阿里云認(rèn)證資料:ECS安全

阿里云認(rèn)證 責(zé)任編輯:陳湘君 2023-06-21

摘要:希賽網(wǎng)為阿里云認(rèn)證考試備考生帶來(lái)相關(guān)備考資料的內(nèi)容,本文是ECS安全,將ECS安全的考點(diǎn)和考法做了一個(gè)梳理,希望能幫助到各位考生。

本文是ECS安全,將ECS安全的考點(diǎn)和考法做了一個(gè)梳理,希望能幫助到各位考生。ECS安全的考點(diǎn)和考法具體如下:

章節(jié):ECS安全

考點(diǎn):安全組

考法1:安全組的概念和定位

1.不同云服務(wù)器ECS實(shí)例之間的網(wǎng)絡(luò)訪問(wèn)控制,通過(guò)【安全組】實(shí)現(xiàn)。

考法2:普通安全組與企業(yè)安全組

1.對(duì)運(yùn)維效率、ECS實(shí)例規(guī)格以及計(jì)算節(jié)點(diǎn)的規(guī)模要求高,使用【企業(yè)安全組】最合適。

考法3:默認(rèn)安全組

1.默認(rèn)安全組默認(rèn)打開(kāi)的端口:ICMP協(xié)議、SSH 22端口、RDP 3389端口。

考法4:安全組規(guī)則的字段

1.創(chuàng)建安全組的字段包括:名稱(chēng)、描述、網(wǎng)絡(luò)、類(lèi)型、資源組、標(biāo)簽、訪問(wèn)規(guī)則。

考法5:安全組規(guī)則的優(yōu)先級(jí)

1.安全組規(guī)則生效策略是:若規(guī)則優(yōu)先級(jí)相同,拒絕策略的規(guī)則優(yōu)先生效,允許策略的規(guī)則不生效;若優(yōu)先級(jí)不同,優(yōu)先級(jí)數(shù)字小的規(guī)則生效。

考法6:安全組使用限制

1.每個(gè)ECS實(shí)例最多可以加入5個(gè)安全組,且ECS至少加入一個(gè)安全組。

考法7:安全組的實(shí)踐建議

1.安全組應(yīng)該盡量開(kāi)放和暴露最好的端口并且生產(chǎn)環(huán)境和測(cè)試環(huán)境使用不同的安全組。

2.僅允許少量請(qǐng)求訪問(wèn)ECS實(shí)例時(shí),可將安全組作為【白名單】使用。

考法8:入方向解決方案

1.ECS添加到了安全組是不需要任何操作立即生效的,特定IP訪問(wèn)這個(gè)安全組也是即刻生效的,可以訪問(wèn)該安全組內(nèi)所有的機(jī)器。

考法9:WEB服務(wù)解決方案

1.新的ECS實(shí)例只允許開(kāi)放特定端口的公網(wǎng)訪問(wèn),需要新建一個(gè)安全組并新增安全組規(guī)則,只允許該端口的公網(wǎng)入流量,并且將該實(shí)例從原先的默認(rèn)安全組移入該安全組。

考法10:互通解決方案

1.同一個(gè)安全組下面的實(shí)例默認(rèn)互通,同一個(gè)賬號(hào)在同一個(gè)地域不同安全組情況需要兩個(gè)安全組相互授權(quán)對(duì)方可以訪問(wèn)。

考法11:遠(yuǎn)程連接解決方案

1.使用Xshell客戶(hù)端遠(yuǎn)程連接Linux系統(tǒng)的ECS實(shí)例,安全組規(guī)則應(yīng)該放行【SSH協(xié)議】和【22端口】。

考法12:PING命令解決方案

1.避免公網(wǎng)用戶(hù)通過(guò)ping命令檢查到ECS是否在線:

啟用安全組,拒絕“公網(wǎng)入”的ICMP協(xié)議。

啟用ECS內(nèi)操作系統(tǒng)的防火墻,拒絕“公網(wǎng)入”的ICMP協(xié)議。

先將ECS IP解析到一個(gè)不常用的四級(jí)域名,然后將對(duì)外推廣的域名通過(guò)CNAME指向以上四級(jí)域名。

考法13:安全組內(nèi)網(wǎng)絡(luò)隔離解決方案

針對(duì)普通安全組內(nèi)的實(shí)例之間默認(rèn)網(wǎng)絡(luò)互通的情況,您可以修改普通安全組內(nèi)的網(wǎng)絡(luò)連通策略,實(shí)現(xiàn)組內(nèi)隔離。設(shè)置安全組內(nèi)網(wǎng)絡(luò)隔離時(shí),需注意以下事項(xiàng):

僅設(shè)置指定的普通安全組內(nèi)的網(wǎng)絡(luò)隔離,不改變默認(rèn)的網(wǎng)絡(luò)連通策略, 即其他已有和新建的普通安全組,以及企業(yè)安全組仍采用默認(rèn)策略。

安全組內(nèi)網(wǎng)絡(luò)隔離是網(wǎng)卡之間的隔離,而不是ECS實(shí)例之間的隔離。若實(shí)例上綁定了多張彈性網(wǎng)卡,需設(shè)置每個(gè)網(wǎng)卡所屬安全組的組內(nèi)網(wǎng)絡(luò)隔離。

安全組內(nèi)網(wǎng)絡(luò)隔離的優(yōu)先級(jí)最低,即設(shè)置組內(nèi)網(wǎng)絡(luò)隔離后,僅在安全組內(nèi)沒(méi)有任何自定義規(guī)則的情況下保證組內(nèi)實(shí)例之間網(wǎng)絡(luò)隔離。

以下情況,安全組內(nèi)實(shí)例之間仍然可以互相訪問(wèn):

實(shí)例同時(shí)歸屬于多個(gè)安全組時(shí),有一個(gè)及以上的安全組未設(shè)置組內(nèi)隔離。

既設(shè)置了安全組內(nèi)隔離,又設(shè)置了讓組內(nèi)實(shí)例之間可以互相訪問(wèn)的ACL。

考法14:錯(cuò)誤配置安全組問(wèn)題

1.錯(cuò)誤配置安全組可能導(dǎo)致的后果包括且不限于:

無(wú)法從本地遠(yuǎn)程連接(SSH) Linux實(shí)例(安全組22端口關(guān)閉)

無(wú)法遠(yuǎn)程桌面連接Windows實(shí)例(安全組RDP協(xié)議3389端口關(guān)閉)

無(wú)法遠(yuǎn)程ping ECS實(shí)例的公網(wǎng)IP(ICMP協(xié)議)

無(wú)法通過(guò)HTTP或HTTPS協(xié)議訪問(wèn)ECS實(shí)例提供的Web服務(wù)(安全組Web服務(wù)的端口被關(guān)閉)

ECS無(wú)法訪問(wèn)外網(wǎng)或者其他同地域的云產(chǎn)品

考點(diǎn):SSH密鑰對(duì)

考法1:SSH密鑰對(duì)的優(yōu)勢(shì)

1.SSH密鑰的兩個(gè)優(yōu)勢(shì):

安全性:

SSH密鑰對(duì)登錄認(rèn)證更為安全可靠。

密鑰對(duì)安全強(qiáng)度遠(yuǎn)高于常規(guī)用戶(hù)口令,可以杜絕暴力破解威脅。

不可能通過(guò)公鑰推導(dǎo)出私鑰。

便捷性:

如果您將公鑰配置在Linux實(shí)例中,那么,在本地或者另外一臺(tái)實(shí)例中,您可以使用私鑰通過(guò)SSH命令或相關(guān)工具登錄目標(biāo)實(shí)例,而不需要輸入密碼。

便于遠(yuǎn)程登錄大量Linux實(shí)例,方便管理。如果您需要批量維護(hù)多臺(tái)Linux實(shí)例,推薦使用這種方式登錄。

考點(diǎn):管理身份和權(quán)限

考法1:RAM與STS的區(qū)別

1.RAM和STS是阿里云提供的權(quán)限管理系統(tǒng)。RAM的主要作用是控制賬號(hào)系統(tǒng)的權(quán)限;

2.STS是一個(gè)安全憑證的管理系統(tǒng),為RAM用戶(hù)提供短期訪問(wèn)權(quán)限管理。

3.RAM允許在一個(gè)阿里云賬號(hào)下創(chuàng)建并管理多個(gè)身份,并允許給單個(gè)身份或一組身份分配不同的權(quán)限,從而實(shí)現(xiàn)不同用戶(hù)擁有不同資源訪問(wèn)權(quán)限的目的。

考法2:API鑒權(quán)

1.AccessKeySecret不支持通過(guò)控制臺(tái)直接查看。

2.【Access Key ID】用于標(biāo)識(shí)訪問(wèn)者身份。

考點(diǎn):基礎(chǔ)安全服務(wù)

考法1:開(kāi)通方式

基礎(chǔ)安全服務(wù)是自動(dòng)開(kāi)通,無(wú)需單獨(dú)購(gòu)買(mǎi)。

考法2:支持功能

1. 云服務(wù)器ECS提供了基礎(chǔ)安全服務(wù),包括異常登錄檢測(cè)、漏洞掃描、基線配置核查等。您可以在ECS控制臺(tái)或者云安全中心看到您的云服務(wù)器安全狀態(tài)

2.DDoS基礎(chǔ)防護(hù)是免費(fèi)的,而DDoS高防IP是需要付費(fèi)購(gòu)買(mǎi)的功能

考法3:產(chǎn)品支撐

1.【云安全中心】提供云計(jì)算服務(wù)的基礎(chǔ)安全加固和防護(hù)。

更多資料
更多課程
更多真題
溫馨提示:因考試政策、內(nèi)容不斷變化與調(diào)整,本網(wǎng)站提供的以上信息僅供參考,如有異議,請(qǐng)考生以權(quán)威部門(mén)公布的內(nèi)容為準(zhǔn)!

阿里云認(rèn)證備考資料免費(fèi)領(lǐng)取

去領(lǐng)取

阿里云認(rèn)證熱門(mén)課程推薦
  • 云計(jì)算acp工程師直播課程

  • 云安全acp工程師直播課程

  • 大數(shù)據(jù)acp工程師直播課程

專(zhuān)注在線職業(yè)教育23年

項(xiàng)目管理

信息系統(tǒng)項(xiàng)目管理師

廠商認(rèn)證

信息系統(tǒng)項(xiàng)目管理師

信息系統(tǒng)項(xiàng)目管理師

!
咨詢(xún)?cè)诰€老師!