系統架構優化建議
減少資料外洩的通道,通過報告掌握整體的安全态勢
- 存放關鍵内容的ECS,不開通公網IP
- 在ECS前面增加SLB,多一層保護
- 資料庫伺服器RDS不開通外網IP
- 遠端管理采用堡壘機中轉
- 開通“雲安全中心+雲監控”,并定期檢視報告
系統架構的優化建議--架構舉例 1
系統架構的優化建議--架構舉例 2
相比架構1,多使用了安全組,根據應用提供的服務不同,把服務放在不同安全組
系統架構的優化建議--架構舉例3
相比架構2,多使用了VPC
系統架構的優化建議--遠端管理
使用VPN+堡壘機 來遠端管理ECS伺服器
- VPN+堡壘機成為唯一的運維通道
- 堡壘機實作運維實名制
- 遠端運維過程全審計
- 滿足等級保護等法律發規要求
網絡層優化建議
- 關注雲盾安全報表:基礎DDoS防護
- 依據業務實際情況,配置DDoS清洗門檻值
- 超過5G攻擊時,啟動“DDoS高防IP”
- 重大活動保障,啟用“安全管家服務”
主機優化建議
雲伺服器層的優化建議
- 啟動作業系統自帶的防火牆功能:iptables,windows防火牆
- 開放端口時,采用最小化原則
- 管理端口增加白名單IP,如:SSH,遠端桌面
- 關閉ECS裡的無用端口
- 開啟“雲安全中心”,“内容安全”,定期檢視檢測報告
- 沒有運維團隊時,可選擇“雲市場種的代維”,“安全管家”
應用層和資料層的優化建議
- 遵循軟體開發安全生命周期(SDL)
- “安全評估” 和 “安全測試” 是基礎
- 定期檢視“雲安全中心”,“雲監控”的報告
- 對業務系統進行分組,啟用RAM賬号,最小化權限
建構雲上的安全體系
阿裡雲混服雲方案
混合雲并列架構和混合雲串聯架構:
混合雲串聯架構優勢:
- 僅開啟阿裡雲對網際網路的通路,将網際網路出口應用全部部署在阿裡雲,和自建資料中心的網絡、所有網際網路的通路都必須經過阿裡雲
- 在阿裡雲的DDoS高防,WAF,雲安全中心等安全能力
- 在阿裡雲上,通過多VPC隔離不同種類的業務