计算
弹性云服务器 ECS
Flexus云服务
裸金属服务器 BMS
弹性伸缩 AS
镜像服务 IMS
专属主机 DeH
函数工作流 FunctionGraph
云手机服务器 CPH
Huawei Cloud EulerOS
网络
虚拟私有云 VPC
弹性公网IP EIP
虚拟专用网络 VPN
弹性负载均衡 ELB
NAT网关 NAT
云专线 DC
VPC终端节点 VPCEP
云连接 CC
企业路由器 ER
企业交换机 ESW
全球加速 GA
安全与合规
安全技术与应用
Web应用防火墙 WAF
企业主机安全 HSS
云防火墙 CFW
安全云脑 SecMaster
DDoS防护 AAD
数据加密服务 DEW
数据库安全服务 DBSS
云堡垒机 CBH
数据安全中心 DSC
云证书管理服务 CCM
边缘安全 EdgeSec
威胁检测服务 MTD
CDN与智能边缘
内容分发网络 CDN
CloudPond云服务
智能边缘云 IEC
迁移
主机迁移服务 SMS
对象存储迁移服务 OMS
云数据迁移 CDM
迁移中心 MGC
大数据
MapReduce服务 MRS
数据湖探索 DLI
表格存储服务 CloudTable
云搜索服务 CSS
数据接入服务 DIS
数据仓库服务 GaussDB(DWS)
数据治理中心 DataArts Studio
数据可视化 DLV
数据湖工厂 DLF
湖仓构建 LakeFormation
企业应用
云桌面 Workspace
应用与数据集成平台 ROMA Connect
云解析服务 DNS
专属云
专属计算集群 DCC
IoT物联网
IoT物联网
设备接入 IoTDA
智能边缘平台 IEF
用户服务
账号中心
费用中心
成本中心
资源中心
企业管理
工单管理
国际站常见问题
ICP备案
我的凭证
支持计划
客户运营能力
合作伙伴支持计划
专业服务
区块链
区块链服务 BCS
Web3节点引擎服务 NES
解决方案
SAP
高性能计算 HPC
视频
视频直播 Live
视频点播 VOD
媒体处理 MPC
实时音视频 SparkRTC
数字内容生产线 MetaStudio
存储
对象存储服务 OBS
云硬盘 EVS
云备份 CBR
存储容灾服务 SDRS
高性能弹性文件服务 SFS Turbo
弹性文件服务 SFS
云硬盘备份 VBS
云服务器备份 CSBS
数据快递服务 DES
专属分布式存储服务 DSS
容器
云容器引擎 CCE
容器镜像服务 SWR
应用服务网格 ASM
华为云UCS
云容器实例 CCI
管理与监管
云监控服务 CES
统一身份认证服务 IAM
资源编排服务 RFS
云审计服务 CTS
标签管理服务 TMS
云日志服务 LTS
配置审计 Config
资源访问管理 RAM
消息通知服务 SMN
应用运维管理 AOM
应用性能管理 APM
组织 Organizations
优化顾问 OA
IAM 身份中心
云运维中心 COC
资源治理中心 RGC
应用身份管理服务 OneAccess
数据库
云数据库 RDS
文档数据库服务 DDS
数据管理服务 DAS
数据复制服务 DRS
云数据库 GeminiDB
云数据库 GaussDB
分布式数据库中间件 DDM
数据库和应用迁移 UGO
云数据库 TaurusDB
人工智能
人脸识别服务 FRS
图引擎服务 GES
图像识别 Image
内容审核 Moderation
文字识别 OCR
AI开发平台ModelArts
图像搜索 ImageSearch
对话机器人服务 CBS
华为HiLens
视频智能分析服务 VIAS
语音交互服务 SIS
应用中间件
分布式缓存服务 DCS
API网关 APIG
微服务引擎 CSE
分布式消息服务Kafka版
分布式消息服务RabbitMQ版
分布式消息服务RocketMQ版
多活高可用服务 MAS
事件网格 EG
企业协同
华为云会议 Meeting
云通信
消息&短信 MSGSMS
云生态
合作伙伴中心
云商店
开发者工具
SDK开发指南
API签名指南
Terraform
华为云命令行工具服务 KooCLI
其他
产品价格详情
系统权限
管理控制台
客户关联华为云合作伙伴须知
消息中心
公共问题
开发与运维
应用管理与运维平台 ServiceStage
软件开发生产线 CodeArts
需求管理 CodeArts Req
部署 CodeArts Deploy
性能测试 CodeArts PerfTest
编译构建 CodeArts Build
流水线 CodeArts Pipeline
制品仓库 CodeArts Artifact
测试计划 CodeArts TestPlan
代码检查 CodeArts Check
代码托管 CodeArts Repo
云应用引擎 CAE
开天aPaaS
云消息服务 KooMessage
云手机服务 KooPhone
云空间服务 KooDrive
文档首页/ 弹性云服务器 ECS/ 用户指南/ 安全管理/ 提升云服务器安全性方法概述

提升云服务器安全性方法概述

更新时间:2024-10-16 GMT+08:00

操作场景

如果云服务器没有设置相关的安全防护,可能受到病毒入侵或外部攻击,导致数据泄露或丢失,影响业务的正常运行。

怎样保护云服务器免受攻击或病毒入侵?本节操作介绍常见的提升云服务器安全的措施。

防护类型简介

提升云服务器的安全性,分为云服务器“外部安全防护”和“内部安全防护”两方面。

表1 提升云服务器安全的方法

类型

说明

防护方法

外部安全防护

常见的DDoS攻击、木马或病毒的入侵都是常见的外部安全问题。针对这类问题有多种常见的防护方案,例如开启主机安全防护您可以根据您的实际业务选择合适的防护方案。

内部安全防护

弱密码、开放错误的端口可能引起内部安全防护问题,不提升云服务器的内部安全防护,外部安全防护方案就无法有效的拦截和阻断各种外部攻击。

开启主机安全防护

主机安全服务(Host Security Service,HSS)是提升服务器整体安全性的服务,通过主机管理、风险防御、入侵检测、安全运营、网页防篡改功能,可全面识别并管理云服务器中的信息资产,实时监测云服务器中的风险,降低服务器被入侵的风险。

使用主机安全需要在云服务器中安装Agent。安装Agent后,您的云服务器将受到HSS云端防护中心全方位的安全保障,在安全控制台可视化界面上,您可以统一查看并管理同一区域内所有主机的防护状态和主机安全风险。

您在使用主机安全服务前,需要先在弹性云服务器上安装Agent。针对新创建的云服务器和已有的云服务器,提供不同的安装方式:

  • 场景一:新创建云服务器

    购买弹性云服务器,选择部分操作系统的公共镜像时,系统推荐您配套使用主机安全服务(Host Security Service, HSS)。

    开启“主机安全”需要设置“安全防护”参数:
    • 免费试用一个月主机安全基础防护:开启后,免费体验HSS基础版30天,为您的主机提供操作系统漏洞检测、弱口令检测、暴力破解检测等功能。
      说明:

      主机安全基础防护免费使用期限结束后,该防护配额将自动释放,停止相应的实时防护能力。

      如您需要保留或升级原有安全防护能力,建议您购买高阶防护。详细情况,请参见主机安全的免费试用HSS基础版到期后怎么办?

      购买弹性云服务器时,默认设置该选项。

    • 购买高阶防护:高阶防护支持基础版、企业版、旗舰版和网页防篡改版,需付费使用。

      购买后您可以在主机安全服务控制台切换不同版本。各版本之间的差异请参考服务版本差异

    • 不使用安全防护:若您不需要进行安全防护,可选择此选项。

    选择主机安全后系统自动安装主机安全Agent,开启账号防御,启用主机安全服务的功能。

    若基础版或企业版不满足要求,您可以购买其他版本配额,在主机安全服务控制台切换不同版本,获取更高级的防护,且不需要重新安装Agent。

    图1 开通主机安全
  • 场景二:未配置主机安全的云服务器

    对于已经创建完成的弹性云服务器,可能由于创建时尚未支持主机安全服务或未设置“安全防护”参数。如需使用主机安全,您需要手动安装Agent。

    具体操作请参见手动安装Agent手动开启防护

配置云堡垒机

云堡垒机(Cloud Bastion Host,CBH)可以实时收集和监控网络环境中每个组成部分的系统状态、安全事件和网络活动,保障网络和数据不受来自外部或内部用户的入侵和破坏,便于集中报警、及时处理及审计定责。

登录云堡垒机后,您需要依次创建用户、资源、访问策略,依次创建成功后才能对资源进行管理和运维。

  • 云堡垒机支持Web浏览器、SSH客户端和MSTSC客户端三种登录方式。

    Web浏览器登录:支持系统管理和资源运维功能。建议系统管理员admin或管理人员使用Web浏览器登录进行系统管理和授权审计。

    SSH客户端登录:在不改变用户原来使用SSH客户端习惯的前提下,可对授权资源进行运维管理。运维人员可选择使用SSH客户端直接登录运维资源。

    MSTSC客户端登录:在不改变用户原来使用MSTSC客户端习惯的前提下,可对授权资源进行运维管理。运维人员可选择使用MSTSC客户端直接登录运维资源。

  • 在使用云堡垒机进行系统管理和运维前,管理人员需要在CBH系统中创建系统用户,为用户分配不同系统角色。

    根据角色系统权限的不同,用户拥有不同的系统操作和访问权限,新创建的用户登录系统,即可访问角色权限内模块。

    说明:

    仅admin拥有管理系统角色的权限。

  • 云堡垒机系统集中管理云资源,主要包括管理资源账户和运维权限管理。为实现统一管理资源,需添加资源到系统

    一个主机或应用资源可能有多个登录主机或应用的账户。

    CBH系统纳管主机或应用的账户(资源账户)后,无需反复输入账户和密码,通过登录资源账户,自动登录资源进行运维管控。

    系统默认资源账户Empty,登录Empty资源账户时需手动输入主机账户和对应密码。

  • 若需通过云堡垒机运维资源,还需配置访问控制策略,关联用户和资源,赋予用户相应资源访问控制权限。
  • 用户获取资源访问控制权限后,通过系统登录资源进行运维,运维过程被全程监控记录。

    运维用户可根据资源类型选择不同登录方式。

  • 用户获取相应系统权限和运维权限后,可通过云堡垒机登录已授权的资源进行运维操作,以及在系统进行系统数据管理操作。

    管理员可在系统Web页面审计用户系统登录和操作,以及审计用户运维会话

监控云服务器

监控是保持弹性云服务器可靠性、可用性和性能的重要部分,通过监控,用户可以观察弹性云服务器资源。为使用户更好地掌握自己的弹性云服务器运行状态,云平台提供了云监控。您可以使用该服务监控您的弹性云服务器,执行自动实时监控、告警和通知操作,帮助您更好地了解弹性云服务器的各项性能指标。

主机监控分为基础监控、操作系统监控和进程监控。
  • 基础监控

    基础监控无需安装Agent,是ECS自动上报的监控指标。基础监控指标的监控周期为5分钟(KVM实例)。

  • 操作系统监控

    操作系统监控需要在弹性云服务器中安装Agent插件,为用户提供服务器的系统级、主动式、细颗粒度监控服务。操作系统监控的监控周期为1分钟(KVM实例)。

    购买云服务器时的开启操作系统监控的方法:

    您可以在购买时勾选“开启详细监控”,勾选后云平台将自动安装操作系统监控所需的Agent插件。

    说明:

    当前仅部分区域的部分操作系统支持在购买时开启详细监控,实际情况请以控制台显示为准。

    图2 购买云服务器时开启操作系统监控

    为已创建完成的云服务器开启操作系统监控的方法:

    如果创建时未勾选“开启详细监控”,如需使用操作系统监控,您需要手动安装Agent。

    安装配置Agent相关操作请参考云监控服务“Agent安装配置方式说明”

  • 进程监控

    进程监控需要在弹性云服务器中安装Agent插件,对主机内活跃进程进行监控,进程监控的监控周期为1分钟(KVM实例)。

开启主机监控后您可以通过设置弹性云服务器告警规则,自定义监控目标与通知策略,及时了解弹性云服务器运行状况,从而起到预警作用。

在ECS的控制台单击即可查看监控指标。

图3 查看云服务器监控指标

开启防DDoS攻击

针对DDoS攻击,华为云提供多种安全防护方案,您可以根据您的实际业务选择合适的防护方案。华为云DDoS防护服务(Anti-DDoS Service,简称AAD)提供了DDoS原生基础防护(Anti-DDoS流量清洗)、DDoS原生专业防护和DDoS高防三个子服务。

其中,DDoS原生基础防护为免费服务,DDoS原生专业防护和DDoS高防为收费服务。

关于DDoS原生专业防护和DDoS高防请单击DDoS防护了解更多。

购买弹性云服务器时,如果选择了购买弹性公网IP,那么控制台会提示您已免费开启DDoS基础防护。

图4 免费开启DDoS基础防护

DDoS原生基础防护(Anti-DDoS流量清洗)服务(以下简称Anti-DDoS)为云服务器提供DDoS攻击防护和攻击实时告警通知。同时,Anti-DDoS可以提升用户带宽利用率,确保用户业务稳定运行。

Anti-DDoS通过对互联网访问公网IP的业务流量进行实时监测,及时发现异常DDoS攻击流量。在不影响正常业务的前提下,根据用户配置的防护策略,清洗掉攻击流量。同时,Anti-DDoS为用户生成监控报表,清晰展示网络流量的安全状况。

定期备份数据

数据备份是防止系统出现数据丢失,将全部或部分数据以其他方式保留的过程。本节以云备份方法为例,了解更多备份方法请参考云备份概述

云备份可以为云服务器、云硬盘提供简单易用的备份服务,当发生病毒入侵、人为误删除、软硬件故障等事件时,可将数据恢复到任意备份点。保障用户数据的安全性和正确性,确保业务安全。

购买云服务器时启用云备份的方法:

购买云服务器时,设置开启云备份完成后,系统会将云服务器绑定至云备份存储库并绑定所选备份策略,定期备份弹性云服务器。

  • 现在购买:
    1. 输入云备份存储库的名称:只能由中文字符、英文字母、数字、下划线、中划线组成,且长度小于等于64个字符。例如:vault-f61e。默认的命名规则为“vault_xxxx”。
    2. 输入存储库的容量:此容量为备份云服务器所需的容量。存储库的空间不能小于云服务器的空间。取值范围为[云服务器总容量,10485760]GB。
    3. 设置备份策略:在下拉列表中选择备份策略,或进入云备份控制台查看或编辑备份策略。
  • 使用已有:
    1. 选择云备份存储库的名称:在下拉列表中选择已有的云备份存储库。
    2. 设置备份策略:在下拉列表中选择备份策略,或进入云备份控制台查看或编辑备份策略。
  • 暂不购买:跳过云备份的配置步骤。如云服务器购买成功后仍需设置备份保护,请进入云备份控制台找到目标存储库,绑定服务器。
图5 设置云备份

已创建完成的云服务器创建云备份的方法:

备份云服务器可以通过“云服务器备份”和“云硬盘备份”功能实现:

  • 云服务器备份(推荐):如果是对弹性云服务器中的所有云硬盘(系统盘和数据盘)进行备份,推荐使用云服务器备份功能,同时对所有云硬盘进行备份,避免因备份创建时间差带来的数据不一致问题。
  • 云硬盘备份:如果对指定的单个或多个云硬盘(系统盘或数据盘)进行备份,推荐使用云硬盘备份功能,在保证数据安全的同时降低备份成本。

增加登录密码的强度

“密钥对”方式创建的弹性云服务器安全性更高,建议选择“密钥对”方式。

如果您习惯使用“密码”方式,请增强密码的复杂度,保证密码符合要求,防止恶意攻击。详细内容,请参见密码使用场景介绍

系统不会定期自动修改弹性云服务器密码。为安全起见,建议您定期修改密码。

密码设置建议:

  • 密码应该长度不少于10位。
  • 建议不要使用有一定特征和规律容易被破解的常用口令的密码(如:在常用彩虹表中的密码、滚键盘密码等),且密码复杂度至少包含大写字母、小写字符、数字、特殊字符四类中的三种。
  • 密码尽量不要包含账户名如:adminstrator/administrator,test/test,root/root,oracle/oracle,mysql/mysql。
  • 建议至少每90天更改一次密码。
  • 建议不要重复使用最近5次(含5次)内已使用的密码。
  • 建议根据不同应用设置不同的账号密码,不建议多个应用使用同一密码。

提升云服务器的端口安全

安全组是云服务器的守卫,是重要的网络安全隔离手段,可以保护云服务器的网络安全。安全组可以控制进出云服务器的网络流量。网络流量分为出方向和入方向,出方向是指您想访问别人,入方向就是别人想访问您。如果把云服务器比作一个宫殿,那安全组就像是一个守卫者,谁能进出,都由安全组规则控制。

通过配置安全组规则,限定云服务器出方向和入方向的访问端口,通常建议您关闭高危端口,仅开启必要的云服务器端口。

常见的高危端口如表2所示,建议您修改敏感端口为其它非高危端口来承载业务。请参考云服务器常用端口

表2 常见的高危端口

协议

端口

TCP

42 135 137 138 139 444 445 593 1025 1068 1434 3127 3128 3129 3130 4444 4789 5554 5800 5900 9996

UDP

135~139 1026 1027 1028 1068 1433 1434 4789 5554 9996

定期升级操作系统

云服务器申请完成后,系统内的所有配置都是需要您自行维护,云平台不负责客户系统补丁的升级,对于官方发布的一些漏洞预警,会有安全公告,需要您自行升级维护。

我们使用cookie来确保您的高速浏览体验。继续浏览本站,即表示您同意我们使用cookie。 详情

文档反馈

文档反馈

意见反馈

0/500

标记内容

同时提交标记内容