《CloudOps云上自动化运维 白皮书2.0》—— 七、安全和合规能力Security——3. 多个层面构建的安全与合规能力(3):https://developer.aliyun.com/article/1222436?groupCode=ecs
4) 信息数据安全
a) 使用高安全要求业务使用增强计算实例
如果您的业务面向高安全可信要求的场景,可以使用安全增强型实例,保障实例可信启动和实例中隐私数据的安全。
• 支持Intel® SGX加密计算,支持加密内存,保障关键代码和数据的机密性与完整性不受恶意软件的破坏。
• 依托TPM/TCM芯片,从底层服务器硬件到GuestOS的启动链均进行度量和验证,实现可信启动。
b) 使用更安全的镜像
• 使用满足三级等保合规镜像
阿里云根据国家信息安全部发布的《GB/T22239-2019信息安全技术网络安全等级保护基本要求》中对操作系统提出的一些等级保护要求,推出自研云原生操作系统Alibaba Cloud Linux等保2.0三级版镜像。您使用本镜像无需额外配置即可满足以下等保合规要求:
。 身份鉴别
。 访问控制
。 安全审计
。 入侵防范
。 恶意代码防范
• 使用公共镜像开启镜像安全加固
使用官方提供的公共镜像,可开启公共实例镜像安全加固能力,该安全加固能力提供网站漏洞检查、云产品安全配置检查、主机登录异常告警等安全功能。
• 使用加密的自定义镜像
避免镜像丢失后数据泄露风险,请使用国际标准认证的AES-256算法对镜像进行加密。
用户可选择创建加密的系统盘、数据盘,若云盘是加密云盘,使用该云盘创建的快照也是加密镜像,或对已有的未加密镜像拷贝时选择加密,生成的新镜像为加密镜像。
若自定义加密镜像需要共享其他云账号时,建议用户为共享加密镜像创建独立的BYOK密钥,避免KMS密钥泄露导致安全风险。
c) 云盘数据加密(需开启KMS)
选择云盘数据加密,能够最大限度保护您的数据安全,您的业务和应用程序无需做额外的改动。同时该云盘生成的快照及这些快照创建的云盘将自动延续加密属性。数据加密适用于数据安全或法规合规等场景,帮助您加密保护存储在阿里云ECS上的数据。无需自建和维护密钥管理基础设施,您就能保护数据的隐私性和自主性,为业务数据提供安全边界,被加密的云盘可以是系统盘和数据盘。
阿里云官网随实例选购加密云盘页面
d) 快照容灾备份
数据备份是容灾的基础,可以降低因系统故障、操作失误以及安全问题而导致数据丢失的风险。ECS自带的快照功能可满足大部分用户数据备份的需求。您可根据自身业务需求选择创建快照的方式。具体步骤请参见手动创建快照和执行或取消自动快照策略。
建议您每日创建一次自动快照,每次快照至少保留7天,养成良好的备份习惯,在故障发生时可以迅速恢复重要数据,减少损失。
阿里云官网快照服务选购页面
e) 使用加密的快照
ECS加密采用行业标准的AES-256加密算法,利用密钥加密快照,避免快照丢失后数据泄露风险。
用户可选择创建加密的云盘,若云盘是加密云盘,使用该云盘创建的快照也是加密快照,或对已有的未加密快照拷贝时选择加密,生成的新快照为加密快照。
f) 加固模式下访问实例元数据
加固模式下,实例和实例元数据服务器间建立一个会话,并在查看实例元数据时通过token验证身份,超过有效期后关闭会话并清除token。token具有以下特点:
• 仅适用于一台实例。如果将token文件复制到其它实例使用,会被拒绝访问。
• 必须定义token有效期,范围为1秒~21600秒(6小时)。在有效期内可以重复使用,方便您平衡安全性和用户体验。
• 不接受代理访问,如果创建token的请求中包含X-Forwarded-For标头,则拒绝签发token。
• 不限制向实例签发的token数量。
《CloudOps云上自动化运维 白皮书2.0》—— 七、安全和合规能力Security——3. 多个层面构建的安全与合规能力(5):https://developer.aliyun.com/article/1222430?groupCode=ecs
