全部產品
Search

搜尋本產品

    Elastic Compute Service:基礎安全服務

    文件中心

    Elastic Compute Service:基礎安全服務

    更新時間:Nov 04, 2025

    阿里雲ECS的基礎安全服務,涵蓋異常登入檢測、漏洞掃描等功能,您可通過ECS控制台或Security Center即時查看雲端服務器的安全狀態。

    背景資訊

    阿里雲Security Center(Security Center)為Elastic Compute Service提供免費版的漏洞掃描、基礎警示通知、異常登入檢測、AK泄露檢測、合規檢查等基礎安全服務。您可以在ECS管理主控台的概覽頁面或者Security Center控制台查看相關安全資訊。更多資訊,請參見什麼是Security Center

    計費說明

    基礎安全服務的計費說明如下:

    • Elastic Compute Service的基礎安全服務為免費服務,不收取服務費用。詳情請參見Security Center免費版簡介

    • 如果您需要升級為進階版或者企業版Security Center,可以在Security Center控制台免費試用或者購買服務。進階版或者企業版Security Center的計費說明,請參見計費概述

    使用Security Center用戶端

    Security Center用戶端是安裝在Elastic Compute Service中的低損耗的控制項。未安裝Security Center用戶端的Elastic Compute Service不會受到Security Center保護,ECS管理主控台頁面也不會顯示該資產的漏洞、警示、基準漏洞和資產指紋等資料。關於Security Center用戶端的安裝路徑,請參見用戶端支援的作業系統

    您可以按以下方式操作Security Center用戶端。

    • 建立ECS執行個體時自動安裝Security Center用戶端

      1. 訪問ECS控制台-執行個體。在頁面左側頂部,選擇目標資源所在的資源群組和地區。

      2. 建立一台ECS執行個體,在鏡像地區,選中免費安全強化,系統自動為建立ECS執行個體安裝Security Center用戶端。更多資訊,請參見自訂購買執行個體

      可以在調用RunInstances時通過設定SecurityEnhancementStrategy=Active為建立ECS執行個體自動安裝Security Center用戶端。

    • 為已有的ECS執行個體手動安裝Security Center用戶端

      具體操作,請參見安裝用戶端

    • 卸載Security Center用戶端

      具體操作,請參見卸載用戶端

    查看安全狀態和修複安全問題

    您可以按以下步驟查看Elastic Compute Service的安全狀態並修複安全問題。

    1. 訪問ECS控制台-執行個體。在頁面左側頂部,選擇目標資源所在的資源群組和地區。

    2. 在執行個體列表頁面,找到目標執行個體,單擊監控列下的image表徵圖,進入Security Center控制台查看雲安全報告。

    3. 進入Security Center控制台修複對應的漏洞和安全警示事件,修複方法具體請參見修複漏洞分析及處理安全警示

    安全問題常見情境

    常見的漏洞和安全警示事件情境可參見漏洞分類及情境安全警示事件情境

    漏洞分類及情境

    漏洞等級

    描述

    常見情境

    應對措施

    修複方式

    高危漏洞

    此類漏洞會直接威脅系統安全,如未修複的系統漏洞、SQL注入、弱口令等。建議您重點關注並儘快修複

    未修複的系統漏洞

    • 作業系統(如Linux、Windows)中存在的高風險CVE漏洞。

    • 未及時修複的遠程代碼執行漏洞(RCE)。

    • 定期檢查並安裝作業系統和軟體的安全補丁。

    • 使用Security Center的漏洞掃描功能,及時修複高風險漏洞。

    • 對於Linux系統:運行 yum update 或 apt-get update 安裝更新。

    • 對於Windows系統:通過Windows Update安裝最新補丁。

    Web應用漏洞

    • SQL注入漏洞(可直接擷取資料庫許可權)。

    • 遠程命令執行漏洞(如Struts2漏洞)。

    • 對使用者輸入進行嚴格的驗證和過濾。

    • 使用Web Application Firewall(WAF)防護常見攻擊。

    • 修複代碼中的安全性漏洞(如使用參數化查詢防止SQL注入)。

    • 更新Web架構和組件到最新版本。

    服務配置漏洞

    • Redis、MySQL等服務未設定密碼或暴露在公網。

    • Docker未授權訪問漏洞。

    • 禁止將高危服務(如Redis、MySQL)暴露在公網。

    • 設定強密碼並限制訪問IP。

    • 修改設定檔,綁定到內網IP或設定訪問白名單。

    • 啟用身分識別驗證功能(如Redis的requirepass)。

    惡意軟體

    • 挖礦木馬、後門程式等惡意檔案。

    • 定期掃描系統,查殺惡意檔案。

    • 使用Security Center的惡意檔案檢測功能。

    • 刪除惡意檔案並修複相關漏洞。

    • 重設受影響的服務密碼。

    弱口令風險

    • SSH、RDP、FTP等服務使用弱密碼或預設密碼。

    • 使用強密碼原則(包含大小寫字母、數字、特殊字元)。

    • 啟用多因素認證(MFA)。

    • 修改弱密碼為強密碼。

    • 禁用預設帳號或修改預設密碼。

    中危漏洞

    此類漏洞可能對系統造成一定危害,如XSS、檔案上傳漏洞、異常登入等。建議您及時修複。

    未修複的軟體漏洞

    • 中介軟體(如Apache、Nginx、Tomcat)中的中風險漏洞。

    • 資料庫(如MySQL、PostgreSQL)中的許可權提升漏洞。

    • 定期更新中介軟體到最新版本。

    • 關閉不必要的功能模組。

    • 下載並安裝官方補丁。

    • 修改設定檔,禁用高風險功能。

    Web應用漏洞

    • 跨站指令碼攻擊(XSS)。

    • 檔案上傳漏洞(可能導致惡意檔案上傳)。

    • 對使用者輸入和輸出進行嚴格的過濾和編碼。

    • 限制檔案上傳類型和大小。

    • 修複代碼中的XSS漏洞(如對輸出內容進行HTML編碼)。

    • 增加檔案上傳的類型檢查和病毒掃描。

    配置風險

    • 未啟用HTTPS的Web服務。

    • 未限制IP訪問的高風險連接埠(如22、3389)。

    • 啟用HTTPS加密通訊。

    • 關閉不必要的連接埠。

    • 配置SSL認證並啟用HTTPS。

    • 修改安全性群組規則,限制高風險連接埠的訪問IP。

    異常登入

    • 檢測到暴力破解行為(如多次嘗試登入失敗)。

    • 啟用登入失敗鎖定機制。

    • 限制登入IP範圍。

    • 配置SSH的Fail2Ban工具防止暴力破解。

    • 修改安全性群組規則,限制SSH、RDP等服務的訪問IP。

    資料泄露風險

    • 設定檔(如.env)中包含敏感資訊。

    • 避免將敏感資訊明文儲存在設定檔中。

    • 使用加密儲存敏感性資料。

    • 移除設定檔中的敏感資訊。

    • 使用環境變數或Key Management Service(KMS)儲存敏感性資料。

    低危漏洞

    此類漏洞對系統影響較小,但長期存在可能增加風險,如配置風險、合規風險等。您可以延後修複。

    未修複的低風險漏洞

    • 作業系統或軟體中的低風險漏洞(如資訊泄露漏洞)。

    • 定期掃描系統,修複低風險漏洞。

    • 安裝官方提供的補丁或更新。

    配置風險

    • 未啟用日誌審計功能。

    • 未及時更新SSL認證。

    • 啟用日誌審計功能,定期檢查日誌。

    • 及時更新SSL認證。

    • 配置日誌審計工具(如Logrotate)。

    • 更新SSL認證並配置自動續期。

    合規風險

    • 未啟用多因素認證(MFA)。

    • 不符合等保2.0或GDPR等合規要求。

    • 啟用多因素認證(MFA)。

    • 根據合規要求調整系統配置。

    • 在雲控制台啟用MFA。

    • 參考等保2.0或GDPR要求,完善安全配置。

    其他風險

    • 未使用的服務或連接埠未關閉。

    • 關閉未使用的服務和連接埠。

    • 使用systemctl disable關閉未使用的服務。

    • 修改安全性群組規則,關閉未使用的連接埠。

    安全警示事件情境

    更多的安全警示類型請參見CWPP(雲工作負載)安全警示概述CWPP(雲工作負載)安全警示概述

    警示類型

    描述

    常見情境

    異常登入

    檢測到異常的登入行為。

    • 異地登入:從未登入過的IP地址。

    • 暴力破解:多次嘗試登入失敗。

    • 非常用時間段登入:非工作時間的登入行為。

    惡意檔案

    檢測到惡意程式或檔案。

    • 挖礦木馬:如XMRig。

    • 後門程式:如WebShell。

    • 病毒或蠕蟲:惡意軟體傳播行為。

    網路攻擊

    檢測到針對ECS執行個體的網路攻擊行為。

    • DDoS攻擊:如SYN Flood、UDP Flood。

    • 連接埠掃描:針對ECS執行個體的連接埠掃描。

    • 暴力破解:如FTP、MySQL服務的暴力破解。

    資料泄露

    檢測到敏感資訊泄露或未授權訪問。

    • 敏感資訊泄露:資料庫或設定檔泄露。

    • 未授權訪問:未授權使用者訪問敏感資源。

    配置風險

    檢測到系統或服務配置不當導致的安全隱患。

    • 高風險連接埠暴露:如22、3389連接埠暴露在公網。

    • 未啟用HTTPS:Web服務未啟用HTTPS加密。

    合規風險

    檢測到不符合安全合規要求的行為。

    • 未啟用MFA:未啟用多因素認證。

    • 日誌審計未開啟:未開啟日誌審計功能。

    其他警示

    檢測到其他潛在的安全威脅或異常行為。

    • 異常進程:未知的惡意程式運行。

    • 檔案篡改:系統關鍵檔案被篡改。

    設定警示通知

    基礎安全服務支援對安全警示處理專案設定警示通知,接收方式為站內信。您可以按以下方式設定警示通知。

    1. ECS管理主控台

    2. 概覽頁面,滑鼠移至上方在地區中的待處理任務後,單擊右側安全評分地區中的立即處理,前往Security Center管理主控台。

    3. 在左側導覽列,選擇系統配置 > 通知設定

    4. 安全警示地區,選擇訊息等級,設定通知方式和通知時間。 關於安全警示等級,請參見安全警示風險等級的分類

      如果您已經升級為進階版或者企業版Security Center,請參見CWPP(雲工作負載)安全警示概述查看更多警示方式。

    安全警示風險等級的分類

    Security Center對安全警示風險等級的分類如下:

    風險等級

    描述

    處理說明

    緊急

    • 該警示所描述的行為,與常見的攻擊者行為相似,對您的資產有破壞性或者持久性的影響,例如“反彈Shell命令”等。

    • 該風險等級表示您的資產很有可能正在受到攻擊。

    建議您立即查看安全警示的詳情並及時進行處理。

    可疑

    • 該警示所描述的行為,對您的資產有破壞性或者持久性的影響,但該行為可能與部分營運行為較為相似,例如“可疑的添加使用者行為”等。

    • 或者該警示所描述的行為是攻擊路徑上的非必經路徑,即使缺失這些行為也不影響攻擊者達到其目的,例如“攻擊痕迹清理”等。

    • 該風險等級表示您的資產有一定機率正在受到攻擊。

    建議您查看該安全警示,進一步判斷是否存在風險並進行相應處理。

    提醒

    • 該警示所描述的行為是攻擊路徑上的非必經路徑,即使缺失這些行為也不影響攻擊者達到其目的。

    • 同時該行為可能會與部分營運行為較為相似,如“可疑的連接埠監聽行為”等。

    如果您對您的資產的安全等級要求較高,可以關注該等級的安全警示。