系統架構優化建議
減少資料外洩的通道,通過報告掌握整體的安全态勢
- 存放關鍵内容的ECS,不開通公網IP
- 在ECS前面增加SLB,多一層保護
- 資料庫伺服器RDS不開通外網IP
- 遠端管理采用堡壘機中轉
- 開通“雲安全中心+雲監控”,并定期檢視報告
系統架構的優化建議--架構舉例 1
安全防護建議系統架構優化建議網絡層優化建議主機優化建議建構雲上的安全體系阿裡雲混服雲方案總結
系統架構的優化建議--架構舉例 2
相比架構1,多使用了安全組,根據應用提供的服務不同,把服務放在不同安全組
系統架構的優化建議--架構舉例3
相比架構2,多使用了VPC
系統架構的優化建議--遠端管理
使用VPN+堡壘機 來遠端管理ECS伺服器
- VPN+堡壘機成為唯一的運維通道
- 堡壘機實作運維實名制
- 遠端運維過程全審計
- 滿足等級保護等法律發規要求
網絡層優化建議
- 關注雲盾安全報表:基礎DDoS防護
- 依據業務實際情況,配置DDoS清洗門檻值
- 超過5G攻擊時,啟動“DDoS高防IP”
- 重大活動保障,啟用“安全管家服務”
主機優化建議
雲伺服器層的優化建議
- 啟動作業系統自帶的防火牆功能:iptables,windows防火牆
- 開放端口時,采用最小化原則
- 管理端口增加白名單IP,如:SSH,遠端桌面
- 關閉ECS裡的無用端口
- 開啟“雲安全中心”,“内容安全”,定期檢視檢測報告
- 沒有運維團隊時,可選擇“雲市場種的代維”,“安全管家”
應用層和資料層的優化建議
- 遵循軟體開發安全生命周期(SDL)
- “安全評估” 和 “安全測試” 是基礎
- 定期檢視“雲安全中心”,“雲監控”的報告
- 對業務系統進行分組,啟用RAM賬号,最小化權限
建構雲上的安全體系
阿裡雲混服雲方案
混合雲并列架構和混合雲串聯架構:
混合雲串聯架構優勢:
- 僅開啟阿裡雲對網際網路的通路,将網際網路出口應用全部部署在阿裡雲,和自建資料中心的網絡、所有網際網路的通路都必須經過阿裡雲
- 在阿裡雲的DDoS高防,WAF,雲安全中心等安全能力
- 在阿裡雲上,通過多VPC隔離不同種類的業務
總結