文档

弹性加速计算实例EAIS安全性说明

更新时间:

弹性加速计算实例EAIS的云上安全性,是阿里云在面对当前的网络安全形势和挑战时所采取的措施,以及提高用户在资源和网络访问控制、EAIS资源操作、故障隔离和风险检测等方面的安全性所具备的能力。

说明

通过在ECS实例(非GPU实例)上绑定一个EAIS实例,即可生成一款新规格的GPU实例,该方式相比直接购买GPU实例,可以实现GPU资源的弹性使用,并为您降低部署成本和使用成本。因此,在使用EAIS前,您也需要关注ECS实例的安全性,更多信息,请参见云服务器ECS安全性

访问控制

资源访问控制

为确保您的阿里云账号及云资源使用安全,如非必要都应避免直接使用阿里云账号(即主账号)来访问弹性加速计算服务EAIS。推荐的做法是使用RAM身份(即RAM用户和RAM角色)来访问EAIS。

RAM用户需要由阿里云账号(即主账号)或拥有管理员权限的RAM用户、RAM角色来创建,且必须在获得授权后才能登录控制台或使用API访问阿里云账号下的资源。更多信息,请参见RAM用户概览使用RAM进行访问控制

网络访问控制

  • 弹性加速计算实例EAIS已与专有网络VPC集成,支持通过VPC(包括网络ACL)进行网络隔离和网络访问控制。

    说明
    • 专有网络VPC(Virtual Private Cloud)是客户基于阿里云构建的一个隔离的网络环境,专有网络之间逻辑上彻底隔离。更多信息,请参见什么是专有网络

    • 网络ACL(Network Access Control List)是专有网络VPC中的网络访问控制功能。客户可以自定义设置网络ACL规则,并将网络ACL与交换机绑定,实现对弹性加速计算实例EAIS实例流量的访问控制。更多信息,请参见网络ACL概述

  • EAIS必须与云服务器ECS绑定后才能使用,且仅支持在ECS上通过私网访问EAIS服务,保障了资源间互访时的网络安全性。

故障隔离

  • EAIS在多个地域的多个可用区部署了服务,且可用区之间互相独立,各可用区之间可以实现故障隔离,确保EAIS服务更加稳定可靠。

    可用区是指在同一地域内,电力和网络互相独立的物理区域。

    在同一地域内,可用区与可用区之间内网互通。各可用区之间可以实现故障隔离,即如果一个可用区出现故障,不会影响其他可用区的正常运行。每个地域完全独立,不同地域的可用区完全隔离,但同一个地域内的可用区之间使用低时延链路相连。

  • EAIS默认检查云服务器资源池中云服务器的健康状态,自动隔离异常状态的云服务器。消除了单台云服务器的单点故障问题,可提高EAIS的整体安全能力。

资源变更追踪与操作审计

弹性加速计算实例EAIS已接入阿里云操作审计(ActionTrail),可为您提供统一的云资源操作日志管理,记录云账号下用户登录及资源访问操作,实现安全分析、入侵检测、资源变更追踪以及合规性审计。

操作审计可记录通过阿里云控制台、OpenAPI、开发者工具访问和使用云上产品和服务的日志数据。具体支持的云服务审计事件,请参见弹性加速计算实例的审计事件

操作审计默认为您追踪并记录最近90天的事件。如需保存更长时间的日志,则需要创建跟踪,将产生的时间记录到日志服务或对象存储OSS。详细操作,请参见创建跟踪

当您将事件投递到SLS或OSS后,可以通过SLS或OSS查询或分析事件。详细操作,请参见通过SLS或OSS控制台查询事件

如果需要跟踪历史事件,请提交工单申请开启相关权限。

实时风险检测

EAIS对已绑定的ECS实例配置了较完善的基线检查,支持实时风险检测,并使用阿里云内部自研的已通过安全检查的容器镜像,针对系统漏洞和应用漏洞等进行全面和有效的管理,无需用户再进行额外的配置。