启用主机安全防护_云服务器 ECS(ECS)-阿里云帮助中心

创建实例时应勾选免费安全加固，启用主机安全防护能力。

安全风险

新创建的ECS实例，即使操作系统本身是纯净的，也如同一个暴露在互联网上的“裸机”。它时刻面临着来自网络的自动化扫描和攻击，这些攻击旨在利用未修复的系统漏洞、弱密码或错误配置来植入恶意软件（如挖矿病毒、勒索软件）、窃取数据或将其纳为僵尸网络（Botnet）的一部分。

在使用公共镜像新购ECS实例时，阿里云默认会为您提供基础安全服务（云安全中心免费版）。建议您开启该能力，它能够为您提供基础的安全加固能力，包括漏洞扫描（不包括自动修复）、应急漏洞扫描、AK泄露检测、合规检查、异地登录检查等功能。

最佳实践

开启免费安全加固

控制台

通过实例购买页创建实例时，勾选免费安全加固（公共镜像默认开启）。

API

通过RunInstances或者CreateInstance接口创建实例时，指定SecurityEnhancementStrategy参数值为Active开启安全加固（仅公共镜像支持）。

购买云安全中心

云安全中心针对不同场景下的安全防护需求，还提供了多个收费版本的主机及容器安全服务（防病毒版、高级版、企业版、旗舰版）和适用于特定场景的安全功能（例如：防勒索、容器镜像安全扫描、云蜜罐、网页防篡改、应用防护、威胁分析与响应等）。建议根据自身的安全需求，在了解版本对比后，灵活购买所需的主机及容器版本和安全功能。

合规能力

检查：实例是否开启免费安全加固

方法一：通过主机资产查看

前往云安全中心控制台。
在左侧菜单栏选择资产中心 > 主机资产。
在此页面，您可以筛选和查看所有ECS实例的客户端状态。
- ：表示客户端在线（正常）。
- ：表示客户端未安装或者离线（安装过但目前无法与云安全中心正常通信，可能原因包括实例关机、客户端进程异常或网络不通）。

方法二：通过云安全态势管理扫描检查

前往云安全中心控制台。
在左侧菜单栏选择风险治理 > 云安全态势管理，选择云产品配置风险页签，查找名为云安全中心客户端状态检查的检查项，单击操作列的扫描按钮。
若状态显示为未通过，表示存在未开启免费安全加固的实例，可单击详情进行查看。

拦截：拦截未开启免费加固的实例创建操作

通过RAM Policy策略，在组织或账户层面设置策略，主动拦截未开启免费加固的实例创建行为。

针对企业用户：

使用阿里云主账号登录资源目录控制台，单击左侧菜单栏的管控策略，创建自定义权限策略，粘贴以下JSON内容。

限制未开启安全加固的实例创建操作。

{
  "Version": "1",
  "Statement": [
    {
      "Effect": "Deny",
      "Action": [
        "ecs:RunInstances",
        "ecs:CreateInstance"
      ],
      "Resource": [
        "acs:ecs:*:*:instance/*"
      ],
      "Condition": {
        "StringEquals": {
          "ecs:SecurityEnhancementStrategy": "Deactive"
        }
      }
    }
  ]
}

在资源目录中选择合适的节点绑定策略，策略将对目录下的账号产生拦截效果。

针对非企业用户：
1. 使用阿里云主账号登录RAM控制台，单击左侧菜单栏的权限策略，创建一条与上述内容相同的自定义策略。
2. 通过管理权限策略授权将该条权限策略授权给RAM用户、RAM用户组或RAM角色。

修复：修复未开启安全加固实例

场景一：实例网络通畅且已安装云助手（Agent）

登录云安全中心控制台，在左侧菜单栏选择系统配置 > 功能设置。
选择客户端标签页，然后单击未安装客户端子标签，这里会列出所有需要安装云助手的实例，勾选您希望修复的实例。
点击列表下方的一键安装按钮，系统将通过云助手自动完成Agent的下载和安装。
回到资产中心 > 主机资产，确认目标实例的客户端状态已变为在线。

场景二：实例网络不通或未安装云助手 如果无法通过控制台自动安装，需要登录到实例内部进行安装。

登录 云安全中心控制台，在左侧菜单栏选择系统配置 > 功能设置，选择客户端标签页，单后单击安装命令子标签。
根据您的ECS实例的操作系统类型（如CentOS, Ubuntu, Windows）和网络环境（VPC内网或公网），复制对应的安装命令。
登录到您的ECS实例，执行您在上一步复制的安装命令。
安装完成后，回到资产中心 > 主机资产，确认目标实例的客户端状态已变为在线。