操作系统安全

可信计算

可信实例底层物理服务器搭载可信平台模块TPM（Trusted Platform Module）/可信密码模块TCM（Trusted Cryptography Module）作为硬件可信根TCB（Trusted Computing Base），实现服务器的可信启动，确保零篡改。并在虚拟化层面，支持虚拟可信能力vTPM，提供实例启动过程核心组件的校验能力。

可信计算能力

机密计算

机密计算是指通过CPU硬件加密及隔离能力，提供可信执行环境，保护数据不受未授权第三方的修改。此外，您还可以通过远程证明等方式验证云平台、实例是否处于预期的安全状态。

机密计算能力

云安全中心

云安全中心提供云上资产管理、配置核查、主动防御、安全加固、云产品配置评估和安全可视化等核心能力，同时结合云上海量日志、分析模型和超强算力，构建了云上强大的安全态势感知的综合能力平台，可有效发现和阻止病毒传播、黑客攻击、勒索加密、漏洞利用、AK泄露、挖矿等风险事件，帮助客户实现一体化、自动化的安全运营闭环，保护多云环境下的主机、容器、虚拟机等工作负载的安全，同时满足监管合规要求。

什么是云安全中心

ECS身份与访问安全

SSH密钥对

SSH密钥对，简称密钥对，是一种安全便捷的登录认证云服务器的方式，由公钥和私钥组成，仅支持Linux实例。将公钥配置在Linux实例中，在本地或者另外一台实例中，就可以使用私钥通过SSH命令或相关工具登录目标实例，便于远程登录大量Linux实例，方便管理。

SSH密钥对概述

会话管理

会话管理（Session Manager）是由阿里云的云助手提供的功能，客户在无需打开ECS实例入方向端口的情况下，利用会话管理客户端实现实例的免密安全登录。会话管理客户端与云助手进行通信时，会通过WSS（Web Socket Secure）协议建立WebSocket长连接，WSS使用SSL（Secure Socket Layer）加密WebSocket长连接，可以保障全链路数据的安全。

会话管理概述

安全组

安全组是一种虚拟防火墙，用于控制安全组内ECS实例的入流量和出流量，从而提高ECS实例的安全性。安全组具备状态监测和数据包过滤能力，客户可以基于安全组的特性和安全组规则的配置在云端划分安全域。

安全组概述

访问控制RAM

访问控制RAM（Resource Access Management）用于为人员、云服务等指定身份并基于身份授予资源访问权限，从而控制对阿里云资源的访问。客户可以使用RAM创建并管理子用户和用户组，并通过权限管理，管控他们对云资源的访问。

什么是访问控制

堡垒机

运维安全中心（堡垒机）是阿里云提供的运维和安全审计管控平台，可集中管理运维权限，全程管控操作行为，实时还原运维场景，保障运维行为身份可鉴别、权限可管控、操作可审计，解决资产多难管理、运维职责权限不清晰以及运维事件难追溯等问题， 助力企业满足等保合规需求。

什么是堡垒机

特权访问管理中心（PAM）

阿里云特权访问管理中心（PAM）为ECS服务器提供账号和密码安全托管，实现您无需通过口令即可安全登录ECS服务器。

云资源因直接对互联网暴露，以及存在大量弱口令问题，面临被暴力破解的风险。此外，云资产的登录账号密码被多次分享和不适当的权限管理，也会导致数据泄露风险上升。 阿里云特权访问管理中心通过免密登录、RAM权限托管、RDP/SSH代理、安全审计和风控能力，提供有效的运维会话审计功能，实现事前和事中智能风控。

什么是特权访问管理中心

网络安全

专有网络VPC

专有网络VPC（Virtual Private Cloud）是客户基于阿里云构建的一个隔离的网络环境，专有网络之间逻辑上彻底隔离。专有网络由逻辑网络设备（如虚拟路由器，虚拟交换机）组成，可以通过专线/VPN等连接方式与传统数据中心组成一个按需定制的网络环境。

什么是专有网络

网络ACL

网络ACL（Network Access Control List）是专有网络VPC中的网络访问控制功能。客户可以自定义设置网络ACL规则，并将网络ACL与交换机绑定，实现对交换机中云服务器ECS实例流量的访问控制。

网络ACL概述

应用安全

云防火墙

云防火墙是一款云平台SaaS（Software as a Service）化的防火墙，可针对客户云上网络资产的互联网边界、VPC边界及主机边界实现三位一体的统一安全隔离管控，是客户业务上云的第一道网络防线。互联网边界、主机边界防火墙和VPC边界防火墙配合使用，可以精细化地管控数据访问行为，同时也组成了互联网边界-虚拟网络边界-主机边界三层纵深防御体系。

什么是云防火墙

Web应用防火墙

Web应用防火墙WAF（Web Application Firewall）对网站或者App的业务流量进行恶意特征识别及防护，在对流量清洗和过滤后，将正常、安全的流量返回给服务器，避免网站服务器被恶意入侵导致性能异常等问题，从而保障网站的业务安全和数据安全。

WAF概述

DDos防护

DDoS原生防护直接为阿里云公网IP资产提升DDoS攻击防御能力，主要提供针对三层和四层流量型攻击的防御服务。当流量超出DDoS原生防护的默认清洗阈值后，自动触发流量清洗，实现DDoS攻击防护。

DDoS原生防护采用被动清洗方式为主、主动压制为辅的方式，针对DDoS攻击在反向探测、黑白名单、报文合规等标准技术的基础上，在攻击持续状态下，保证被防护云产品仍可以正常对外提供业务服务。DDoS原生防护通过在阿里云机房出口处建设DDoS攻击检测及清洗系统，采用旁路部署方式。阿里云DDoS原生防护可在较小接入成本的情况下提升DDoS防护能力，降低DDoS攻击对业务带来的潜在风险。

什么是DDoS攻击

VPN网关

VPN网关是一款网络连接服务，通过建立加密隧道的方式实现企业本地数据中心、企业办公网络、互联网客户端与阿里云专有网络VPC之间安全可靠的私网连接。

什么是VPN网关

数字证书管理服务

阿里云SSL证书，是经Webtrust认证的知名CA（Certificate Authority) 机构颁发给网站的可信凭证，具有网站身份验证和加密传输双重功能。

数字证书管理服务（Certificate Management Service）是阿里云提供的证书颁发和管理平台，为您提供一站式的SSL证书全生命周期管理、私有证书管理、私有证书应用仓库等服务，帮助您实现不同场景下证书的部署与管理。

什么是数字证书管理服务

数据安全

快照服务

阿里云快照服务是一种无代理的数据备份方式，可以为所有类型的云盘创建崩溃一致性快照，用于备份或者恢复整个云盘。它是一种便捷高效的数据容灾手段，常用于数据备份、制作镜像、应用容灾等。

快照概述

加密云盘

使用加密云盘，您无需构建、维护和保护自己的密钥管理基础设施，即可保护数据的隐私性和自主性，为业务数据提供安全边界。ECS实例的系统盘和数据盘均可被加密。

云盘加密概述

密钥管理服务（KMS）

阿里云密钥管理系统KMS（Key Management Service）是一款安全管理类产品，可保护证书密钥的数据安全性、完整性和可用性，满足您多应用、多业务的密钥管理需求，同时符合监管和等保合规要求。

密钥管理服务KMS是您的一站式密钥管理和数据加密服务平台，提供简单、可靠、安全、合规的数据加密保护能力。KMS帮助您降低在密码基础设施和数据加解密产品上的采购、运维、研发开销，以便您只需关注业务本身。

什么是密钥管理服务

安全审计

操作审计ActionTrail

操作审计（ActionTrail）帮助客户监控并记录阿里云账号的活动，包括通过阿里云控制台、OpenAPI、开发者工具对云上产品和服务的访问和使用行为。客户可以将这些行为事件下载或保存到日志服务SLS或对象存储OSS，然后进行行为分析、安全分析、资源变更行为追踪和行为合规性审计等操作。

什么是操作审计

日志服务SLS

ECS实例的操作日志记录了实例的操作历史，包括操作类型、操作者、影响等级等信息。如果ECS实例遭遇了非预期的操作，比如关机或非法命令执行，可以通过查看ECS实例的操作记录追溯可能的原因，并对此采取更合适的资源管理控制策略。

查看ECS实例的操作记录

云身份服务IDaaS

云身份服务IDaaS（Alibaba Cloud IDentity as a Service）是阿里云为企业用户提供的云原生的、经济的、便捷的、标准的身份、权限管理体系。对管理者而言，IDaaS提供一站式组织架构、账户全生命周期管理、应用接入实现单点登录（SSO），并控制账号所具备的权限等能力。对客户而言，IDaaS提供应用访问门户、独立登录体系、账号自服务能力。

什么是 IDaaS EIAM？