Este conteúdo foi traduzido por máquina para sua conveniência e a Huawei Cloud não pode garantir que o conteúdo foi traduzido com precisão. Para exibir o conteúdo original, use o link no canto superior direito para mudar para a página em inglês.
Central de ajuda/ Elastic Cloud Server/ Guia de usuário/ Segurança/ Métodos para melhorar a segurança do ECS
Atualizado em 2024-07-26 GMT+08:00
Ver PDF
Compartilhar

Métodos para melhorar a segurança do ECS

Cenários

Se os ECS não estiverem protegidos, eles podem ser atacados por vírus, resultando em vazamento de dados ou perda de dados.

Você pode usar os métodos apresentados abaixo para proteger os seus ECS contra vírus ou ataques.

Tipos de proteção

O ECS pode ser protegido externamente e internamente.

Tabela 1 Métodos para melhorar a segurança do ECS

Tipo

Descrição

Método de proteção

Segurança externa

Ataques DDoS e cavalos de Tróia ou outros vírus são problemas comuns de segurança externa. Para resolver esses problemas, você pode escolher serviços como Host Security Service (HSS) e anti-DDoS nativo da nuvem com base em seus requisitos de serviço:

Segurança interna

Senhas fracas e abertura incorreta de portas podem causar problemas de segurança interna. Melhorar a segurança interna é a chave para melhorar a segurança do ECS. Se a segurança interna não for melhorada, as soluções de segurança externas não podem interceptar e bloquear efetivamente vários ataques externos.

Habilitando o HSS

O HSS foi projetado para melhorar a segurança geral dos ECS. Ele ajuda você a identificar e gerenciar as informações nos seus ECS, eliminar riscos e defender-se contra invasões e adulteração de páginas da web.

Antes de usar o serviço HSS, instale o agente HSS nos seus ECS primeiro para que os seus ECS sejam protegidos pelo centro de proteção de nuvem do HSS. Você poderá verificar os status de segurança e os riscos (se houver) de todos os ECS em uma região no console do HSS.

Fornecemos métodos diferentes para você instalar o agente HSS, dependendo se os ECS devem ser criados ou se já existem.

  • Cenário 1: Os ECS devem ser criados.

    Quando você usa determinadas imagens públicas para criar os ECS, é recomendável usar o HSS para proteger os seus ECS.

    Para ativar o HSS, selecione Enable para Host Security e, em seguida, selecione uma edição do HSS. O HSS instalará automaticamente um agente no ECS.

    • Básico: Esta edição é gratuita. Ele usa a detecção de intrusão para proteger sua conta contra ataques de força bruta e logins anormais, e protege logins com autenticação de dois fatores por meio de senhas e SMS/e-mails.
    • Empresa: Esta edição deve ser paga. Ele suporta gerenciamento de ativos, gerenciamento de vulnerabilidades, verificação de configurações inseguras, detecção de intrusão, operações de segurança e configuração de segurança.

    Depois de ativar o HSS, o sistema instala automaticamente o agente HSS, ativa a prevenção de quebra de conta e oferece funções de segurança de host.

    O HSS fornece edições básica, empresarial, premium e WTP. Para mais detalhes, ver Edições.

    Se a edição básica ou corporativa não atender aos requisitos de serviço, você poderá comprar uma cota do HSS da edição desejada e alternar a edição no console do HSS para obter proteção avançada sem reinstalar o agente.

    Figura 1 Habilitando o HSS
  • Cenário 2: Os ECS já existem.

    Para habilitar o HSS em um ECS existente, instale manualmente o agente nele.

    Para obter detalhes, consulte Instalando um agente no sistema operacional Linux e Ativando a proteção.

Monitorando os ECS

O monitoramento desempenha um papel importante para garantir o desempenho, a confiabilidade e a disponibilidade do ECS. Usando dados monitorados, você pode entender o uso de recursos do ECS. O Cloud Eye fornece insights sobre os status de execução dos seus ECS. Você pode usar o Cloud Eye para monitorar os ECS automaticamente em tempo real e gerenciar alarmes e notificações para acompanhar as métricas de desempenho do ECS.

O monitoramento do servidor inclui monitoramento básico e monitoramento do sistema operacional.
  • Monitoramento básico

    O monitoramento básico não exige que o agente seja instalado e reporta automaticamente as métricas do ECS ao Cloud Eye. O monitoramento básico dos ECS KVM é realizado a cada 5 minutos.

  • Monitoramento do SO

    O monitoramento do sistema operacional exige que o agente seja instalado no ECS de destino e fornece monitoramento de ECS ativo e refinado em todo o sistema. O monitoramento do sistema operacional para os ECS KVM é realizado a cada minuto.

    Para ativar o monitoramento do sistema operacional ao comprar um ECS:

    Selecione Enable Detailed Monitoring ao comprar um ECS. Depois que essa opção é selecionada, a plataforma de nuvem instala automaticamente o agente necessário para o monitoramento do sistema operacional.

    Atualmente, você só pode ativar o monitoramento do sistema operacional ao adquirir os ECS que executam sistemas operacionais específicos em regiões específicas.

    Figura 2 Ativando o monitoramento do sistema operacional ao comprar um ECS

    Para ativar o monitoramento do SO para um ECS criado:

    Se a opção Enable Detailed Monitoring não estiver selecionada, será necessário instalar manualmente o agente necessário para o monitoramento do sistema operacional.

    Para obter instruções sobre como instalar e configurar o agente, consulte Instalação e configuração do agente.

Depois que o monitoramento do ECS for ativado, você poderá definir regras de alarme do ECS para personalizar os objetos monitorados e as políticas de notificação e saber o status de execução do ECS a qualquer momento.

No console do ECS, clique em para exibir as métricas de monitoramento.

Figura 3 Consultando métricas do ECS

Ativando o Anti-DDoS

Para se defender contra ataques DDoS, a HUAWEI CLOUD oferece várias soluções de segurança. Você pode selecionar um adequado com base em seus requisitos de serviço. O Serviço Anti-DDoS (ADS) na HUAWEI CLOUD oferece três subserviços: Cloud Native Anti-DDoS (CNAD) Basic (também conhecido como Anti-DDoS), CNAD Pro e Advanced Anti-DDoS (AAD).

O Anti-DDoS é gratuito, enquanto o CNAD Pro e o AAD são serviços pagos.

Para obter detalhes sobre o CNAD Pro e o AAD, consulte Anti-DDoS.

Se você optar por comprar um EIP ao comprar um ECS, o console exibirá uma mensagem indicando que você ativou a proteção Anti-DDoS gratuita.

Figura 4 Ativando a proteção anti-DDoS

O Anti-DDoS defende os ECS contra ataques DDoS e envia alarmes imediatamente ao detectar um ataque. Além disso, o Anti-DDoS melhora a utilização da largura de banda para proteger ainda mais os serviços do usuário.

O Anti-DDoS monitora o tráfego de serviços da Internet para endereços IP públicos e detecta o tráfego de ataque em tempo real. Em seguida, ele limpa o tráfego de ataque com base nas políticas de defesa configuradas pelo usuário sem interromper a execução do serviço. Ele também gera relatórios de monitoramento que fornecem visibilidade sobre a segurança do tráfego de rede.

Fazendo backup de dados periodicamente

O backup de dados é um processo de armazenar todos ou parte dos dados de maneiras diferentes para evitar a perda de dados. A seguir, o Cloud Backup and Recovery (CBR) é usado como exemplo. Para obter mais métodos de backup, consulte Visão geral.

O CBR permite que você faça backup dos ECS e discos com facilidade. No caso de um ataque de vírus, uma exclusão acidental ou uma falha de software/hardware, você poderá restaurar os dados para qualquer ponto no tempo em que um backup dos dados tenha sido feito. O CBR protege seus serviços, garantindo a segurança e a consistência de seus dados.

Para ativar o CBR ao comprar um ECS:

Defina o CBR ao comprar um ECS. O sistema associará o ECS a um cofre de backup na nuvem e à política de backup selecionada para fazer backup periódico do ECS.

  • Atribuição automática
    1. Defina o nome do cofre de backup na nuvem, que é uma cadeia de caracteres de 1 a 64 caracteres, incluindo letras, dígitos, (_), de sublinhados e hífens (-). Por exemplo, vault-f61e. A regra de nomeação padrão é vault_xxxx.
    2. Insira a capacidade do compartimento, que é necessária para fazer backup do ECS. A capacidade do compartimento não pode ser menor do que a do ECS a ser feito backup. Seu valor varia da capacidade total do ECS a 10 485 760 na unidade de GB.
    3. Selecione uma política de backup na lista suspensa ou faça login no console do CBR e configure a desejada.
  • Usar Existente
    1. Selecione um cofre de backup em nuvem existente na lista suspensa.
    2. Selecione uma política de backup na lista suspensa ou faça login no console do CBR e configure a desejada.
  • Não obrigatório: Esta função não é necessária. Se você precisar dessa função depois de comprar o ECS, efetue login no console do CBR e vincule o cofre de backup na nuvem desejado ao seu ECS.
    Figura 5 Configurando o CBR

Para fazer backup de dados de um ECS criado:

Você pode usar o backup do servidor em nuvem e o backup em disco em nuvem para fazer backup dos dados do ECS.

  • Backup do servidor em nuvem (recomendado): Use este método de backup se quiser fazer backup dos dados de todos os discos do EVS (discos de sistema e de dados) em um ECS. Isso evita a inconsistência de dados causada pela diferença de tempo na criação de um backup.
  • Backups de discos em nuvem: Use este método de backup se quiser fazer backup dos dados de um ou mais discos do EVS (sistema ou disco de dados) em um ECS. Isso minimiza os custos de backup com base na segurança dos dados.

Aumentando a força da senha de login

Key pair é recomendado porque é mais seguro do que Password. Se você selecionar Password, certifique-se de que a senha atenda aos requisitos de força listados em Tabela 2 para evitar ataques mal-intencionados.

O sistema não altera periodicamente a senha. Recomenda-se que você altere sua senha regularmente por segurança.

A senha deve estar em conformidade com as seguintes regras:

  • A senha deve conter pelo menos 10 caracteres.
  • Não use senhas facilmente adivinhadas (por exemplo, senhas em tabelas arco-íris comuns ou senhas com caracteres de teclado adjacentes). A senha deve conter pelo menos três dos seguintes tipos de caracteres: letras maiúsculas, letras minúsculas, dígitos e caracteres especiais.
  • Não inclua contas em senhas, como administrador, teste, root, oracle e mysql.
  • Altere a senha pelo menos a cada 90 dias.
  • Não reutilize as cinco senhas mais recentes.
  • Defina senhas diferentes para diferentes aplicativos. Não use a mesma senha para vários aplicativos.
Tabela 2 Requisitos de força da senha

Parâmetro

Requisito

Valor de exemplo

Senha
  • Consiste em 8 caracteres para 26 caracteres.
  • Contém pelo menos três dos seguintes tipos de caracteres:
    • Letras maiúsculas
    • Letras minúsculas
    • Dígitos
    • caracteres especiais: $!@%-_=+[]:./^,{}?
  • Não pode conter o nome de usuário ou o nome de usuário soletrado para trás.
  • Não pode conter mais de dois caracteres na mesma seqüência que aparecem no nome de usuário. (Esse requisito se aplica somente aos ECS do Windows.)

YNbUwp!dUc9MClnv

NOTA:

A senha de exemplo é gerada aleatoriamente. Não utilize este exemplo de senha.

Melhorar a segurança portuária

Você pode usar grupos de segurança para proteger a segurança de rede dos seus ECS. Um grupo de segurança controla o tráfego de entrada e saída para os seus ECS. O tráfego de entrada se origina do lado de fora para o ECS, enquanto o tráfego de saída se origina do ECS para o lado de fora.

Você pode configurar regras de grupo de segurança para conceder acesso a ou de portas específicas. É aconselhável desabilitar as portas de alto risco e ativar apenas as portas necessárias.

Tabela 3 lista portas comuns de alto risco. É aconselhável alterar essas portas para portas não de alto risco. Para obter detalhes, consulte Portas Comuns Usadas pelos ECS .

Tabela 3 Portos comuns de alto risco

Protocolo

Porta

TCP

42, 135, 137, 138, 139, 444, 445, 593, 1025, 1068, 1434, 3127, 3128, 3129, 3130, 4444, 4789, 5554, 5800, 5900 e 9996

UDP

135 a 139, 1026, 1027, 1028, 1068, 1433, 1434, 4789, 5554 e 9996

Atualizando periodicamente o sistema operacional

Depois que os ECS são criados, você precisa manter e atualizar periodicamente o sistema operacional. As vulnerabilidades lançadas oficialmente serão lançadas nos Avisos Públicos.

Tópico principal: Segurança