安全概述-云服务器 ECS(ECS)-阿里云帮助中心

按攻击应急、五大安全域加固基线与等保合规三类场景，快速定位 ECS 安全操作路径。

重要

ECS 安全责任由阿里云与客户共同承担：阿里云负责物理硬件、底层网络、虚拟化平台与管理控制服务；客户负责操作系统补丁与升级、应用软件安全配置、访问权限管理，以及数据加密与流量安全。

遭受攻击或收到告警

实例遭受攻击时，可能出现业务无法访问、服务响应缓慢或超时等现象，也可通过监控发现网络流量异常、异常登录或 CPU 异常升高等迹象。下表以三类常见的攻击为例，说明如何快速判断并处置。

攻击类型与现象	处理说明
DDoS：海量请求耗尽带宽、CPU、内存或连接数，导致服务缓慢或瘫痪。免费基础防护有流量上限，超限触发黑洞。	每个公网 IP 默认享有 DDoS 基础清洗（限额内）。超出限额或遭遇应用层攻击时，购买 DDoS 原生防护或高防，说明见使用DDoS清洗服务抵御公网攻击。
登录与会话：密码泄露或账户被盗后，攻击者发起多次失败登录，或从可疑地点登录。	开启免费安全加固，配置常用登录地、IP、时间及账号，异常登录时自动告警。配置方法见启用异常登录检查。
主机恶意程序：挖矿病毒导致业务中断、数据泄露及风险扩散。实例被入侵时，云安全中心发送短信或邮件告警。	用云安全中心处理，或手动重置密码、密钥、封锁 IP。隔离与清除步骤见挖矿病毒处理和防护指南。

攻击处置完成后，做根因分析和持续加固，防止同类攻击重复发生：

根因分析：通过操作审计记录分析云操作还原攻击路径，确定入侵方式与受影响资源范围。
针对性加固：收紧被利用的配置项，补全安全基线防护缺口。
检测优化：调整监控告警规则，并使用云安全中心提升后续检测能力。

安全配置加固

基础安全配置

安全域	适用场景	技术措施
操作系统安全	远程运维、系统加固、漏洞修补、运行时防护。	凭证与登录加固避免使用root账号登录实例避免使用弱口令登录实例避免使用自定义镜像中的预设登录凭证启用异常登录检查镜像与端口管控限制使用指定范围镜像创建实例实例运维端口应限制IP访问来源主机防护修复高危安全漏洞启用主机安全防护
数据安全	云盘存储、镜像分发、敏感数据传输、防勒索。	加密与备份使用加密云盘开启云盘自动快照策略镜像安全镜像/快照权限管控与数据防泄露元数据与接入安全使用仅加固模式访问实例元数据仅允许HTTPS访问ECS OpenAPI
网络安全	VPC 规划、网络隔离、公网访问控制、流量监控。	网络隔离使用VPC实现网络隔离使用安全组实现内网访问控制使用网络ACL加强网络访问控制减少公网暴露通过内网或专线访问云上服务使用PrivateLink减少非必要的公网通信收敛ECS实例的公网暴露风险攻击防御使用DDoS清洗服务抵御公网攻击使用云防火墙抵御公网攻击使用Web应用防火墙抵御Web攻击
身份与访问控制	员工入职授权、多账号管理、程序调用 API 鉴权。	账号安全避免使用主账号，为不同职责子账号成员授予不同权限保护云账号，防止凭据泄露权限收敛启用标签细粒度资源权限管理使用资源组实现横向分权管理使用RAM Policy约束云上操作约束OpenAPI调用来源IP合法范围
安全审计与运维	内部审计、安全行为溯源、合规性检查。	日志审计使用操作审计记录和分析云操作启用VPC流日志，分析和审计网络流量运维安全使用堡垒机运维满足等保2.0要求维护正确的安全联系人，及时接收与处理安全事件

可信计算与机密计算

阿里云提供多层计算安全能力：默认内存加密、可信计算（vTPM）和机密计算。

默认内存加密：内存加密可以加强内存数据的抗物理攻击能力，进一步提升云上数据的安全性。您无需对操作系统或应用进行任何改动，即可享受到更高一层的安全防护。目前通用型实例规格族g8i、存储增强通用型实例规格族g8ise、计算型实例规格族c8i、内存型实例规格族r8i默认支持内存加密。
可信计算：基于虚拟可信平台模块（vTPM）构建可信根，实现 ECS 实例的可信启动，校验启动过程中的核心组件，确保未被篡改。
机密计算：利用 CPU 硬件加密和隔离能力构建可信执行环境（TEE），保护使用中的数据，防止未授权访问或修改。支持通过远程证明等方式验证云平台和实例的完整性与安全性。

等保合规配置

2019年12月01日起，网络安全等级保护基本要求（GB/T 22239-2019信息安全技术）等系列标准正式实施，落实网络安全等级保护制度是每个企业和单位的基本义务和责任。阿里云在确保云平台自身满足基本要求的基础上，提供了等保合规检查功能，帮助您更快速、高效和持续地落实网络安全等级保护制度，提升云上业务系统的安全防护能力。

登录云安全中心控制台。在左侧导航栏选择系统设置 > 合规检查。
可选：在等保合规检查页签上方阿里云公共云等保合规白皮书2.0提示信息右侧单击申请下载，申请下载云安全中心为您提供的等保2.0解决方案材料包。
在等级保护最佳实践页面，请根据提示填写信息并提交。申请审核通过后（预计2~4个工作日），您的邮箱将会收到等保2.0解决方案材料包。
说明
等保2.0解决方案材料包含以下内容：
- 阿里云安全架构师免费专业指导
- 等保2.0解决方案PPT
- 安全产品的销售许可证
- 阿里云平台等保备案证明
- 等保测评报告
- 阿里云公共云等保合规白皮书2.0（介绍阿里云如何助力云服务客户构建基于网络安全等级保护的安全合规体系）
在等保合规检查页签，查看检查结果的统计数据。
- 查看检测项总数和不合规项数
  在检测项总数和待处理不合规项数查看等保合规支持的检测项总数量和不合规项的数量。单击待处理不合规项数可直接查看不合规的检查项列表。
- 等级保护最佳实践
  阿里云为您提供了等保合规2.0安全解决方案，可以帮助您顺利通过等保合规2.0的等保测评。可单击等级保护最佳实践区域下方的点击查看等级保护最佳实践，了解等保合规2.0安全解决方案的更多信息。
- 等保问题在线咨询
  单击在线咨询右侧的咨询，跳转到聊天窗口咨询等保相关问题。咨询时间为工作日09:00~17:00，请您在此时间内进行咨询。
- 主机配置检查
  单击点击前往开通，前往基线检查页面，查看并处理您资产中的基线问题。更多信息，请参见查看和处理基线检查结果。
- 搜索指定检测项
  在搜索框设置检查项分类和是否合规，或输入检测项目名称，查看符合条件的检测项。
处理不合规的检查项目。
根据改进建议下的说明，处理不合规的检查项目。
说明
云安全中心等保合规检查检测您的系统是否具备等保合规检查要求的安全能力，例如访问控制、日志审计等。您在确保具备等保合规检查的能力，并处理完发现的问题后，才可以通过等保测评。等保更多信息请参见等保合规2.0安全解决方案。