阿里云認證資料：ECS安全

本文是ECS安全，將ECS安全的考點和考法做了一個梳理，希望能幫助到各位考生。ECS安全的考點和考法具體如下：

章節(jié)：ECS安全

考點：安全組

考法1：安全組的概念和定位

1.不同云服務器ECS實例之間的網(wǎng)絡訪問控制，通過【安全組】實現(xiàn)。

考法2：普通安全組與企業(yè)安全組

1.對運維效率、ECS實例規(guī)格以及計算節(jié)點的規(guī)模要求高，使用【企業(yè)安全組】最合適。

考法3：默認安全組

1.默認安全組默認打開的端口：ICMP協(xié)議、SSH 22端口、RDP 3389端口。

考法4：安全組規(guī)則的字段

1.創(chuàng)建安全組的字段包括：名稱、描述、網(wǎng)絡、類型、資源組、標簽、訪問規(guī)則。

考法5：安全組規(guī)則的優(yōu)先級

1.安全組規(guī)則生效策略是：若規(guī)則優(yōu)先級相同，拒絕策略的規(guī)則優(yōu)先生效，允許策略的規(guī)則不生效；若優(yōu)先級不同，優(yōu)先級數(shù)字小的規(guī)則生效。

考法6：安全組使用限制

1.每個ECS實例最多可以加入5個安全組，且ECS至少加入一個安全組。

考法7：安全組的實踐建議

1.安全組應該盡量開放和暴露最好的端口并且生產(chǎn)環(huán)境和測試環(huán)境使用不同的安全組。

2.僅允許少量請求訪問ECS實例時，可將安全組作為【白名單】使用。

考法8：入方向解決方案

1.ECS添加到了安全組是不需要任何操作立即生效的，特定IP訪問這個安全組也是即刻生效的，可以訪問該安全組內(nèi)所有的機器。

考法9：WEB服務解決方案

1.新的ECS實例只允許開放特定端口的公網(wǎng)訪問，需要新建一個安全組并新增安全組規(guī)則，只允許該端口的公網(wǎng)入流量，并且將該實例從原先的默認安全組移入該安全組。

考法10：互通解決方案

1.同一個安全組下面的實例默認互通，同一個賬號在同一個地域不同安全組情況需要兩個安全組相互授權對方可以訪問。

考法11：遠程連接解決方案

1.使用Xshell客戶端遠程連接Linux系統(tǒng)的ECS實例，安全組規(guī)則應該放行【SSH協(xié)議】和【22端口】。

考法12：PING命令解決方案

1.避免公網(wǎng)用戶通過ping命令檢查到ECS是否在線：

啟用安全組，拒絕“公網(wǎng)入”的ICMP協(xié)議。

啟用ECS內(nèi)操作系統(tǒng)的防火墻，拒絕“公網(wǎng)入”的ICMP協(xié)議。

先將ECS IP解析到一個不常用的四級域名，然后將對外推廣的域名通過CNAME指向以上四級域名。

考法13：安全組內(nèi)網(wǎng)絡隔離解決方案

針對普通安全組內(nèi)的實例之間默認網(wǎng)絡互通的情況，您可以修改普通安全組內(nèi)的網(wǎng)絡連通策略，實現(xiàn)組內(nèi)隔離。設置安全組內(nèi)網(wǎng)絡隔離時，需注意以下事項：

僅設置指定的普通安全組內(nèi)的網(wǎng)絡隔離，不改變默認的網(wǎng)絡連通策略， 即其他已有和新建的普通安全組，以及企業(yè)安全組仍采用默認策略。

安全組內(nèi)網(wǎng)絡隔離是網(wǎng)卡之間的隔離，而不是ECS實例之間的隔離。若實例上綁定了多張彈性網(wǎng)卡，需設置每個網(wǎng)卡所屬安全組的組內(nèi)網(wǎng)絡隔離。

安全組內(nèi)網(wǎng)絡隔離的優(yōu)先級最低，即設置組內(nèi)網(wǎng)絡隔離后，僅在安全組內(nèi)沒有任何自定義規(guī)則的情況下保證組內(nèi)實例之間網(wǎng)絡隔離。

以下情況，安全組內(nèi)實例之間仍然可以互相訪問：

實例同時歸屬于多個安全組時，有一個及以上的安全組未設置組內(nèi)隔離。

既設置了安全組內(nèi)隔離，又設置了讓組內(nèi)實例之間可以互相訪問的ACL。

考法14：錯誤配置安全組問題

1.錯誤配置安全組可能導致的后果包括且不限于：

無法從本地遠程連接（SSH） Linux實例（安全組22端口關閉）

無法遠程桌面連接Windows實例（安全組RDP協(xié)議3389端口關閉）

無法遠程ping ECS實例的公網(wǎng)IP（ICMP協(xié)議）

無法通過HTTP或HTTPS協(xié)議訪問ECS實例提供的Web服務（安全組Web服務的端口被關閉）

ECS無法訪問外網(wǎng)或者其他同地域的云產(chǎn)品

考點：SSH密鑰對

考法1：SSH密鑰對的優(yōu)勢

1.SSH密鑰的兩個優(yōu)勢：

安全性：

SSH密鑰對登錄認證更為安全可靠。

密鑰對安全強度遠高于常規(guī)用戶口令，可以杜絕暴力破解威脅。

不可能通過公鑰推導出私鑰。

便捷性：

如果您將公鑰配置在Linux實例中，那么，在本地或者另外一臺實例中，您可以使用私鑰通過SSH命令或相關工具登錄目標實例，而不需要輸入密碼。

便于遠程登錄大量Linux實例，方便管理。如果您需要批量維護多臺Linux實例，推薦使用這種方式登錄。

考點：管理身份和權限

考法1：RAM與STS的區(qū)別

1.RAM和STS是阿里云提供的權限管理系統(tǒng)。RAM的主要作用是控制賬號系統(tǒng)的權限；

2.STS是一個安全憑證的管理系統(tǒng)，為RAM用戶提供短期訪問權限管理。

3.RAM允許在一個阿里云賬號下創(chuàng)建并管理多個身份，并允許給單個身份或一組身份分配不同的權限，從而實現(xiàn)不同用戶擁有不同資源訪問權限的目的。

考法2：API鑒權

1.AccessKeySecret不支持通過控制臺直接查看。

2.【Access Key ID】用于標識訪問者身份。

考點：基礎安全服務

考法1：開通方式

基礎安全服務是自動開通，無需單獨購買。

考法2：支持功能

1. 云服務器ECS提供了基礎安全服務，包括異常登錄檢測、漏洞掃描、基線配置核查等。您可以在ECS控制臺或者云安全中心看到您的云服務器安全狀態(tài)

2.DDoS基礎防護是免費的，而DDoS高防IP是需要付費購買的功能

考法3：產(chǎn)品支撐

1.【云安全中心】提供云計算服務的基礎安全加固和防護。