云上业务安全防护体系实践-云服务器ECS-阿里云

在云环境中构建和维护安全、合规的业务系统，需重点关注五个核心领域的安全防护。

方案概览

基础安全方案：建议所有业务场景采纳，是保障云上资产安全的基本要求。
增强安全方案：建议对安全性敏感或有合规要求的企业级业务采纳，具备全面的安全防护能力。

安全类型	安全子类型	最佳实践	基础安全方案	增强安全方案
操作系统安全	凭据安全	避免使用弱口令登录实例	推荐	推荐
	基于网络的访问控制	实例运维端口应限制IP访问来源	推荐	推荐
	漏洞管理	启用主机安全防护	推荐	推荐
	漏洞管理	修复高危安全漏洞	推荐	推荐
	特权访问管理	避免使用root账号登录实例		推荐
	凭据安全	避免使用自定义镜像中的预设登录凭证		推荐
	供应链安全	限制使用指定范围镜像创建实例		推荐
	监控报警	启用异常登录检查		推荐
数据安全	数据保护	开启云盘自动快照策略	推荐	推荐
	敏感信息	仅允许HTTPS访问ECS OpenAPI	推荐	推荐
	供应链安全	镜像/快照权限管控与数据防泄露		推荐
	加密	使用加密云盘		推荐
	加密	使用仅加固模式访问实例元数据		推荐
身份与访问控制	凭据安全	保护云账号，防止凭据泄露	推荐	推荐
	特权访问管理	避免使用主账号，为不同职责子账号成员授予不同权限	推荐	推荐
	基于网络的访问控制	约束OpenAPI调用来源IP合法范围		推荐
	资源级别的权限控制	使用资源组实现横向分权管理		推荐
	资源级别的权限控制	启用标签细粒度资源权限管理		推荐
	合规约束配置	使用RAM Policy约束云上操作		推荐
网络安全	基于网络的访问控制	收敛ECS实例的公网暴露风险	推荐	推荐
	基于网络的访问控制	使用VPC实现网络隔离		推荐
	基于网络的访问控制	使用安全组实现内网访问控制		推荐
	基于网络的访问控制	使用网络ACL加强网络访问控制		推荐
	基于网络的访问控制	通过内网或专线访问云上服务		推荐
	基于网络的访问控制	使用PrivateLink减少非必要的公网通信		推荐
	流量安全	使用DDoS清洗服务抵御公网攻击		推荐
	流量安全	使用云防火墙抵御公网攻击		推荐
	Web流量安全	使用Web应用防火墙抵御Web攻击		推荐
安全审计与运维	日志	使用操作审计记录和分析云操作	推荐	推荐
	监控报警	维护正确的安全联系人，及时接收与处理安全事件	推荐	推荐
	特权访问管理	使用堡垒机运维满足等保2.0要求		推荐
	日志	启用VPC流日志，分析和审计网络流量		推荐