请选择 进入手机版 | 继续访问电脑版
 找回密码
 立即注册
搜索

使用阿里云服务器,如何保障安全?

使用阿里云服务器部署网站,只是简单的企业网站,用里面提供的lnmp一条龙工具,自动就装好了,网站也部署上去了。请问,需要采取哪些措施来保障安全呢?比如,封阻ip访问,封阻phpmyadmin之类的
回复

使用道具 举报

大神点评1

天涯豆文 2019-6-21 10:01:55 显示全部楼层
首先,阿里云公共云平台系统满足了GB/T 22239-20XX《信息安全技术 网络安全等级保护基本要求》中对第三级系统网络安全等级保护对象的要求。阿里云用户在物理环境方面是不需要任何投入就已经满足了等保三级的要求的。如果系统部署在阿里云上,需要通过等保二级或三级的测评,物理环境测评报告是可以直接拿阿里云公共云平台系统物理环境测评报告来直接使用的。
第二,阿里云服务器为满足安全基础建设,提供了相应的免费安全防护的。比如:边界安全方面有VPC专有网络进行隔离、访问控制有安全组规则进行配置、账户管理有RAM系统进行管理、审计日志有Actiongtrail提供留存、数据安全可以通过快照进行数据备份、基础安全方面还有云盾基础版提供防护等。这些安全都是在使用阿里云服务器的同时所免费享受的。
第三,阿里云用户可以通过一些增值的安全服务构建基础的防御体系。网络安全方面:云防火墙可以集中管理公网IP的访问策略,内置威胁入侵防御模块(IPS),支持失陷主机检测、主动外联行为的阻断、业务间访问关系可视,是业务上云的第一个网络安全基础设施。WEB安全方面:Web应用防火墙对网站或者APP的业务流量进行恶意特征识别及防护,将正常、安全的流量回源到服务器。避免网站服务器被恶意入侵,保障业务的核心数据安全,解决因恶意攻击导致的服务器性能异常问题。服务器安全:安骑士(服务器安全护卫):一款经受百万级服务器稳定性考验的安全加固产品,拥有自动化实时入侵威胁检测、病毒查杀、漏洞智能修复、基线一键核查、网页防篡改等功能,是构建服务器安全防线的统一管理平台。
第四,阿里云用户可以构建自己的安全运营体系。态势监控方面:云安全中心是一个实时识别、分析、预警安全威胁的统一安全管理系统,通过防勒索、防病毒、防篡改、合规检查等安全能力,帮助用户实现威胁检测、响应、溯源的自动化安全运营闭环,保护云上资产和本地主机并满足监管合规要求。安全运维方面: 堡垒机可以集中管理资产权限,全程记录操作数据,实时还原运维场景,助力企业用户构建云上统一、安全、高效运维通道;保障云端运维工作权限可管控、操作可审计、合规可遵从。安全审计方面:数据库审计可以智能解析数据库通信流量,细粒度审计数据库访问行为,帮助企业精准识别、记录云上数据安全威胁,为云端数据库提供全方位的安全、诊断及维护能力。
第五,阿里云用户还可以构建自身业务的安全体系。高防ip、爬虫风险管理、风险识别、内容安全、实人认证、应用扫描、安全管家、SSL证书等。这里重点说下爬虫风险管理使用场景:航空行业防占座, 黄牛利用爬虫遍历航空低价票,批量发起机器请求进行占座,导致航司座位资源被持续占用浪费,最终会引起航班空座率高的业务损失,并且影响正常用户的利益。电商防交易黄牛、恶意秒杀、活动作弊, 黄牛党在电商活动时会针对有限的高价值商品,限时秒杀、优惠活动等可获利场景,发起批量的机器请求来模拟正常的交易,再进行资源倒卖赚取差价,导致电商的营销及资源都会无法触达正常用户,被黄牛牟取暴利。防止核心接口被刷、被滥用, 登录、注册、短信等业务环节作为业务的关键节点,接口往往会被黑客利用,为欺诈行为做准备.内容安全现在也不断的被重视,净化自身网络平台履行网络安全法义务,防止被不法分子利用宣传违法违规内容造成社会不良影响,防止违法违规内容导致主营业务无法正常运转。
最后,本人致力于阿里云服务事业已经第二个年头,希望在阿里云相关方面为大家提供咨询和帮助,也希望通过阿里云平台提升自身价值。
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册