Lindungi instans ECS Anda dengan mengamankan akun, memperkuat sistem operasi, menerapkan enkripsi data, melakukan isolasi jaringan, dan membangun sistem pertahanan keamanan berlapis.
Latar belakang
Alibaba Cloud melindungi infrastruktur dasar, seperti pusat data dan platform virtualisasi. Anda bertanggung jawab menerapkan praktik keamanan terbaik, yaitu melindungi akun Anda, menjaga kerahasiaan informasi, serta mengontrol izin.
Tren keamanan cloud
Ancaman keamanan siber
Ancaman keamanan siber meningkat pesat. Laporan State of Security 2022 oleh Splunk mengungkapkan:
-
49% organisasi mengalami pelanggaran data dalam dua tahun terakhir, naik dari 39% tahun lalu.
-
79% responden menghadapi serangan ransomware, dan 35% di antaranya kehilangan akses ke data dan sistem akibat satu atau beberapa serangan.
-
59% tim keamanan mencurahkan waktu dan sumber daya signifikan untuk remediasi, naik dari 42% tahun lalu.
-
Pemulihan dari downtime tak terencana rata-rata memakan waktu 14 jam, dengan perkiraan biaya USD 200.000 per jam.
Migrasi ke arsitektur berbasis cloud memunculkan tantangan keamanan baru. Satu operasi yang tidak disengaja saja dapat mengekspos aplikasi ke Internet atau mengungkap kunci. Oleh karena itu, keamanan dan kepatuhan sangat penting dalam perjalanan cloud Anda.
Bersiap melindungi aset informasi cloud
Keamanan merupakan proses berkelanjutan. Bangun dan tingkatkan postur keamanan Anda secara konsisten.
-
Kembangkan strategi keamanan holistik yang mencakup kebijakan perlindungan, tool, dan kontrol terintegrasi.
-
Integrasikan keamanan ke dalam DevOps.
-
Bangun sistem pertahanan keamanan otomatis untuk melindungi sistem Anda.
-
Ikuti standar kepatuhan keamanan cloud.
Anda juga harus:
-
Identifikasi dan kategorikan seluruh aset informasi.
-
Tentukan data aset yang perlu dilindungi.
-
Tentukan siapa yang dapat mengakses data tersebut dan untuk tujuan apa.
Lindungi aset informasi cloud
Keamanan cloud memanfaatkan kebijakan, kontrol, dan teknologi untuk melindungi data, infrastruktur, dan aplikasi dari ancaman eksternal maupun internal. Untuk memastikan kepatuhan, kembangkan aplikasi berbasis cloud dengan menerapkan prinsip keamanan sejak awal.
Terapkan praktik terbaik berikut untuk melindungi aset informasi cloud Anda.
|
Item |
Praktik terbaik |
Deskripsi |
|
Keamanan akun |
|
|
|
Manajemen resource aplikasi |
|
|
|
Keamanan informasi dan data |
|
|
|
Keamanan lingkungan jaringan |
|
|
|
Keamanan aplikasi |
Gunakan layanan keamanan untuk membangun sistem pertahanan keamanan |
|
|
Keamanan aplikasi OS tamu |
|
Lindungi akun Alibaba Cloud
Aktifkan MFA untuk akun
Aktifkan MFA untuk akun Alibaba Cloud Anda. MFA memerlukan kode keamanan selain username dan password, yang dihasilkan secara dinamis oleh perangkat MFA.
Gunakan RAM user dengan kebijakan hak istimewa minimal
Berikan izin akses ke resource ECS kepada RAM user berdasarkan prinsip hak istimewa minimal. Jangan bagikan informasi akun kepada pihak ketiga atau berikan izin yang tidak perlu. Buat RAM user (atau grup pengguna) dan lampirkan kebijakan izin spesifik untuk kontrol akses detail halus. Lihat RAM user.
-
RAM user
Jika beberapa instans ECS perlu diakses oleh entitas berbeda seperti karyawan, sistem, dan aplikasi, buat RAM user dengan izin hanya yang diperlukan untuk mencegah risiko keamanan.
-
Grup pengguna RAM
-
Buat beberapa grup pengguna dengan kebijakan izin berbeda. Misalnya, untuk meningkatkan keamanan jaringan, tolak akses ke resource ECS tertentu dari alamat IP di luar jaringan perusahaan Anda dan tetapkan kebijakan tersebut ke grup pengguna.
-
Buat grup pengguna untuk mengelola izin berdasarkan tanggung jawab pekerjaan. Misalnya, jika seorang developer menjadi administrator sistem, pindahkan akun dari grup Developers ke grup SysAdmins.
-
-
Kebijakan untuk grup pengguna
-
SysAdmins: Memerlukan izin untuk membuat dan mengelola resource ECS. Lampirkan kebijakan yang mengizinkan semua operasi pada instans, gambar, snapshot, dan security group.
-
Developers: Hanya memerlukan izin untuk menggunakan instans. Lampirkan kebijakan yang mengizinkan pemanggilan DescribeInstances, StartInstances, StopInstances, RunInstances, dan DeleteInstance.
-
Gunakan instance RAM role alih-alih pasangan AccessKey untuk memanggil operasi API
Aplikasi yang diterapkan pada instans ECS biasanya mengakses API Alibaba Cloud lain menggunakan pasangan AccessKey. Namun, menyimpan pasangan AccessKey pada instans membawa risiko keamanan seperti kebocoran dan kesulitan pemeliharaan. Instance RAM role mengatasi risiko ini dengan menggunakan RAM untuk kontrol izin detail halus tanpa mengekspos pasangan AccessKey.
Sambungkan Peran RAM Instans ke Instance ECS dan gunakan kredensial sementara Layanan Token Keamanan (STS) untuk mengakses API Alibaba Cloud lainnya. Setelah menyambungkan peran tersebut, akses metadata instans dalam mode Penguatan Keamanan. Kredensial sementara STS diperbarui secara berkala. Lihat Peran RAM Instans.
Cegah kebocoran pasangan AccessKey
Pasangan AccessKey adalah kredensial API dan harus dijaga kerahasiaannya. Jangan mengeksposnya ke saluran eksternal seperti GitHub. Jika pasangan AccessKey Anda terungkap, resource Anda berisiko.
Saran keamanan untuk pasangan AccessKey:
-
Jangan menyematkan pasangan AccessKey dalam kode.
-
Ganti pasangan AccessKey secara berkala.
-
Cabut pasangan AccessKey yang tidak diperlukan secara berkala.
-
Gunakan RAM user berdasarkan prinsip hak istimewa minimal.
-
Aktifkan audit log dan kirimkan log ke OSS dan Simple Log Service (SLS) untuk penyimpanan dan audit.
-
Tetapkan
acs:SourceIpuntuk mengontrol akses dari alamat IP publik tertentu ke API Alibaba Cloud. -
Tetapkan
acs:SecureTransportke true, yang menunjukkan bahwa fitur dan resource diakses melalui HTTPS.
Saran keamanan untuk mengelola akun dan password
|
Kategori |
Deskripsi kebijakan |
|
Akun Alibaba Cloud |
|
|
Kunci dan kredensial |
|
|
Password |
|
|
Data rahasia di KMS |
Menyimpan data rahasia dalam teks biasa pada disk menimbulkan risiko kebocoran. Aktifkan KMS untuk mengaktifkan enkripsi data di layanan cloud tanpa memelihara infrastruktur kriptografi sendiri. Misalnya, aktifkan enkripsi disk dan trusted boot pada instans ECS. |
Kelola aset informasi secara massal
Kelola dan audit resource cloud secara massal untuk mencegah aset tidak terlindungi akibat salah konfigurasi. Terapkan penyebaran seragam dan konvensi penamaan konsisten pada instans dan security group, serta lakukan pemeriksaan berkala terhadap resource yang tidak sesuai. Manfaatkan tag untuk manajemen massal, Cloud Assistant untuk operasi dan pemeliharaan (O&M) otomatis, serta Cloud Config untuk audit kepatuhan.
Gunakan tag untuk mengelola resource secara massal
-
Gunakan tag untuk mengidentifikasi, mengkategorikan, dan menemukan resource cloud secara massal. Dalam insiden keamanan, tag membantu mengidentifikasi cakupan dan tingkat keparahan dengan cepat.
-
Konfigurasikan kebijakan keamanan berdasarkan tag spesifik untuk resource seperti security group secara sekaligus.
Lihat Tag.
Gunakan Cloud Assistant untuk mengotomatiskan O&M pada saluran resource
O&M tradisional mengandalkan SSH, yang memerlukan kunci dan port terbuka—keduanya merupakan risiko keamanan jika tidak dikelola dengan baik. Cloud Assistant adalah alat O&M native untuk ECS yang memungkinkan eksekusi skrip batch dan distribusi file tanpa memerlukan password, login, atau jump server. Cloud Assistant menyediakan manajemen sesi untuk O&M interaktif dan menggunakan mekanisme keamanan berikut:
-
Kontrol akses: Cloud Assistant menggunakan kebijakan RAM untuk mengontrol akses pengguna berdasarkan instans, kelompok sumber daya, tag, atau alamat IP sumber.
-
Keandalan end-to-end: Semua resource berinteraksi melalui HTTPS dengan data dienkripsi saat transit. Instans menggunakan mekanisme keamanan internal untuk akses inbound tanpa membuka port, dan berkomunikasi outbound melalui jaringan internal tanpa mengekspos alamat IP publik.
-
Konten aman: Perintah dienkripsi dan diverifikasi menggunakan tanda tangan digital untuk mencegah perubahan selama transmisi.
-
Audit log: Panggil operasi API untuk mengaudit perintah dan file yang dikirimkan oleh Cloud Assistant, termasuk waktu eksekusi, hasil, konten, dan nama pengguna. Kirimkan log tugas ke OSS atau SLS untuk pengarsipan atau analisis.
Lihat Ikhtisar Cloud Assistant.
Gunakan Cloud Config untuk melakukan audit kepatuhan pada resource
Cloud Config mengevaluasi dan memantau resource cloud untuk memastikan kepatuhan. Layanan ini mengumpulkan resource lintas wilayah, mencatat perubahan konfigurasi dalam garis waktu, dan menghasilkan peringatan untuk konfigurasi yang tidak sesuai. Lihat Apa itu Cloud Config?
Konfigurasikan keamanan saat membuat instans
Jalankan bisnis yang memerlukan keamanan tinggi pada instans yang ditingkatkan keamanannya
Untuk beban kerja yang memerlukan keamanan tinggi dan peningkatan kepercayaan, jalankan pada instans dengan peningkatan keamanan yang mendukung trusted boot dan perlindungan data pribadi.
-
Mendukung memori terenkripsi dan komputasi rahasia berbasis Intel® Software Guard Extensions (SGX) untuk melindungi kode dan data penting dari serangan malware.
-
Menerapkan trusted boot berbasis chip Trusted Cryptography Module (TCM) atau Trusted Platform Module (TPM). Selama proses trusted boot, semua modul dalam rantai boot—mulai dari server dasar hingga instans ECS—diukur dan diverifikasi.
Gunakan gambar aman
-
Gunakan gambar publik dan aktifkan penguatan keamanan untuk gambar tersebut.
-
Gunakan gambar publik yang disediakan oleh Alibaba Cloud.
-
Aktifkan fitur penguatan keamanan gratis untuk gambar publik guna memperoleh kemampuan seperti deteksi webshell, pemeriksaan konfigurasi keamanan, dan peringatan login tidak biasa.

-
-
Gunakan gambar kustom terenkripsi.
Enkripsi gambar kustom menggunakan algoritma AES-256 untuk mencegah kebocoran data. Buat disk terenkripsi terlebih dahulu, lalu buat gambar kustom terenkripsi berdasarkan disk tersebut. Anda juga dapat mengenkripsi salinan gambar melalui fitur Copy and Encrypt. Untuk gambar terenkripsi yang dibagikan, gunakan kunci BYOK terpisah guna mencegah kebocoran kunci. Lihat Salin gambar kustom.
Enkripsi data pada disk menggunakan KMS
Enkripsi disk untuk melindungi data yang tersimpan tanpa mengubah bisnis atau aplikasi. Snapshot yang dibuat dari disk terenkripsi serta disk yang dibuat dari snapshot tersebut juga akan dienkripsi. Baik disk sistem maupun disk data dapat dienkripsi. Lihat Enkripsi disk.
Gunakan snapshot untuk tujuan pemulihan bencana
-
Gunakan snapshot untuk pencadangan data
Snapshot merupakan fondasi pemulihan bencana dan membantu meminimalkan kehilangan data akibat kegagalan sistem, operasi tidak sengaja, atau insiden keamanan. Buat snapshot sesuai kebutuhan Anda. Lihat Buat snapshot secara manual.
Buat snapshot otomatis setiap hari dan simpan setidaknya selama tujuh hari untuk meningkatkan ketahanan terhadap bencana dan meminimalkan potensi kehilangan data.

-
Gunakan snapshot terenkripsi
ECS menggunakan enkripsi AES-256 untuk snapshot guna mencegah kebocoran data. Buat disk terenkripsi terlebih dahulu, lalu buat snapshot terenkripsi berdasarkan disk tersebut.
Akses metadata instans dalam mode penguatan keamanan
Metadata instans ECS mencakup informasi tentang instans di Alibaba Cloud. Anda dapat melihat dan menggunakan metadata instans yang sedang berjalan untuk mengonfigurasi atau mengelolanya. Lihat Metadata instans.
Akses metadata instans dalam mode penguatan keamanan. Dalam mode ini, sesi dibuat antara instans dan server metadata, dan server mengotentikasi identitas Anda menggunakan token. Saat token kedaluwarsa, sesi akan ditutup. Batasan penggunaan token:
-
Setiap token hanya berlaku untuk satu instans ECS. Permintaan akses menggunakan token dari instans lain akan ditolak.
-
Masa berlaku setiap token berkisar antara 1 hingga 21.600 detik (6 jam). Token dapat digunakan berulang kali hingga masa berlakunya habis.
-
Akses proxy tidak didukung; permintaan yang menyertakan header X-Forwarded-For akan ditolak.
-
Jumlah token yang dapat dikeluarkan untuk setiap instans tidak terbatas.
Isolasi dan amankan resource jaringan
VPC mengabstraksi jaringan fisik menjadi jaringan virtual aman yang terisolasi pada lapisan tautan data. VPC sepenuhnya terisolasi dan hanya dapat diakses melalui alamat IP elastis (EIP) atau alamat IP NAT. Anda dapat mengonfigurasi rentang alamat IP, blok CIDR, tabel rute, dan gerbang dalam setiap VPC. Hubungkan pusat data lokal ke VPC menggunakan VPN Gateway, Express Connect, atau Smart Access Gateway (SAG). Untuk menghubungkan jaringan lintas wilayah secara global, gunakan Cloud Enterprise Network (CEN).
Jaringan rentan terhadap serangan siber. Di Alibaba Cloud, kontrol akses ke VPC dilakukan melalui security group, ACL jaringan, kebijakan routing, atau sirkuit Express Connect. Selain itu, konfigurasikan Cloud Firewall, WAF, dan Anti-DDoS untuk perlindungan terhadap ancaman eksternal.
Ikuti saran keamanan untuk mengisolasi resource jaringan
Saran keamanan untuk isolasi jaringan:
-
Buat akun administrator jaringan untuk mengelola security group, ACL jaringan, dan log lalu lintas secara terpusat.
-
Gunakan ACL jaringan untuk membatasi akses ke data pribadi.
-
Isolasi resource jaringan dan pra-konfigurasi subnet besar untuk mencegah tumpang tindih subnet.
-
Konfigurasikan security group berdasarkan titik akses, bukan berdasarkan resource.
Bangun lingkungan jaringan yang aman
-
Konfigurasikan security group dengan tepat untuk mengisolasi jaringan dan mengurangi permukaan serangan.
Security group mengontrol akses jaringan ke dan dari instans ECS. Konfigurasikan aturan untuk memfilter lalu lintas berdasarkan port dan alamat IP guna mengurangi permukaan serangan.
Misalnya, port 22 adalah port SSH default pada instans Linux. Membukanya menimbulkan risiko keamanan. Konfigurasikan aturan untuk hanya mengizinkan alamat IP tertentu mengakses port 22, atau gunakan VPN untuk mengenkripsi data login.
Saran
Deskripsi
Referensi
Prinsip hak istimewa minimal
Security group harus berfungsi seperti daftar putih. Buka hanya port yang diperlukan dan alokasikan hanya alamat IP publik yang diperlukan. Gunakan VPN atau bastion host untuk troubleshooting. Konfigurasi yang salah dapat mengekspos port atau alamat IP ke Internet.
-
Buka hanya port yang diperlukan oleh bisnis dalam security group untuk lalu lintas Internet dan jaringan internal.
-
Untuk port layanan berisiko tinggi, izinkan akses hanya dari alamat IP tertentu.
-
Untuk backend manajemen layanan HTTP, izinkan akses hanya dari alamat IP tertentu dan aktifkan WAF untuk nama domain.
Jangan tetapkan 0.0.0.0/0 sebagai objek otorisasi dalam aturan security group Anda.
Mengizinkan semua akses inbound adalah kesalahan umum.
0.0.0.0/0berarti semua alamat IP. Aturan dengan objek otorisasi ini membuka semua port untuk akses eksternal. Tolak akses melalui semua port secara default, lalu izinkan hanya port yang diperlukan seperti 80, 8080, dan 443.Nonaktifkan aturan security group inbound yang tidak lagi diperlukan.
Jika aturan mencakup
0.0.0.0/0, tinjau port yang diekspos aplikasi Anda. Untuk port yang seharusnya tidak menyediakan layanan eksternal, tambahkan aturan Deny. Misalnya, jika MySQL berjalan di port 3306, tambahkan aturan Deny dengan prioritas terendah (100).Gunakan security group sebagai objek otorisasi dalam aturan security group.
Tambahkan aturan berdasarkan prinsip hak istimewa minimal. Lapisan aplikasi berbeda harus menggunakan security group berbeda dengan aturan inbound dan outbound yang sesuai.
-
Untuk aplikasi terdistribusi dengan security group yang tidak saling dapat diakses, tambahkan aturan yang mereferensikan security group (alih-alih alamat IP atau blok CIDR) sebagai objek otorisasi untuk mengizinkan akses timbal balik.
-
Misalnya, buat sg-web untuk lapisan web dan sg-database untuk lapisan database. Di sg-database, tambahkan aturan yang mereferensikan sg-web untuk mengizinkan akses melalui port 3306.
Konfigurasikan nama dan tag yang sesuai untuk security group.
Nama dan deskripsi yang jelas membantu mengidentifikasi security group.
Tambahkan tag ke security group melalui Konsol ECS atau API untuk pencarian dan manajemen yang mudah.
Tambahkan instans ECS yang memerlukan akses timbal balik ke security group yang sama.
Setiap instans ECS dapat menjadi anggota hingga lima security group. Instans dalam security group yang sama berkomunikasi melalui jaringan internal. Jika Anda memiliki beberapa security group, buat grup baru dan tambahkan instans yang memerlukan komunikasi jaringan internal.
Jangan tambahkan semua instans ke security group yang sama. Untuk aplikasi terdistribusi, setiap instans memiliki peran berbeda dan memerlukan aturan inbound dan outbound spesifik.
Isolasi instans dalam security group.
Security group bertindak sebagai firewall virtual dengan Stateful Packet Inspection (SPI). Instans dalam security group yang sama berbagi wilayah dan persyaratan keamanan yang sama. Alibaba Cloud menyempurnakan kebijakan kontrol akses internal untuk mengisolasi instans dalam security group.
Gunakan aturan quintuple security group.
Security group mengontrol akses jaringan ke instans ECS dan menyediakan isolasi keamanan logis. Aturan quintuple memungkinkan kontrol akses tepat berdasarkan IP sumber, port sumber, IP tujuan, port tujuan, dan protokol lapisan transport.
Tambahkan instans ECS yang menyediakan layanan menghadap Internet dan yang menyediakan layanan menghadap jaringan internal ke security group berbeda.
Aplikasi pada instans ECS mungkin dapat diakses Internet saat instans mengekspos port (seperti 80 dan 443) atau menggunakan aturan pengalihan port (seperti pengalihan port NAT atau pengalihan berbasis EIP).
-
Terapkan aturan security group paling ketat. Tolak semua protokol dan port secara default, lalu izinkan hanya port yang diperlukan oleh layanan eksternal seperti 80 dan 443.
-
Instans yang menghadap Internet dalam security group yang sama harus memiliki tanggung jawab yang jelas. Terapkan layanan backend seperti MySQL dan Redis pada instans tanpa akses Internet, lalu gunakan aturan security group untuk mengizinkan akses dari security group tertentu.
-
-
Konfigurasikan domain keamanan untuk mengisolasi layanan dengan tingkat keamanan berbeda dalam organisasi Anda.
Bangun jaringan pribadi dengan VPC untuk meng-host server dengan tingkat keamanan berbeda secara terpisah. Buat VPC, tetapkan blok CIDR, konfigurasi tabel rute dan gerbang, serta simpan data penting dalam VPC yang terisolasi secara logis ini. Gunakan EIP atau jump server untuk operasi dan pemeliharaan (O&M) harian. Lihat Buat dan kelola VPC.
-
Gunakan jump server atau bastion host untuk melindungi dari intrusi internal dan eksternal.
Jump server memiliki izin luas. Gunakan bastion host sebagai gantinya untuk mencatat dan mengaudit semua operasi O&M, mendeteksi anomali, dan mengaitkan tindakan ke personel tertentu.
Tetapkan jump server ke vSwitch khusus dalam VPC dan asosiasikan EIP atau tabel pengalihan port NAT yang sesuai. Buat security group khusus (SG_BRIDGE) dan buka hanya port yang diperlukan (TCP 22 untuk Linux, RDP 3389 untuk Windows). Batasi akses inbound ke alamat IP publik organisasi Anda tertentu. Untuk memberikan akses jump server ke security group lain (SG_CURRENT), tambahkan aturan yang mengizinkan akses dari SG_BRIDGE melalui protokol dan port tertentu. Untuk SSH, gunakan pasangan kunci alih-alih password. Lihat Ikhtisar pasangan kunci SSH.
-
Tetapkan alamat IP publik dengan tepat untuk mengurangi permukaan serangan yang terekspos Internet.
Alokasi IP publik yang tepat mengurangi permukaan serangan. Untuk instans VPC, hubungkan instans yang memerlukan akses Internet ke beberapa vSwitch yang ditentukan untuk memudahkan audit.
-
Jangan tetapkan alamat IP publik ke instans yang tidak menyediakan layanan Internet. Untuk beberapa instans yang menghadap Internet, gunakan SLB untuk mendistribusikan lalu lintas. Lihat Ikhtisar SLB.
-
Untuk instans yang memerlukan akses Internet outbound tetapi tidak memiliki IP publik, gunakan gateway NAT. Konfigurasikan entri SNAT untuk blok CIDR atau subnet tertentu untuk menghindari mengekspos layanan ke Internet. Lihat Apa itu VPN Gateway?
-
Gunakan layanan keamanan untuk membangun sistem pertahanan keamanan
Gunakan Anti-DDoS Origin Basic (gratis), Anti-DDoS Pro, dan Anti-DDoS Premium untuk meredam serangan DDoS
Serangan DDoS membanjiri target dengan lalu lintas palsu dari berbagai sistem yang dikompromikan. Alibaba Cloud Security Center melindungi terhadap serangan Lapisan 3 hingga Lapisan 7, termasuk serangan banjir SYN, UDP, ACK, ICMP, DNS, dan HTTP. Anti-DDoS Origin Basic menyediakan mitigasi DDoS hingga 5 Gbit/s secara gratis.
Anti-DDoS Origin Basic diaktifkan secara default pada instans ECS dan menjaga akses normal selama serangan DDoS tanpa perlu membeli perangkat pembersihan. Setelah membuat instans, tetapkan ambang batas pembersihan lalu lintas-nya.
Gunakan Security Center Basic gratis untuk melindungi dari eksploitasi kerentanan sistem
Security Center adalah sistem manajemen keamanan terpusat yang mengidentifikasi, menganalisis, dan memberikan peringatan ancaman secara real-time. Fitur-fiturnya mencakup anti-ransomware, antivirus, pencegahan perubahan web, dan pemeriksaan kepatuhan.
Security Center Basic tersedia secara default dan memindai login tidak biasa, kerentanan, serta risiko konfigurasi layanan cloud. Untuk fitur lanjutan seperti deteksi ancaman, perbaikan kerentanan, dan penghapusan virus, beli edisi berbayar melalui Konsol Security Center. Lihat Security Center Basic.
Gunakan WAF untuk melindungi dari eksploitasi kerentanan sistem
WAF melindungi aplikasi web dari serangan OWASP umum dan serangan banjir HTTP, termasuk injeksi SQL, serangan XSS, webshell, trojan, serta akses tidak sah. WAF memblokir lalu lintas berbahaya untuk mencegah kebocoran data serta memastikan keamanan dan ketersediaan situs web. Lihat Memulai.
Manfaat WAF:
-
WAF menangani berbagai serangan web untuk memastikan keamanan dan ketersediaan tanpa perlu menginstal perangkat lunak atau keras maupun memodifikasi kode. WAF menyediakan perlindungan khusus untuk situs web di berbagai bidang, seperti keuangan, e-commerce, O2O, game, dan layanan publik.
-
Tanpa WAF, Anda mungkin rentan terhadap intrusi web, kebocoran data, serangan banjir HTTP, dan trojan.
Lihat Memulai dengan WAF.
Lindungi aplikasi dalam sistem operasi tamu instans
Konfigurasikan pengaturan keamanan untuk memastikan login aman ke instans ECS
Secara default, akun non-root dapat login ke instans ECS. Berikan izin administratif menggunakan su atau sudo. Akun root tidak dapat login menggunakan file kunci PEM secara default. Untuk instans Linux, konfigurasikan agar hanya mengizinkan login berbasis pasangan kunci RSA. Untuk instans Windows, gunakan kata sandi kompleks dengan minimal delapan karakter yang mencakup karakter khusus.
Instans Linux:
-
Secara default, instans Linux menggunakan akun non-root untuk login.
Login sebagai root memberikan izin tertinggi tetapi menimbulkan risiko keamanan jika instans diserang. Gunakan gambar publik Anolis OS 8.4 atau Ubuntu 20.04 yang mendukung login melalui akun ecs-user.

-
Gunakan pasangan kunci SSH sementara untuk login ke instans Linux.
Gunakan plug-in config_ecs_instance_connect untuk mengirim kunci publik SSH ke instans tertentu. Kunci tersebut disimpan selama 60 detik, sehingga Anda dapat terhubung tanpa kata sandi selama periode tersebut. Lihat Terhubung dengan pasangan kunci sementara.
Pasangan kunci SSH terdiri dari kunci publik dan kunci privat, yang secara default dienkripsi dengan RSA-2048. Keunggulan autentikasi berbasis pasangan kunci dibandingkan autentikasi berbasis kata sandi:
-
Keamanan dan keandalan login lebih tinggi.
-
Kekuatannya jauh melebihi kata sandi biasa, sehingga mencegah serangan brute-force.
-
Kunci privat tidak dapat disimpulkan dari kunci publik.
-
Pasangan kunci SSH mudah digunakan.
-
Konfigurasikan kunci publik pada instans Linux, lalu gunakan kunci privat untuk menjalankan perintah SSH tanpa kata sandi.
-
Gunakan pasangan kunci untuk mengelola beberapa instans Linux secara batch. Tentukan pasangan kunci saat membuat instans atau ikat setelah pembuatan, lalu terhubung menggunakan kunci privat.
-
Modifikasi file sshd_config untuk menonaktifkan login berbasis kata sandi dan hanya mengizinkan login berbasis pasangan kunci RSA.
-
Instans Windows:
-
Password lemah merupakan kerentanan utama. Gunakan password kompleks yang terdiri dari minimal delapan karakter, mencakup huruf kapital, huruf kecil, angka, dan karakter khusus, serta ganti secara berkala.
Tetapkan kata sandi yang kuat untuk Instance ECS. Kata sandi harus terdiri dari 8 hingga 30 karakter dan mengandung setidaknya tiga dari jenis karakter berikut: huruf besar, huruf kecil, angka, dan karakter khusus, termasuk ()`~!@#$%^&*_\-+=|{}[]:;'<>,.?/. Untuk instance Windows, kata sandi tidak boleh diawali dengan garis miring (/).
Enkripsi data dalam transit
Konfigurasikan security group atau firewall agar hanya mengizinkan komunikasi melalui port yang mengenkripsi data. Gunakan protokol enkripsi seperti TLS 1.2 atau versi yang lebih baru untuk mengenkripsi data sensitif saat transit antara klien dan instans ECS.
Monitor dan audit anomali log
Laporan M-Trends 2018 oleh FireEye menemukan bahwa waktu tinggal median global—yakni periode dari serangan hingga deteksi—adalah 101 hari, sedangkan di Asia Pasifik mencapai 498 hari. Data log yang andal dan layanan audit sangat penting untuk memperpendek waktu tinggal tersebut.
Gunakan CloudMonitor, ActionTrail, Log Audit Service, log aliran VPC, dan log aplikasi untuk membangun sistem pemantauan dan peringatan guna mendeteksi akses resource dan izin yang tidak normal.
-
Gunakan CloudMonitor untuk menetapkan ambang batas peringatan penggunaan resource dan mencegah serangan DDoS. Lihat Apa itu CloudMonitor.
-
Gunakan ActionTrail untuk mendeteksi akses tidak sah, konfigurasi keamanan yang salah, dan operasi berisiko tinggi. ActionTrail juga mendukung audit kepatuhan dan deteksi ancaman. Gunakan MFA untuk mengontrol akses ke ActionTrail. Lihat ActionTrail.
-
Aktifkan fitur log aliran di VPC untuk mencatat lalu lintas ENI inbound dan outbound.
-
Gunakan Log Audit Service untuk mengumpulkan, menganalisis, dan memvisualisasikan data serta menghasilkan peringatan dalam skenario seperti DevOps, operasi, keamanan, dan audit. Lihat Ikhtisar Log Audit Service.
-
Lacak log event aplikasi dan log panggilan API.
-
Sinkronkan semua log ke SLS atau OSS secara berkala dan konfigurasikan izin aksesnya.
-
Tambahkan ID instans, wilayah, zona, dan lingkungan (uji atau produksi) ke log untuk memudahkan troubleshooting.