Métodos para mejorar la seguridad de ECS
Casos
Si los ECS no están protegidos, pueden ser atacados por virus, lo que resulta en fugas de datos o pérdida de datos.
Puede utilizar los métodos introducidos a continuación para proteger sus ECS de virus o ataques.
Tipos de protección
ECS se puede proteger externa e internamente.
|
Tipo |
Descripción |
Método de protección |
|---|---|---|
|
Seguridad externa |
Los ataques DDoS y los caballos de Troya u otros virus son problemas de seguridad externos comunes. Para abordar estos problemas, puede elegir servicios como Host Security Service (HSS) y anti-DDoS nativo en la nube según sus requisitos de servicio: |
|
|
Seguridad interna |
Las contraseñas débiles y la apertura incorrecta de puertos pueden causar problemas de seguridad interna. Mejorar la seguridad interna es la clave para mejorar la seguridad de ECS. Si no se mejora la seguridad interna, las soluciones de seguridad externas no pueden interceptar y bloquear eficazmente varios ataques externos. |
Habilitación de HSS
HSS está diseñado para mejorar la seguridad general de los ECS. Le ayuda a identificar y administrar la información en sus ECS, eliminar riesgos y defenderse de intrusiones y manipulación de páginas web.
Antes de utilizar el servicio HSS, instale primero el agente HSS en sus ECS para que sus ECS estén protegidos por el centro de protección en la nube HSS. Podrá comprobar los estados de seguridad y los riesgos (si los hay) de todos los ECS de una región en la consola HSS.
Proporcionamos diferentes métodos para que instale el agente HSS dependiendo de si sus ECS se van a crear o ya existen.
- Escenario 1: Se van a crear los ECS.
Cuando utiliza ciertas imágenes públicas para crear ECS, se le recomienda utilizar HSS para proteger sus ECS.
Para habilitar HSS, seleccione Enable para Host Security y, a continuación, seleccione una edición HSS. HSS instalará automáticamente un agente en su ECS.
- Basic: Esta edición es gratuita. Utiliza la detección de intrusos para proteger su cuenta contra ataques de fuerza bruta e inicios de sesión anormales, y protege los inicios de sesión con autenticación de dos factores a través de contraseñas y SMS/correos electrónicos.
- Enterprise: Esta edición debe ser pagada. Admite la gestión de activos, la gestión de vulnerabilidades, la comprobación de configuraciones inseguras, la detección de intrusiones, las operaciones de seguridad y la configuración de seguridad.
Después de habilitar HSS, el sistema instala automáticamente el agente HSS, habilita la prevención de grietas en la cuenta y ofrece funciones de seguridad del host.
HSS proporciona ediciones básicas, empresariales, premium y WTP. Para obtener más información, consulte Ediciones.
Si la edición básica o empresarial no cumple con los requisitos de servicio, puede comprar una cuota HSS de la edición deseada y cambiar la edición en la consola HSS para obtener protección avanzada sin volver a instalar el agente.
Figura 1 Habilitación de HSS
- Escenario 2: Los ECS ya existen.
Para habilitar HSS en un ECS existente, instale manualmente el agente en él.
Para obtener más información, consulte Instalación de un agente en el SO de Linux y Habilitación de la protección.
Monitoreo de ECS
El monitoreo desempeña un papel importante para garantizar el rendimiento, la confiabilidad y la disponibilidad de ECS. Utilizando datos monitoreados, puede comprender el uso de recursos de ECS. Cloud Eye le proporciona información sobre los estados de ejecución de sus ECS. Puede usar Cloud Eye para monitorear automáticamente los ECS en tiempo real y administrar alarmas y notificaciones para realizar un seguimiento de las métricas de rendimiento de ECS.
- Monitoreo básico
El monitoreo básico no requiere que el agente esté instalado e informa automáticamente de las métricas de ECS a Cloud Eye. El monitoreo básico de los ECS KVM se realiza cada 5 minutos.
- Monitoreo del sistema operativo
El monitoreo de SO requiere que el agente se instale en el ECS de destino y proporciona una supervisión de ECS en todo el sistema, activa y de grano fino. El monitoreo de SO para los ECS KVM se realiza cada minuto.
Para habilitar la supervisión de SO al comprar un ECS:
Seleccione Enable Detailed Monitoring al comprar un ECS. Después de seleccionar esta opción, la plataforma en la nube instala automáticamente el agente necesario para la supervisión de SO.
Actualmente, solo puede habilitar el monitoreo de SO cuando compra ECS que ejecuten SO específicos en regiones específicas.
Figura 2 Habilitar el monitoreo del SO al comprar un ECS
Para habilitar el monitoreo de SO para un ECS creado:
Si no está seleccionada la opción Enable Detailed Monitoring, deberá instalar manualmente el agente necesario para el monitoreo de SO.
Para obtener instrucciones acerca de cómo instalar y configurar el agente, consulte Instalación y configuración del agente.
Después de habilitar la supervisión de ECS, puede establecer reglas de alarma de ECS para personalizar los objetos supervisados y las políticas de notificación y aprender el estado de ejecución de ECS en cualquier momento.
En la consola de ECS, haga clic en 
para ver las métricas de supervisión.
Habilitación de Anti-DDoS
Para defenderse de los ataques DDoS, Huawei Cloud proporciona múltiples soluciones de seguridad. Puede seleccionar uno adecuado en función de sus requisitos de servicio. El servicio Anti-DDoS (ADS) en Huawei Cloud proporciona tres subservicios: Anti-DDoS nativo en la nube (CNAD) básico (también conocido como Anti-DDoS), Pro CNAD y Anti-DDoS avanzado (AAD).
Anti-DDoS es gratuito, mientras que CNAD Pro y AAD son servicios de pago.
Para más detalles sobre el Pro CNAD y el AAD, véase Anti-DDoS.
Si decide comprar un EIP al comprar un ECS, la consola mostrará un mensaje indicando que ha habilitado la protección anti-DDoS gratuita.
Anti-DDoS defiende los ECS contra ataques DDoS y envía alarmas inmediatamente al detectar un ataque. Además, Anti-DDoS mejora la utilización del ancho de banda para proteger aún más los servicios de usuario.
Anti-DDoS monitorea el tráfico de servicio desde Internet a direcciones IP públicas y detecta el tráfico de ataques en tiempo real. A continuación, elimina el tráfico de ataque basado en políticas de defensa configuradas por el usuario sin interrumpir la ejecución del servicio. También genera informes de monitoreo que proporcionan visibilidad de la seguridad del tráfico de red.
Copia de seguridad de datos periódicamente
La copia de seguridad de datos es un proceso de almacenamiento de la totalidad o parte de los datos de diferentes maneras para evitar la pérdida de datos. A continuación se utiliza Cloud Backup and Recovery (CBR) como ejemplo. Para obtener más métodos de copia de seguridad, consulte Descripción general.
CBR le permite realizar las copias de seguridad de ECS y discos con facilidad. En caso de un ataque de virus, eliminación accidental o fallo de software o hardware, puede restaurar los datos en cualquier momento en el pasado cuando se hizo una copia de seguridad de los datos. CBR protege sus servicios al garantizar la seguridad y la coherencia de sus datos.
Para habilitar CBR al comprar un ECS:
Establezca CBR al comprar un ECS. El sistema asociará el ECS con un almacén de respaldo en la nube y la política de respaldo seleccionada para respaldar periódicamente el ECS.
- Auto Asignación
- Establezca el nombre del almacén de copia de seguridad en la nube, que es una cadena de caracteres que consta de 1 a 64 caracteres, incluyendo letras, dígitos, guiones bajos (_), y guiones (-). Por ejemplo, vault-f61e. La regla de nomenclatura predeterminada es vault_xxxx.
- Introduzca la capacidad del almacén, que es necesaria para realizar una copia de seguridad del ECS. La capacidad de la bóveda no puede ser menor que la del ECS que se va a realizar una copia de seguridad. Su valor varía desde la capacidad total del ECS hasta el 10,485,760 en la unidad de GB.
- Seleccione una política de copia de seguridad de la lista desplegable o inicie sesión en la consola CBR y configure la que desee.
- Utilizar existente
- Seleccione una bóveda de copia de seguridad en la nube existente en la lista desplegable.
- Seleccione una política de copia de seguridad de la lista desplegable o inicie sesión en la consola CBR y configure la que desee.
- No requerida: esta función no es necesaria. Si necesita esta función después de comprar el ECS, inicie sesión en la consola CBR y vincule el almacén de copia de seguridad en la nube deseado a su ECS.
Figura 5 Configuración de CBR
Para realizar una copia de seguridad de los datos de un ECS creado:
Puede utilizar la copia de seguridad del servidor en la nube y la copia de seguridad del disco en la nube para hacer una copia de seguridad de sus datos ECS.
- Copia de seguridad del servidor en la nube (recomendado): Utilice este método de copia de seguridad si desea realizar una copia de seguridad de los datos de todos los discos EVS (discos de sistema y de datos) en un ECS. Esto evita la incoherencia de datos causada por la diferencia de tiempo en la creación de una copia de seguridad.
- Copia de seguridad de disco en la nube: Utilice este método de copia de seguridad si desea realizar una copia de seguridad de los datos de uno o más discos EVS (sistema o disco de datos) en un ECS. Esto minimiza los costos de copia de seguridad sobre la base de la seguridad de los datos.
Mejorando la fuerza de la contraseña de inicio de sesión
Se recomienda el Key pair porque es más seguro que Password. Si selecciona Password, asegúrese de que la contraseña cumple los requisitos de seguridad enumerados en Tabla 2 para evitar los ataques maliciosos.
El sistema no cambia periódicamente la contraseña. Se recomienda que cambie su contraseña regularmente por seguridad.
La contraseña debe cumplir con las siguientes reglas:
- La contraseña debe contener al menos 10 caracteres.
- No utilice contraseñas fácilmente adivinadas, (por ejemplo, contraseñas en tablas de arco iris comunes o contraseñas con caracteres de teclado adyacentes). La contraseña debe contener al menos tres de los siguientes tipos de caracteres: letras mayúsculas, letras minúsculas, dígitos y caracteres especiales.
- No incluya cuentas en contraseñas, como administrador, test, root, oracle y mysql.
- Cambie la contraseña al menos cada 90 días.
- No vuelva a utilizar las últimas cinco contraseñas.
- Establezca las contraseñas diferentes para las aplicaciones diferentes. No utilice la misma contraseña para varias aplicaciones.
|
Parámetro |
Requisito |
Valor de ejemplo |
|---|---|---|
|
Contraseña |
|
YNbUwp!dUc9MClnv
NOTA:
La contraseña de ejemplo se genera aleatoriamente. No utilice esta contraseña de ejemplo. |
Mejora de la seguridad portuaria
Puede utilizar grupos de seguridad para proteger la seguridad de red de sus ECS. Un grupo de seguridad controla el tráfico entrante y saliente de sus ECS. El tráfico entrante se origina desde el exterior hacia el ECS, mientras que el tráfico saliente se origina desde el ECS hacia el exterior.
Puede configurar reglas de grupo de seguridad para conceder acceso a o desde puertos específicos. Se recomienda desactivar los puertos de alto riesgo y solo habilitar los puertos necesarios.
Tabla 3 lista los puertos comunes de alto riesgo. Se recomienda cambiar estos puertos a puertos no de alto riesgo. Para obtener más información, consulte Puertos comunes utilizados por ECS.
Actualización periódica del sistema operativo
Después de crear los ECS, debe mantener y actualizar periódicamente el sistema operativo. Las vulnerabilidades oficialmente publicadas se publicarán en Avisos públicos.
