是访问操作系统的安全性,它定义了谁能够来访问操作系统,用怎样的方式来访问。第二部分操作系统内部的安全性,包括安全补丁以及技术的安全能力等等。第三部分是涉及到法律法规的一些要求,比如审计、合规要求等等,提升操作系统安全性的办法,我们根据上述的操作系统安全性的三个组成部分,分别是提升访问操作系统的安全性、安全加固操作系统以及操作系统安全进阶这个三部分。
快速提升访问操作系统安全性
接下来针对如何提升操作系统安全性,分三部分详细展开。
在提升访问操作系统安全性上,快速提升访问 ECS 实例操作系统的安全性。内容主要分三个部分,使用密钥对登录实例、使用会话管理免密登录实例以及避免端口0.0.0.0/0 的授权。
如何使用密钥对登录实例,可能这里会有部分的同学存在疑问,什叫做密钥对?密钥对实现的原理是什么?使用密钥对登陆实力有什么样的优势?阿里云的密钥对默认采用的是 RSA 2048 位的加密算法生成了包括公钥和私钥,使用公钥和私钥认证的方式进行登录,是一种安全便捷的登录方式。由用户生成一组密钥对将公钥推送到目标服务器中的公钥默认存储路径下,阿里云默认公钥存储路径是 ~/.ssh/authorized_keys 文件。它的登录实现原理如右图所示,用户发起登录请求,服务器端生成一串随机数,使用公钥进行加密,返回用户端加密的信息,用户端使用私钥本地进行解密,并发送服务器端解密后的信息,服务器端对比解密后的信息,对比验证信息有效才允许用户登录。
这种方式相对于传统的账密的登录方式的优点,它的优点主要有两个,一是相对于常规的用户口令容易被爆破的风险,密钥对杜绝了暴力破解的危险,另外一个是密钥对登录方式更加简便,一次配置,后续再也不需要输入密码。但是也要求需要保护好私钥不被丢失泄露,因为拥有您的私钥的任何人可以解密的登录信息。需要注意的是,阿里云不会存储私钥文件,也就是在创建密钥对时仅有一次下载密钥对的机会。
常用密钥对登录 ECS 实例的方法,主要有四种,第一种是使用 ECS 提供的Workbench,在 Workbench 中导入私钥连接 ECS 实例,若您的私钥在本地是加密的,如图所示的 Workbench 还可以支持传入私钥口令的方式解密访问。
第二种是使用第三方的密钥对工具,使用第三方密钥对登录工具时,需要遵循该工具的使用规则,比如 PuTTYgen 需要转化私钥文件的格式。第三种是需要支持密钥对的控制台命令的环境,需要 SSH 命令的方式进行连接实例。第四种同样是需要支持密钥对控制台命令环境,如右图所示的需要配置 config 文件的 ECS 别名以及一些比如端口号,登录账号,以及私钥地址、还有公网信息等等这信息,这种方式适合多台实例登录的场景,这里需要注意的是以上四种常规的密钥对登录方法,后面三种都是需要用户开启公网的 IP 才能够进行访问的。
对需要使用密钥对的用户,如何更好更安全的使用密钥对,我们有两方面的建议,第一是保护好本地私钥,第二是可以优化密钥对的服务配置。如何保护好本地私钥?常规方案会推荐用户使用密码的方式进行保护私钥。需要保证持有正确的密码的人才能够访问到私钥。在使用私钥时,每次都是需要输入密码。
一是控制台 Workbench 也是支持输入口令密码的方式访问到您的私钥。另外,尽可能的不使用默认的密钥对的存储位置,将私钥保存在自定义的目录中。在保存私钥的目录中设置正确的访问权限,只允许特定的用户能够访问。在保存私钥的系统上,还需要及时的安装最新的补丁和安全更新,以保护系统不受知名漏洞的影响。同时,为了防止私钥的丢失和误操作删除,还可以定期备份私钥。
在使用密钥对服务配置时,我们建议可以修改连接端口为非标准端口,密钥对的默认连接端口为 22 端口,很多黑客工具会针对 22 端口进行扫描攻击,修改端口为非标端口可以提高安全攻击的门槛,非标端口一般为 1024~65535。使用密钥对登录.建议使用非 root 的账号登录,根据权限最小原则,对登录 ECS 实例的用户应该做到权限控制,避免受益过大的权限。建议您在新购实例时选择使用 ecs-user 的普通账号,并且在密钥对服务中配置禁止 root 的账号身份的登录。另外,在启用密钥对登录 ECS 实例的时候,建议及时关闭 ECS 是实例,通过密码方式的登录,以进一步提高安全性。
ECS 生产密钥对默认采用的是 RSA 2048 的加密方式。如果需要修改加密算法,可以使用自定义的密钥对导入的方式,在您的本地环境使用密钥对生成器生成以再导入到 ECS 中。目前支持的加密算法涵盖了大部分主流的密钥对算法,如右图所示的,比如 RSA、DSA、DSS 等等。需要注意的是,在您的本地环境密钥对生成之后,需要导入 ECS 是公对,请注意检查,避免导入私钥。要使用密钥对登录 ECS 实例目前也存在一些限制,比如当前仅支持 Linux 实例,不支持 Windows 实例,使用密钥对登录时,通常还需要开启操作系统的 22 端口,并允许指定端口在本地客户端公网 IP 进行访问连接。
除了使用密钥对登录 ECS 是实例外,还可以使用会话管理免密登录实例,使用会话管理登录时具有更高的安全性。接下来我将详细介绍会话管理。
会话管理是由云助手提供的功能,相比于密钥对、VNC 等方式,可以更便捷的远程连接 ECS 实例,且兼具安全性。从一开始的安全升级案例中,使用常规账密的登录对密码的复杂度要求比较高,并且需要定期进行修改,防止密码泄露后的风险,很难进行管理。或许大家可能会想到使用密钥对登录一些实例不就解决问题了?答案是肯定的。不过使用密钥对登录实例的时候也会存在一些因素限制,比如常用的密钥对登录实例,通常需要开放公网 IP,并且开放 22 端口。一旦公网 IP 开放之后,允许更多的人访问的 ECS 也就增加了对应的攻击面。
另外,无论是使用密钥对还是使用账密登录,都不能做到记录和审计,很难发现攻击者的入侵行为。相比于传统账密的登录方式,云助手登录它有几个优点,第一它是不需要分配公网 IP 的就可以直接访问,避免了 ECS 实例暴露到公网环境,第二也不需要设置管理密码,直接免密登录,避免了账密泄露的风险。它还可以通过管理授权,可以比较灵活的分配和回收权限。另外它可以记录、审计,通过订阅对应的审计日志进行定期的安全分析,能够及时发现一些非易侵内的访问行为。
会话管理登录实例是如何做到这些,会话管理建立链接的原理,如右图所示,首先,会话管理客户端发起会话,云助手服务端通过 RAM 访问控制权限进行健全,健全通过后会生成用于发起链接的 Web Socket URL 以及 10 分钟内有效的 token,返回给会话管理客户端。会话管理客户端通过web socket URL以及 token 与云助手的服务端建立了 web socket 的链接,云助手的服务端控制 ECS 实例内部的云助手agent 建立 web socket 连接。云助手的 agent 和云助手的服务端建立了 Web Socket 的链接。
在建立 Web Socket 链接后,可以在会话管理客户端输入命令,该命令以流式传输的方式输入到 ECS 并执行,最终在会话管理客户端显示执行的结果。会话管理的安全性主要在于会话管理客户端与云助手服务端的 agent 间的通信是使用 Web Socket 协议建立的。Web Socket 的连接使用了 SSO 加密的方式保障数据的安全,使用会话管理能够远程连接指令,不需要密码,也没有泄露密码的风险,能够通过RAM权限安全策略进行管理,云助手与云助手服务器端通过 Web Socket 连接,不需要通过 SSH VNC 等方式登录实例,所以也就不需要打开入防线端口,进一步提高了 ECS 安全性。
常用的会话管理链接方式主要有四种,最常用的是直接使用会话管理连接实例,另外也支持了使用会话管理端口转发连接实例。例如 ECS 实例中部署了不对外开放的web 服务,可以通过端口转发指的方式直接连接外部服务,还有一些客户希望在使用会话管理的基础上再次进行鉴权 ECS 也支持使用会话管理,以密钥对以及临时密钥对方式进行连接实例。
如表格所示的,各自都存在一些优势以及不足,优点是使用会话管理都不需要用户开启公网 IP、会话管理、端口转发以及直连和临时密钥对都不需要再管理密钥以及密码。端口转发以及直连也不需要开放端口,不足的地方是其中使用会话管理密钥对以及临时密钥对连接实例的时候,都是需要开放 22 端口的,使用会话管理密钥对连接实例的场景,同时用户还需要自己保存对应的私钥。
使用会话管理还可以很灵活的管理权限,通过权限的 RAM 权限策略配置,可以允许子账号连接所有的实例,也可以允许子账号连接指定的一个或者多个实例,或者使用绑定的实例标签进行筛选,只允许子账号访问到指定标签的实例,也可以限制通过指定的 IP 进行连接实例。
如图所展示的 RAM 权限配置的案例,配置也比较方便简单,对于大规模的企业产品,强烈建议使用标签的方式进行批量管理权限,便于权限的回收以及收予。会话管理也存在一些权限的限制,比如需要一些授权 StartTerminalSession 的方式,以及DescribeUserBusinessBehavior 等等权限。会话管理的使用还存在一些限制,必须要授予一些权限,比如StartTerminalSession以及DescribeUserBusinessBehavior 等等权限。
除了使用密钥对登录实例以及使用会话管理免密登录实例外,还需要避免端口 0.0.0授权对象的访问。
众所周知,Linux 操作系统使用了 SSH 终端连接,默认使用 22 端口,Windows 操作系统使用的是 RPD 远程桌面,默认使用的是 3389 端口。通常场景下,未限制端口访问允许任意来源的访问可能导致黑客或者攻击者在未经过您的授权的情况下,通过这些端口登录到操作系统中。
如何限制这些访问?阿里云免费为您提供了实例级别的虚拟化防火墙,也就是安全组,它可以设置单台或者多台 ECS 实例网络访问控制,它是重要的安全隔离手段,但是它也需要经过一些简单的配置。如右图所示的,在创建 ECS 实例时将使用默认的安全组,默认安全组将放行 22 3389 80 443 等端口,开放给 0.0.0.0,默认允许所有 IP 都可以访问。默认安全组的配置并不安全,需要经过一些简单的配置。
安全组的配置应该遵循以下几个基本原则,安全组应该作为白名单使用,而不是黑名单。安全组出入规则时应该遵循最小权限原则,避免受予过大的权限。不需要公网访问的资源不应该提供公网 IP,公网 IP 将暴露增加您的 ECS 实例的攻击面,先拒绝所有的端口对外开放。
若您需要开放端口,应尽量避免 0.0.0.0 的授权,并需要开放的端口授权指定的IP或者 IP 段访问。如右图所示的案例,安全组配置了仅允许来源 IP 为 192.168.1.100 网段通过 TCP 协议访问到 22 端口,经过安全配置之后,192.168.1.100 端口可以进行访问,但是 192.168.0.100 端口所有的请求将会被拒绝。
我们强烈建议您按照上述的原则,仅开放必要的端口提供给有限的 IP 进行访问,修改您的默认安全组规则配置。上面讲了快速提升访问 ECS 是操作系统安全的三方案,包括使用密钥对登录,使用会话管理登录实例,避免了端口所有IP的对象访问授权。作为操作系统的另外一重要的部分,操作系统内部安全也是至关重要的。
如何安全加固您的操作系统
接下来介绍一下如何安全加固操作系统,本章节主要包括三部分,使用 OOS 补丁基线自动更新安全补丁、Alibaba Cloud Linux 操作系统内核热补丁以及使用免费的基础安全服务。
首先来看一下 OOS 补丁基线自动更新安全补丁。
为什么需要更新安全补丁,回顾安全事件案例二,斯里兰卡国家政务云正是因为使用了存在漏洞的软件,导致操作系统被入侵,丢失了将近四个月的重要数据。如图所示的一些官方渠道经常会发布一些安全漏洞的公告以及修复漏洞的安全补丁。
黑客常常利用网上已经公布的安全漏洞,并且特定的工具进行扫描、攻击、入侵。您若未及时更新操作系统,时间越久,您就面临的安全风险越高。安全攻防常常是攻击方、防守方时间上的竞速,实际上不存在完美的系统,但只要修复的比攻击的更快,系统永远是安全的。另外一方面,许多行业标准、法律法规都要求企业定期更新软件或操作系统,并及时安装最新的安全补丁,以满足合规性的一些要求。既安全补丁的更新重要,如何尽快知道操作系统中存在安全漏洞,以及如何快速找到对应的安全补丁,并且安装补丁快速修复安全漏洞。
阿里云系统管理与运维服务,也就是 OOS 是阿里云提供的云上自动化运维服务,能够自动化管理和执行任务。OOS 的补丁基线支持用户根据默认或者自定义的补丁基线对 ECS 实例的补丁进行扫描和安装。在这个过程中,用户可以选择安全相关或者其他类型的更新,自动修复相应的 ECS 实例。它能够支持主流的 Windows、Linux多达 31 种操作系统,包括 CentOS、Red Hat、Ubuntu、Windows Service 等等。
不同的操作系统版本补丁基线实现的原理因为使用不同的包管理工具,扫描与安装补丁的原理都会有所差异。如图所示的 CentOS7 使用的 yum、CentOS8 使用的是dnf,Ubuntu 使用的是 apt,yum 包管理工具为例,存在更新通知的概念,在软件仓库存储者名为 updateinfo.xml 的一个文件来存储软件的更新通知。
根据 updateinfo 中的更新通知如图 CentOS 公共安全基线规则配置所示的补丁基线配置了包括更新通知的类型以及严重等级,包括了 Security\Bugfix…对应的更新通知的类型以及严重等级为 Critical\Important…。配置后它工作流等效的命令相当于执行了严重重要等级的安全补丁以及漏洞补丁,执行 yum update 的命令。可以配置只升级严重以及重要等级的安全补丁。
常用补丁存在以下几种场景,比如操作系统以及应用程序的安全补丁的应用,Windows 安装 ServicePack 以及 Linux 小版本的升级,按照操作系统类型,同时对多台 ECS 实例进行批量的漏洞修复,查看缺失的补丁报告,自动安装缺失的补丁以及跨账号跨地域补丁修复,对于跨账号跨地域的补丁修复的场景,对规模比较大的一些企业,不同的部门 ECS 实例可能会存在多个账号,多个账号的一些是的补丁集中管理是比较重要的一个问题。
在跨账号的补丁修复的产品中,阿里云的角色主要分为两个,一个是管理账号,另外一个是资源账号,其中资源账号可以是一个也可以是多个,管理员账号本身其实也是一个资源账号,如右图所示的可以通过所有资源账号下创建一个管理账号,账号可以分别扮演对应的 RAM 角色的方式授予补丁修复的所需要的相关的权限,从而达到管理账号内账号跨地补丁修复的效果。
操作系统内严重的安全漏洞修复是刻不容缓的,但是修复通常需要重启操作系统才能够进行生效,重启又会影响线上业务的运行,接下来看一下什么是 Alibaba Cloud Linux 操作系统内核热补丁。
Alibaba Cloud Linux 操作系统为内核热补丁的高危安全漏洞,也就是 CVE 以及重要的错误修复 Bugfix 提供了热补丁支持,内核热补丁可以在保证服务的安全性以及稳定性的情况下,平滑且快速的为内核更新高危安全漏洞以及重要的错误修复的补丁。它有以下的几个优点,第一是不需要重启服务器以及任何业务相关的任务进程,也不需要等待长时间运行的任务完成,也不需要用户注销登录,不需要进行业务进行迁移。
不过它也存在一些限制,它仅仅适用于 Alibaba Cloud Linux 的操作系统,而且要求是指定内核版本以上,并不是所有的安全漏洞以及 Bugfix 都是支持热补丁。热补丁主要的修复范围是严重级别以上的 CVE 以及严重级别的错误修复。在更新补丁的过程以及补丁生效之后,不能对补丁的函数进行测试以及跟踪。
采用热补丁的升级方法主要有两种,一种是手动的查看 Alibaba Cloud Linux CVE 公告平台,获取热补丁升级的 RPM 包,使用yum安装的一个指定操作系统内核版本的热补丁,但是这种方式是比较繁琐的,推荐使用第二种方式,安装使用阿里云提供的内核热布定管理工具 livepatch-mgr,它能够极大的简化流程,只要一个命令就能够实现,支持热补丁的查看、安装、卸载等等能力。
除了使用 OOS 补丁基线以及内核热补丁外,ECS 实例还为您提供了免费的基础安全服务。
在使用公共镜像新购 ECS 实例时,阿里云默认会为您提供较为丰富的基础安全服务,也就是云安全中心免费版。也可以选择取消该能力,但是强烈建议您开启该能力,它能够为您提供基础的安全加固能力,包括主流的服务器漏洞扫描、云产品安全配置基线核查、登录异常告警、AK 异常调用、合规检查等等。云安全中心免费版是完全免费的服务,不收取任何费用。如果有更多的一些需求,可以购买相应的高级版、企业版以及旗舰版。
我们的云安全中心免费版免费为您提供了漏洞扫描的能力,支持 Linux Windows 系统的漏洞,也支持 web-CMS 等常见的漏洞一些扫描,还能针对近期互联网上爆发的高危漏洞做应急漏洞检查,帮助您及时发现系统中存在的重大漏洞。建议您定期检查与管理您的漏洞,以帮助您更全面的了解您资产中存在的漏洞风险,降低系统被入侵的风险。
云安全中心免费版还为您提供异常登录检查的能力。异常登录检查的原理是云安全中心 agent 通过定时收集服务器上的一些登录日志并上传到云端,在云端进行分析和匹配。如果发现非常用登陆地或者非常用登录的 IP 在非常用的登录时间、非常用登录账号登录成功的时间将会触发告警。如何判定不同的 IP 的具体登录行为,当云安全中心首次应用在您的服务器上时,由于您服务器未设置常用登录地点,这段期间内登录行为不会触罚告警。
当某公网 IP 第一次成功登录到的服务器后,云安全中心将会该 IP 地址的位置标记为常用登陆地。并且从这个时间开始往顺延 24 小时内,所有的公网登录地址将会被记录为常用登陆地,超过 24 小时,所有不在上述常用登陆地的行为被视为异常登录告警,当某 IP 判定为异常登录行为时,只有第一次登录行为会进行短信告警,如果 IP 成功登录六次或者六次以上,云安全中心默认将 IP 地址记录为常用登录地址,异常登录只对公网 IP 有效,云安全中心会对某异常 IP 进行第一处理。如果使用的云安全中心高级版,企业版或者旗舰版。可以针对服务器进行设置常用登录地、常用登录IP、采用登录时间、采用登录账号以及对上述的登陆地 IP、登录时间登录账号之外的均设置为提示告警。
除了漏洞扫描、异常登录检查外,云安全中心还支持提供 AK 泄露检查。AK 泄露检查会实时检查 GitHub 等平台公开源代码中是否包含阿里云的账号 AK,以鉴定您的AK泄露风险。通常支持的通知方式如下几种方式,一种是 AK 泄露检查异变的告警,只要检测到 AK 泄露,无论 AK 是否有效都会提供告警。
另外是控制台弹窗的提示,只有检测到泄露的 SK 信息有效时,在访问阿里云控制台首页或者多数云产品的控制台时才会提示,根据通知设置发送告警通知,只有检测到泄露的 SK 信息有效时,才会根据您设置通知方式,比如站内信、邮件、短信等发送通知。建议您定期做 AK 的轮转,以避免 AK 泄露造成的严重安全问题。
进阶提升操作系统的安全性
除了访问操作系统安全以及操作系统安全加固外,一些等保合规、审计场景都会有更多的一些安全要求。接下来看一下进阶提升操作系统安全主要包括的几个内容,一个是日志审计,另外一个是等保合规两类型。
首先是日志审计,我们为什么需要做日志审计。
根据 FireEye M-Trends 2018 报告,企业安全防护管理能力比较薄弱。尤其是亚太地区,全球范围内企业组织的攻击从发生到发现的时间需要 101 天。而亚太地区平均需要 498 天,企业需要长期可靠、无篡改的日志和审计支持来持续缩短这时间。
同时,日资审计也是法律的刚性需求,无论是在中国境内还是在海外,企业落实日志审计也越来越迫切,尤其是中国内地在 2017 年实施了网络安全法,以及 2019 年之后实施的《网络安全等保 2.0 标准》。
我们建议启用会话管理登录实例。在您启用会话管理登录您的实例时,我们建议您同时启用会话管理操作记录投递能力,它允许用户将会话管理操作记录投递到您的存储对象或者日志服务中进行持久化存储,以便以续对操作记录进行进一步的查询、分析、审计。
如图所示它能够记录到哪账号对哪实例做了什么样的操作,操作命令以对应的输出分别是什么,这对后续的安全分析是非常有意义的。
另外,我们还强烈建议客户开启操作审计服务。操作审计服务可以帮助您监控记录到云账号对产品服务的访问以及使用行为,您可以根据这些行为进行安全分析,以监控未授权的访问,识别潜在的安全配置错误、威胁和意外行为。或满足某些合规审计的一些操作。
除了登录审计以及操作审计外,我们建议您开启日志审计服务。日志审计服务在继承现有日志服务的功能之外,还支持多账号下实时自动化、中心化采集云产品的日志进行审计,同时还支持审计所需要的存储、查询以及信息汇总。日志审计覆盖了多种技术产品,包括存储、网络、数据库、安全等产品,您也可以将您的应用日志接入到日志审计服务中,支持自由对接其他生态产品或者是自由的授课中心。
很多企业自身有成熟的法规条件以及合规审计团队,对账号、设备的操作、网络行为资质进行审计,客户可以直接消费原生的一些日志,也可以使用日志审计服务的审计功能,构建并输出合规的一个审计信息。
日志审计中有开启登录审计、操作审计日志审计服务,以满足相关的法律法规要求。对于等保合规,我们还提供了更多的安全能力。
说到等保合规不得不提到堡垒机。什么是堡垒机?阿里云运维安全中心,也就是堡垒机。堡垒机用于集中管理资产权限,全程监控操作行为,实时还原运维场景,保障云端运维的身份可以鉴别、权限可以控制、操作可以审计。解决了众多资产管理难、运维职责权限不清晰以及运维事件难追溯等等问题,阿里云为您在 Workbench 连接ECS 实例时提供了便捷的堡垒机访问方案。
什么场景下需要使用堡垒机?首先是国家在不断加强对网络数据安全的管控要求,纵观整运维的过程,种种的数据运维安全风险,运维安全行为的管控势在必行,国家也在多个安全保护规则中增加了对相关安全需求。什么样的场景下需要使用堡垒机?
首先是国家在不断加强对网络数据安全的管控要求,比如等保二级,等保三级,也就是过国内的等保合规使用堡垒机就可以。另外企业自身的运维风险开始不断的增加,有一些客户需要确定来源,身份定位,操作过程回溯,以及账号密码的管理,运维的管控等等,可以使用堡垒机。
堡垒机能够做些什么?堡垒机常用的安全能力包括账密的一些托管,堡垒机支持资产运维免登录,对账号密码进行统一托管,无需用户进行输入账号和密码。另外运维的身份鉴别,在仿冒用户登录防范上,堡垒机支持双因子认证功能。另外运维权限管控的收敛,堡垒机具有细粒度的权限管控能力,可以根据用户组进行划分资产访问权限,另外还具有高危行为拦截能力。
在恶意访问行为上,云盾堡垒机可以对敏感的高危操作,比如删库(rm -rf /*)等行为进行自动的阻断拦截。另外一个比较重要的是审计的溯源,云盾暴力机支持可视化审计记录,通过直观录播的方式,更真实的还原了全行为场景。除了堡垒机之外。
还提供了符合国家等保 2.0 三级版本的镜像,您可以在新购 ECS 实例时选择公共镜像,会自动提示满足等保合规的镜像,这些镜像天然符合三级等保合规的要求,包括了身份鉴别、访问控制、入侵防御、恶意代码防范等等对应的一些要求。
另外,在云安全中心中还支持了合规检查的功能,合规检查功能提供了等保合规检查以及 ISO 27001 合规检查认证,您可以使用该功能检查系统中是否符合等保合规要求,以及 ISO 27001 国际信息安全管理体系的一认证标准。
总结
前面提供了很多提升操作系统安全性的一些建议,包括提升访问操作系统安全性方案中的使用密钥对连接实力,杜绝暴力破解的一些威胁,使用会话管理、免密连接实例,免公网、免跳板机、免密码提升访问操作系统安全性,以及避免了端口的 0.0.0的授权,仅开放必要端口提供给有限的 IP 访问,以减少攻击面。
也有操作系统安全加固相关的方案,使 OOS 补丁基线自动更新安全补丁,避免了高危安全漏洞导致的系统安全风险,使用 Alibaba cloud Linux 操作系统的内核热补丁的能力,能够快速平稳的升级的操作系统安全补丁,使用免费的基础安全服务,比如定期漏洞扫描、异常登录检查、AK 泄露检查等等,提高对应的安全性。
对安全有更高要求的客户,我们还提供了进阶提升操作系统安全性的方案,开启登录审计日志、操作审计日志、日志审计服务,对日志进行定期的审计分析,缩短攻击发生到发现的时间,降低企业安全损失。使用堡垒机,在满足等保合规的场景下管理运维,控制权限、身份鉴别、账密托管、高危行为阻断、审计溯源,以进一步提升操作系统安全。
使用三级等保合规形象,以基础安全服务中的合规检查能力,以帮助您更快速、高效、持续的实现等保合规制度。系统从来不是一个点的安全,需要更多维度的终身安全防疫。
以上就是本次课程的全部内容。
