提升云服务器安全性方法概述

操作场景

如果云服务器没有设置相关的安全防护，可能受到病毒入侵或外部攻击，导致数据泄露或丢失，影响业务的正常运行。

怎样保护云服务器免受攻击或病毒入侵？本节操作介绍常见的提升云服务器安全的措施。

防护类型简介

提升云服务器的安全性，分为云服务器“外部安全防护”和“内部安全防护”两方面。

开启主机安全防护

主机安全服务（Host Security Service，HSS）是提升服务器整体安全性的服务，通过主机管理、风险防御、入侵检测、安全运营、网页防篡改功能，可全面识别并管理云服务器中的信息资产，实时监测云服务器中的风险，降低服务器被入侵的风险。

使用主机安全需要在云服务器中安装Agent。安装Agent后，您的云服务器将受到HSS云端防护中心全方位的安全保障，在安全控制台可视化界面上，您可以统一查看并管理同一区域内所有主机的防护状态和主机安全风险。

您在使用主机安全服务前，需要先在弹性云服务器上安装Agent。针对新创建的云服务器和已有的云服务器，提供不同的安装方式：

• 场景一：新创建云服务器

  购买弹性云服务器，选择部分操作系统的公共镜像时，系统推荐您配套使用主机安全服务（Host Security Service, HSS）。

  开启“主机安全”需要设置“安全防护”参数：

  • 免费试用一个月主机安全基础防护：开启后，免费体验HSS基础版30天，为您的主机提供操作系统漏洞检测、弱口令检测、暴力破解检测等功能。
    说明：

    主机安全基础防护免费使用期限结束后，该防护配额将自动释放，停止相应的实时防护能力。

    如您需要保留或升级原有安全防护能力，建议您购买高阶防护。详细情况，请参见主机安全的免费试用HSS基础版到期后怎么办？。

    购买弹性云服务器时，默认设置该选项。

  • 购买高阶防护：高阶防护支持基础版、企业版、旗舰版和网页防篡改版，需付费使用。

    购买后您可以在主机安全服务控制台切换不同版本。各版本之间的差异请参考服务版本差异。

  • 不使用安全防护：若您不需要进行安全防护，可选择此选项。

  选择主机安全后系统自动安装主机安全Agent，开启账号防御，启用主机安全服务的功能。

  若基础版或企业版不满足要求，您可以购买其他版本配额，在主机安全服务控制台切换不同版本，获取更高级的防护，且不需要重新安装Agent。

  图1 开通主机安全
  
• 场景二：未配置主机安全的云服务器

  对于已经创建完成的弹性云服务器，可能由于创建时尚未支持主机安全服务或未设置“安全防护”参数。如需使用主机安全，您需要手动安装Agent。

  具体操作请参见手动安装Agent、手动开启防护。

配置云堡垒机

云堡垒机（Cloud Bastion Host，CBH）可以实时收集和监控网络环境中每个组成部分的系统状态、安全事件和网络活动，保障网络和数据不受来自外部或内部用户的入侵和破坏，便于集中报警、及时处理及审计定责。

登录云堡垒机后，您需要依次创建用户、资源、访问策略，依次创建成功后才能对资源进行管理和运维。

• 云堡垒机支持Web浏览器、SSH客户端和MSTSC客户端三种登录方式。

  Web浏览器登录：支持系统管理和资源运维功能。建议系统管理员admin或管理人员使用Web浏览器登录进行系统管理和授权审计。

  SSH客户端登录：在不改变用户原来使用SSH客户端习惯的前提下，可对授权资源进行运维管理。运维人员可选择使用SSH客户端直接登录运维资源。

  MSTSC客户端登录：在不改变用户原来使用MSTSC客户端习惯的前提下，可对授权资源进行运维管理。运维人员可选择使用MSTSC客户端直接登录运维资源。

• 在使用云堡垒机进行系统管理和运维前，管理人员需要在CBH系统中创建系统用户，为用户分配不同系统角色。

  根据角色系统权限的不同，用户拥有不同的系统操作和访问权限，新创建的用户登录系统，即可访问角色权限内模块。

  说明：

  仅admin拥有管理系统角色的权限。

• 云堡垒机系统集中管理云资源，主要包括管理资源账户和运维权限管理。为实现统一管理资源，需添加资源到系统。

  一个主机或应用资源可能有多个登录主机或应用的账户。

  CBH系统纳管主机或应用的账户（资源账户）后，无需反复输入账户和密码，通过登录资源账户，自动登录资源进行运维管控。

  系统默认资源账户Empty，登录Empty资源账户时需手动输入主机账户和对应密码。

• 若需通过云堡垒机运维资源，还需配置访问控制策略，关联用户和资源，赋予用户相应资源访问控制权限。
• 用户获取资源访问控制权限后，通过系统登录资源进行运维，运维过程被全程监控记录。

  运维用户可根据资源类型选择不同登录方式。

• 用户获取相应系统权限和运维权限后，可通过云堡垒机登录已授权的资源进行运维操作，以及在系统进行系统数据管理操作。

  管理员可在系统Web页面审计用户系统登录和操作，以及审计用户运维会话。

监控云服务器

监控是保持弹性云服务器可靠性、可用性和性能的重要部分，通过监控，用户可以观察弹性云服务器资源。为使用户更好地掌握自己的弹性云服务器运行状态，云平台提供了云监控。您可以使用该服务监控您的弹性云服务器，执行自动实时监控、告警和通知操作，帮助您更好地了解弹性云服务器的各项性能指标。

开启主机监控后您可以通过设置弹性云服务器告警规则，自定义监控目标与通知策略，及时了解弹性云服务器运行状况，从而起到预警作用。

在ECS的控制台单击即可查看监控指标。

图3 查看云服务器监控指标

开启防DDoS攻击

针对DDoS攻击，华为云提供多种安全防护方案，您可以根据您的实际业务选择合适的防护方案。华为云DDoS防护服务（Anti-DDoS Service，简称AAD）提供了DDoS原生基础防护（Anti-DDoS流量清洗）、DDoS原生专业防护和DDoS高防三个子服务。

其中，DDoS原生基础防护为免费服务，DDoS原生专业防护和DDoS高防为收费服务。

关于DDoS原生专业防护和DDoS高防请单击DDoS防护了解更多。

购买弹性云服务器时，如果选择了购买弹性公网IP，那么控制台会提示您已免费开启DDoS基础防护。

图4 免费开启DDoS基础防护

DDoS原生基础防护（Anti-DDoS流量清洗）服务（以下简称Anti-DDoS）为云服务器提供DDoS攻击防护和攻击实时告警通知。同时，Anti-DDoS可以提升用户带宽利用率，确保用户业务稳定运行。

Anti-DDoS通过对互联网访问公网IP的业务流量进行实时监测，及时发现异常DDoS攻击流量。在不影响正常业务的前提下，根据用户配置的防护策略，清洗掉攻击流量。同时，Anti-DDoS为用户生成监控报表，清晰展示网络流量的安全状况。

定期备份数据

数据备份是防止系统出现数据丢失，将全部或部分数据以其他方式保留的过程。本节以云备份方法为例，了解更多备份方法请参考云备份概述。

云备份可以为云服务器、云硬盘提供简单易用的备份服务，当发生病毒入侵、人为误删除、软硬件故障等事件时，可将数据恢复到任意备份点。保障用户数据的安全性和正确性，确保业务安全。

购买云服务器时启用云备份的方法：

购买云服务器时，设置开启云备份完成后，系统会将云服务器绑定至云备份存储库并绑定所选备份策略，定期备份弹性云服务器。

• 现在购买：
  1. 输入云备份存储库的名称：只能由中文字符、英文字母、数字、下划线、中划线组成，且长度小于等于64个字符。例如：vault-f61e。默认的命名规则为“vault_xxxx”。
  2. 输入存储库的容量：此容量为备份云服务器所需的容量。存储库的空间不能小于云服务器的空间。取值范围为[云服务器总容量，10485760]GB。
  3. 设置备份策略：在下拉列表中选择备份策略，或进入云备份控制台查看或编辑备份策略。
• 使用已有：
  1. 选择云备份存储库的名称：在下拉列表中选择已有的云备份存储库。
  2. 设置备份策略：在下拉列表中选择备份策略，或进入云备份控制台查看或编辑备份策略。
• 暂不购买：跳过云备份的配置步骤。如云服务器购买成功后仍需设置备份保护，请进入云备份控制台找到目标存储库，绑定服务器。

图5 设置云备份

已创建完成的云服务器创建云备份的方法：

备份云服务器可以通过“云服务器备份”和“云硬盘备份”功能实现：

• 云服务器备份（推荐）：如果是对弹性云服务器中的所有云硬盘（系统盘和数据盘）进行备份，推荐使用云服务器备份功能，同时对所有云硬盘进行备份，避免因备份创建时间差带来的数据不一致问题。
• 云硬盘备份：如果对指定的单个或多个云硬盘（系统盘或数据盘）进行备份，推荐使用云硬盘备份功能，在保证数据安全的同时降低备份成本。

增加登录密码的强度

“密钥对”方式创建的弹性云服务器安全性更高，建议选择“密钥对”方式。

如果您习惯使用“密码”方式，请增强密码的复杂度，保证密码符合要求，防止恶意攻击。详细内容，请参见密码使用场景介绍。

系统不会定期自动修改弹性云服务器密码。为安全起见，建议您定期修改密码。

密码设置建议：

• 密码应该长度不少于10位。
• 建议不要使用有一定特征和规律容易被破解的常用口令的密码（如：在常用彩虹表中的密码、滚键盘密码等），且密码复杂度至少包含大写字母、小写字符、数字、特殊字符四类中的三种。
• 密码尽量不要包含账户名如：adminstrator/administrator，test/test，root/root，oracle/oracle，mysql/mysql。
• 建议至少每90天更改一次密码。
• 建议不要重复使用最近5次（含5次）内已使用的密码。
• 建议根据不同应用设置不同的账号密码，不建议多个应用使用同一密码。

提升云服务器的端口安全

安全组是云服务器的守卫，是重要的网络安全隔离手段，可以保护云服务器的网络安全。安全组可以控制进出云服务器的网络流量。网络流量分为出方向和入方向，出方向是指您想访问别人，入方向就是别人想访问您。如果把云服务器比作一个宫殿，那安全组就像是一个守卫者，谁能进出，都由安全组规则控制。

通过配置安全组规则，限定云服务器出方向和入方向的访问端口，通常建议您关闭高危端口，仅开启必要的云服务器端口。

常见的高危端口如表2所示，建议您修改敏感端口为其它非高危端口来承载业务。请参考云服务器常用端口。

定期升级操作系统

云服务器申请完成后，系统内的所有配置都是需要您自行维护，云平台不负责客户系统补丁的升级，对于官方发布的一些漏洞预警，会有安全公告，需要您自行升级维护。