云服务器实践：数据安全最佳实践

　　 云服务器搭建应用层后，数据上云怎样来更大化的保障数据安全成为重要考虑因素，本文小编整理了数据安全实践部分。

　　云服务器 ECS 实例是一个虚拟的计算环境，包含了 CPU、内存、操作系统、磁盘、带宽等最基础的服务器组件，是 ECS 提供给每个用户的操作实体。

　　我们基本可以理解为一个实例就等同于一台虚拟机，那么我们在本地维护的虚拟机一般会做虚拟机实例级别的安全防护，以防止虚拟机被攻击和入侵等。同样的，云上的ECS实例也需要做安全性防护。

　　ECS实例放置在云上，除了置身于阿里云自身的安全平台外，用户也需要根据实际的需求进一步定制化安全，所以说ECS的安全是阿里云和用户共同构建的。如果ECS实例没有安全的防护，可能会带来不少不良的影响，比如遭受到DDoS而导致业务中断，比如受到Web入侵而导致网页被篡改、挂马，比如被注入而导致信息和数据泄漏等，影响ECS的使用和无法正常提供服务。

　　本文档从使用云服务器ECS的角度出发，结合相关产品和运维架构经验，介绍如何打造云端的数据安全。

　　适用对象

　　本文档适用于刚开始接触阿里云的个人或者中小企业用户。

　　主要内容

　　· 定期备份数据

　　· 合理设计安全域

　　· 安全组规则设置

　　· 登录口令设置

　　· 服务器端口安全

　　· 系统漏洞防护

　　· 应用漏洞防护

　　· 安全情报收集

　　定期备份数据

　　数据备份是容灾的基础，目的是降低因系统故障、操作失误、以及安全问题而导致数据丢失的风险。云服务器ECS自带有快照备份的功能，合理运用ECS快照功能即可满足大部分用户数据备份的需求。建议用户根据自身的业务情况，制定适合自己的备份策略，您可以选择 手动创建快照，或者 创建自动快照策略，并 将此策略应用到指定磁盘。推荐每日做一次自动快照，每次快照最少保存7天。养成良好的备份习惯，在故障发生时，有利于迅速恢复重要数据，减少损失。

　　合理设计安全域

　　基于SDN(Software Defined Network)技术研发的VPC专有网络，可以供用户构建自定义专属网络，隔离企业内部不同安全级别的服务器，避免互通网络环境下一台服务器感染后影响到其它应用服务器。

　　建议用户 创建专有网络，选择自有 IP 地址范围、划分网段、配置路由表和网关等。用户可以将比较重要的数据存储在一个跟互联网网络完全隔离的内网环境，日常运维可以用弹性IP(EIP)或者跳板机的方式，对数据进行管理。

　　安全组规则设置

　　安全组是重要的网络安全隔离手段，用于设置单台或多台云服务器的网络访问控制。用户通过安全组设置实例级别的防火墙策略，可以在网络层过滤服务器的主动/被动访问行为，限定服务器对外/对内的的端口访问，授权访问地址，从而减少攻击面，保护服务器的安全。

　　例如Linux系统默认远程管理端口22，不建议向外网直接开放，可以通过 设置安全组配置ECS公网访问控制，只授权本地固定IP对服务器进行访问。您可以查看其它 应用案例，加深对安全组的熟悉程度。对访问控制有更高要求的用户或者也可以使第用三方VPN产品，对登录行为进行数据加密，更多软件尽在 云市场。

　　登录口令设置

　　弱口令一直是数据泄露的一个大症结，因为弱口令是最容易出现的也是最容易被利用的漏洞之一。服务器的口令建议至少8位以上，从字符种类上增加口令复杂度，如包含大小写字母、数字和特殊字符等，并且要不定时更新口令，养成良好的安全运维习惯。

　　服务器端口安全

　　服务器只要给互联网提供服务，就会将对应的服务端口暴露在互联网，从安全管理的角度来说，开启的服务端口越多，就越不安全。建议只对外开放提供服务的必要端口，并修改常见端口为高端口(30000以后)，再对提供服务的端口做访问控制。

　　例如数据库服务尽量在内网环境使用，避免暴露在公网;如果必须要在公网访问，则需要修改默认连接端口3306为高端口，并根据业务授权可访问客户端地址。

　　系统漏洞防护

　　系统漏洞问题这种长期都存在的安全风险，可以通过系统补丁程序，或者 安骑士补丁管理 来解决。Windows系统的补丁更新要一直开启，Linux系统要设置定期任务执行yum update -y来更新系统软件包及内核。

　　云盾旗下的 安骑士产品 时还能识别防御非法破解密码的行为，避免被黑客多次猜解密码而入侵，批量维护服务器安全。安骑士同时还提供针对服务器应用软件不安全的配置检测和修复方案，帮助用户成功修复弱点，提高服务器安全强度。强烈推荐用户使用。

　　应用漏洞防护

　　应用漏洞是指针对Web应用、缓存、数据库、存储等服务，通过利用渗透攻击而非法获取数据的一种安全缺陷。常见应用漏洞包括：SQL注入、XSS跨站、Webshell上传、后门隔离保护、命令注入、非法HTTP协议请求、常见Web服务器漏洞攻击、核心文件非授权访问、路径穿越等。这种漏洞不同于系统漏洞，修复存在很大难度，如果程序在设计应用之初，不能对这些应用安全基线面面俱到，服务器安全的堡垒，就往往在这最后一公里被攻破。所以我们推荐通过接入 Web应用防火墙(Web Application Firewall, 简称 WAF)这种专业的防护工具，来轻松应对各类Web应用攻击，确保网站的Web安全与可用性。

　　安全情报收集

　　在当今暗流涌动的互联网安全领域，安全工程师和黑客比拼的就是时间，云盾态势感知 可以理解为一种基于大数据的安全服务，即在大规模云计算环境中，对能够引发网络安全态势发生变化的要素进行全面、快速和准确地捕获和分析。然后把客户当前遇到的安全威胁与过去的威胁进行关联回溯和大数据分析，最终产出未来可能发生的威胁安全的风险事件，并提供一个体系化的安全解决方案。

　　所以，技术人员除了在做好日常安全运维的同时，还要尽可能掌握全面的信息，提升预警能力，在发现安全问题的时候可以及时进行修复和处理，才能真正保证云服务器ECS的数据安全闭环。
 

　　【阿里云，阿里巴巴集团旗下云计算品牌，全球卓越的云计算技术和服务提供商。海商(www.hishop.com.cn)作为阿里云湖南唯一授权服务中心，国内知名商城系统及商城网站建设提供商，专为企业提供专业完善电商整体解决方案、微商云、视频云、医疗云等，咨询阿里云服务器详情可电联：18684778716(微信同号)】