/ DOCS
nav-img
Advanced

Способы повышения безопасности ECS

Отсутствие дополнительной защиты виртуальных машин Elastic Cloud Server (ECS) может привести к утечке или потере данных. На этой странице приведены рекомендации, которые помогут защитить виртуальные машины от вирусов и прочих атак.

Защитить виртуальные машины ECS можно как изнутри, так и снаружи. Методы повышения безопасности ECS:

Угрозы

Способы защиты

Внешняя безопасность

DDoS-атаки, трояны и другие вирусы

Внутренняя безопасность

Слабые пароли и неправильная настройка портов

Подключение HSS

С помощью Host Security Service (HSS) можно повысить общую безопасность виртуальных машин ECS. Сервис помогает идентифицировать информацию на ECS и управлять ей, устранить риски, а также защититься от вторжений и взлома веб-страниц.

Перед началом использования сервиса установите HSS-агент на виртуальную машину. В консоли управления HSS можно будет увидеть статусы и риски безопасности всех виртуальных машин, на которые установлен агент.
См.также

Настройка CBH

Cloud Bastion Host (CBH) в режиме реального времени позволяет контролировать всю O&M-активность в рамках каждого управляемого ресурса и выявлять подозрительную активность.

Сервис помогает защитить управляемые ресурсы и данные на них от несанкционированного доступа или повреждения внутренними и внешними пользователями. Уведомления о происшествиях помогают оперативно идентифицировать и решать проблемы, связанные с O&M.
См.также

Мониторинг виртуальных машин

Мониторинг — ключевой фактор в обеспечении производительности, надежности и доступности виртуальных машин ECS. Получить информацию о состоянии ECS можно с помощью сервиса Cloud Eye. Он позволяет выполнять автоматический мониторинг виртуальных машин в режиме реального времени и управлять оповещениями об инцидентах и событиях.

Мониторинг серверов включает:

  • Базовый мониторинг, для которого не требуется установка агента Cloud Eye на виртуальную машину. Базовый мониторинг выполняется каждые пять минут.

  • Мониторинг операционной системы (ОС), для которого требуется установка агента Cloud Eye на виртуальную машину. Мониторинг ОС выполняется каждую минуту.

  • Мониторинг процессов, для которого требуется установка агента Cloud Eye на виртуальную машину. Мониторинг процессов выполняется каждую минуту.

См.также

Периодическое резервное копирование данных

Резервное копирование данных — процесс сохранения всех или части данных тем или иным способом, чтобы предотвратить их потерю.

Настроить резервное копирование можно с помощью сервиса Cloud Backup and Recovery (CBR).

CBR позволяет создавать резервные копии ECS и дисков. В случае вирусной атаки, случайного удаления, программного или аппаратного сбоя вы сможете восстановить данные из резервных копий. Подробнее о способах резервного копирования (en).

Для виртуальных машин ECS вы можете настроить:

  • Cloud server backup — резервное копирование всех дисков (системных и дисков данных), подключенных к ECS. Этот способ предотвращает несогласованность (Data inconsistency), вызванную разницей во времени создания резервных копий для разных дисков.

  • Cloud disk backup — выборочное резервное копирование одного или нескольких дисков (системных и дисков данных), подключенных к ECS. Этот способ дешевле, чем резервное копирование всех дисков, но может привести к несогласованности данных.

См.также

Использование надежных паролей

Рекомендуемый способ аутентификации при подключении к ECS — аутентификация по ключу. Аутентификация по ключу более безопасна, чем по паролю.

В Advanced нет автоматической смены паролей для подключения к виртуальным машинам. В целях безопасности рекомендуется периодически самостоятельно менять пароль.

Если для подключения к ECS используется аутентификация по паролю, убедитесь, что пароль соответствует требованиям и рекомендациям:

  • Допустимое количество символов — 8–26. Рекомендуемое количество — не менее 10 символов.

  • Пароль должен содержать символы как минимум трех типов из всех возможных: строчные буквы, заглавные буквы, цифры, специальные символы.

    Допустимые спецсимволы:

    • Для Windows ECS: $, !, @, %, -, _, =, +, [, ], :, ., /, ,, ?.

    • Для Linux ECS: !, @, %, -, _, =, +, [, ], :, ., /, ^, ,, {, }, ?.

  • Пароль не должен быть легко угадываемым (QWERTY и т. д .)

  • Не используйте в паролях названия учетных записей (root, admin, mysql и т. д.)

  • Меняйте пароль каждые 90 дней.

  • Не используйте пять последних паролей.

  • Не используйте один и тот же пароль для разных приложений.

  • Пароль не может содержать имя пользователя, написанное в прямом или обратном порядке.

  • (Windows ECS) Пароль не может содержать последовательность из трех и более символов, которая совпадает с такой же последовательностью в имени пользователя.

  • (Windows ECS) Пароль не может начинаться с символа /.

Защита портов

Для защиты сети ECS можно использовать группы безопасности (Security Groups). Группы безопасности контролируют входящий и исходящий трафик виртуальной машины. Их можно настроить таким образом, чтобы разрешать доступ к определенным портам или из них.

Рекомендуется закрывать порты, которые имеют высокую степень риска и включать только нужные. Порты с высокой степенью риска:

  • TCP: 42, 135, 137, 138, 139, 444, 445, 593, 1025, 1068, 1434, 3127, 3128, 3129, 3130, 4444, 4789, 5554, 5800, 5900 и 9996.

  • UDP: 135–139, 1026, 1027, 1028, 1068, 1433, 1434, 4789, 5554 и 9996.

См.также

Периодическое обновление операционной системы

Существующие ECS нужно поддерживать и периодически обновлять операционную систему.
Предыдущая статья
Пользовательские разрешения ECS
Следующая статья
Вопросы и ответы
Была ли эта статья полезна?
Поддержка Юридические документы
© 2025 Cloud.ru