全部产品
Search
文档中心

云服务器 ECS:基础安全服务

更新时间:Jan 13, 2025

阿里云ECS的基础安全服务,涵盖异常登录检测、漏洞扫描等功能,您可通过ECS控制台或云安全中心实时查看云服务器的安全状态。

背景信息

阿里云云安全中心(Security Center)为云服务器ECS提供免费版的漏洞扫描、基础告警通知、异常登录检测、AK泄露检测、合规检查等基础安全服务。您可以在ECS管理控制台的概览页面或者云安全中心控制台查看相关安全信息。更多信息,请参见什么是云安全中心

image

计费说明

基础安全服务的计费说明如下:

  • 云服务器ECS的基础安全服务为免费服务,不收取服务费用。详情请参见云安全中心免费版简介

  • 如果您需要升级为高级版或者企业版云安全中心,可以在云安全中心控制台免费试用或者购买服务。高级版或者企业版云安全中心的计费说明,请参见计费概述

使用安全插件Agent

云安全中心的安全插件Agent是安装在云服务器ECS中的低损耗的控件。未安装Agent的云服务器ECS不会受到云安全中心保护,ECS管理控制台页面也不会显示该资产的漏洞、告警、基线漏洞和资产指纹等数据。关于Agent的安装路径,请参见客户端支持的操作系统

您可以按以下方式操作Agent。

  • 创建ECS实例时自动安装Agent

    1. 登录ECS管理控制台

    2. 在左侧导航栏,选择实例与镜像 > 实例

    3. 在顶部菜单栏处,选择地域。

    4. 创建一台ECS实例,在镜像区域,选中免费安全加固,系统自动为新建ECS实例安装Agent。更多信息,请参见自定义购买实例

    说明

    您也可以在调用RunInstances时通过设置SecurityEnhancementStrategy=Active为新建ECS实例自动安装Agent。

  • 为已有的ECS实例手动安装Agent

    具体操作,请参见安装客户端

  • 卸载Agent

    具体操作,请参见卸载客户端

查看安全状态和修复安全问题

您可以按以下步骤查看云服务器ECS的安全状态并修复安全问题。

  1. 登录ECS管理控制台

  2. 在左侧导航栏,选择实例与镜像 > 实例

  3. 在页面左侧顶部,选择目标资源所在的资源组和地域。地域

  4. 在实例列表页面,找到目标实例,单击监控列下的image图标,进入云安全中心控制台查看云安全报告。

  5. 进入云安全中心控制台修复对应的漏洞和安全告警事件,修复方法具体请参见修复漏洞查看和处理安全告警

安全问题常见场景

常见的漏洞和安全告警事件场景可参见漏洞分类及场景安全告警事件场景

漏洞分类及场景

漏洞等级

描述

常见场景

应对措施

修复方式

高危漏洞

此类漏洞会直接威胁系统安全,如未修复的系统漏洞、SQL注入、弱口令等。建议您重点关注并尽快修复

未修复的系统漏洞

  • 操作系统(如Linux、Windows)中存在的高风险CVE漏洞。

  • 未及时修复的远程代码执行漏洞(RCE)。

  • 定期检查并安装操作系统和软件的安全补丁。

  • 使用云安全中心的漏洞扫描功能,及时修复高风险漏洞。

  • 对于Linux系统:运行 yum update 或 apt-get update 安装更新。

  • 对于Windows系统:通过Windows Update安装最新补丁。

Web应用漏洞

  • SQL注入漏洞(可直接获取数据库权限)。

  • 远程命令执行漏洞(如Struts2漏洞)。

  • 对用户输入进行严格的验证和过滤。

  • 使用Web应用防火墙(WAF)防护常见攻击。

  • 修复代码中的安全漏洞(如使用参数化查询防止SQL注入)。

  • 更新Web框架和组件到最新版本。

服务配置漏洞

  • Redis、MySQL等服务未设置密码或暴露在公网。

  • Docker未授权访问漏洞。

  • 禁止将高危服务(如Redis、MySQL)暴露在公网。

  • 设置强密码并限制访问IP。

  • 修改配置文件,绑定到内网IP或设置访问白名单。

  • 启用身份验证功能(如Redis的requirepass)。

恶意软件

  • 挖矿木马、后门程序等恶意文件。

  • 定期扫描系统,查杀恶意文件。

  • 使用云安全中心的恶意文件检测功能。

  • 删除恶意文件并修复相关漏洞。

  • 重置受影响的服务密码。

弱口令风险

  • SSH、RDP、FTP等服务使用弱密码或默认密码。

  • 使用强密码策略(包含大小写字母、数字、特殊字符)。

  • 启用多因素认证(MFA)。

  • 修改弱密码为强密码。

  • 禁用默认账号或修改默认密码。

中危漏洞

此类漏洞可能对系统造成一定危害,如XSS、文件上传漏洞、异常登录等。建议您及时修复。

未修复的软件漏洞

  • 中间件(如Apache、Nginx、Tomcat)中的中风险漏洞。

  • 数据库(如MySQL、PostgreSQL)中的权限提升漏洞。

  • 定期更新中间件到最新版本。

  • 关闭不必要的功能模块。

  • 下载并安装官方补丁。

  • 修改配置文件,禁用高风险功能。

Web应用漏洞

  • 跨站脚本攻击(XSS)。

  • 文件上传漏洞(可能导致恶意文件上传)。

  • 对用户输入和输出进行严格的过滤和编码。

  • 限制文件上传类型和大小。

  • 修复代码中的XSS漏洞(如对输出内容进行HTML编码)。

  • 增加文件上传的类型检查和病毒扫描。

配置风险

  • 未启用HTTPS的Web服务。

  • 未限制IP访问的高风险端口(如22、3389)。

  • 启用HTTPS加密通信。

  • 关闭不必要的端口。

  • 配置SSL证书并启用HTTPS。

  • 修改安全组规则,限制高风险端口的访问IP。

异常登录

  • 检测到暴力破解行为(如多次尝试登录失败)。

  • 启用登录失败锁定机制。

  • 限制登录IP范围。

  • 配置SSH的Fail2Ban工具防止暴力破解。

  • 修改安全组规则,限制SSH、RDP等服务的访问IP。

数据泄露风险

  • 配置文件(如.env)中包含敏感信息。

  • 避免将敏感信息明文存储在配置文件中。

  • 使用加密存储敏感数据。

  • 移除配置文件中的敏感信息。

  • 使用环境变量或密钥管理服务(KMS)存储敏感数据。

低危漏洞

此类漏洞对系统影响较小,但长期存在可能增加风险,如配置风险、合规风险等。您可以延后修复。

未修复的低风险漏洞

  • 操作系统或软件中的低风险漏洞(如信息泄露漏洞)。

  • 定期扫描系统,修复低风险漏洞。

  • 安装官方提供的补丁或更新。

配置风险

  • 未启用日志审计功能。

  • 未及时更新SSL证书。

  • 启用日志审计功能,定期检查日志。

  • 及时更新SSL证书。

  • 配置日志审计工具(如Logrotate)。

  • 更新SSL证书并配置自动续期。

合规风险

  • 未启用多因素认证(MFA)。

  • 不符合等保2.0或GDPR等合规要求。

  • 启用多因素认证(MFA)。

  • 根据合规要求调整系统配置。

  • 在云控制台启用MFA。

  • 参考等保2.0或GDPR要求,完善安全配置。

其他风险

  • 未使用的服务或端口未关闭。

  • 关闭未使用的服务和端口。

  • 使用systemctl disable关闭未使用的服务。

  • 修改安全组规则,关闭未使用的端口。

安全告警事件场景

更多的安全告警类型请参见安全告警类型列表安全告警检测项

告警类型

描述

常见场景

异常登录

检测到异常的登录行为。

  • 异地登录:从未登录过的IP地址。

  • 暴力破解:多次尝试登录失败。

  • 非常用时间段登录:非工作时间的登录行为。

恶意文件

检测到恶意程序或文件。

  • 挖矿木马:如XMRig。

  • 后门程序:如WebShell。

  • 病毒或蠕虫:恶意软件传播行为。

网络攻击

检测到针对ECS实例的网络攻击行为。

  • DDoS攻击:如SYN Flood、UDP Flood。

  • 端口扫描:针对ECS实例的端口扫描。

  • 暴力破解:如FTP、MySQL服务的暴力破解。

数据泄露

检测到敏感信息泄露或未授权访问。

  • 敏感信息泄露:数据库或配置文件泄露。

  • 未授权访问:未授权用户访问敏感资源。

配置风险

检测到系统或服务配置不当导致的安全隐患。

  • 高风险端口暴露:如22、3389端口暴露在公网。

  • 未启用HTTPS:Web服务未启用HTTPS加密。

合规风险

检测到不符合安全合规要求的行为。

  • 未启用MFA:未启用多因素认证。

  • 日志审计未开启:未开启日志审计功能。

其他告警

检测到其他潜在的安全威胁或异常行为。

  • 异常进程:未知的恶意程序运行。

  • 文件篡改:系统关键文件被篡改。

设置告警通知

基础安全服务支持对安全告警处理项目设置告警通知,接收方式为站内信。您可以按以下方式设置告警通知。

  1. 登录ECS管理控制台

  2. 概览页面,单击安全评分区域中待处理任务后的立即处理,前往云安全中心管理控制台。

  3. 在左侧导航栏,选择系统配置 > 通知设置

  4. 安全告警区域,选择消息等级,设置通知方式和通知时间。 关于安全告警等级,请参见安全告警风险等级的分类安全告警.png

    说明

    如果您已经升级为高级版或者企业版云安全中心,请参见安全告警概述查看更多告警方式。

安全告警风险等级的分类

云安全中心对安全告警风险等级的分类如下:

风险等级

描述

紧急

该告警所描述的行为,与常见的攻击者行为相似,对您的资产有破坏性或者持久性的影响,例如“反弹Shell命令”等。该风险等级表示您的资产很有可能正在受到攻击,建议您立即查看安全告警的详情并及时进行处理。

可疑

该告警所描述的行为,对您的资产有破坏性或者持久性的影响,但该行为可能与部分运维行为较为相似,例如“可疑的添加用户行为”等,或者该告警所描述的行为是攻击路径上的非必经路径,即使缺失这些行为也不影响攻击者达到其目的,例如“攻击痕迹清理”等。该风险等级表示您的资产有一定概率正在受到攻击,建议您查看该安全告警,进一步判断是否存在风险并进行相应处理。

提醒

该告警所描述的行为是攻击路径上的非必经路径,即使缺失这些行为也不影响攻击者达到其目的,同时该行为可能会与部分运维行为较为相似,如“可疑的端口监听行为”等。如果您对您的资产的安全等级要求较高,可以关注该等级的安全告警。