通過阿里雲Bastionhost實現統一營運入口、細粒度許可權管控及全鏈路Action Trail,實現雲端服務器營運安全目標的同時可以滿足等保2.0三級要求中的身份鑒別、存取控制和審計追溯核心條款。
安全風險
傳統的營運方式,如允許營運人員直接通過SSH或RDP從互連網或辦公網訪問伺服器,存在著一系列難以控制的風險:
身份不明與許可權濫用:直接使用伺服器的本地賬戶(如root、Administrator)或共用賬戶進行營運,無法精確識別操作者身份。一旦高許可權賬戶的憑證泄露,攻擊者便可長驅直入,濫用許可權進行惡意操作,而您甚至不知道是誰在操作。
操作行為“黑洞”:在伺服器本地進行的操作,如果未配置複雜的審計工具,其過程往往難以被完整記錄。發生安全事件後,由於缺乏詳細的動作記錄、螢幕錄影等證據,導致無法追溯責任人,也難以分析攻擊路徑和損失範圍。
憑證管理混亂與泄露風險:當營運人員需要管理成百上千台伺服器時,他們需要記憶大量的密碼和密鑰。這極易導致使用弱密碼、重複使用密碼或將密碼記錄在不安全位元置等問題,大大增加了憑證泄露的風險。
橫向移動的溫床:一旦攻擊者通過某個被攻破的跳板機或營運人員的PC,直接連接到一台伺服器,他們就可能利用該伺服器作為據點,向內部網路發起橫向滲透攻擊,感染更多核心系統。
敏感性資料泄露:缺乏管控的營運通道,使得營運人員或攻擊者可以輕易地通過檔案傳輸、資料庫匯出等方式將核心敏感性資料下載到本地,造成資料泄露。
最佳實務
使用Bastionhost統一納管ECS執行個體資產,使用安全性群組限制僅能通過Bastionhost登入系統,集中管理營運人員帳號、許可權,並審計人員的操作。
規劃與部署Bastionhost
訪問Bastionhost購買頁購買並根據業務規模選擇合適的規格,然後在Bastionhost控制台啟用執行個體。具體操作,請參見快速購買並登入Bastionhost。
設計“預設拒絕”的網路存取原則
從網路層面強制所有流量必須經過Bastionhost。
建立專用的安全性群組:為您的ECS執行個體建立或規劃一個基礎安全性群組,其入方向規則應預設拒絕所有外部存取,特別是SSH(22)和RDP(3389)連接埠。
配置例外允許存取規則:在該安全性群組中,添加入方向規則,精確地僅允許來自您Bastionhost出口IP地址的流量訪問目標ECS執行個體的營運連接埠(如22、3389等)。
規則樣本:
授權策略:允許
優先順序:1(最高)
協議:TCP
訪問來源:填入您在“檢查”步驟中擷取的Bastionhost出口IP地址(例如 47.100.XX.XX/32)。
訪問目的:22/22 (SSH) 或 3389/3389 (RDP)
如下圖所示,安全性群組僅允許 10.0.0.185(BastionhostIP)訪問組內伺服器的22連接埠。
統一納管資產與身份
配置存取控制策略
使用者與資產授權:遵循最小許可權原則,為每個Bastionhost使用者精確授權其工作所需的最小資產範圍。例如,開發人員只能訪問開發環境的伺服器,資料庫管理員只能訪問資料庫伺服器。參見為使用者授權資產及資產賬戶。
配置精細化控制策略:利用Bastionhost的控制策略功能,實現更細粒度的管控。您可以限制特定使用者能夠執行的高危命令(如rm -rf)、設定檔案傳輸的類型和大小、對敏感操作啟用雙人複核審批等。參見配置控制策略。