基于阿裡雲的企業安全最佳實踐

賬戶安全管理

1、為雲賬戶和高風險權限RAM使用者啟用多因素認證（MFA）。

2、授權予高風險特權操作時，使用帶IP和MFA限制條件的授權政策進行授權。

3、分離使用者管理、權限管理與資源管理的RAM使用者，分權制衡。

4、使用群組給RAM使用者配置設定權限。

5、善用STS安全令牌服務，為臨時使用者提供短期通路資源的權限憑證。

6、為雲賬戶和RAM登入使用者配置強密碼政策。

7、不要為雲賬戶（主賬号）建立Access Key，避免AK洩漏的巨大風險。

8、定期輪轉使用者登入密碼和Access Key。

9、将控制台使用者與API使用者分離。

10、使用政策限制條件來增強安全性，比如通路源IP，時間等。比如，授權使用者Alice可以關停ECS執行個體，限制條件是Alice必須在指定時間、并且使用者公司網絡中執行該操作。

11、及時調整和撤銷RAM使用者不再需要的權限。

12、遵循最小授權原則，不要過度授權。最小授權原則是安全設計的基本原則，當使用者需要給使用者授權時，請授予剛好滿足他工作所需的權限，而不要過度授權。

密鑰管理服務

1、加密與解密實踐

使用者可以直接調用KMS的API，使用指定的使用者主密鑰（CMK）來加密、解密資料。這種場景适用于少量（少于4KB）資料的加解密，使用者的資料會通過安全信道傳遞到KMS服務端，對應的結果将在服務端完成加密、解密後通過安全信道傳回給使用者。

2、信封加密

使用者可以直接調用KMS的API，使用指定的使用者主密鑰（CMK）來産生、解密資料密鑰，并自行使用資料密鑰在本地加解密資料。這種場景适用于大量資料的加解密，使用者的資料無需通過網絡傳輸大量資料，可以低成本的實作大量資料的加解密。

雲伺服器ECS

為了更好地使用雲伺服器ECS，建議您遵循阿裡雲安全的最佳實踐指導，注意幾個主要原則：

1、在建立ECS時進行合理的安全配置。

2、網絡安全組設定，公網安全組和私網安全組都隻保留業務需要使用的端口。

3、建立快照。

4、執行個體登入使用SSH密鑰對。

5、關注作業系統安全漏洞并定期更新。

6、使用安騎士保護ECS執行個體安全。

負載均衡SLB

1、使用SLB時，需要檢查勿将後端ECS執行個體的管理端口通過SLB轉發至公網，比如ECS的22、3389、3306、6379等高危端口。

2、如果僅是做私網負載均衡，使用者可以選擇私網SLB執行個體。公網執行個體和私網執行個體的不同。公網執行個體：負載均衡執行個體僅提供公網IP，可以通過Internet通路的負載均衡服務。私網執行個體：負載均衡執行個體僅提供阿裡雲私網IP位址，隻能通過阿裡雲内部網絡通路該負載均衡服務，Internet使用者無法通路。

3、SLB提供了HTTPS監聽，支援單向和雙向認證，建議使用。

雲資料庫RDS

1、網絡設定

RDS支援公網的通路和私網的通路，如果僅在阿裡雲内部使用，建議設定為私網通路。如果在VPC内通路，建議選擇VPC執行個體。

2、IP白名單設定

通過RDS控制台，設定RDS連接配接IP白名單為對應的ECS私網IP或者雲服務的私網IP。

3、資料加密

（1）SSL/TLS：RDS提供MySQL和SQL Server的安全套接層協定。使用者可以使用RDS提供的伺服器端證書來驗證目标位址和端口的資料庫服務是否為RDS提供，進而有效避免中間人攻擊。

（2）TDE：RDS提供MySQL和SQL Server的透明資料加密功能。RDS for MySQL的TDE由阿裡雲自研，RDS for SQL Server的TDE基于SQL Server企業版改造而來。

對象存儲OSS

1、資料通路控制

OSS提供Bucket級别的權限通路控制，一般将應用的靜态圖檔、CSS、JS等資源放到OSS上面，應當設定Bucket為public-read。如果是使用者業務中的敏感資料，建議使用者将Bucket設定為private并使用AK認證。

2、資料傳輸完整性

資料在用戶端和伺服器之間傳輸時有可能會出錯。OSS現在支援對各種方式上傳的object傳回其CRC64值，用戶端可以和本地計算的CRC64值做對比，進而完成資料完整性的驗證。

DDoS高防IP

使用者開通高防IP服務，需要把域名解析到高防IP清洗中心上。對于非Web業務，把業務IP換成高防IP服務，配置源站IP。對于Web業務，使用者需要通過域名DNS服務商修改域名對應的A記錄，指向高防IP。 完成域名解析的修改後，所有公網流量都會通過高防IP服務的清洗中心，通過端口協定轉發的方式将使用者的通路通過高防IP服務轉發到源站，惡意攻擊流量在高防IP清洗中心進行過濾後，正常流量傳回源站，確定源站業務持續穩定通路。 高防IP服務和雲盾Web應用防火牆（WAF）、阿裡雲的CDN完全相容，最佳的部署架構是：将高防IP、CDN和WAF結合在一起，為使用者提供保護和加速，即：高防IP（入口層，DDoS防護）-> CDN（靜态資源加速） -> Web應用防火牆（中間層，應用層防護）-> 源站（ECS/SLB/VPC/IDC…）。

Web應用防火牆

1、配置源站ECS安全組或SLB白名單,可以防止黑客直接攻擊源站IP

注意：源站保護不是必須的，不配置不會影響正常業務轉發，但不做源站保護可能導緻攻擊者在源站IP暴露的情況下繞過WAF防護直接攻擊源站。

2、使用WAF來防止敏感資訊洩露

防洩漏功能主要覆寫包括網站存在敏感資訊洩漏，尤其是手機号、身份證、信用卡等資訊的過濾。本功能可以防禦URL未授權通路；通過越權檢視漏洞通路；網頁存在敏感資訊被惡意爬蟲爬取通路等場景。

3、使用WAF有效防禦WordPress反射攻擊防禦

WAF進階版及以上版本使用者可以通過精準通路控制規則有效防禦WordPress反射攻擊。

安騎士（主機安全）

通過使用安裝在雲伺服器上的輕量級軟體安騎士，與雲端安全中心關聯，為客戶提供漏洞管理、基線檢查和入侵檢測等功能，幫助客戶看清楚“系統弱點”，查出“入侵事件”，加快事件“響應速度”。

态勢感覺

态勢感覺為客戶提供資産管理、安全監控、入侵回溯、黑客定位、情報預警等功能特性。在以下場景建議使用态勢感覺産品了解安全情況。

1、全面了解雲上業務的安全态勢：如攻擊情況，入侵情況，防禦效果，自身業務弱點，主機對外提供服務的安全狀态等。

2、入侵行為分析：使用者雲上業務遭到入侵，主機負載突然增加，或收到告警短信主機ECS被入侵時，态勢感覺可提供入侵行為檢測、入侵行為分析和安全事件詳情。

3、日志分析：态勢感覺提供全SaaS化的日志檢索平台，免安裝免維護，即開即用，支援邏輯（布爾表達式）檢索，支援50個次元的資料邏輯組合，秒級出結果。

4、代碼外洩感覺：态勢感覺情報采集系統提供企業客戶相關的情報，包括資料洩露情報，使用者名密碼洩露情報，暗網相關情報，IM群攻擊預謀情報等。