背景：

阿里云安全最佳实践，是基于众多客户上云的成功案例萃取而成的最优化企业上云指导。每个最佳实践包括使用场景、多产品部署架构及部署手册。

最佳实践目前覆盖23种常用场景，目前有200+篇最佳实践，涉及100款以上阿里云产品的最佳使用场景。帮助客户更好地理解阿里云的产品和解决方案，降低企业上云门槛的同时满足客户自服务的需求。

安全涵盖的范围广泛，阿里云保证自身云基础设施和服务的安全，例如机房、虚拟化平台等，但您在使用云产品过程中遵循安全实践同样重要，例如阿里云账号安全、机密信息保管、权限控制等。

一、为什么需要阿里云安全最佳实践

1.网络安全威胁态势

近年网络安全威胁越来越多，各种安全事件频出，根据splunk发布的《2022年全球网络安全态势报告》数据显示：

• 49%的企业表示，他们在过去两年中遭受了数据泄露，比一年前调查中的39%有所增加。

• 79%的受访者表示，他们遇到过勒索软件攻击，35%的受访者承认曾有一次或多次受到攻击导致其无法访问数据和系统。

• 59%的安全团队表示，他们必须投入大量时间和资源进行补救，这一比例高于一年前的42%。

• 因网络安全事件而遭受计划外停机的业务关键型工作负载的平均恢复时间为14小时，受访者估计这种停机的平均损失约为每小时20万美元。

传统IT结构向云化架构转变，也会带来新的安全挑战。可能一个误操作就会让自己的应用从内网访问到公网访问或者泄露了自己的密钥导致信息安全事件。安全和合规是数字化转型的基石，也是上云的第一步。

2.安全责任共担模型

不同于传统的IDC，云计算是一种共享技术模型，其安全责任由双方共同承担，这通常被称为安全责任共担模型。对于托管ECS的服务，您与阿里云对安全性、合规性负有相同的责任。一般而言，云服务商负责云的安全性，而您负责云中的安全性。

• 云服务商负责管理云控制平面，提供安全可靠服务所需的基础设施，在基础设施安全、数据安全、通信安全及合规性等方面提供全方位的安全保障。

• 您负责云实例中的包括数据、网络和运行时的安全，以及日志记录和监控。您需要对实例、存储、网络负有全部安全责任，包括配置操作系统、管理应用程序、保护数据和网络配置等。

3.云上信息资产保护的前提

您需要明确安全战略的地位，提高足够的重视度，系统和应用安全不是一蹴而就，需要大量精力持续投入、持续建设。

• 需要全局制定一个整体的安全战略，并规划完整的安全防御策略以使用合适的安全工具以及控件进行保护。

• 安全性集成到DevOps中。

• 自动化系统安全防御体系。

• 深入了解云环境安全合规性标准。

除此之外，您需要明确以下内容：

• 对所有信息资产做识别、定义和分类。

• 定义需要被保护的资产数据。

• 定义被保护的资产数据谁可以访问，明确访问的目的是什么。

二、保护云上资产的最佳实践

通常意义的云计算安全或云安全是指通过一系列策略、控制和技术，共同确保数据、基础设施和应用安全，保护云计算环境免受外部和内部网络安全威胁和漏洞的影响。越来越多的企业更加重视云安全合规，云上安全合规需要有自上而下的顶层设计，要以安全为出发点构建云上应用。

根据目前的安全趋势，阿里云推荐您使用如下表所示的安全最佳实践，来保护云上信息资产的安全。

1.账号安全

最佳实践：阿里云账号安全

• 开启MFA多因素账号认证

• 使用RAM用户而不是阿里云账号，并合理设置权限策略

• 云产品API调用使用实例角色而不是AK

• AK防泄密

• 账号、密码管理安全建议

2.应用资源管理

最佳实践：规模化信息资产管理

• 使用标签规模化管理资源

• 使用云助手自动化运维资源通道

• 使用配置审计（Config）对资源进行合规审计

• 使用应用配置管理ACM集中管理所有应用配置

3.信息数据安全

最佳实践：创建实例时启用安全合规特性

• 高安全要求业务使用增强计算实例

• 满足三级等保合规镜像

• 使用更安全的镜像

• 云盘数据加密

• 快照容灾备份

• 加固模式下访问实例元数据

4.网络环境安全

最佳实践：合理设置网络资源权限隔离

• 网络资源隔离的安全建议

• 搭建安全的网络环境

5.应用防护安全

最佳实践：使用云安全产品构建安全防御体系

• 网络流量攻击防护：基础DDoS防御（免费）与DDoS高防

• 系统漏洞攻击防护：云安全中心（免费版）

• 应用漏洞攻击防护：云盾Web防火墙

6.实例内GuestOS应用系统安全

最佳实践：实例GuestOS系统内应用安全

• 实例登录安全配置

• 避免服务弱口令

• 使用IDaaS认证应用系统身份权限

• 数据传输加密

• 日志异常监控与审计

三、HummerRisk 如何上手操作

1、绑定账号

添加/编辑云账号

• 进入云账号设置页面，首先需要绑定多云的账号信息（Access Key ID / Access Key Secret）。

• 点击左上角「创建云账号」按钮，可以添加云账号。

• 通过对应的云平台，获取账号信息（一般为AK/SK），填写信息并绑定，自动获取区域和认证等信息。

• 需要注意在云平台赋予相应资源的IAM策略信息。

• 绑定完成后系统会自动校验账号的状态，状态显示为『有效』时即为绑定成功。

• 点击账号列表中操作按钮的第三个「编辑」，对已绑定的账号进行编辑。

云账号调参

• 因为检测规则的参数可以灵活配置，不同的云账号可以有不同的安全合规标准，所以在此页面用户可以根据自身需求自定义规则的参数与任意区域。

• 通过账号列表第二个调参按钮，打开云账号调参页面。

保存参数后，执行检测将优先执行当前调参内容，而且在调参页面可以快速执行某一规则的某些区域快速检测。（注：不设置调参内容不影响检测，检测内容为内置默认参数和所有待检测区域）

2、执行检测

基于规则组进行检测

多云检测基于规则组进行场景检测的，例如检测 Aliyun ECS 最佳安全实践，将检测此规则组下一系列规则，达到覆盖场景的目的。

有两种方式可以快速开始检测：

• 通过云账号列表第一个「一键检测」按钮选取多个规则组执行一键检测。

• 在规则组页面，选择希望执行的规则，选取某个云账号执行快速检测。

云资源检测结果

• 在点击上述一键检测后，将自动跳转云资源检测结果页面，检测结果将会显示正在执行。
• 等待检测执行完毕后获得检测结果的安全合规信息与优化建议。

3、查看报告

云资源合规报告

待云资源检测完毕后，根据检测结果生成合规报告，用户可查看和下载合规报告。

4、分析和审计

操作审计

• 云操作审计，帮助您监控并记录多云账号的活动，包括通过云控制台、OpenAPI、开发者工具对云上产品和服务的访问和使用行为。
• 用户可以查看这些行为事件，然后进行行为分析、安全分析、资源变更行为追踪和行为合规性审计等操作。

资源态势

• 根据绑定混合云账号信息，即可同步获取云资源汇总信息。
• 执行检测后，可以自动关联云资源态势信息，可以查看到具体哪些资源具有安全合规风险。

四、总结

HummerRisk 在逐步迭代的过程中，逐渐满足混合云的安全与治理问题，逐步覆盖安全合规、等级保护、最佳实践、CIS等场景。