【阿里云】從基礎(chǔ)到應(yīng)用云上安全航行指南

導(dǎo)論

如何保障云上業(yè)務(wù)的應(yīng)用安全和數(shù)據(jù)安全，是每一個上云的企業(yè)和用戶關(guān)注的重

點。云上安全建設(shè)是一個體系化工程，需要用戶主動進行多方面的考慮和實施，

包括制定完善的安全策略和規(guī)范，如身份認(rèn)證、訪問控制、漏洞管理、安全審計、

數(shù)據(jù)備份、數(shù)據(jù)加密等；建立安全監(jiān)控與防御機制，當(dāng)出現(xiàn)安全攻擊時業(yè)務(wù)能快

速止損等。安全用云是用好云的第一步，也是最為關(guān)鍵的一步。

在這個背景下，阿里云彈性計算技術(shù)公開課在2024年開年全新推出新一季【ECS

安全季】，由阿里云八位產(chǎn)品&技術(shù)專家組成講師團，通過分享云上安全體系相

關(guān)產(chǎn)品與最佳實踐，讓用戶快速上手構(gòu)建業(yè)務(wù)的安全防護能力。

本書內(nèi)容整理自ECS安全季中的全部課程，供各位開發(fā)者&用戶閱覽。

阿里云產(chǎn)品專家教你如何全方位構(gòu)建ECS安全體系>5

阿里云產(chǎn)品專家教你如何全方位構(gòu)建ECS安全體系

2024開年伊始，阿里云彈性計算團隊全新推出新一季【ECS安全季】，通過分享云上安全

體系相關(guān)產(chǎn)品與最佳實踐，讓用戶快速上手構(gòu)建業(yè)務(wù)的安全防護能力。

首節(jié)課程《如何全方位構(gòu)建ECS的安全體系》由阿里云彈性計算高級產(chǎn)品專家馬小婷帶來，

課程涵蓋了“云上安全的重要性、云安全責(zé)任模型、ECS安全能力大圖解讀”等內(nèi)容，本系

列全部課程也將在阿里云官網(wǎng)、阿里云官方微信視頻號、阿里云官方釘釘視頻號、阿里云

開發(fā)者微信視頻號同步播出。

以下內(nèi)容根據(jù)課程整理而成，供各位開發(fā)者閱讀：

對于安全問題，很多用戶的直接反應(yīng)就是操作是否太難？沒有安全背景和基礎(chǔ)能否快速上

手？又或是云上業(yè)務(wù)規(guī)模很小，是否需要知道并了解這些安全措施呢？結(jié)合以上的種種問

題，今天的分享希望帶給大家兩個收獲：第一點是讓大家對ECS的安全責(zé)任邊界和作為ECS

的用戶所肩負(fù)的安全責(zé)任有基本的認(rèn)知，第二點是讓大家能夠掌握一些解決ECS常見問題

的一些安全技巧，通過本節(jié)課程的學(xué)習(xí)，大家可以立馬用起來，畢竟安全無小事。

阿里云產(chǎn)品專家教你如何全方位構(gòu)建ECS安全體系>6

本次的分享主要分為以上四個方面。

一、云上安全的重要性

首先我們來關(guān)注一下云上安全的重要性，一直以來安全問題都是用戶上云最關(guān)心的問題，

我們得到的調(diào)研報告顯示96%的受訪者其實非常關(guān)注云上安全問題，同時有70%及以上的

用戶對云上的安全狀態(tài)信心是不足的。

阿里云產(chǎn)品專家教你如何全方位構(gòu)建ECS安全體系>7

想要告訴大家的是，這種擔(dān)心并不是可有可無。隨著全球信息化浪潮的不斷推進，我們發(fā)

現(xiàn)針對數(shù)據(jù)安全的風(fēng)險也在不斷上升，甚至愈演愈烈，這一部分的風(fēng)險也來源于攻擊者不

斷進化的攻擊手段和日趨增加的安全事件。

根據(jù)cyberattacks-2022年的數(shù)據(jù)統(tǒng)計顯示，2022年全球網(wǎng)絡(luò)攻擊事件相比增加了38%，

而網(wǎng)絡(luò)攻擊帶來的后果一般都非常嚴(yán)重，不僅會導(dǎo)致我們的業(yè)務(wù)中斷不可用，而且會導(dǎo)致

敏感數(shù)據(jù)泄露，以致帶來嚴(yán)重的經(jīng)濟損失，比如病毒勒索等。根據(jù)IBM調(diào)查報告顯示，2023

年因為數(shù)據(jù)泄露導(dǎo)致的平均損失高達445萬美元，而數(shù)據(jù)泄露的平均周期是277天，這也

意味著企業(yè)在遭遇了數(shù)據(jù)泄露以后，平均需要花費277天來識別并控制一個活躍的數(shù)據(jù)泄

露，時間成本和經(jīng)濟成本非常高。

那么除了日趨復(fù)雜和嚴(yán)峻的安全環(huán)境之外，我們來看看ECS的用戶們經(jīng)常遇到的威脅都有

哪些。

其實很多用戶上云購買的第一個云產(chǎn)品就是云服務(wù)器ECS。我們發(fā)現(xiàn)很多用戶在使用ECS

的過程中存在著一個誤解，那就是購買了ECS之后就可以“安全無患、高枕無憂”，其實

阿里云產(chǎn)品專家教你如何全方位構(gòu)建ECS安全體系>8

不然。上圖列舉了目前ECS面臨的一些典型的安全威脅，相信各位開發(fā)者可能也遭遇過。

比如各位的實例遭遇DDos攻擊，導(dǎo)致整個應(yīng)用拒絕服務(wù)，或者ECS中了勒索病毒，導(dǎo)致

數(shù)據(jù)無法被找回，又或者實例登陸密鑰被泄露，導(dǎo)致數(shù)據(jù)被刪除無法找回等等。

其實大家遇到的問題只是ECS安全問題的冰山一角，在阿里云后臺，我們每天默默處理掉

的ECS的各種安全問題數(shù)量也非常驚人。阿里云每天發(fā)現(xiàn)并發(fā)出以上的漏洞病毒告警超過

10萬次，每天幫助用戶清理的DDos攻擊流量高達2.08Tdps，而我們每天掃描出來的操

作系統(tǒng)這種安全漏斗高達3億個，每天幫助客戶清理的黑客工具高達700萬個，這些問題

每天依然在發(fā)生，那么導(dǎo)致以上問題的根因是什么呢？

當(dāng)前云計算安全建設(shè)的主要驅(qū)動力其實是合規(guī)性要求，我們對安全攻擊和防護的重視度是

遠遠不夠的，而安全的本質(zhì)其實是對抗，要抵御各種威脅才是提高安全的最終目標(biāo)。隨著

云計算得到了廣泛的應(yīng)用，聚焦于云計算的攻擊者其實會搜集網(wǎng)絡(luò)上各種云服務(wù)，進而去

發(fā)現(xiàn)脆弱性并且加以利用。這些脆弱性主要來源于上圖展示的五個方面。

根據(jù)2023年cloudsecurityAlliance的topcloudsecuritychallenges我們可以看到，

首當(dāng)其沖的是用戶配置不當(dāng)導(dǎo)致；其次是因為客戶在云計算的技能不足導(dǎo)致；第三是多云

阿里云產(chǎn)品專家教你如何全方位構(gòu)建ECS安全體系>9

環(huán)境下的能見度不足導(dǎo)致的。根據(jù)Gartner預(yù)測，到2025年，由于用戶配置不當(dāng)導(dǎo)致的

安全問題的比例可以高達99%。由此我們可以看到很多安全問題最終的根因其實歸結(jié)為兩

點，第一個其實就是安全意識的不足，第二個是我們安全實踐技能相關(guān)的缺失。

安全意識的不足這一點大家有目共睹，尤其是在我們DoveOps這種開發(fā)模式下，為了提

升我們的開發(fā)效率，我們的開發(fā)運維團隊會大量使用三方開源工具或者一些軟件庫，甚至

是一些公開的容器鏡像。這些開源軟件或者是鏡像中如果存在了一些安全漏洞，或者說遭

遇了惡意污染，但我們的開發(fā)運維同學(xué)并不會去做嚴(yán)格的安全風(fēng)控。最終如果用戶使用了

這些軟件，那么接下來大家的業(yè)務(wù)則會面臨著一些安全的風(fēng)險，同時我們也注意到有很多

人在無疑是的把業(yè)務(wù)中的一些敏感代碼或者數(shù)據(jù)在互聯(lián)網(wǎng)上進行托管，這種操作其實也會

存在著一些數(shù)據(jù)泄露的安全風(fēng)險。

另一個調(diào)查可以顯示，23%的企業(yè)承認(rèn)自身的業(yè)務(wù)其實對網(wǎng)絡(luò)攻擊的準(zhǔn)備是不足的，而50%

的企業(yè)承認(rèn)自身的網(wǎng)絡(luò)安全水平其實是落后于起初規(guī)劃的。其中一方面是因為大家自身技

能的確實，另一方面也是大家不得不考量的成本問題，所以我希望今天的分享能夠給大家

做到安全方面的基礎(chǔ)的科普，以及安全嘗試，幫助大家盡量做到盡量避免因為配置不當(dāng)或

者意識不足導(dǎo)致的業(yè)務(wù)風(fēng)險問題。

阿里云產(chǎn)品專家教你如何全方位構(gòu)建ECS安全體系>10

二、安全責(zé)任共擔(dān)模型介紹

第二部分將為大家詳細(xì)介紹ECS的安全責(zé)任共擔(dān)模型。這個責(zé)任模型是我們進行云上安全

實踐的重要基礎(chǔ)，也是主要依據(jù)之一。在介紹模型之前，先為介紹一下ECS的底層架構(gòu)，

因為這也是我們對ECS的安全性進行配置的一個基礎(chǔ)。

在傳統(tǒng)的云下應(yīng)用架構(gòu)下，搭建一個信息系統(tǒng)，需要自行負(fù)責(zé)信息系統(tǒng)所以來的所有底層

軟硬件的資源和服務(wù)搭建。如果把信息系統(tǒng)的搭建比作為一個房子，那在我們的傳統(tǒng)服務(wù)

模式下，我們則需要自行準(zhǔn)備搭建一個房子所需要的全部資源。其實這里可以類比為我們

在鄉(xiāng)下宅基地自建房，需要選址打地基，設(shè)計房屋構(gòu)造和布局，拉上水電煤等技術(shù)服務(wù)，

最后做內(nèi)部裝潢，可能還需要判斷房子外圍是否需要加蓋院子和圍墻，來保障房子的安全。

所以我們可以看到，在傳統(tǒng)架構(gòu)下，所有的任務(wù)和服務(wù)都需要我們自行設(shè)計、自行管理和

自行維護。

而在infrastructureasservice基礎(chǔ)設(shè)施及服務(wù)這種的服務(wù)模式下，我們可以看到云服務(wù)

提供商就像房地產(chǎn)開發(fā)商一樣，每一個基礎(chǔ)且重要的“建房步驟”都由云服務(wù)提供商來負(fù)責(zé)

管理和維護，同時他們還需要保障不同的用戶或者不同房子之間的資源隔離問題，需要做

到互不影響。而我們作為用戶，只需要根據(jù)業(yè)務(wù)需要以及當(dāng)前的屬性去做一些選擇和配置

即可。

那我們來看一下選購一個ECS和選購一個“房子”有哪些重要的參考參數(shù)呢？

首先就是選擇地域和可用區(qū)，ECS的地域和可用區(qū)類似于房子地段的情況，地段由城市和

縣市決定。在地域和可用區(qū)的選擇上，主要交由用戶選擇。建議大家選擇在更靠近業(yè)務(wù)服

務(wù)的目標(biāo)用戶的區(qū)域，這樣整個網(wǎng)絡(luò)延遲相對更低。

其次選擇對應(yīng)的VPC和交換機。VPC是用戶自定義的一種私有網(wǎng)絡(luò)，而不同的VPC之間在

邏輯上是完全隔離的，但同一個VPC中子網(wǎng)又是默認(rèn)互通的，交換機則是將一個VPC劃分

成一個或多個子網(wǎng)，所以從這個概念上來說我們可以把VPC理解為一個小區(qū)，同一個小區(qū)

阿里云產(chǎn)品專家教你如何全方位構(gòu)建ECS安全體系>11

中的房子在不出小區(qū)的情況下就能夠互通，如果我們在一個小區(qū)中有多套房子，就可以通

過交換機操作類似單元樓的方式進行劃分，方便管理。所以在某種程度上，我們選擇ECS

的VPC和交換機，其實就相當(dāng)于我們在選擇房子所在的一個小區(qū)和單元樓。

然后我們要選擇ECS鏡像。ECS鏡像我們也叫操作系統(tǒng)，其實我們在選擇鏡像的時候，可

以分不同的類型和版本，比如我們選擇Windowsserver2023這個版本。這就相當(dāng)于我們

去選擇這個房子的戶型究竟是三室兩廳還是兩室兩廳。

下一步選擇對應(yīng)的ECS安全組。安全組其實是一個虛擬的防火墻，主要用來控制安全組內(nèi)

的ECS實例的入出方向的流量，相當(dāng)于我們設(shè)置的一個“規(guī)則”來允許什么人可以進出單

元樓，所以我們可以把安全組類比做門禁卡，可以通過設(shè)置門禁卡的規(guī)則來限定什么樣的

人能夠進入我們的小區(qū)，進入我們的房子。

最后則是選擇實例的用戶名和密碼，也就相當(dāng)于“房子鑰匙”，不同的人可以用鑰匙打開我

們的門，進入到房子中去，所以如果我們的用戶名和密碼沒有得到很好的保障，則相當(dāng)于

我們的鑰匙也沒有得到很好的保管，那么我們整個ECS其實是可以任由大家訪問的。

理解了整個ECS架構(gòu)，我們就可以看到作為ECS用戶，我們就相當(dāng)于一個房子的租客一樣，

需要我們作為租客（用戶），對房子中所有的基礎(chǔ)設(shè)施的配置來負(fù)責(zé)，包括對應(yīng)的ECS有

沒有設(shè)置對應(yīng)的網(wǎng)絡(luò)隔離，整個實例操作系統(tǒng)的安全性有沒有得到保障等等，以及有沒有

設(shè)置對應(yīng)的訪問策略，以及在里面跑的這些應(yīng)用是否安全。這意味著整個ECS內(nèi)部的這一

部分是由我們作為用戶，需要自己管理并負(fù)責(zé)的。而云服務(wù)提供商其實就和房地產(chǎn)開發(fā)商

一樣，主要負(fù)責(zé)兩部分的安全，第一部分其實負(fù)責(zé)對整個地域和可用區(qū)里面的基礎(chǔ)設(shè)施進

行和管理和維護，第二部分其實對于我們這個虛擬化服務(wù)和云產(chǎn)品的管理和服務(wù)進行負(fù)責(zé)。

阿里云產(chǎn)品專家教你如何全方位構(gòu)建ECS安全體系>12

在了解底層架構(gòu)之后，我們再來討論ECS的安全責(zé)任共擔(dān)模型，其實就會發(fā)現(xiàn)，這個模型

會更清晰。上圖右側(cè)列舉了云服務(wù)提供商和我們的用戶之間的責(zé)任邊界，可以看到云服務(wù)

提供商對云本身的安全性負(fù)責(zé)，而云本身的安全性分成了兩個維度，第一個就是基礎(chǔ)設(shè)施

的安全性，第二個是云服務(wù)的安全性?；A(chǔ)設(shè)施的安全性主要包括底層硬件的主機安全，

以及一些虛擬化的安全。要提供一個安全、合規(guī)、可靠的基礎(chǔ)設(shè)施，這也類似于我們房子

的地基，房子的地基是否安全，房體所使用的鋼筋水泥土是否符合國家建筑安全的規(guī)定。

云廠商的第二個安全責(zé)任就是需要對云服務(wù)的安全性負(fù)責(zé)，主要是云服務(wù)本身是否安全。

而在這個基礎(chǔ)上，用戶側(cè)需要圍繞云上安全性需要做哪些事情呢？上文介紹到了ECS一些

重要的參數(shù)和組件，其實也是我們在提升ECS安全性方面所需要考慮的幾個維度，目前我

們可以分為四個維度。

最底層GuestOs安全其實是我們ECS所有安全的基礎(chǔ)，相當(dāng)于房子的門窗和鑰匙是否安全。

其次是訪問安全，本質(zhì)上來說，主要控制有哪些用戶能夠訪問我們的實例。第三塊是網(wǎng)絡(luò)

安全，主要通過網(wǎng)絡(luò)隔離和網(wǎng)絡(luò)控制手段提升整個網(wǎng)絡(luò)的安全性。最后一部分是數(shù)據(jù)安全，

也是云上安全的最終目標(biāo)，當(dāng)然其中也存在著不同的維度，比如我們可以用快照做數(shù)據(jù)備

份，也可以對存儲的數(shù)據(jù)進行加密，甚至可以通過機密計算的方式保證數(shù)據(jù)在計算過程中

阿里云產(chǎn)品專家教你如何全方位構(gòu)建ECS安全體系>13

的安全性，這里預(yù)告一下，數(shù)據(jù)安全在后續(xù)章節(jié)也會有講師為大家做深入的開展。

整體來說，ECS的安全責(zé)任共擔(dān)模型明確了云廠商和用戶大家的責(zé)任邊界，以及在每個維

度上用戶能夠做的提升ECS安全性的一些事情。

前面介紹的安全責(zé)任共擔(dān)模型其實是一個整體大原則，根據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》

以及《互聯(lián)網(wǎng)信息服務(wù)管理辦法》等相關(guān)法律規(guī)定，他們對廠商和云平臺其實提出了更多

的法律監(jiān)管的要求，也意味著云平臺除了前面提到的需要對云本身的安全性負(fù)責(zé)意外，還

需要根據(jù)國家的法律法規(guī)對以下的兩類違法行為進行主動管控。

第一點要強調(diào)的就是ECS上的一些違法行為，第二個則是ECS上的一些違法信息。第一類

是違法行為，包括我們在ECS上對其他云產(chǎn)品發(fā)起攻擊，或者說我們對云產(chǎn)品進行一些掃

描、滲透、測試等探測行為，或者我們使用云產(chǎn)品去搭建DDos的防御服務(wù)，還包括我們

使用云產(chǎn)品從事一些虛擬貨幣相關(guān)的工作活動，比如挖礦等，均屬于違規(guī)行為。第二類是

違法信息，指的則是我們在ECS上搭建一些網(wǎng)站服務(wù)，提供色情低俗的內(nèi)容，或者有欺騙、

賭博等非法行為，以及出現(xiàn)危害國家安全，破壞政治社會穩(wěn)定的信息。在這種情況下，云

平臺有權(quán)依照相關(guān)的法律采取相應(yīng)的封禁措施。

阿里云產(chǎn)品專家教你如何全方位構(gòu)建ECS安全體系>14

對于存在一般違法行為的ECS，阿里云會對ECS上的url和域名采取一些阻斷動作。如果

出現(xiàn)賬號被封禁，用戶可以申請免費解禁，或者申請主動解禁。但對于嚴(yán)重的違法行為，

我們除了阻斷url和域名訪問意外，還會禁止用戶解禁，除非用戶把數(shù)據(jù)完全刪除/完全釋

放，才會解禁。對于情節(jié)嚴(yán)重的違法違規(guī)行為，我們會對ECS采取關(guān)停甚至限制對應(yīng)賬號

訪問的行為。當(dāng)然如果用戶在使用ECS過程中，因為上述問題被阿里云采取了封禁措施，

用戶也會收到對應(yīng)的ECS系統(tǒng)事件以及對應(yīng)的短信、郵件、站內(nèi)信的通知。大家可以根據(jù)

對應(yīng)的通知來采取相關(guān)的措施進行及時清理。如果沒有及時清理，接下來ECS可能就沒有

辦法正常使用。

三、ECS安全能力大圖解讀

第三部分我將為大家進行ECS安全能力的全貌解讀。

上文《安全責(zé)任共擔(dān)模型》中提到，云廠商負(fù)責(zé)云本身的安全性，而用戶需要對云上的安

全性負(fù)責(zé)。那在云上安全性這個維度上，阿里云也提供了一系列的安全能力和云產(chǎn)品和功

能，來幫助大家快速的完成對應(yīng)的安全能力的構(gòu)建。在這里我們將ECS的安全能力主要分

阿里云產(chǎn)品專家教你如何全方位構(gòu)建ECS安全體系>15

成了以下五個維度。

第一個是GuestOS安全的安全。

GuestOS安全的安全前面提到其實就是ECS對應(yīng)的實例操作系統(tǒng)貴的安全性。操作系統(tǒng)的

安全性其實是ECS安全性的基礎(chǔ)，主要也包含了兩部分的安全，即操作系統(tǒng)本身的安全和

登錄安全。這兩點類比的話，相當(dāng)于房子的門窗是否緊鎖，以及鑰匙和門禁卡是否安全。

第二個是網(wǎng)絡(luò)安全。

網(wǎng)絡(luò)安全是最容易忽略的。因為上云之后，所有的資源都在網(wǎng)絡(luò)上，意味著人人都可以看

到，如果設(shè)置不當(dāng)，也可能會導(dǎo)致人人都能夠訪問。在這種情況下，如何能夠進行安全保

障呢？類比過來就相當(dāng)于我們在地圖上能夠看到房子，但并不是所有人都能夠進入到房內(nèi)，

因為單元樓和小區(qū)起到了物理的訪問隔離的作用，加之門禁卡，就在訪問隔離和訪問安全

控制下，更好的保障了房子的安全性。在網(wǎng)絡(luò)上也是一樣，可以通過設(shè)置對應(yīng)的訪問隔離，

比如VPC的隔離策略來保證某些網(wǎng)絡(luò)沒有辦法被其他網(wǎng)絡(luò)訪問，同時還可通過設(shè)置對應(yīng)的

安全組訪問策略來限制“進去的人”和“出去的人”，進而提升ECS的網(wǎng)絡(luò)訪問安全性。

第三部分是身份與訪問控制。

這就不是從單個資源角度出發(fā)，而是從一個組織/公司中很多人在共同使用資源的角度出發(fā)。

相當(dāng)于一個公司有很多房子，分布在多個小區(qū)和單元樓，公司中什么樣的人能夠訪問什么

樣的資源，對于核心資源的使用過程需要多次驗證，臨時來訪用戶需要臨時授權(quán)等等，需

要能進行精細(xì)化管理，同時還需要定時review過去一段時間內(nèi)，有什么樣的人通過什么樣

的方式訪問了“房子”。

所以某種程度上，身份與訪問控制更多的是從一個組織的角度出發(fā)，對整個組織下面的多

種角色以及訪問行為進行全面的控制，同時還可以做審計，這樣可以保證我們云上的資源

訪問能夠可追溯且可授權(quán)。

阿里云產(chǎn)品專家教你如何全方位構(gòu)建ECS安全體系>16

第四部分是應(yīng)用安全。

顧名思義，應(yīng)用主要指的是Web應(yīng)用，或者說一些APP應(yīng)用，主要作用其實是對外提供

服務(wù)，并不是所有用戶買了ECS都一定會對外提供服務(wù)，但一旦我們會外提供服務(wù)，最重

要的就是保障服務(wù)的可用性。那么如何保障我們服務(wù)的可用性？阿里云提供了非常多的工

具和產(chǎn)品，比如Web應(yīng)用防火墻，它可以抵御各種常見的外部攻擊。對于網(wǎng)站式APP的

業(yè)務(wù)流量進行惡意特征識別，然后對流量進行清洗和過濾，能夠把正常的流量返回給服務(wù)

器，來避免網(wǎng)站服務(wù)器被惡意入侵，從而保證整個網(wǎng)絡(luò)的業(yè)務(wù)安全。

最后一點數(shù)據(jù)安全。

數(shù)據(jù)安全是所有安全防護的終極目標(biāo)，數(shù)據(jù)安全也是一個端到端的安全保障機制。因為數(shù)

據(jù)本身存在三種狀態(tài)：靜止態(tài)、傳輸態(tài)、使用態(tài)。靜止態(tài)指數(shù)據(jù)存放在某種地方，可能存

在被誤刪/被刪除的風(fēng)險，可以通過定期數(shù)據(jù)備份保障對應(yīng)的數(shù)據(jù)安全。

同時，還可以通過數(shù)據(jù)加密的方式保證靜止態(tài)數(shù)據(jù)安全。數(shù)據(jù)加密可以防止數(shù)據(jù)泄露，保

證數(shù)據(jù)在傳輸過程中的安全性。使用態(tài)的數(shù)據(jù)使用安全，一般指的是在內(nèi)存中讀寫的數(shù)據(jù)

安全性，而機密計算其實是通過一種基于硬件的可信執(zhí)行環(huán)境來達成在計算中保障數(shù)據(jù)安

全的目的。所以數(shù)據(jù)安全更多的是一種端到端的安全保障機制，如果大家的業(yè)務(wù)對數(shù)據(jù)安

全有更高的要求，則可以選擇性的采取必要的措施來保障數(shù)據(jù)安全。

為了進一步降低用戶使用以上各種工具的門檻，我們提供了ECS使用成熟度評估與洞察這

個產(chǎn)品，它基于云上的最佳實踐和在其中提到的云上基礎(chǔ)和安全保障能力，為用戶做更多

的風(fēng)險識別，并且能夠為大家提供對應(yīng)的修復(fù)建議，最終提升整個ECS安全性。

阿里云產(chǎn)品專家教你如何全方位構(gòu)建ECS安全體系>17

下面將為大家介紹兩個最佳實踐，讓大家有更直接的體感。

第一個是最佳實踐是圍繞GuestOS安全性提升的。前面提到了，GuestOS的安全性是整

個云上安全的基礎(chǔ)。它分為兩個維度的安全，首先是登陸安全，第二個是操作系統(tǒng)的安全。

那如何從這兩個維度上去提升我們GuestOS的安全性呢？圍繞著登陸安全這個維度我們

有幾個簡單的tips。

首先當(dāng)然是使用非root賬號登錄。我們常見的比如阿里云側(cè)我們會推薦大家使用ECSuesr

賬號登錄，而不是默認(rèn)的root賬號。如果大家的能力更高階，我們會推薦用戶使用Linux

系統(tǒng)，使用ssh密鑰對進行登錄，無需密碼，安全性更高。

但不管我們使用非root賬號的登錄，還是使用ssh密鑰對登錄，都需要定期更新登陸憑證，

避免密碼泄露帶來的風(fēng)險。如果我們對ECS的登陸安全有更高的要求，則可以使用我們提

供的云助手提供的會話管理功能。它類似于堡壘機的功能，在不需要密碼的情況下能夠安

全的登錄到ECS的實例上，同時也可以通過會話管理或是workbench對所有的登陸操作

進行追溯。

阿里云產(chǎn)品專家教你如何全方位構(gòu)建ECS安全體系>18

關(guān)于操作系統(tǒng)安全，上文我們也提到操作系統(tǒng)的安全相當(dāng)于整個房子的門窗是否安全，所

以在這部分，我們首先推薦用戶開啟鏡像加固，使用免費版的云安全中心對操作系統(tǒng)中存

在的安全漏洞進行掃描并定期修復(fù)。

同時，云安全中心的收費版不僅可以對系統(tǒng)漏洞進行修復(fù)，同時還能夠?qū)Σ僮飨到y(tǒng)中存在

的木馬和病毒進行掃描和修復(fù)。當(dāng)然如果我們有足夠的能力且沒有付費意愿，還可以通過

系統(tǒng)運維管理的補丁管理去自動設(shè)置對應(yīng)的補丁掃描，并且設(shè)置對應(yīng)的修復(fù)策略。系統(tǒng)補

丁管理程序則會根據(jù)設(shè)置自動掃描對應(yīng)的操作系統(tǒng)中的補丁情況，并根據(jù)指定的修復(fù)策略

自動完成對應(yīng)的補丁修復(fù)，并且?guī)椭覀內(nèi)ブ貑嵗?，保證補丁得到最新的修復(fù)。

此外，如果我們對安全等保這個地方有要求，也可以使用阿里云提供的原生操作系統(tǒng)

——AlibabaCloudLinux等保2.0的鏡像來提升整個操作系統(tǒng)的安全合規(guī)要求。

上圖中展示的灰色部分是基礎(chǔ)能力，也意味著我們推薦所有用戶都采用這樣的策略，黃色

部分是高階能力，推薦大家按需使用。

第二個最佳實踐實際為一個綜合性解決方案。我們發(fā)現(xiàn)很多用戶在安全維度面臨的問題是，

阿里云產(chǎn)品專家教你如何全方位構(gòu)建ECS安全體系>19

用戶無法判斷當(dāng)前自身業(yè)務(wù)是否存在安全隱患，所以也無法進行優(yōu)化/改進。同時，有些用

戶想要做一些安全性的改造，卻不知道從哪里可以入手且快速看到效果。

正如我們前面介紹的，絕大多數(shù)安全性問題其實是由于用戶配置不當(dāng)或者意識不足導(dǎo)致的，

所以對絕大多數(shù)用戶而言，我們提升安全性的第一步是要識別我們當(dāng)前的安全風(fēng)險。那如

何能夠快速識別我們業(yè)務(wù)中常見的通用安全風(fēng)險，進而防患于未然呢？

在這里，ECSInsight是我們推薦的一款一站式解決方案，它能夠幫助用戶快速發(fā)現(xiàn)問題，

并且識別問題的嚴(yán)重程度，同時推薦對應(yīng)的解決方案。對于沒有太多安全基礎(chǔ)，但想要提

升安全性的用戶來說，不清楚第一步如何“落腳”，那么ECSInsight是一個快速上手的好

選擇。

ECSInsight是一款免費的風(fēng)險識別類產(chǎn)品，當(dāng)我們開通服務(wù)以后，會自動對我們ECS和關(guān)

聯(lián)資源的分布、使用、配置等信息做分析，并結(jié)合機器學(xué)習(xí)算法進行建模，最終結(jié)合云上

的最佳實踐和最佳方案，給用戶最終提供兩個輸出。

第一個輸出是使用成熟度整體評估，它會從ECS的基礎(chǔ)能力、成本、自動化、可靠性、彈

性、安全性六大維度對當(dāng)前業(yè)務(wù)進行一個整體評估，每個維度100分。如果該維度存在風(fēng)

險，則會進行扣分。

第二個輸出是對應(yīng)的風(fēng)險應(yīng)對優(yōu)化推薦方案。對于每個維度的失分項，ECSInsight都會根

據(jù)該問題的嚴(yán)重程度來進行區(qū)分。對于高危項，我們推薦用戶立刻采取行動進行修復(fù)，對

于告警，我們推薦用戶選擇合適的時間及時進行修復(fù)。對于提示項、不適用項和健康項，

我們只是作為參考。所以在以上的幾種情況下，我們借助ECS能夠快速、一鍵式的識別當(dāng)

前業(yè)務(wù)存在的安全風(fēng)險，并及時修復(fù)，防范于未然。

阿里云產(chǎn)品專家教你如何全方位構(gòu)建ECS安全體系>20

下面為大家介紹一下ECSInsight的簡單的demo。大家登錄ECS的控制臺，在導(dǎo)覽頁里

面就會有一個ECSInsight使用成熟度評估與洞察這樣的一個入口，用戶則需要先申請開通

這個服務(wù)，開通之后需要花費t+1的時間對當(dāng)前賬號下所有資源的分布、使用、配置等信

息去做一些數(shù)據(jù)的采集，建模分析，最終就會為大家產(chǎn)出一個分析報告。

其實我們可以看到它主要分為了六個維度，也是從這六個維度的角度上做了評分。每個維

度的分值以及對應(yīng)的總分，這些都可以看到。對于沒有得分的項，ECSinsight會根據(jù)對應(yīng)

問題的嚴(yán)重程度歸類。對于高危項和警告項，是需要用戶立即采取行動的。而對于不適用

項和提示項，其實是nicetohave的能力，用戶可以適當(dāng)做一些參考。

在安全能力維度上，我們可以看到ECSInsight目前提供的是通用的安全評估能力，主要包

含網(wǎng)絡(luò)安全能力、實例訪問安全能力和實例數(shù)據(jù)安全能力三個維度，每個維度都提供了詳

細(xì)的安全風(fēng)險評估標(biāo)準(zhǔn)。對于未得分項，都可以點開具體看到評分規(guī)則，以及對應(yīng)的受影

響的資源是什么，以及對應(yīng)的修復(fù)建議和對應(yīng)的最佳實踐。

最后我們可以參考最佳實踐和對應(yīng)的修復(fù)建議來完成相關(guān)的配置修改，就能夠完成相關(guān)的

風(fēng)險修復(fù)，也歡迎大家到ECSInsight頁面上體驗我們的產(chǎn)品，從而達到ECS安全性的提

升。

阿里云產(chǎn)品專家教你如何全方位構(gòu)建ECS安全體系>21

四、云上安全的展望

最后為大家分享我們對云上安全的展望。

第一個是機密計算。上文提到的，網(wǎng)絡(luò)安全很大一部分其實是為了保障數(shù)據(jù)安全，而數(shù)據(jù)

根據(jù)其情況我們可以分為靜止、傳輸和使用中三個狀態(tài)。而存儲的數(shù)據(jù)屬于靜止態(tài)數(shù)據(jù)，

在網(wǎng)絡(luò)中屬于傳輸態(tài)，而正在處理的數(shù)據(jù)則屬于使用中的狀態(tài)。前面提到的加密技術(shù)主要

用于提高數(shù)據(jù)的機密性，進而防止一些未授權(quán)的訪問和保障數(shù)據(jù)完整性，也就是防止未經(jīng)

授權(quán)的修改，它主要用戶保護傳輸中和靜止?fàn)顟B(tài)的數(shù)據(jù)。那么數(shù)據(jù)在內(nèi)存中使用時如何保

證其安全性呢？這其實就是機密計算的目標(biāo)場景了。

機密計算通過在基于硬件的可信執(zhí)行環(huán)境中執(zhí)行計算的方式來保證使用中的數(shù)據(jù)的安全性。

而可信執(zhí)行環(huán)境則通常被定義成能夠提供一定程度的數(shù)據(jù)的完整性、機密性和代碼完整性

來保護環(huán)境。而基于硬件這樣一個可信執(zhí)行環(huán)境，主要使用我們芯片中的一些硬件支持的

技術(shù)，為代碼的執(zhí)行和環(huán)境中的數(shù)據(jù)提供保護，從而提供一個更強的安全性的保證，進而

有效預(yù)防基于內(nèi)存的攻擊手段，比如target的安全事件和CPU的側(cè)通道攻擊，它能夠防

御一些惡意軟件入侵的攻擊手法，比如烏克蘭的電網(wǎng)攻擊。對于機密計算感興趣的同學(xué)可

阿里云產(chǎn)品專家教你如何全方位構(gòu)建ECS安全體系>22

以聽我們后續(xù)的其他講師的一個專題的分享，在這里面我可能就不做詳述了。

第二個是零信任安全。零信任安全其實是一種安全理念，它的基本原則其實是不信任任何

設(shè)備和用戶，除非驗證其可信。同時，用戶和設(shè)備在經(jīng)過驗證之后還會持續(xù)監(jiān)控設(shè)備的安

全狀態(tài)和用戶行為，一旦發(fā)現(xiàn)信用等級下降，則需要動態(tài)的調(diào)整訪問級別，并在需要的時

候去切斷對應(yīng)的訪問會話。所以，零信任本質(zhì)上來說是一種更安全的云上設(shè)備和身份的驗

證。

在傳統(tǒng)的網(wǎng)絡(luò)安全保障機制中，主要通過子網(wǎng)劃分、安全域劃分、網(wǎng)絡(luò)控制等手段去實現(xiàn)

網(wǎng)絡(luò)管控。隨著網(wǎng)絡(luò)設(shè)備和云計算被廣泛使用，也讓企業(yè)員工在任何時間、任何地點、都

能夠使用任何設(shè)備來訪問企業(yè)資源這是一種常態(tài)的趨勢，在這種趨勢下，我們認(rèn)為零信任

的安全則是一種更安全、更有效的安全防護機制。

最后想和大家分享的一點是“當(dāng)安全性遇到AI”。其實Gartner早在2016年就提出了

AIOps的概念，并在2017年把它明確定義為需要借助人工智能的算法提供具有一些動態(tài)

性、預(yù)測性的一個洞察能力，最終實現(xiàn)IT運維自動化的能力。

在AIOps中，我們可以看到Gartner主要強調(diào)了三個關(guān)鍵點。第一要使用AI算法，第二

要能夠發(fā)現(xiàn)并識別一些異常信息，第三是要能夠完成一些自動化的運維執(zhí)行。所以，雖然

AIOps很多時候強調(diào)的是智能化運維，但是我認(rèn)為在安全領(lǐng)域下，這三個關(guān)鍵點依然是有

效的。所以當(dāng)安全性與AI相碰之后，我們認(rèn)為AIOps在安全這個領(lǐng)域維度上也應(yīng)該能夠?qū)?/p>

現(xiàn)，能夠借助我們AI算法去識別一些危險的洞察，并且能夠去歸納其攻擊行為和攻擊意圖，

并且能夠自動化的給出執(zhí)行建議，同時自動化的輔助/幫助用戶完成對應(yīng)的安全措施。

以上就是本次課程的全部內(nèi)容。

/play/u/null/p/1/e/6/t/1/445056548306.mp4

九大提升ECS實例操作系統(tǒng)安全性的技巧>23

九大提升ECS實例操作系統(tǒng)安全性的技巧

引言：【彈性計算技術(shù)公開課——ECS安全季】第二節(jié)課程由阿里云彈性計算技術(shù)專家陳懷

可帶來，本文內(nèi)容整理自他的課程，供各位閱覽。

一、安全事件案例回顧與操作系統(tǒng)安全概念介紹

在介紹操作系統(tǒng)安全概念前，我們先來看一下國際上曾經(jīng)發(fā)生過的幾個真實的安全事件。

第一個安全事件：國外某政務(wù)官員，他是一非常喜歡發(fā)推特的人，可能不知道的是，他在

就任期間，他的推特賬號曾經(jīng)被人盜用過。像這類知名的公眾人物，他們的一言一行都會

對社會產(chǎn)生重大的影響，可想而知，他們的賬號被盜用的影響會有多大。整個安全事件的

過程比較簡單，簡單梳理一下。

在2012年LinkedIn網(wǎng)站被攻擊，2016年，相關(guān)的數(shù)據(jù)庫被泄露出去，泄露的數(shù)據(jù)庫中

有包含這位官員的賬號和密碼，通過這個賬號密碼，攻擊者攻擊了他的推特賬號。

九大提升ECS實例操作系統(tǒng)安全性的技巧>24

這就是典型的撞庫攻擊，因為在大多數(shù)人的行為習(xí)慣中，習(xí)慣性的會在所有的產(chǎn)品中長期

使用一個或幾個固定的密碼。而不會特意去修改。這位官員同大多數(shù)人一樣，使用同一套

密碼，最終導(dǎo)致了他的推特賬號被入侵。回過頭看整個安全事件，導(dǎo)致這一起事件的根本

原因在于長期使用一套固定的密碼，而且沒有進行修改。

九大提升ECS實例操作系統(tǒng)安全性的技巧>25

再來看另外一個安全案例，去年九月，斯里蘭卡國家政務(wù)云被黑，同時丟失了四個月的重

要數(shù)據(jù)。

詳細(xì)看一下這個事件的前后因果，斯里蘭卡國家政務(wù)云中使用一款軟件叫做Microsoft

exchange2013版本，這款軟件其實已經(jīng)過期不再被維護，并且軟件中存在著致命的安全

漏洞，因為財政方面的問題，沒有得到及時升級維護，攻擊者通過這軟件漏洞發(fā)起了勒索

軟件攻擊，最終導(dǎo)致近四個月數(shù)據(jù)的永久丟失?？梢郧逦闹溃瑢?dǎo)致這一起安全事件的

根本原因在于使用了停服的軟件，軟件沒有得到及時的升級更新安全補丁。

回顧剛剛的兩個安全案例，在案例1中，用戶用于登錄系統(tǒng)的賬密泄露了以后，攻擊者利

用泄露的賬密攻擊系統(tǒng)，導(dǎo)致系統(tǒng)被入侵，如果訪問操作系統(tǒng)常用的賬密泄露了，攻擊者

能夠很輕易的登錄到操作系統(tǒng)，部署勒索鍵，導(dǎo)起關(guān)鍵數(shù)據(jù)信息等等危害。

案例2中，系統(tǒng)未及時更新安全補丁，導(dǎo)致攻擊者利用漏洞進行入侵并部署勒索軟件，攻

擊者經(jīng)常使用操作系統(tǒng)內(nèi)未及時修復(fù)的安全漏洞實施入侵攻擊。那么該如何保護我們的操

作系統(tǒng)呢？

九大提升ECS實例操作系統(tǒng)安全性的技巧>26

我們來將操作系統(tǒng)的安全分為三個部分，第一部分是訪問操作系統(tǒng)的安全性，它定義了誰

能夠來訪問操作系統(tǒng)，用怎樣的方式來訪問。第二部分操作系統(tǒng)內(nèi)部的安全性，包括安全

補丁以及技術(shù)的安全能力等等。第三部分是涉及到法律法規(guī)的一些要求，比如審計、合規(guī)

要求等等，提升操作系統(tǒng)安全性的辦法，我們根據(jù)上述的操作系統(tǒng)安全性的三個組成部分，

分別是提升訪問操作系統(tǒng)的安全性、安全加固操作系統(tǒng)以及操作系統(tǒng)安全進階這個三部分。

二、快速提升訪問操作系統(tǒng)安全性

接下來針對如何提升操作系統(tǒng)安全性，分三部分詳細(xì)展開。

在提升訪問操作系統(tǒng)安全性上，快速提升訪問ECS實例操作系統(tǒng)的安全性。內(nèi)容主要分三

個部分，使用密鑰對登錄實例、使用會話管理免密登錄實例以及避免端口/0的授

權(quán)。

如何使用密鑰對登錄實例，可能這里會有部分的同學(xué)存在疑問，什叫做密鑰對？密鑰對實

現(xiàn)的原理是什么？使用密鑰對登陸實力有什么樣的優(yōu)勢？

九大提升ECS實例操作系統(tǒng)安全性的技巧>27

阿里云的密鑰對默認(rèn)采用的是RSA2048位的加密算法生成了包括公鑰和私鑰，使用公鑰

和私鑰認(rèn)證的方式進行登錄，是一種安全便捷的登錄方式。由用戶生成一組密鑰對將公鑰

推送到目標(biāo)服務(wù)器中的公鑰默認(rèn)存儲路徑下，阿里云默認(rèn)公鑰存儲路徑是

~/.ssh/authorized_keys文件。它的登錄實現(xiàn)原理如右圖所示，用戶發(fā)起登錄請求，服務(wù)

器端生成一串隨機數(shù)，使用公鑰進行加密，返回用戶端加密的信息，用戶端使用私鑰本地

進行解密，并發(fā)送服務(wù)器端解密后的信息，服務(wù)器端對比解密后的信息，對比驗證信息有

效才允許用戶登錄。

這種方式相對于傳統(tǒng)的賬密的登錄方式的優(yōu)點，它的優(yōu)點主要有兩個，一是相對于常規(guī)的

用戶口令容易被爆破的風(fēng)險，密鑰對杜絕了暴力破解的危險，另外一個是密鑰對登錄方式

更加簡便，一次配置，后續(xù)再也不需要輸入密碼。但是也要求需要保護好私鑰不被丟失泄

露，因為擁有您的私鑰的任何人可以解密的登錄信息。需要注意的是，阿里云不會存儲私

鑰文件，也就是在創(chuàng)建密鑰對時僅有一次下載密鑰對的機會。

常用密鑰對登錄ECS實例的方法，主要有四種，第一種是使用ECS提供的Workbench，

在Workbench中導(dǎo)入私鑰連接ECS實例，若您的私鑰在本地是加密的，如圖所示的

Workbench還可以支持傳入私鑰口令的方式解密訪問。

九大提升ECS實例操作系統(tǒng)安全性的技巧>28

第二種是使用第三方的密鑰對工具，使用第三方密鑰對登錄工具時，需要遵循該工具的使

用規(guī)則，比如PuTTYgen需要轉(zhuǎn)化私鑰文件的格式。第三種是需要支持密鑰對的控制臺命

令的環(huán)境，需要SSH命令的方式進行連接實例。第四種同樣是需要支持密鑰對控制臺命令

環(huán)境，如右圖所示的需要配置config文件的ECS別名以及一些比如端口號，登錄賬號，以

及私鑰地址、還有公網(wǎng)信息等等這信息，這種方式適合多臺實例登錄的場景，這里需要注

意的是以上四種常規(guī)的密鑰對登錄方法，后面三種都是需要用戶開啟公網(wǎng)的IP才能夠進行

訪問的。

對需要使用密鑰對的用戶，如何更好更安全的使用密鑰對，我們有兩方面的建議，第一是

保護好本地私鑰，第二是可以優(yōu)化密鑰對的服務(wù)配置。如何保護好本地私鑰？常規(guī)方案會

推薦用戶使用密碼的方式進行保護私鑰。需要保證持有正確的密碼的人才能夠訪問到私鑰。

在使用私鑰時，每次都是需要輸入密碼。

一是控制臺Workbench也是支持輸入口令密碼的方式訪問到您的私鑰。另外，盡可能的

不使用默認(rèn)的密鑰對的存儲位置，將私鑰保存在自定義的目錄中。在保存私鑰的目錄中設(shè)

置正確的訪問權(quán)限，只允許特定的用戶能夠訪問。在保存私鑰的系統(tǒng)上，還需要及時的安

九大提升ECS實例操作系統(tǒng)安全性的技巧>29

裝最新的補丁和安全更新，以保護系統(tǒng)不受知名漏洞的影響。同時，為了防止私鑰的丟失

和誤操作刪除，還可以定期備份私鑰。

在使用密鑰對服務(wù)配置時，我們建議可以修改連接端口為非標(biāo)準(zhǔn)端口，密鑰對的默認(rèn)連接

端口為22端口，很多黑客工具會針對22端口進行掃描攻擊，修改端口為非標(biāo)端口可以提

高安全攻擊的門檻，非標(biāo)端口一般為1024~65535。使用密鑰對登錄.建議使用非root的賬

號登錄，根據(jù)權(quán)限最小原則，對登錄ECS實例的用戶應(yīng)該做到權(quán)限控制，避免受益過大的

權(quán)限。建議您在新購實例時選擇使用ecs-user的普通賬號，并且在密鑰對服務(wù)中配置禁止

root的賬號身份的登錄。

另外，在啟用密鑰對登錄ECS實例的時候，建議及時關(guān)閉ECS是實例，通過密碼方式的登

錄，以進一步提高安全性。

ECS生產(chǎn)密鑰對默認(rèn)采用的是RSA2048的加密方式。如果需要修改加密算法，可以使用

自定義的密鑰對導(dǎo)入的方式，在您的本地環(huán)境使用密鑰對生成器生成以再導(dǎo)入到ECS中。

目前支持的加密算法涵蓋了大部分主流的密鑰對算法，如右圖所示的，比如RSA、DSA、

DSS等等。

九大提升ECS實例操作系統(tǒng)安全性的技巧>30

需要注意的是，在您的本地環(huán)境密鑰對生成之后，需要導(dǎo)入ECS是公對，請注意檢查，避

免導(dǎo)入私鑰。要使用密鑰對登錄ECS實例目前也存在一些限制，比如當(dāng)前僅支持Linux實

例，不支持Windows實例，使用密鑰對登錄時，通常還需要開啟操作系統(tǒng)的22端口，并

允許指定端口在本地客戶端公網(wǎng)IP進行訪問連接。

除了使用密鑰對登錄ECS是實例外，還可以使用會話管理免密登錄實例，使用會話管理登

錄時具有更高的安全性。接下來我將詳細(xì)介紹會話管理。

會話管理是由云助手提供的功能，相比于密鑰對、VNC等方式，可以更便捷的遠程連接ECS

實例，且兼具安全性。從一開始的安全升級案例中，使用常規(guī)賬密的登錄對密碼的復(fù)雜度

要求比較高，并且需要定期進行修改，防止密碼泄露后的風(fēng)險，很難進行管理?；蛟S大家

可能會想到使用密鑰對登錄一些實例不就解決問題了？

九大提升ECS實例操作系統(tǒng)安全性的技巧>31

答案是肯定的。不過使用密鑰對登錄實例的時候也會存在一些因素限制，比如常用的密鑰

對登錄實例，通常需要開放公網(wǎng)IP，并且開放22端口。一旦公網(wǎng)IP開放之后，允許更多

的人訪問的ECS也就增加了對應(yīng)的攻擊面。

另外，無論是使用密鑰對還是使用賬密登錄，都不能做到記錄和審計，很難發(fā)現(xiàn)攻擊者的

入侵行為。

相比于傳統(tǒng)賬密的登錄方式，云助手登錄它有幾個優(yōu)點，第一它是不需要分配公網(wǎng)IP的就

可以直接訪問，避免了ECS實例暴露到公網(wǎng)環(huán)境，第二也不需要設(shè)置管理密碼，直接免密

登錄，避免了賬密泄露的風(fēng)險。它還可以通過管理授權(quán)，可以比較靈活的分配和回收權(quán)限。

另外它可以記錄、審計，通過訂閱對應(yīng)的審計日志進行定期的安全分析，能夠及時發(fā)現(xiàn)一

些非易侵內(nèi)的訪問行為。

會話管理登錄實例是如何做到這些，會話管理建立鏈接的原理。

如圖所示，首先，會話管理客戶端發(fā)起會話，云助手服務(wù)端通過RAM訪問控制權(quán)限進行健

全，健全通過后會生成用于發(fā)起鏈接的WebSocketURL以及10分鐘內(nèi)有效的token，

返回給會話管理客戶端。會話管理客戶端通過websocketURL以及token與云助手的服

務(wù)端建立了websocket的鏈接，云助手的服務(wù)端控制ECS實例內(nèi)部的云助手agent建立

websocket連接。云助手的agent和云助手的服務(wù)端建立了WebSocket的鏈接。

在建立WebSocket鏈接后，可以在會話管理客戶端輸入命令，該命令以流式傳輸?shù)姆绞?/p>

輸入到ECS并執(zhí)行，最終在會話管理客戶端顯示執(zhí)行的結(jié)果。

會話管理的安全性主要在于會話管理客戶端與云助手服務(wù)端的agent間的通信是使用

WebSocket協(xié)議建立的。

九大提升ECS實例操作系統(tǒng)安全性的技巧>32

WebSocket的連接使用了SSO加密的方式保障數(shù)據(jù)的安全，使用會話管理能夠遠程連接

指令，不需要密碼，也沒有泄露密碼的風(fēng)險，能夠通過RAM權(quán)限安全策略進行管理，云助

手與云助手服務(wù)器端通過WebSocket連接，不需要通過SSHVNC等方式登錄實例，所以

也就不需要打開入防線端口，進一步提高了ECS安全性。

常用的會話管理鏈接方式主要有四種，最常用的是直接使用會話管理連接實例，另外也支

持了使用會話管理端口轉(zhuǎn)發(fā)連接實例。例如ECS實例中部署了不對外開放的web服務(wù)，

可以通過端口轉(zhuǎn)發(fā)指的方式直接連接外部服務(wù)，還有一些客戶希望在使用會話管理的基礎(chǔ)

上再次進行鑒權(quán)ECS也支持使用會話管理，以密鑰對以及臨時密鑰對方式進行連接實例。

如表格所示的，各自都存在一些優(yōu)勢以及不足，優(yōu)點是使用會話管理都不需要用戶開啟公

網(wǎng)IP、會話管理、端口轉(zhuǎn)發(fā)以及直連和臨時密鑰對都不需要再管理密鑰以及密碼。端口轉(zhuǎn)

發(fā)以及直連也不需要開放端口，不足的地方是其中使用會話管理密鑰對以及臨時密鑰對連

接實例的時候，都是需要開放22端口的，使用會話管理密鑰對連接實例的場景，同時用戶

還需要自己保存對應(yīng)的私鑰。

九大提升ECS實例操作系統(tǒng)安全性的技巧>33

使用會話管理還可以很靈活的管理權(quán)限，通過權(quán)限的RAM權(quán)限策略配置，可以允許子賬號

連接所有的實例，也可以允許子賬號連接指定的一個或者多個實例，或者使用綁定的實例

標(biāo)簽進行篩選，只允許子賬號訪問到指定標(biāo)簽的實例，也可以限制通過指定的IP進行連接

實例。

如圖所展示的RAM權(quán)限配置的案例，配置也比較方便簡單，對于大規(guī)模的企業(yè)產(chǎn)品，強烈

建議使用標(biāo)簽的方式進行批量管理權(quán)限，便于權(quán)限的回收以及收予。會話管理也存在一些

權(quán)限的限制，比如需要一些授權(quán)StartTerminalSession的方式，以及

DescribeUserBusinessBehavior等等權(quán)限。會話管理的使用還存在一些限制，必須要授

予一些權(quán)限，比如StartTerminalSession以及DescribeUserBusinessBehavior等等權(quán)限。

除了使用密鑰對登錄實例以及使用會話管理免密登錄實例外，還需要避免端口0.0.0授權(quán)

對象的訪問。

九大提升ECS實例操作系統(tǒng)安全性的技巧>34

眾所周知，Linux操作系統(tǒng)使用了SSH終端連接，默認(rèn)使用22端口，Windows操作系統(tǒng)

使用的是RPD遠程桌面，默認(rèn)使用的是3389端口。通常場景下，未限制端口訪問允許任

意來源的訪問可能導(dǎo)致黑客或者攻擊者在未經(jīng)過您的授權(quán)的情況下，通過這些端口登錄到

操作系統(tǒng)中。

如何限制這些訪問？阿里云免費為您提供了實例級別的虛擬化防火墻，也就是安全組，它

可以設(shè)置單臺或者多臺ECS實例網(wǎng)絡(luò)訪問控制，它是重要的安全隔離手段，但是它也需要

經(jīng)過一些簡單的配置。如右圖所示的，在創(chuàng)建ECS實例時將使用默認(rèn)的安全組，默認(rèn)安全

組將放行22338980443等端口，開放給，默認(rèn)允許所有IP都可以訪問。默認(rèn)安

全組的配置并不安全，需要經(jīng)過一些簡單的配置。

九大提升ECS實例操作系統(tǒng)安全性的技巧>35

安全組的配置應(yīng)該遵循以下幾個基本原則，安全組應(yīng)該作為白名單使用，而不是黑名單。

安全組出入規(guī)則時應(yīng)該遵循最小權(quán)限原則，避免受予過大的權(quán)限。不需要公網(wǎng)訪問的資源

不應(yīng)該提供公網(wǎng)IP，公網(wǎng)IP將暴露增加您的ECS實例的攻擊面，先拒絕所有的端口對外開

放。

若您需要開放端口，應(yīng)盡量避免的授權(quán)，并需要開放的端口授權(quán)指定的IP或者IP

段訪問。如右圖所示的案例，安全組配置了僅允許來源IP為00網(wǎng)段通過TCP

協(xié)議訪問到22端口，經(jīng)過安全配置之后，00端口可以進行訪問，但是

00端口所有的請求將會被拒絕。

我們強烈建議您按照上述的原則，僅開放必要的端口提供給有限的IP進行訪問，修改您的

默認(rèn)安全組規(guī)則配置。上面講了快速提升訪問ECS是操作系統(tǒng)安全的三方案，包括使用密

鑰對登錄，使用會話管理登錄實例，避免了端口所有IP的對象訪問授權(quán)。作為操作系統(tǒng)的

另外一重要的部分，操作系統(tǒng)內(nèi)部安全也是至關(guān)重要的。

三、如何安全加固您的操作系統(tǒng)

接下來介紹一下如何安全加固操作系統(tǒng)。

本章節(jié)主要包括三部分，使用OOS補丁基線自動更新安全補丁、AlibabaCloudLinux操

作系統(tǒng)內(nèi)核熱補丁以及使用免費的基礎(chǔ)安全服務(wù)。

首先來看一下OOS補丁基線自動更新安全補丁。

九大提升ECS實例操作系統(tǒng)安全性的技巧>36

為什么需要更新安全補丁，回顧安全事件案例二，斯里蘭卡國家政務(wù)云正是因為使用了存

在漏洞的軟件，導(dǎo)致操作系統(tǒng)被入侵，丟失了將近四個月的重要數(shù)據(jù)。如圖所示的一些官

方渠道經(jīng)常會發(fā)布一些安全漏洞的公告以及修復(fù)漏洞的安全補丁。

黑客常常利用網(wǎng)上已經(jīng)公布的安全漏洞，并且特定的工具進行掃描、攻擊、入侵。您若未

及時更新操作系統(tǒng)，時間越久，您就面臨的安全風(fēng)險越高。安全攻防常常是攻擊方、防守

方時間上的競速，實際上不存在完美的系統(tǒng)，但只要修復(fù)的比攻擊的更快，系統(tǒng)永遠是安

全的。

另外一方面，許多行業(yè)標(biāo)準(zhǔn)、法律法規(guī)都要求企業(yè)定期更新軟件或操作系統(tǒng)，并及時安裝

最新的安全補丁，以滿足合規(guī)性的一些要求。既安全補丁的更新重要，如何盡快知道操作

系統(tǒng)中存在安全漏洞，以及如何快速找到對應(yīng)的安全補丁，并且安裝補丁快速修復(fù)安全漏

洞。

九大提升ECS實例操作系統(tǒng)安全性的技巧>37

阿里云系統(tǒng)管理與運維服務(wù)，也就是OOS是阿里云提供的云上自動化運維服務(wù)，能夠自動

化管理和執(zhí)行任務(wù)。OOS的補丁基線支持用戶根據(jù)默認(rèn)或者自定義的補丁基線對ECS實例

的補丁進行掃描和安裝。在這個過程中，用戶可以選擇安全相關(guān)或者其他類型的更新，自

動修復(fù)相應(yīng)的ECS實例。它能夠支持主流的Windows、Linux多達31種操作系統(tǒng)，包括

CentOS、RedHat、Ubuntu、WindowsService等等。

九大提升ECS實例操作系統(tǒng)安全性的技巧>38

不同的操作系統(tǒng)版本補丁基線實現(xiàn)的原理因為使用不同的包管理工具，掃描與安裝補丁的

原理都會有所差異。如圖所示的CentOS7使用的yum、CentOS8使用的是dnf，Ubuntu

使用的是apt，yum包管理工具為例，存在更新通知的概念，在軟件倉庫存儲者名為

updateinfo.xml的一個文件來存儲軟件的更新通知。

根據(jù)updateinfo中的更新通知如圖CentOS公共安全基線規(guī)則配置所示的補丁基線配置了

包括更新通知的類型以及嚴(yán)重等級，包括了Security\Bugfix\...對應(yīng)的更新通知的類型以

及嚴(yán)重等級為Critical\Important\...。配置后它工作流等效的命令相當(dāng)于執(zhí)行了嚴(yán)重重要

等級的安全補丁以及漏洞補丁，執(zhí)行yumupdate的命令。可以配置只升級嚴(yán)重以及重要

等級的安全補丁。

常用補丁存在以下幾種場景，比如操作系統(tǒng)以及應(yīng)用程序的安全補丁的應(yīng)用，Windows安

裝ServicePack以及Linux小版本的升級，按照操作系統(tǒng)類型，同時對多臺ECS實例進行

批量的漏洞修復(fù)，查看缺失的補丁報告，自動安裝缺失的補丁以及跨賬號跨地域補丁修復(fù)，

對于跨賬號跨地域的補丁修復(fù)的場景，對規(guī)模比較大的一些企業(yè)，不同的部門ECS實例可

能會存在多個賬號，多個賬號的一些是的補丁集中管理是比較重要的一個問題。

九大提升ECS實例操作系統(tǒng)安全性的技巧>39

在跨賬號的補丁修復(fù)的產(chǎn)品中，阿里云的角色主要分為兩個，一個是管理賬號，另外一個

是資源賬號，其中資源賬號可以是一個也可以是多個，管理員賬號本身其實也是一個資源

賬號，如右圖所示的可以通過所有資源賬號下創(chuàng)建一個管理賬號，賬號可以分別扮演對應(yīng)

的RAM角色的方式授予補丁修復(fù)的所需要的相關(guān)的權(quán)限，從而達到管理賬號內(nèi)賬號跨地補

丁修復(fù)的效果。

操作系統(tǒng)內(nèi)嚴(yán)重的安全漏洞修復(fù)是刻不容緩的，但是修復(fù)通常需要重啟操作系統(tǒng)才能夠進

行生效，重啟又會影響線上業(yè)務(wù)的運行，接下來看一下什么是AlibabaCloudLinux操作

系統(tǒng)內(nèi)核熱補丁。

AlibabaCloudLinux操作系統(tǒng)為內(nèi)核熱補丁的高危安全漏洞，也就是CVE以及重要的錯

誤修復(fù)Bugfix提供了熱補丁支持，內(nèi)核熱補丁可以在保證服務(wù)的安全性以及穩(wěn)定性的情況

下，平滑且快速的為內(nèi)核更新高危安全漏洞以及重要的錯誤修復(fù)的補丁。

它有以下的幾個優(yōu)點，第一是不需要重啟服務(wù)器以及任何業(yè)務(wù)相關(guān)的任務(wù)進程，也不需要

等待長時間運行的任務(wù)完成，也不需要用戶注銷登錄，不需要進行業(yè)務(wù)進行遷移。

九大提升ECS實例操作系統(tǒng)安全性的技巧>40

不過它也存在一些限制，它僅僅適用于AlibabaCloudLinux的操作系統(tǒng)，而且要求是指

定內(nèi)核版本以上，并不是所有的安全漏洞以及Bugfix都是支持熱補丁。熱補丁主要的修復(fù)

范圍是嚴(yán)重級別以上的CVE以及嚴(yán)重級別的錯誤修復(fù)。在更新補丁的過程以及補丁生效之

后，不能對補丁的函數(shù)進行測試以及跟蹤。

采用熱補丁的升級方法主要有兩種：

一種是手動的查看AlibabaCloudLinuxCVE公告平臺，獲取熱補丁升級的RPM包，使用

yum安裝的一個指定操作系統(tǒng)內(nèi)核版本的熱補丁，但是這種方式是比較繁瑣的，推薦使用

第二種方式，安裝使用阿里云提供的內(nèi)核熱布定管理工具livepatch-mgr，它能夠極大的

簡化流程，只要一個命令就能夠?qū)崿F(xiàn)，支持熱補丁的查看、安裝、卸載等等能力。

除了使用OOS補丁基線以及內(nèi)核熱補丁外，ECS實例還為您提供了免費的基礎(chǔ)安全服務(wù)。

九大提升ECS實例操作系統(tǒng)安全性的技巧>41

在使用公共鏡像新購ECS實例時，阿里云默認(rèn)會為您提供較為豐富的基礎(chǔ)安全服務(wù)，也就

是云安全中心免費版。也可以選擇取消該能力，但是強烈建議您開啟該能力，它能夠為您

提供基礎(chǔ)的安全加固能力，包括主流的服務(wù)器漏洞掃描、云產(chǎn)品安全配置基線核查、登錄

異常告警、AK異常調(diào)用、合規(guī)檢查等等。云安全中心免費版是完全免費的服務(wù)，不收取任

何費用。如果有更多的一些需求，可以購買相應(yīng)的高級版、企業(yè)版以及旗艦版。

九大提升ECS實例操作系統(tǒng)安全性的技巧>42

我們的云安全中心免費版免費為您提供了漏洞掃描的能力，支持LinuxWindows系統(tǒng)的漏

洞，也支持web-CMS等常見的漏洞一些掃描，還能針對近期互聯(lián)網(wǎng)上爆發(fā)的高危漏洞做

應(yīng)急漏洞檢查，幫助您及時發(fā)現(xiàn)系統(tǒng)中存在的重大漏洞。建議您定期檢查與管理您的漏洞，

以幫助您更全面的了解您資產(chǎn)中存在的漏洞風(fēng)險，降低系統(tǒng)被入侵的風(fēng)險。

云安全中心免費版還為您提供異常登錄檢查的能力。異常登錄檢查的原理是云安全中心

agent通過定時收集服務(wù)器上的一些登錄日志并上傳到云端，在云端進行分析和匹配。如

果發(fā)現(xiàn)非常用登陸地或者非常用登錄的IP在非常用的登錄時間、非常用登錄賬號登錄成功

的時間將會觸發(fā)告警。

如何判定不同的IP的具體登錄行為，當(dāng)云安全中心首次應(yīng)用在您的服務(wù)器上時，由于您服

務(wù)器未設(shè)置常用登錄地點，這段期間內(nèi)登錄行為不會觸罰告警。

當(dāng)某公網(wǎng)IP第一次成功登錄到的服務(wù)器后，云安全中心將會該IP地址的位置標(biāo)記為常用

登陸地。并且從這個時間開始往順延24小時內(nèi)，所有的公網(wǎng)登錄地址將會被記錄為常用登

陸地，超過24小時，所有不在上述常用登陸地的行為被視為異常登錄告警，當(dāng)某IP判定

為異常登錄行為時，只有第一次登錄行為會進行短信告警，如果IP成功登錄六次或者六次

九大提升ECS實例操作系統(tǒng)安全性的技巧>43

以上，云安全中心默認(rèn)將IP地址記錄為常用登錄地址，異常登錄只對公網(wǎng)IP有效，云安全

中心會對某異常IP進行第一處理。

如果使用的云安全中心高級版，企業(yè)版或者旗艦版?？梢葬槍Ψ?wù)器進行設(shè)置常用登錄地、

常用登錄IP、采用登錄時間、采用登錄賬號以及對上述的登陸地IP、登錄時間登錄賬號之

外的均設(shè)置為提示告警。

除了漏洞掃描、異常登錄檢查外，云安全中心還支持提供AK泄露檢查。AK泄露檢查會實

時檢查GitHub等平臺公開源代碼中是否包含阿里云的賬號AK，以鑒定您的AK泄露風(fēng)險。

通常支持的通知方式如下幾種方式，一種是AK泄露檢查異變的告警，只要檢測到AK泄露，

無論AK是否有效都會提供告警。

另外是控制臺彈窗的提示，只有檢測到泄露的SK信息有效時，在訪問阿里云控制臺首頁或

者多數(shù)云產(chǎn)品的控制臺時才會提示，根據(jù)通知設(shè)置發(fā)送告警通知，只有檢測到泄露的SK信

息有效時，才會根據(jù)您設(shè)置通知方式，比如站內(nèi)信