提升云服务器安全性方法概述
操作场景
如果云服务器没有设置相关的安全防护,可能受到病毒入侵或外部攻击,导致数据泄露或丢失,影响业务的正常运行。
怎样保护云服务器免受攻击或病毒入侵?本节操作介绍常见的提升云服务器安全的措施。
防护类型简介
提升云服务器的安全性,分为云服务器“外部安全防护”和“内部安全防护”两方面。
开启主机安全防护
主机安全服务(Host Security Service,HSS)是提升服务器整体安全性的服务,通过主机管理、风险防御、入侵检测、安全运营、网页防篡改功能,可全面识别并管理云服务器中的信息资产,实时监测云服务器中的风险,降低服务器被入侵的风险。
使用主机安全需要在云服务器中安装Agent。安装Agent后,您的云服务器将受到HSS云端防护中心全方位的安全保障,在安全控制台可视化界面上,您可以统一查看并管理同一区域内所有主机的防护状态和主机安全风险。
监控云服务器
监控是保持弹性云服务器可靠性、可用性和性能的重要部分,通过监控,用户可以观察弹性云服务器资源。为使用户更好地掌握自己的弹性云服务器运行状态,云平台提供了云监控。您可以使用该服务监控您的弹性云服务器,执行自动实时监控、告警和通知操作,帮助您更好地了解弹性云服务器的各项性能指标。
- 基础监控
- 操作系统监控
操作系统监控需要在弹性云服务器中安装Agent插件,为用户提供服务器的系统级、主动式、细颗粒度监控服务。操作系统监控的监控周期为1分钟(KVM实例)。
为已创建完成的云服务器开启操作系统监控的方法:
如需使用操作系统监控,您需要手动安装Agent。
安装配置Agent相关操作请参考云监控服务“Agent安装配置方式说明”。
- 进程监控
开启主机监控后您可以通过设置弹性云服务器告警规则,自定义监控目标与通知策略,及时了解弹性云服务器运行状况,从而起到预警作用。
在ECS的控制台单击
即可查看监控指标。
定期备份数据
数据备份是防止系统出现数据丢失,将全部或部分数据以其他方式保留的过程。本节以云备份方法为例,了解更多备份方法请参考云备份概述。
云备份可以为云服务器、云硬盘提供简单易用的备份服务,当发生病毒入侵、人为误删除、软硬件故障等事件时,可将数据恢复到任意备份点。保障用户数据的安全性和正确性,确保业务安全。
备份云服务器可以通过“云服务器备份”和“云硬盘备份”功能实现:
- 云服务器备份(推荐):如果是对弹性云服务器中的所有云硬盘(系统盘和数据盘)进行备份,推荐使用云服务器备份功能,同时对所有云硬盘进行备份,避免因备份创建时间差带来的数据不一致问题。
- 云硬盘备份:如果对指定的单个或多个云硬盘(系统盘或数据盘)进行备份,推荐使用云硬盘备份功能,在保证数据安全的同时降低备份成本。
增加登录密码的强度
“密钥对”方式创建的弹性云服务器安全性更高,建议选择“密钥对”方式。如果您习惯使用“密码”方式,请增强密码的复杂度,如表2所示,保证密码符合要求,防止恶意攻击。
系统不会定期自动修改弹性云服务器密码。为安全起见,建议您定期修改密码。
密码设置建议:
- 密码应该长度不少于10位。
- 建议不要使用有一定特征和规律容易被破解的常用口令的密码(如:在常用彩虹表中的密码、滚键盘密码等),且密码复杂度至少包含大写字母、小写字符、数字、特殊字符四类中的三种。
- 密码尽量不要包含账户名如:adminstrator/administrator,test/test,root/root,oracle/oracle,mysql/mysql。
- 建议至少每90天更改一次密码。
- 建议不要重复使用最近5次(含5次)内已使用的密码。
- 建议根据不同应用设置不同的账号密码,不建议多个应用使用同一密码。
提升云服务器的端口安全
安全组是云服务器的守卫,是重要的网络安全隔离手段,可以保护云服务器的网络安全。安全组可以控制进出云服务器的网络流量。网络流量分为出方向和入方向,出方向是指您想访问别人,入方向就是别人想访问你。如果把云服务器比作一个宫殿,那安全组就像是一个守卫者,谁能进出,都由安全组规则控制。
通过配置安全组规则,限定云服务器出方向和入方向的访问端口,通常建议您关闭高危端口,仅开启必要的云服务器端口。
常见的高危端口如表3所示,建议您修改敏感端口为其它非高危端口来承载业务。
