ECS具备安全组的安全设置,通过安全组配置和阿里云提供丰富的云服务器及应用安全防护产品,可从多维度提高ECS的安全性。

安全组及安全产品

  • 安全组

    安全组是一种虚拟防火墙,具备状态检测和包过滤功能。安全组用于设置单台或多台实例的网络访问控制,它是重要的网络安全隔离手段,用于在云端划分安全域。更多安全组的介绍请参考 安全组 章节。

  • 安骑士

    安骑士是一款经受百万级主机稳定性考验的主机安全加固产品,拥有自动化实时入侵威胁检测、病毒查杀、漏洞智能修复、基线一键核查等功能,是构建主机安全防线的统一管理平台。更多安骑士的介绍请参考 什么是安骑士 章节。

  • WAF

    云盾Web应用防火墙(Web Application Firewall, 简称 WAF)基于云安全大数据能力,用于防御SQL注入、XSS跨站脚本、常见Web服务器插件漏洞、木马上传、非授权核心资源访问等OWASP常见攻击,并过滤海量恶意CC攻击,避免您的网站资产数据泄露,保障网站的安全与可用性。更多WAF的介绍请参考什么是Web应用防火墙 章节。

安全配置建议

使用场景 场景说明 安全配置建议
登录密钥 ECS远程登录账号及密钥。 建议设置为强密码形式:12位以上,同时包含数字、大小写字母、特殊符号
远程登录端口 22、3389端口分别用于ECS的Linux和Windows场景下的远程登录,需对这两端口进行安全限制。
  • 利用安全组限制22、3389远程登录端口的访问来源IP。
  • 无法设置白名单时,将远程登录的方式设置为SSH Key认证方式。
MySQL、FTP等在ECS上安装的高危服务端口 由于MySQL和FTP的业务需求,需在ECS上开放对应的业务端口,这些端口需进行安全限制。 限制只允许本机访问或者利用安全组限制访问来源IP。
公网访问隔离 互联网访问本ECS实例。 建议:
  • ECS实例不直接对互联网暴露其IP地址,通过DNS、公网SLB、EIP等提供互联网服务。
  • 在安全组配置时,IP段及端口不要全开放。只保留业务需要使用的端口和IP。
内网访问 VPC内部其他实例访问本ECS实例。 建议安全组配置时,IP段及端口不要全开放。只保留业务需要使用的端口和IP。
HTTP 证书 ECS的网络业务需加载HTTP证书。
  • HTTP业务建议使用HTTPS协议,并加载HTTPS证书。
  • HTTP服务的需要利用安全组限制访问来源IP。
  • HTTP服务域名建议开通WAF防护。
云服务器防护 ECS实例自身的安全监控及防护可由阿里云提供的服务器安全防护产品安骑士保障。 建议每个ECS实例均安装使用安骑士,实时防护ECS实例。
应用防护 在ECS上部署了Web网站或其他应用,可对应用进行安全防护。 开通安全管家的网站安全体检功能、开通WAF。
其中:
  • 密钥设置:请参考 创建实例 章节,在“系统配置”时,登录密码根据上述推荐,配置为高复杂度的强密码形式。
  • 安全组配置:请参考应用案例章节。其中“授权对象”根据上述安全配置建议进行修改。
  • 安骑士安装使用:请参考 快速入门 章节。
  • WAF部署使用:请参考 快速入门 章节。
  • 证书服务:证书的购买、使用请参考 证书服务 章节。
  • 安全管家:安全管家的使用请参考 使用手册 章节