文档

操作系统安全

更新时间:

本文从提升访问操作系统的安全性、安全加固操作系统以及操作系统安全进阶等方面介绍云服务器ECS如何保证操作系统的安全性。

提升访问操作系统安全性

在提升访问操作系统安全性上,快速提升访问ECS实例操作系统的安全性主要分三部分,使用密钥对登录实例、使用会话管理免密登录实例以及避免端口0.0.0.0/0的授权。

使用密钥对登录实例

密钥对(由公有密钥和私有密钥组成)是一组安全凭证,可在连接ECS实例时用来证明您的身份,避免弱密码可能造成的安全风险。阿里云的密钥对默认采用的是RSA 2048位的加密算法生成了包括公钥和私钥,使用公钥和私钥认证的方式登录实例,是一种安全便捷的登录方式。相对于传统的账号密码登录方式有如下优势:

  • 常规的用户口令容易被爆破,密钥对杜绝了暴力破解的风险。

  • 密钥对登录方式更加简便, 一次配置,后续再也不需要输入密码。

更多信息,请参见通过密码或密钥认证登录Linux实例通过密钥认证登录Linux实例

使用会话管理免密登录实例

除了使用密钥对登录ECS实例外,还可以使用会话管理免密登录实例。会话管理是由云助手提供的功能,相比于密钥对、VNC 等方式,可以更便捷地远程连接ECS实例,且兼具安全性。使用会话管理端连接实例的优势如下:

  • 会话管理客户端与云助手服务端、云助手服务端与ECS云助手客户端之间通信时,会通过WSS协议建立WebSocket长连接,WSS使用SSL加密WebSocket长连接,能够保障数据的安全。

  • 会话管理采用RAM进行鉴权,无需管理密码,避免密码因保存不善而导致泄露的安全风险。

  • 会话管理使用云助手客户端与云助手服务端之间通过WebSocket连接,因此不需要打开ECS实例的入方向端口,进一步提高了ECS实例的安全性。

更多信息,请参见通过会话管理连接实例

避免敏感端口0.0.0.0/0授权

Linux操作系统使用了SSH终端连接,默认使用22端口,Windows操作系统使用RDP远程桌面,默认使用的是3389端口。通常情况下,未限制端口访问(0.0.0.0/0授权)允许任意来源的访问可能导致黑客或攻击者在未经过您的授权的情况下,通过这些端口登录到操作系统中。阿里云免费为您提供了实例级别的虚拟化防火墙(安全组),它可以设置单台或多台ECS实例网络访问控制,是重要的安全隔离手段。更多信息,请参见安全组概述安全组关联资源管理

安全加固操作系统

使用OOS补丁基线自动更新安全补丁

阿里云系统运维管理OOS能够自动化管理和执行任务。OOS的补丁基线支持用户根据默认或自定义的补丁基线对ECS实例的补丁进行扫描和安装。在这个过程中,用户可以选择安全相关或其他类型的更新,自动修复相应的ECS实例。更多信息,请参见补丁管理概述

Alibaba Cloud Linux操作系统内核热补丁

Alibaba Cloud Linux操作系统为内核热补丁的高危安全漏洞(CVE)以及重要的错误修复(Bugfix)提供了热补丁支持,内核热补丁可以在保证服务的安全性以及稳定性的情况下,平滑且快速地为内核更新高危安全漏洞以及重要的错误修复的补丁。它具备不需要重启服务器以及任何业务相关的任务进程、不需要等待长时间运行的任务完成、不需要用户注销登录、不需要进行业务迁移等优势。更多信息,请参见内核热补丁使用说明

使用免费的基础安全服务

在使用公共镜像新购ECS实例时,阿里云默认会为您提供较为丰富的基础安全服务(云安全中心免费版)。您也可以选择取消该能力,但是强烈建议您开启该能力,它能够为您提供基础的安全加固能力,包括主流的服务器漏洞扫描、云产品安全配置基线核查、登录异常告警、AK异常调用、合规检查等。云安全中心免费版是完全免费的服务,不收取任何费用。如果有更多需求,可以购买高级版、企业版以及旗舰版。更多信息,请参见基础安全服务

image

提升操作系统安全性

除了访问操作系统安全以及操作系统安全加固外, 一些等保合规、审计场景都会有更多的安全要求。以下从日志审计、等保合规等方面介绍ECS如何提升系统安全性。

日志审计

开启登录审计

建议您使用会话管理登录实例,在您使用会话管理登录实例时,建议同时启用会话管理操作记录投递能力,它允许用户将会话管理操作记录投递到您的存储对象或者日志服务中进行持久化存储,以便以续对操作记录进行进一步的查询、分析、审计。具体操作,请参见会话操作记录投递

开启操作审计

云服务器ECS已与操作审计(ActionTrail)服务集成,您可以在操作审计中查询用户操作云服务器ECS产生的管控事件。操作审计支持将管控事件投递到日志服务SLS的LogStore或对象存储OSS的存储空间中,满足实时审计、问题回溯分析等需求。更多信息,请参见云服务器ECS的审计事件

开启日志审计

除了登录审计以及操作审计外,建议您开启日志审计服务。日志审计服务在继承现有日志服务SLS的功能之外,还支持多账号下实时自动化、中心化采集云产品的日志进行审计,同时还支持审计所需要的存储、查询以及信息汇总。

等保合规

堡垒机

运维安全中心(堡垒机)用于集中管理资产权限,全程监控操作行为,实时还原运维场景,保障云端运维的身份可以鉴别、权限可以控制、操作可以审计。解决了众多资产管理难、运维职责权限不清晰以及运维事件难追溯等问题,阿里云为您在Workbench连接ECS实例时提供了便捷的堡垒机访问方案。

三级等保合规镜像

除了堡垒机之外,阿里云还提供了符合国家等保2.0三级版本的镜像,您可以在新购ECS实例时选择公共镜像,会自动提示满足等保合规的镜像,这些镜像天然符合三级等保合规的要求,包括了身份鉴别、访问控制、入侵防御、恶意代码防范等对应的要求。

合规检查

另外云安全中心中还支持合规检查功能,合规检查功能提供了等保合规检查以及ISO 27001合规检查认证,您可以使用该功能检查系统中是否符合等保合规要求,以及ISO27001国际信息安全管理体系的认证标准。更多信息,请参见安全检查