云主机

产品文档

云主机

安全

实例登录凭证配置

实例登录凭证包括登录密码及SSH密钥。

对于Linux实例,建议使用SSH密钥方式登录实例。

对与Windows实例,建议定期修改密码,并尽量增强密码强度以避免使用弱密码带来的暴力破解风险,密码建议至少8位以上,从字符种类上增加其复杂度,如包含大小写字母、数字和特殊字符等。

系统漏洞防护

对于系统漏洞,建议定期通过系统补丁程序解决。Linux系统要设置定期任务执行yum update -y来更新系统软件包及内核,Windows系统的补丁更新建议一直开启。

账户权限管理

当对同一组实例需要多个不同账户控制时,用户可以使用访问控制其对云的访问权限。

划分私有网络

选择使用私有网络进行逻辑区的划分,将不同业务属性的实例部署在不同的私有网络内,或同一个私有网络不同子网内,并通过网络ACL来配置子网间的网络访问控制,隔离企业内部不同安全级别的实例。有关更多信息,请参考私有网络

安全组配置

使用安全组时,建议按原则配置安全组。

  • 最小授权。

    通过使用安全组允许受信任的地址访问实例来限制访问,在安全组中配置最严格的规则,由于安全组为白名单机制,故您只需要将允许访问的流量端口配置打开即可。

    例如,您可以配置端口 80 的 TCP 入站流量仅允许您本地主机访问,你本地主机的公网IP地址为111.111.111.111,则可增加一条来源为111.111.111.111,协议为TCP,目标端口为80的安全组规则。有关更多信息,请参考安全组。

  • 创建不同的安全组应用于不同服务的实例组上。

    例如,您应对 Web、Service、Database、Cache 层使用不同的安全组,暴露不同的出入规则和权限,确保运行不同重要业务的实例无法轻易从外部访问,保障业务安全。

  • 不使用0.0.0.0/0的入网规则。

    开放0.0.0.0/0意味着所有端口均对外暴露,这是非常危险的。应该参考最小授权原则,仅开放最少端口,如作为Web服务器,只开放80、8080及443端口。

  • 删除不需要的安全组. 安全组中的安全规则类似于一条条白名单。所以,请不要保留不需要的安全组,以免因为错误加入某个实例而造成不必要的麻烦。

更新时间:2019-05-29 15:38:56