摘要:希賽網(wǎng)為阿里云認(rèn)證考試備考生帶來(lái)相關(guān)備考資料的內(nèi)容,本文是ECS安全,將ECS安全的考點(diǎn)和考法做了一個(gè)梳理,希望能幫助到各位考生。
本文是ECS安全,將ECS安全的考點(diǎn)和考法做了一個(gè)梳理,希望能幫助到各位考生。ECS安全的考點(diǎn)和考法具體如下:
章節(jié):ECS安全
考點(diǎn):安全組
考法1:安全組的概念和定位
1.不同云服務(wù)器ECS實(shí)例之間的網(wǎng)絡(luò)訪問(wèn)控制,通過(guò)【安全組】實(shí)現(xiàn)。
考法2:普通安全組與企業(yè)安全組
1.對(duì)運(yùn)維效率、ECS實(shí)例規(guī)格以及計(jì)算節(jié)點(diǎn)的規(guī)模要求高,使用【企業(yè)安全組】最合適。
考法3:默認(rèn)安全組
1.默認(rèn)安全組默認(rèn)打開(kāi)的端口:ICMP協(xié)議、SSH 22端口、RDP 3389端口。
考法4:安全組規(guī)則的字段
1.創(chuàng)建安全組的字段包括:名稱(chēng)、描述、網(wǎng)絡(luò)、類(lèi)型、資源組、標(biāo)簽、訪問(wèn)規(guī)則。
考法5:安全組規(guī)則的優(yōu)先級(jí)
1.安全組規(guī)則生效策略是:若規(guī)則優(yōu)先級(jí)相同,拒絕策略的規(guī)則優(yōu)先生效,允許策略的規(guī)則不生效;若優(yōu)先級(jí)不同,優(yōu)先級(jí)數(shù)字小的規(guī)則生效。
考法6:安全組使用限制
1.每個(gè)ECS實(shí)例最多可以加入5個(gè)安全組,且ECS至少加入一個(gè)安全組。
考法7:安全組的實(shí)踐建議
1.安全組應(yīng)該盡量開(kāi)放和暴露最好的端口并且生產(chǎn)環(huán)境和測(cè)試環(huán)境使用不同的安全組。
2.僅允許少量請(qǐng)求訪問(wèn)ECS實(shí)例時(shí),可將安全組作為【白名單】使用。
考法8:入方向解決方案
1.ECS添加到了安全組是不需要任何操作立即生效的,特定IP訪問(wèn)這個(gè)安全組也是即刻生效的,可以訪問(wèn)該安全組內(nèi)所有的機(jī)器。
考法9:WEB服務(wù)解決方案
1.新的ECS實(shí)例只允許開(kāi)放特定端口的公網(wǎng)訪問(wèn),需要新建一個(gè)安全組并新增安全組規(guī)則,只允許該端口的公網(wǎng)入流量,并且將該實(shí)例從原先的默認(rèn)安全組移入該安全組。
考法10:互通解決方案
1.同一個(gè)安全組下面的實(shí)例默認(rèn)互通,同一個(gè)賬號(hào)在同一個(gè)地域不同安全組情況需要兩個(gè)安全組相互授權(quán)對(duì)方可以訪問(wèn)。
考法11:遠(yuǎn)程連接解決方案
1.使用Xshell客戶(hù)端遠(yuǎn)程連接Linux系統(tǒng)的ECS實(shí)例,安全組規(guī)則應(yīng)該放行【SSH協(xié)議】和【22端口】。
考法12:PING命令解決方案
1.避免公網(wǎng)用戶(hù)通過(guò)ping命令檢查到ECS是否在線:
啟用安全組,拒絕“公網(wǎng)入”的ICMP協(xié)議。
啟用ECS內(nèi)操作系統(tǒng)的防火墻,拒絕“公網(wǎng)入”的ICMP協(xié)議。
先將ECS IP解析到一個(gè)不常用的四級(jí)域名,然后將對(duì)外推廣的域名通過(guò)CNAME指向以上四級(jí)域名。
考法13:安全組內(nèi)網(wǎng)絡(luò)隔離解決方案
針對(duì)普通安全組內(nèi)的實(shí)例之間默認(rèn)網(wǎng)絡(luò)互通的情況,您可以修改普通安全組內(nèi)的網(wǎng)絡(luò)連通策略,實(shí)現(xiàn)組內(nèi)隔離。設(shè)置安全組內(nèi)網(wǎng)絡(luò)隔離時(shí),需注意以下事項(xiàng):
僅設(shè)置指定的普通安全組內(nèi)的網(wǎng)絡(luò)隔離,不改變默認(rèn)的網(wǎng)絡(luò)連通策略, 即其他已有和新建的普通安全組,以及企業(yè)安全組仍采用默認(rèn)策略。
安全組內(nèi)網(wǎng)絡(luò)隔離是網(wǎng)卡之間的隔離,而不是ECS實(shí)例之間的隔離。若實(shí)例上綁定了多張彈性網(wǎng)卡,需設(shè)置每個(gè)網(wǎng)卡所屬安全組的組內(nèi)網(wǎng)絡(luò)隔離。
安全組內(nèi)網(wǎng)絡(luò)隔離的優(yōu)先級(jí)最低,即設(shè)置組內(nèi)網(wǎng)絡(luò)隔離后,僅在安全組內(nèi)沒(méi)有任何自定義規(guī)則的情況下保證組內(nèi)實(shí)例之間網(wǎng)絡(luò)隔離。
以下情況,安全組內(nèi)實(shí)例之間仍然可以互相訪問(wèn):
實(shí)例同時(shí)歸屬于多個(gè)安全組時(shí),有一個(gè)及以上的安全組未設(shè)置組內(nèi)隔離。
既設(shè)置了安全組內(nèi)隔離,又設(shè)置了讓組內(nèi)實(shí)例之間可以互相訪問(wèn)的ACL。
考法14:錯(cuò)誤配置安全組問(wèn)題
1.錯(cuò)誤配置安全組可能導(dǎo)致的后果包括且不限于:
無(wú)法從本地遠(yuǎn)程連接(SSH) Linux實(shí)例(安全組22端口關(guān)閉)
無(wú)法遠(yuǎn)程桌面連接Windows實(shí)例(安全組RDP協(xié)議3389端口關(guān)閉)
無(wú)法遠(yuǎn)程ping ECS實(shí)例的公網(wǎng)IP(ICMP協(xié)議)
無(wú)法通過(guò)HTTP或HTTPS協(xié)議訪問(wèn)ECS實(shí)例提供的Web服務(wù)(安全組Web服務(wù)的端口被關(guān)閉)
ECS無(wú)法訪問(wèn)外網(wǎng)或者其他同地域的云產(chǎn)品
考點(diǎn):SSH密鑰對(duì)
考法1:SSH密鑰對(duì)的優(yōu)勢(shì)
1.SSH密鑰的兩個(gè)優(yōu)勢(shì):
安全性:
SSH密鑰對(duì)登錄認(rèn)證更為安全可靠。
密鑰對(duì)安全強(qiáng)度遠(yuǎn)高于常規(guī)用戶(hù)口令,可以杜絕暴力破解威脅。
不可能通過(guò)公鑰推導(dǎo)出私鑰。
便捷性:
如果您將公鑰配置在Linux實(shí)例中,那么,在本地或者另外一臺(tái)實(shí)例中,您可以使用私鑰通過(guò)SSH命令或相關(guān)工具登錄目標(biāo)實(shí)例,而不需要輸入密碼。
便于遠(yuǎn)程登錄大量Linux實(shí)例,方便管理。如果您需要批量維護(hù)多臺(tái)Linux實(shí)例,推薦使用這種方式登錄。
考點(diǎn):管理身份和權(quán)限
考法1:RAM與STS的區(qū)別
1.RAM和STS是阿里云提供的權(quán)限管理系統(tǒng)。RAM的主要作用是控制賬號(hào)系統(tǒng)的權(quán)限;
2.STS是一個(gè)安全憑證的管理系統(tǒng),為RAM用戶(hù)提供短期訪問(wèn)權(quán)限管理。
3.RAM允許在一個(gè)阿里云賬號(hào)下創(chuàng)建并管理多個(gè)身份,并允許給單個(gè)身份或一組身份分配不同的權(quán)限,從而實(shí)現(xiàn)不同用戶(hù)擁有不同資源訪問(wèn)權(quán)限的目的。
考法2:API鑒權(quán)
1.AccessKeySecret不支持通過(guò)控制臺(tái)直接查看。
2.【Access Key ID】用于標(biāo)識(shí)訪問(wèn)者身份。
考點(diǎn):基礎(chǔ)安全服務(wù)
考法1:開(kāi)通方式
基礎(chǔ)安全服務(wù)是自動(dòng)開(kāi)通,無(wú)需單獨(dú)購(gòu)買(mǎi)。
考法2:支持功能
1. 云服務(wù)器ECS提供了基礎(chǔ)安全服務(wù),包括異常登錄檢測(cè)、漏洞掃描、基線配置核查等。您可以在ECS控制臺(tái)或者云安全中心看到您的云服務(wù)器安全狀態(tài)
2.DDoS基礎(chǔ)防護(hù)是免費(fèi)的,而DDoS高防IP是需要付費(fèi)購(gòu)買(mǎi)的功能
考法3:產(chǎn)品支撐
1.【云安全中心】提供云計(jì)算服務(wù)的基礎(chǔ)安全加固和防護(hù)。
阿里云認(rèn)證備考資料免費(fèi)領(lǐng)取
去領(lǐng)取
共收錄117.93萬(wàn)道題
已有25.02萬(wàn)小伙伴參與做題
阿里云認(rèn)證