Способы повышения безопасности ECS
Отсутствие дополнительной защиты виртуальных машин Elastic Cloud Server (ECS) может привести к утечке или потере данных. На этой странице приведены рекомендации, которые помогут защитить виртуальные машины от вирусов и прочих атак.
Защитить виртуальные машины ECS можно как изнутри, так и снаружи. Методы повышения безопасности ECS:
Угрозы | Способы защиты | |
|---|---|---|
Внешняя безопасность | DDoS-атаки, трояны и другие вирусы | |
Внутренняя безопасность | Слабые пароли и неправильная настройка портов |
Подключение HSS
С помощью Host Security Service (HSS) можно повысить общую безопасность виртуальных машин ECS. Сервис помогает идентифицировать информацию на ECS и управлять ей, устранить риски, а также защититься от вторжений и взлома веб-страниц.
Перед началом использования сервиса установите HSS-агент на виртуальную машину. В консоли управления HSS можно будет увидеть статусы и риски безопасности всех виртуальных машин, на которые установлен агент.
Настройка CBH
Cloud Bastion Host (CBH) в режиме реального времени позволяет контролировать всю O&M-активность в рамках каждого управляемого ресурса и выявлять подозрительную активность.
Сервис помогает защитить управляемые ресурсы и данные на них от несанкционированного доступа или повреждения внутренними и внешними пользователями. Уведомления о происшествиях помогают оперативно идентифицировать и решать проблемы, связанные с O&M.
Мониторинг виртуальных машин
Мониторинг — ключевой фактор в обеспечении производительности, надежности и доступности виртуальных машин ECS. Получить информацию о состоянии ECS можно с помощью сервиса Cloud Eye. Он позволяет выполнять автоматический мониторинг виртуальных машин в режиме реального времени и управлять оповещениями об инцидентах и событиях.
Мониторинг серверов включает:
Базовый мониторинг, для которого не требуется установка агента Cloud Eye на виртуальную машину. Базовый мониторинг выполняется каждые пять минут.
Мониторинг операционной системы (ОС), для которого требуется установка агента Cloud Eye на виртуальную машину. Мониторинг ОС выполняется каждую минуту.
Мониторинг процессов, для которого требуется установка агента Cloud Eye на виртуальную машину. Мониторинг процессов выполняется каждую минуту.
Периодическое резервное копирование данных
Резервное копирование данных — процесс сохранения всех или части данных тем или иным способом, чтобы предотвратить их потерю.
Настроить резервное копирование можно с помощью сервиса Cloud Backup and Recovery (CBR).
CBR позволяет создавать резервные копии ECS и дисков. В случае вирусной атаки, случайного удаления, программного или аппаратного сбоя вы сможете восстановить данные из резервных копий. Подробнее о способах резервного копирования (en).
Для виртуальных машин ECS вы можете настроить:
Cloud server backup — резервное копирование всех дисков (системных и дисков данных), подключенных к ECS. Этот способ предотвращает несогласованность (Data inconsistency), вызванную разницей во времени создания резервных копий для разных дисков.
Cloud disk backup — выборочное резервное копирование одного или нескольких дисков (системных и дисков данных), подключенных к ECS. Этот способ дешевле, чем резервное копирование всех дисков, но может привести к несогласованности данных.
Использование надежных паролей
Рекомендуемый способ аутентификации при подключении к ECS — аутентификация по ключу. Аутентификация по ключу более безопасна, чем по паролю.
В Advanced нет автоматической смены паролей для подключения к виртуальным машинам. В целях безопасности рекомендуется периодически самостоятельно менять пароль.
Если для подключения к ECS используется аутентификация по паролю, убедитесь, что пароль соответствует требованиям и рекомендациям:
Допустимое количество символов — 8–26. Рекомендуемое количество — не менее 10 символов.
Должен содержать как минимум три типа символов:
Строчные буквы.
Заглавные буквы.
Цифры.
Специальные символы.
Допустимые специальные символы:
для Windows ECS — $!@%-_=+[]:./,?
для Linux ECS — !@%-_=+[]:./^,{}?
Не должен быть легко угадываемым (QWERTY и т. д.).
Не должен содержать название учетных записей (root, admin, mysql и т. д.).
Не должен повторять один из пяти последних паролей.
Не должен повторять пароль для другого приложения.
Не должен содержать имя пользователя, написанное в прямом или обратном порядке.
Для Windows ECS — пароль не может содержать последовательность из двух и более символов, которая совпадает с такой же последовательностью в имени пользователя.
Для Windows ECS — пароль не может начинаться с символа /.
Меняйте пароль каждые 90 дней.
Защита портов
Для защиты сети ECS можно использовать группы безопасности (Security Groups). Группы безопасности контролируют входящий и исходящий трафик виртуальной машины. Их можно настроить таким образом, чтобы разрешать доступ к определенным портам или из них.
Рекомендуется закрывать порты, которые имеют высокую степень риска и включать только нужные. Порты с высокой степенью риска:
TCP: 42, 135, 137, 138, 139, 444, 445, 593, 1025, 1068, 1434, 3127, 3128, 3129, 3130, 4444, 4789, 5554, 5800, 5900 и 9996.
UDP: 135–139, 1026, 1027, 1028, 1068, 1433, 1434, 4789, 5554 и 9996.
Периодическое обновление операционной системы
Существующие ECS нужно поддерживать и периодически обновлять операционную систему.
- Подключение HSS
- Настройка CBH
- Мониторинг виртуальных машин
- Периодическое резервное копирование данных
- Использование надежных паролей
- Защита портов
- Периодическое обновление операционной системы