雲安全治理需從作業系統、資料、網路等多領域實施基礎與增強安全方案，強化存取控制、漏洞管理及合規審計以保障雲上業務安全。 - Elastic Compute Service

在雲環境中構建和維護安全、合規的業務系統，需重點關注五個核心領域的安全防護。

方案概覽

基礎安全方案：建議所有業務情境採納，是保障雲上資產安全的基本要求。
增強安全方案：建議對安全性敏感或有合規要求的企業級業務採納，具備全面的安全防護能力。

安全類型	安全子類型	最佳實務	基礎安全方案	增強安全方案
作業系統安全	憑據安全	避免使用弱口令登入執行個體	推薦	推薦
	基於網路的存取控制	執行個體營運連接埠應限制IP訪問來源	推薦	推薦
	漏洞管理	啟用主機安全防護	推薦	推薦
	漏洞管理	修複高危安全性漏洞	推薦	推薦
	特權訪問管理	避免使用root帳號登入執行個體		推薦
	憑據安全	避免使用自訂鏡像中的預設登入憑證		推薦
	供應鏈安全	限制使用指定範圍鏡像建立執行個體		推薦
	監控警示	啟用異常登入檢查		推薦
資料安全	資料保護	開啟雲端硬碟自動快照策略	推薦	推薦
	敏感資訊	僅允許HTTPS訪問ECS OpenAPI	推薦	推薦
	供應鏈安全	鏡像/快照許可權管控與資料防泄露		推薦
	加密	使用加密雲端硬碟		推薦
	加密	使用僅加固模式訪問執行個體中繼資料		推薦
身份與存取控制	憑據安全	保護雲帳號，防止憑據泄露	推薦	推薦
	特權訪問管理	避免使用主帳號，為不同職責子帳號成員授予不同許可權	推薦	推薦
	基於網路的存取控制	約束OpenAPI調用來源IP合法範圍		推薦
	資源層級的許可權控制	使用資源群組實現橫向分權管理		推薦
	資源層級的許可權控制	啟用標籤細粒度資源許可權管理		推薦
	合規約束配置	使用RAM Policy約束雲上操作		推薦
網路安全	基於網路的存取控制	收斂ECS執行個體的公網暴露風險	推薦	推薦
	基於網路的存取控制	使用VPC實現網路隔離		推薦
	基於網路的存取控制	使用安全性群組實現內網存取控制		推薦
	基於網路的存取控制	使用網路ACL加強網路存取控制		推薦
	基於網路的存取控制	通過內網或專線訪問雲上服務		推薦
	基於網路的存取控制	使用PrivateLink減少非必要的公網通訊		推薦
	流量安全	使用DDoS清洗服務抵禦公網攻擊		推薦
	流量安全	使用Cloud Firewall抵禦公網攻擊		推薦
	Web流量安全	使用Web Application Firewall抵禦Web攻擊		推薦
安全審計與營運	日誌	使用Action Trail記錄和分析雲操作	推薦	推薦
	特權訪問管理	使用Bastionhost營運滿足等保2.0要求		推薦
	日誌	啟用VPC流日誌，分析和審計網路流量		推薦