定期备份数据
数据备份是容灾的基础,可以降低因系统故障、操作失误以及安全问题而导致数据丢失的风险。通过ECS自带的快照功能或其他容灾备份工具,定期进行数据备份,建议每日创建一次自动快照,每次快照至少保留7天,核心重要数据在异地备份库进行备份,保障数据万无一失。
合理设计安全域
基于VPC专有网络,构建自定义专属网络,隔离企业内部不同安全级别的服务器,避免互通网络环境下受其他服务器影响。
例如创建一个专有网络,选择自有 IP 地址范围、划分网段、配置路由表和网关等。然后将重要的数据存储在一个跟互联网网络完全隔离的内网环境,日常可以用弹性IP(EIP)或者跳板机的方式对数据进行管理。
设置安全组规则
安全组是重要的网络安全隔离手段,用于设置单台或多台云服务器的网络访问控制。通过设置安全组规则,可以在网络层过滤服务器的主动/被动访问行为,限定服务器对外/对内的端口访问,授权访问地址,从而减少攻击面,保护服务器的安全。
例如:Linux系统默认远程管理端口22,不建议直接向外网开放,可以通过配置ECS公网访问控制,只授权本地固定IP对服务器进行访问。如果您对访问控制有更高要求,可以使用第三方VPN产品对登录行为进行数据加密。
增加口令复杂度
弱口令容易导致数据泄露,因为弱口令是最容易出现和最容易被利用的漏洞之一。因此建议服务器的登录口令至少设置8位以上,从字符种类上增加口令复杂度,如包含大小写字母、数字和特殊字符等,并且要不定时更新口令,定期进行弱口令安全扫描,发现安全隐患。
保护服务器端口安全
服务器给互联网提供服务的同时会暴露对应的服务端口。从安全管理的角度来说,开启的服务端口越多,越不安全。建议只对外提供必要的服务端口,并修改常见端口为高端口(30000以后),再对提供服务的端口做访问控制。
例如:数据库服务尽量在内网环境使用,避免暴露在公网。如果必须要在公网访问,则需要修改默认连接端口3306为高端口,并根据业务授权可访问的客户端地址。
及时打补丁,防护系统漏洞
系统漏洞问题是长期存在的安全风险,及时通过系统补丁程序,或者阿里云的云安全中心补丁修复。Windows系统开启补丁更新,Linux系统设置定期任务,通过执行yum update -y来更新系统软件包及内核。
通过使用阿里云的云安全中心可以及时发现并防御非法破解密码行为,降低被黑客入侵的风险。针对服务器应用软件安全方面提供配置检测和修复方案,提高服务器安全强度。
使用WAF防护应用漏洞
应用漏洞是指针对Web应用、缓存、数据库、存储等服务,通过利用渗透攻击而非法获取数据的一种安全缺陷。常见应用漏洞包括:SQL注入、XSS跨站、Webshell上传、后门隔离保护、命令注入、非法HTTP协议请求、常见Web服务器漏洞攻击、核心文件非授权访问、路径穿越等。应用漏洞不同于系统漏洞,修复难度很大,需要在设计应用前就充分考虑应用安全基线问题。如果云上应用安全要求较高,建议通过接入Web应用防火墙(Web Application Firewall,简称 WAF),来轻松应对各类Web应用攻击,确保网站的Web安全与可用性。合理部署并配置WAF,并对WAF的监测情况进行日常监控,可联系云技术在线工程师。
收集安全情报
在互联网安全领域,安全工程师和黑客比拼的就是时间,经常关注行业各安全公司发布的漏洞公告,及时做好修补和防御。对可能引发网络安全威胁的要素进行全面、快速和准确地捕获和分析,然后将客户当前遇到的安全威胁与过去的威胁进行关联、回溯和分析,最终预测未来可能发生的威胁安全的风险事件,并提供一个体系化的安全解决方案。
本文来自投稿,不代表云编程开发立场,如若转载,请注明出处:https://www.if98.com/328131696/soft/1905.html