雲服務器 ECS 安全：如何提高ECS實例的安全性

雲服務器 ECS 實例是一個虛擬的計算環境，包含了 CPU、內存、操作係統、磁盤、帶寬等最基礎的服務器組件，是 ECS 提供給每個用戶的操作實體。

我們基本可以理解為一個實例就等同於一台虛擬機，那麼我們在本地維護的虛擬機一般會做虛擬機實例級別的安全防護，以防止虛擬機被攻擊和入侵等。同樣的，雲上的ECS實例也需要做安全性防護。

ECS實例放置在雲上，除了置身於阿裏雲自身的安全平台外，用戶也需要根據實際的需求進一步定製化安全，所以說ECS的安全是阿裏雲和用戶共同構建的。如果ECS實例沒有安全的防護，可能會帶來不少不良的影響，比如遭受到DDoS而導致業務中斷，比如受到Web入侵而導致網頁被篡改、掛馬，比如被注入而導致信息和數據泄漏等，影響ECS的使用和無法正常提供服務。

一般可以通過設置安全組、AntiDDoS、態勢感知、安裝安騎士、接入Web應用防火牆等方式提高ECS實例的安全性。下麵就從實例層麵分別講解一下如何提高ECS實例的安全性。

設置安全組

安全組是一個邏輯上的分組，這個分組是由同一個地域（Region）內具有相同安全保護需求並相互信任的實例組成。每個實例至少屬於一個安全組，在創建的時候就需要指定。同一安全組內的實例之間網絡互通，不同安全組的實例之間默認內網不通。可以授權兩個安全組之間互訪。

設置安全組的好處

安全組是一種虛擬防火牆，具備狀態檢測包過濾功能。安全組用於設置單台或多台雲服務器的網絡訪問控製，它是重要的網絡安全隔離手段，用於在雲端劃分安全域。安全組規則可以允許或者禁止與安全組相關聯的雲服務器 ECS 實例的公網和內網的入出方向的訪問。

如果沒有很好地設置安全組或者安全組規則過於開放，則降低了訪問的限製級別，在一定程度上為攻擊者敞開了大門。

操作步驟

1、登錄雲服務器管理控製台。

2、單擊左側導航中的安全組。

3、選擇地域。

4、單擊添加安全組規則。

5、在彈出的對話框中，分別設置網絡類型、規則方向、授權策略、協議類型、端口範圍、授權類型、授權對象和優先級。

6、點擊確定，成功為該安全組授權一條安全組規則。

下麵結合一個案例來闡述一下，比如隻允許特定IP遠程登錄到實例。

通過配置安全組規則可以設置隻讓特定 IP 遠程登錄到實例。隻需要在公網入方向配置規則就可以了，以 Linux 服務器為例，設置隻讓特定 IP 訪問 22 端口。

添加一條公網入方向安全組規則，允許訪問，協議類型選擇 TCP，端口寫 22/22，授權類型為地址段訪問，授權對象填寫允許遠程連接的 IP 地址段，格式為 x.x.x.x/xx，即 IP地址/子網掩碼，本例中的地址段為 182.92.253.20/32。優先級為 1

再添加一條規則，拒絕訪問，協議類型選擇 TCP，端口寫 22/22，授權類型為地址段訪問，授權對象寫所有 0.0.0.0/0，優先級為 2

最終的效果如下：

來自 IP 182.92.253.20 訪問 22 端口優先執行優先級為 1 的規則允許。

來自其他 IP 訪問 22 端口優先執行優先級為 2 的規則拒絕了。

AntiDDoS

阿裏雲雲盾可以防護SYN Flood，UDP Flood，ACK Flood，ICMP Flood，DNS Flood，CC攻擊等3到7層DDoS的攻擊。DDoS基礎防護免費為阿裏雲用戶提供最高5G的默認DDoS防護能力。

阿裏雲在此基礎上，推出了安全信譽防護聯盟計劃，將基於安全信譽分進一步提升DDoS防護能力，用戶最高可獲得100G以上的免費DDoS防護資源。

為什麼需要AntiDDoS

DDoS（Distributed Denial of Service）即分布式拒絕服務。攻擊指借助於客戶/服務器技術，將多個計算機聯合起來作為攻擊平台，對一個或多個目標發動DDoS攻擊，從而成倍地提高拒絕服務攻擊的威力，影響業務和應用正常對用戶提供服務。

使用AntiDDoS，無需采購昂貴清洗設備，可以在受到DDoS攻擊不會影響訪問速度，帶寬充足不會被其他用戶連帶影響，保證業務可用和穩定。

操作步驟

1、進入阿裏雲官網，登錄到管理控製台。

2、輸入用戶名密碼。

3、通過雲盾>DDOS防護>基礎防護，查看基礎防護配置。

4、可以加入安全信譽防護聯盟。勾選服務條款，點選加入安全信譽防護聯盟加入聯盟。如下圖所示。

雲盾DDoS基礎版提供不大於5G的DDoS防護，在此基礎上推出了安全信譽防護聯盟計劃，您可通過加入此聯盟，在獲得原默認防護能力基礎上，會得到免費增量防護帶寬機會。

加入聯盟後，可查看自己的安全信譽分，並查看安全信譽組成，維護安全信譽，獲得更大的防護能力。加盟成功後在基礎防護界麵顯示如下信譽界麵。

5、【基礎防護】點擊對應ECS服務器的【查看詳情】，如果服務器數量比較多，可以在【雲服務器ecs】列表中通過【實例IP】和【實例名稱】搜索服務器，再點擊對應服務器的【查看詳情】。

6、進入頁麵後，可以在【CC防護】點擊【已啟用】開啟CC防護，點擊【關閉】則關閉CC防護功能，在【每秒HTTP請求數】可以對每秒http請求數設置清洗閾值，達到閾值後便會觸發雲盾的清洗。

7、如果購買了高級DDoS防護，可以點擊【DDoS防護高級設置】可以設置清洗閾值，選擇【自動設置】後係統會根據雲服務器的流量負載動態調整清洗閾值，選擇【手動設置】可以手動對流量和報文數量的閾值進行設置，當超過此閾值後雲盾便會開啟流量清洗(建議如果網站在做推廣或者活動時適當調大)。

態勢感知

態勢感知態勢感知提供的是一項SAAS服務，即在大規模雲計算環境中，對那些能夠引發網絡安全態勢發生變化的要素進行全麵、快速和準確地捕獲和分析。然後，把客戶當前遇到的安全威脅與過去的威脅進行關聯回溯和大數據分析，最終產出未來可能產生的安全事件的威脅風險，並提供一個體係化的安全解決方案。

態勢感知的優勢

對“滲透攻擊”有所感知，以雲計算數據平台支撐，因此具有強大的安全數據分析能力，對各種常見類型的攻擊可以實時分析和展示。

操作步驟

1、在阿裏雲用戶控製台-《雲盾》-《態勢感知》中點擊免費開啟服務，即可使用態勢感知。

2、通過緊急時間、威脅、弱點、情報、日誌等方麵，輔以直觀的可視化的分析，讓安全一目了然。

安裝安騎士

服務器安全(安騎士)是雲盾推出的一款服務器安全運維管理產品。通過安裝在服務器上的輕量級Agent插件與雲端防護中心的規則聯動，實時感知和防禦入侵事件，保障服務器的安全。

安裝安騎士的好處

安騎士是很輕量的，服務器上運行的Agent插件，正常狀態下隻占用1%的CPU、10MB內存。安騎士可以自動識別服務器的Web目錄，對服務器的Web目錄進行後門文件掃描，支持通用Web軟件漏洞掃描和Windows係統漏洞掃描，對服務器常見係統配置缺陷進行檢測，包括可疑係統賬戶、弱口令、注冊表等進行檢測。

我們可以將安騎士理解為ECS實例上的防病毒軟件，如果沒有安騎士，相當於少了一個可靠的衛士，我們ECS實例的健康性水平也會相應降低。

操作步驟

1、服務器安全(安騎士)Agent插件目前集成於安全鏡像中，在購買ECS後，一般都已經默認安裝，您可以進入安騎士控製台-配置中心，查看每台服務器的在線狀態。