👉点击这里申请火山引擎VIP帐号,立即体验火山引擎产品>>>
火山引擎为您提供了多种安全产品,用于提高云服务器的安全防护能力,避免实例被挖矿、文件被加密勒索、或攻击者通过不安全配置攻破内网等危害实例数据安全的事件发生,影响您的业务正常运行。
本文为您介绍如何使用各安全产品为云服务器强化安全防护能力。
安全产品介绍
防护方案 | 安全产品 | 操作指南 |
实例内部防护 |
|
|
实例外部防护 |
|
|
数据防护 | 数据备份 | 实例数据备份 |
监控告警 | 资源监控 | 资源监控与告警 |
资源告警 | ||
账号权限 | 账号安全 | 设置账号安全 |
操作指南
提高密码复杂度
密码是您登录云服务器的安全凭证之一,对于支持使用SSH密钥登录的Linux实例,建议您优先选择密钥登录,安全性更高。
若选择密码登录,创建多台云服务器时,建议您为多台云服务器设置不同的密码,同时在设置密码时增加密码复杂度,提高安全性。
密码设置规如下:
长度限制在8~30之间
密码只能由大写字母、小写字母、数字和特殊字符组成,且必须包含至少三项
特殊字符可以使用:`~!@#$%^&*()_-+=|{}[]:;'<>,.?/
不能以“/”和“$6$”开头
配置安全组
安全组是一系列安全规则的集合,用于控制云服务器各网卡的流量出入。具备状态检测和数据包过滤能力,用于在云端划分安全域,是火山引擎提供的重要的网络安全隔离手段。
您可以使用以下方法来控制您的云服务器各网卡的访问权限:
创建多个安全组,并给每个安全组指定不同的规则。
每个网卡分配一个或多个安全组,ECS将按照这些规则确定:哪些流量可访问实例、实例可以访问哪些资源。
配置安全组,以便只有特定的IP地址或特定的安全组可以访问实例。
更多安全组规划及配置请参考ECS安全组最佳实践--如何规划安全组和 ECS安全组最佳实践--如何配置安全组规则。
配置网络ACL
网络ACL由一系列ACL规则组成,用于控制子网的出入流量,该子网内所有云服务器及其挂载网卡均统一受网络ACL规则限制。
网络ACL与安全组配合使用,可以更加灵活且精准地管控VPC内各云服务器的出入流量。
更多网络ACL规划及配置请参考网络ACL使用示例。
开启安全加固
云服务器提供安全加固功能,实时监控、分析系统动态,支持文件监控、进程监控、异常登录等风险告警服务,降低主机被入侵风险,保障您的主机安全。
使用公共镜像 Linux 创建实例时,默认开启安全防护。
使用公共镜像 Windows 或自定义镜像创建或重装系统时,默认关闭安全防护。您可前往云安全中心控制台开启。
使用公共镜像 Linux 重装为 Windows 或自定义镜像系统时,默认关闭安全防护。您可前往云安全中心控制台开启。
更多内容请参安全加固。
开启DDoS基础防护
DDoS基础防护是为火山引擎上的负载均衡、云服务器等资源提供的DDoS防护能力,满足日常安全运营需求。
DDoS基础防护通过对互联网访问公网IP的业务流量进行实时监测,及时发现异常DDoS攻击流量,包括但不限于SYN Flood、ACK Flood、UDP反射攻击等常见攻击。在不影响正常业务的前提下,自动启动DDoS清洗设备清洗掉攻击流量。
云内用户只要拥有云上公网IP资源,DDoS基础防护默认对该云上公网IP进行保护。更多内容请参考DDoS基础防护。
实例数据备份
建议您定期对实例进行数据备份,实现数据的日常备份。当出现操作失误时,您可以回滚数据,避免人为误操作、黑客攻击、病毒感染等原因导致的数据错误或丢失。
您可以使用快照或对象存储TOS服务完成数据备份。
资源监控与告警
云服务器支持基础监控、操作系统监控、进程监控等多种监控指标,同时支持可视化的数据展示,可以帮助您掌握已创建资源的运行状态。
您还可以自定义指标阈值、告警通知、事件监控规则等能力,在实例异常状态时能够及时知晓,确保业务平稳运行。
更多监控与告警介绍和配置方式请参考监控概述。
设置账号安全
访问控制IAM是火山引擎为客户提供的一套权限管理系统,用于控制不同身份对云资源的访问权限。
主账号拥有账户下云资源的完全访问权限,在云上复杂的访问场景里,共享主账号凭证不但在使用上不便利,也会存在安全隐患。而通过访问控制,您可以创建用户、角色等身份应用在不同场景里,同时为不同身份区分分配权限,无需将主账号完全托付出去,实现满足精细化权限控制的需要。
更多访问控制介绍和配置方式请参考访问控制。
