按攻击应急、五大安全域加固基线与等保合规三类场景,快速定位 ECS 安全操作路径。
ECS 安全责任由阿里云与客户共同承担:阿里云负责物理硬件、底层网络、虚拟化平台与管理控制服务;客户负责操作系统补丁与升级、应用软件安全配置、访问权限管理,以及数据加密与流量安全。
遭受攻击或收到告警
实例遭受攻击时,可能出现业务无法访问、服务响应缓慢或超时等现象,也可通过监控发现网络流量异常、异常登录或 CPU 异常升高等迹象。下表以三类常见的攻击为例,说明如何快速判断并处置。
攻击类型与现象 | 处理说明 |
DDoS:海量请求耗尽带宽、CPU、内存或连接数,导致服务缓慢或瘫痪。免费基础防护有流量上限,超限触发黑洞。 | 每个公网 IP 默认享有 DDoS 基础清洗(限额内)。超出限额或遭遇应用层攻击时,购买 DDoS 原生防护或高防,说明见使用DDoS清洗服务抵御公网攻击。 |
登录与会话:密码泄露或账户被盗后,攻击者发起多次失败登录,或从可疑地点登录。 | 开启免费安全加固,配置常用登录地、IP、时间及账号,异常登录时自动告警。配置方法见启用异常登录检查。 |
主机恶意程序:挖矿病毒导致业务中断、数据泄露及风险扩散。实例被入侵时,云安全中心发送短信或邮件告警。 | 用云安全中心处理,或手动重置密码、密钥、封锁 IP。隔离与清除步骤见挖矿病毒处理和防护指南。 |
攻击处置完成后,做根因分析和持续加固,防止同类攻击重复发生:
安全配置加固
基础安全配置
安全域 | 适用场景 | 技术措施 |
操作系统安全 | 远程运维、系统加固、漏洞修补、运行时防护。 | |
数据安全 | 云盘存储、镜像分发、敏感数据传输、防勒索。 |
|
网络安全 | VPC 规划、网络隔离、公网访问控制、流量监控。 | |
身份与访问控制 | 员工入职授权、多账号管理、程序调用 API 鉴权。 | |
安全审计与运维 | 内部审计、安全行为溯源、合规性检查。 |
可信计算与机密计算
阿里云提供多层计算安全能力:默认内存加密、可信计算(vTPM)。
默认内存加密:内存加密可以加强内存数据的抗物理攻击能力,进一步提升云上数据的安全性。您无需对操作系统或应用进行任何改动,即可享受到更高一层的安全防护。目前通用型实例规格族g8i、计算型实例规格族c8i、内存型实例规格族r8i默认支持内存加密。
可信计算:基于虚拟可信平台模块(vTPM)构建可信根,实现 ECS 实例的可信启动,校验启动过程中的核心组件,确保未被篡改。
等保合规配置
2019年12月01日起,网络安全等级保护基本要求(GB/T 22239-2019信息安全技术)等系列标准正式实施,落实网络安全等级保护制度是每个企业和单位的基本义务和责任。阿里云在确保云平台自身满足基本要求的基础上,提供了等保合规检查功能,帮助您更快速、高效和持续地落实网络安全等级保护制度,提升云上业务系统的安全防护能力。
登录云安全中心控制台。在左侧导航栏选择。
在等保合规检查页签,查看检查结果的统计数据。
查看检测项总数和不合规项数
在检测项总数和待处理不合规项数查看等保合规支持的检测项总数量和不合规项的数量。单击待处理不合规项数可直接查看不合规的检查项列表。
等保问题在线咨询
单击在线咨询右侧的咨询,跳转到聊天窗口咨询等保相关问题。咨询时间为工作日09:00~17:00,请您在此时间内进行咨询。
主机配置检查
单击点击前往开通,前往基线检查页面,查看并处理您资产中的基线问题。更多信息,请参见查看和处理基线检查结果。
搜索指定检测项
在搜索框设置检查项分类和是否合规,或输入检测项目名称,查看符合条件的检测项。
处理不合规的检查项目。
根据改进建议下的说明,处理不合规的检查项目。
说明云安全中心等保合规检查检测您的系统是否具备等保合规检查要求的安全能力,例如访问控制、日志审计等。您在确保具备等保合规检查的能力,并处理完发现的问题后,才可以通过等保测评。