Способы повышения безопасности ECS
Отсутствие дополнительной защиты виртуальных машин Elastic Cloud Server (ECS) может привести к утечке или потере данных. На этой странице приведены рекомендации, которые помогут защитить виртуальные машины от вирусов и прочих атак.
Защитить виртуальные машины ECS можно как изнутри, так и снаружи. Методы повышения безопасности ECS:
Угрозы | Способы защиты | |
|---|---|---|
Внешняя безопасность | DDoS-атаки, трояны и другие вирусы | |
Внутренняя безопасность | Слабые пароли и неправильная настройка портов |
Подключение HSS
С помощью Host Security Service (HSS) можно повысить общую безопасность виртуальных машин ECS. Сервис помогает идентифицировать информацию на ECS и управлять ей, устранить риски, а также защититься от вторжений и взлома веб-страниц.
Перед началом использования сервиса установите HSS-агент на виртуальную машину. В консоли управления HSS можно будет увидеть статусы и риски безопасности всех виртуальных машин, на которые установлен агент.
Настройка CBH
Cloud Bastion Host (CBH) в режиме реального времени позволяет контролировать всю O&M-активность в рамках каждого управляемого ресурса и выявлять подозрительную активность.
Сервис помогает защитить управляемые ресурсы и данные на них от несанкционированного доступа или повреждения внутренними и внешними пользователями. Уведомления о происшествиях помогают оперативно идентифицировать и решать проблемы, связанные с O&M.
Мониторинг виртуальных машин
Мониторинг — ключевой фактор в обеспечении производительности, надежности и доступности виртуальных машин ECS. Получить информацию о состоянии ECS можно с помощью сервиса Cloud Eye. Он позволяет выполнять автоматический мониторинг виртуальных машин в режиме реального времени и управлять оповещениями об инцидентах и событиях.
Мониторинг серверов включает:
-
Базовый мониторинг, для которого не требуется установка агента Cloud Eye на виртуальную машину. Базовый мониторинг выполняется каждые пять минут.
-
Мониторинг операционной системы (ОС), для которого требуется установка агента Cloud Eye на виртуальную машину. Мониторинг ОС выполняется каждую минуту.
-
Мониторинг процессов, для которого требуется установка агента Cloud Eye на виртуальную машину. Мониторинг процессов выполняется каждую минуту.
Периодическое резервное копирование данных
Резервное копирование данных — процесс сохранения всех или части данных тем или иным способом, чтобы предотвратить их потерю.
Настроить резервное копирование можно с помощью сервиса Cloud Backup and Recovery (CBR).
CBR позволяет создавать резервные копии ECS и дисков. В случае вирусной атаки, случайного удаления, программного или аппаратного сбоя вы сможете восстановить данные из резервных копий. Подробнее о способах резервного копирования (en).
Для виртуальных машин ECS вы можете настроить:
-
Cloud server backup — резервное копирование всех дисков (системных и дисков данных), подключенных к ECS. Этот способ предотвращает несогласованность (Data inconsistency), вызванную разницей во времени создания резервных копий для разных дисков.
-
Cloud disk backup — выборочное резервное копирование одного или нескольких дисков (системных и дисков данных), подключенных к ECS. Этот способ дешевле, чем резервное копирование всех дисков, но может привести к несогласованности данных.
Использование надежных паролей
Рекомендуемый способ аутентификации при подключении к ECS — аутентификация по ключу. Аутентификация по ключу более безопасна, чем по паролю.
В Advanced нет автоматической смены паролей для подключения к виртуальным машинам. В целях безопасности рекомендуется периодически самостоятельно менять пароль.
Если для подключения к ECS используется аутентификация по паролю, убедитесь, что пароль соответствует требованиям и рекомендациям:
-
Допустимое количество символов — 8–26. Рекомендуемое количество — не менее 10 символов.
-
Должен содержать как минимум три типа символов:
-
Строчные буквы.
-
Заглавные буквы.
-
Цифры.
-
Специальные символы.
Допустимые специальные символы:
-
для Windows ECS — $!@%-_=+[]:./,?
-
для Linux ECS — !@%-_=+[]:./^,{}?
-
-
Не должен быть легко угадываемым (QWERTY и т. д.).
-
Не должен содержать название учетных записей (root, admin, mysql и т. д.).
-
Не должен повторять один из пяти последних паролей.
-
Не должен повторять пароль для другого приложения.
-
Не должен содержать имя пользователя, написанное в прямом или обратном порядке.
-
Для Windows ECS — пароль не может содержать последовательность из двух и более символов, которая совпадает с такой же последовательностью в имени пользователя.
-
Для Windows ECS — пароль не может начинаться с символа /.
-
Меняйте пароль каждые 90 дней.
Защита портов
Для защиты сети ECS можно использовать группы безопасности (Security Groups). Группы безопасности контролируют входящий и исходящий трафик виртуальной машины. Их можно настроить таким образом, чтобы разрешать доступ к определенным портам или из них.
Рекомендуется закрывать порты, которые имеют высокую степень риска и включать только нужные. Порты с высокой степенью риска:
-
TCP: 42, 135, 137, 138, 139, 444, 445, 593, 1025, 1068, 1434, 3127, 3128, 3129, 3130, 4444, 4789, 5554, 5800, 5900 и 9996.
-
UDP: 135–139, 1026, 1027, 1028, 1068, 1433, 1434, 4789, 5554 и 9996.
Периодическое обновление операционной системы
Существующие ECS нужно поддерживать и периодически обновлять операционную систему.
- Подключение HSS
- Настройка CBH
- Мониторинг виртуальных машин
- Периодическое резервное копирование данных
- Использование надежных паролей
- Защита портов
- Периодическое обновление операционной системы