通过阿里云堡垒机实现统一运维入口、细粒度权限管控及全链路操作审计,实现云服务器运维安全目标的同时可以满足等保2.0三级要求中的身份鉴别、访问控制和审计追溯核心条款。
安全风险
传统的运维方式,如允许运维人员直接通过SSH或RDP从互联网或办公网访问服务器,存在着一系列难以控制的风险:
身份不明与权限滥用:直接使用服务器的本地账户(如root、Administrator)或共享账户进行运维,无法精确识别操作者身份。一旦高权限账户的凭证泄露,攻击者便可长驱直入,滥用权限进行恶意操作,而您甚至不知道是谁在操作。
操作行为“黑洞”:在服务器本地进行的操作,如果未配置复杂的审计工具,其过程往往难以被完整记录。发生安全事件后,由于缺乏详细的操作日志、屏幕录像等证据,导致无法追溯责任人,也难以分析攻击路径和损失范围。
凭证管理混乱与泄露风险:当运维人员需要管理成百上千台服务器时,他们需要记忆大量的密码和密钥。这极易导致使用弱密码、重复使用密码或将密码记录在不安全位置等问题,大大增加了凭证泄露的风险。
横向移动的温床:一旦攻击者通过某个被攻破的跳板机或运维人员的PC,直接连接到一台服务器,他们就可能利用该服务器作为据点,向内部网络发起横向渗透攻击,感染更多核心系统。
敏感数据泄露:缺乏管控的运维通道,使得运维人员或攻击者可以轻易地通过文件传输、数据库导出等方式将核心敏感数据下载到本地,造成数据泄露。
最佳实践
使用堡垒机统一纳管ECS实例资产,使用安全组限制仅能通过堡垒机登录系统,集中管理运维人员账号、权限,并审计人员的操作。
规划与部署堡垒机
访问堡垒机购买页购买并根据业务规模选择合适的规格,然后在堡垒机控制台启用实例。具体操作,请参见快速购买并登录堡垒机。
设计“默认拒绝”的网络访问策略
从网络层面强制所有流量必须经过堡垒机。
创建专用的安全组:为您的ECS实例创建或规划一个基础安全组,其入方向规则应默认拒绝所有外部访问,特别是SSH(22)和RDP(3389)端口。
配置例外放行规则:在该安全组中,添加入方向规则,精确地仅允许来自您堡垒机出口IP地址的流量访问目标ECS实例的运维端口(如22、3389等)。
规则示例:
授权策略:允许
协议类型:TCP
端口范围:22/22 (SSH) 或 3389/3389 (RDP)
授权对象:填入您在“检查”步骤中获取的堡垒机出口IP地址(例如 47.100.XX.XX/32)。
优先级:1(最高)
如下图所示,安全组仅允许 10.0.0.185(假设为堡垒机IP)访问组内服务器的22端口。
统一纳管资产与身份
配置访问控制策略
用户与资产授权:遵循最小权限原则,为每个堡垒机用户精确授权其工作所需的最小资产范围。例如,开发人员只能访问开发环境的服务器,数据库管理员只能访问数据库服务器。参见为用户授权资产及资产账户。
配置精细化控制策略:利用堡垒机的控制策略功能,实现更细粒度的管控。您可以限制特定用户能够执行的高危命令(如rm -rf)、设置文件传输的类型和大小、对敏感操作启用双人复核审批等。参见配置控制策略。