建立執行個體時應勾選免費安全強化,啟用主機安全防護能力。
安全風險
新建立的ECS執行個體,即使作業系統本身是純淨的,也如同一個暴露在互連網上的“裸機”。它時刻面臨著來自網路的自動化掃描和攻擊,這些攻擊旨在利用未修複的系統漏洞、弱密碼或錯誤配置來植入惡意軟體(如挖礦病毒、勒索軟體)、竊取資料或將其納為殭屍網路(Botnet)的一部分。
在使用公用鏡像新購ECS執行個體時,阿里雲預設會為您提供基礎安全服務(Security Center免費版)。建議您開啟該能力,它能夠為您提供基礎的安全強化能力,包括漏洞掃描(不包括自動修複)、應急漏洞掃描、AK泄露檢測、合規檢查、異地登入檢查等功能。
最佳實務
開啟免費安全強化
控制台
通過執行個體購買頁建立執行個體時,勾選免費安全強化(公用鏡像預設開啟)。
API
通過RunInstances或者CreateInstance介面建立執行個體時,指定SecurityEnhancementStrategy參數值為Active開啟安全強化(僅公用鏡像支援)。
購買Security Center
Security Center針對不同情境下的安全防護需求,還提供了多個收費版本的主機及容器安全服務(防病毒版、進階版、企業版、旗艦版)和適用於特定情境的安全功能(例如:防勒索、容器鏡像安全掃描、雲蜜罐、網頁防篡改、應用防護、威脅分析與響應等)。建議根據自身的安全需求,在瞭解購買Security Center後,靈活購買所需的主機及容器版本和安全功能。
合規能力
檢查:執行個體是否開啟免費安全強化
方法一:通過主機資產查看
在左側功能表列選擇。
在此頁面,您可以篩選和查看所有ECS執行個體的用戶端狀態。
: 表示用戶端線上(正常)。
: 表示用戶端未安裝或者離線(安裝過但目前無法與Security Center正常通訊,可能原因包括執行個體關機、用戶端進程異常或網路不通)。
方法二:通過雲安全態勢管理掃描檢查
在左側功能表列選擇,選擇雲產品配置風險頁簽,尋找名為Security Center用戶端狀態檢查的檢查項,單擊操作列的掃描按鈕。
若狀態顯示為未通過,表示存在未開啟免費安全強化的執行個體,可單擊詳情進行查看。
攔截:攔截未開啟免費加固的執行個體建立操作
通過RAM Policy策略,在組織或賬戶層面設定策略,主動攔截未開啟免費加固的執行個體建立行為。
針對企業使用者:
使用阿里雲主帳號登入資來源目錄控制台,單擊左側功能表列的管控策略,建立自訂權限原則,粘貼以下JSON內容。
限制未開啟安全強化的執行個體建立操作。
{ "Version": "1", "Statement": [ { "Effect": "Deny", "Action": [ "ecs:RunInstances", "ecs:CreateInstance" ], "Resource": [ "acs:ecs:*:*:instance/*" ], "Condition": { "StringEquals": { "ecs:SecurityEnhancementStrategy": "Deactive" } } } ] }在資來源目錄中選擇合適的節點繫結原則,策略將對目錄下的帳號產生攔截效果。
針對非企業使用者:
使用阿里雲主帳號登入RAM控制台,單擊左側功能表列的權限原則,建立一條與上述內容相同的自訂策略。
通過系統管理權限策略授權將該條許可權授權給RAM使用者、RAM使用者組或RAM角色。
修複:修複未開啟安全強化執行個體
情境一:執行個體網路通暢且已安裝雲助手(Agent)
登入Security Center控制台,在左側功能表列選擇。
選擇用戶端標籤頁,然後單擊未安裝用戶端子標籤,這裡會列出所有需要安裝雲助手的執行個體,勾選您希望修複的執行個體。
點擊列表下方的一鍵安裝按鈕,系統將通過雲助手自動完成Agent的下載和安裝。
回到,確認目標執行個體的用戶端狀態已變為線上
。
情境二:執行個體網路不通或未安裝雲助手 如果無法通過控制台自動安裝,需要登入到執行個體內部進行安裝。
登入 Security Center控制台,在左側功能表列選擇,選擇用戶端標籤頁,單擊安裝命令子標籤。
根據您的ECS執行個體的作業系統類型(如CentOS、Ubuntu、Windows)和網路環境(VPC內網或公網),複製對應的安裝命令。
登入到您的ECS執行個體,執行您在上一步複製的安裝命令。
安裝完成後,回到,確認目標執行個體的用戶端狀態已變為線上
。