阿里云認(rèn)證資料：ECS安全

本文是ECS安全，將ECS安全的考點(diǎn)和考法做了一個(gè)梳理，希望能幫助到各位考生。ECS安全的考點(diǎn)和考法具體如下：

章節(jié)：ECS安全

考點(diǎn)：安全組

考法1：安全組的概念和定位

1.不同云服務(wù)器ECS實(shí)例之間的網(wǎng)絡(luò)訪問控制，通過【安全組】實(shí)現(xiàn)。

考法2：普通安全組與企業(yè)安全組

1.對(duì)運(yùn)維效率、ECS實(shí)例規(guī)格以及計(jì)算節(jié)點(diǎn)的規(guī)模要求高，使用【企業(yè)安全組】最合適。

考法3：默認(rèn)安全組

1.默認(rèn)安全組默認(rèn)打開的端口：ICMP協(xié)議、SSH 22端口、RDP 3389端口。

考法4：安全組規(guī)則的字段

1.創(chuàng)建安全組的字段包括：名稱、描述、網(wǎng)絡(luò)、類型、資源組、標(biāo)簽、訪問規(guī)則。

考法5：安全組規(guī)則的優(yōu)先級(jí)

1.安全組規(guī)則生效策略是：若規(guī)則優(yōu)先級(jí)相同，拒絕策略的規(guī)則優(yōu)先生效，允許策略的規(guī)則不生效；若優(yōu)先級(jí)不同，優(yōu)先級(jí)數(shù)字小的規(guī)則生效。

考法6：安全組使用限制

1.每個(gè)ECS實(shí)例最多可以加入5個(gè)安全組，且ECS至少加入一個(gè)安全組。

考法7：安全組的實(shí)踐建議

1.安全組應(yīng)該盡量開放和暴露最好的端口并且生產(chǎn)環(huán)境和測(cè)試環(huán)境使用不同的安全組。

2.僅允許少量請(qǐng)求訪問ECS實(shí)例時(shí)，可將安全組作為【白名單】使用。

考法8：入方向解決方案

1.ECS添加到了安全組是不需要任何操作立即生效的，特定IP訪問這個(gè)安全組也是即刻生效的，可以訪問該安全組內(nèi)所有的機(jī)器。

考法9：WEB服務(wù)解決方案

1.新的ECS實(shí)例只允許開放特定端口的公網(wǎng)訪問，需要新建一個(gè)安全組并新增安全組規(guī)則，只允許該端口的公網(wǎng)入流量，并且將該實(shí)例從原先的默認(rèn)安全組移入該安全組。

考法10：互通解決方案

1.同一個(gè)安全組下面的實(shí)例默認(rèn)互通，同一個(gè)賬號(hào)在同一個(gè)地域不同安全組情況需要兩個(gè)安全組相互授權(quán)對(duì)方可以訪問。

考法11：遠(yuǎn)程連接解決方案

1.使用Xshell客戶端遠(yuǎn)程連接Linux系統(tǒng)的ECS實(shí)例，安全組規(guī)則應(yīng)該放行【SSH協(xié)議】和【22端口】。

考法12：PING命令解決方案

1.避免公網(wǎng)用戶通過ping命令檢查到ECS是否在線：

啟用安全組，拒絕“公網(wǎng)入”的ICMP協(xié)議。

啟用ECS內(nèi)操作系統(tǒng)的防火墻，拒絕“公網(wǎng)入”的ICMP協(xié)議。

先將ECS IP解析到一個(gè)不常用的四級(jí)域名，然后將對(duì)外推廣的域名通過CNAME指向以上四級(jí)域名。

考法13：安全組內(nèi)網(wǎng)絡(luò)隔離解決方案

針對(duì)普通安全組內(nèi)的實(shí)例之間默認(rèn)網(wǎng)絡(luò)互通的情況，您可以修改普通安全組內(nèi)的網(wǎng)絡(luò)連通策略，實(shí)現(xiàn)組內(nèi)隔離。設(shè)置安全組內(nèi)網(wǎng)絡(luò)隔離時(shí)，需注意以下事項(xiàng)：

僅設(shè)置指定的普通安全組內(nèi)的網(wǎng)絡(luò)隔離，不改變默認(rèn)的網(wǎng)絡(luò)連通策略， 即其他已有和新建的普通安全組，以及企業(yè)安全組仍采用默認(rèn)策略。

安全組內(nèi)網(wǎng)絡(luò)隔離是網(wǎng)卡之間的隔離，而不是ECS實(shí)例之間的隔離。若實(shí)例上綁定了多張彈性網(wǎng)卡，需設(shè)置每個(gè)網(wǎng)卡所屬安全組的組內(nèi)網(wǎng)絡(luò)隔離。

安全組內(nèi)網(wǎng)絡(luò)隔離的優(yōu)先級(jí)最低，即設(shè)置組內(nèi)網(wǎng)絡(luò)隔離后，僅在安全組內(nèi)沒有任何自定義規(guī)則的情況下保證組內(nèi)實(shí)例之間網(wǎng)絡(luò)隔離。

以下情況，安全組內(nèi)實(shí)例之間仍然可以互相訪問：

實(shí)例同時(shí)歸屬于多個(gè)安全組時(shí)，有一個(gè)及以上的安全組未設(shè)置組內(nèi)隔離。

既設(shè)置了安全組內(nèi)隔離，又設(shè)置了讓組內(nèi)實(shí)例之間可以互相訪問的ACL。

考法14：錯(cuò)誤配置安全組問題

1.錯(cuò)誤配置安全組可能導(dǎo)致的后果包括且不限于：

無法從本地遠(yuǎn)程連接（SSH） Linux實(shí)例（安全組22端口關(guān)閉）

無法遠(yuǎn)程桌面連接Windows實(shí)例（安全組RDP協(xié)議3389端口關(guān)閉）

無法遠(yuǎn)程ping ECS實(shí)例的公網(wǎng)IP（ICMP協(xié)議）

無法通過HTTP或HTTPS協(xié)議訪問ECS實(shí)例提供的Web服務(wù)（安全組Web服務(wù)的端口被關(guān)閉）

ECS無法訪問外網(wǎng)或者其他同地域的云產(chǎn)品

考點(diǎn)：SSH密鑰對(duì)

考法1：SSH密鑰對(duì)的優(yōu)勢(shì)

1.SSH密鑰的兩個(gè)優(yōu)勢(shì)：

安全性：

SSH密鑰對(duì)登錄認(rèn)證更為安全可靠。

密鑰對(duì)安全強(qiáng)度遠(yuǎn)高于常規(guī)用戶口令，可以杜絕暴力破解威脅。

不可能通過公鑰推導(dǎo)出私鑰。

便捷性：

如果您將公鑰配置在Linux實(shí)例中，那么，在本地或者另外一臺(tái)實(shí)例中，您可以使用私鑰通過SSH命令或相關(guān)工具登錄目標(biāo)實(shí)例，而不需要輸入密碼。

便于遠(yuǎn)程登錄大量Linux實(shí)例，方便管理。如果您需要批量維護(hù)多臺(tái)Linux實(shí)例，推薦使用這種方式登錄。

考點(diǎn)：管理身份和權(quán)限

考法1：RAM與STS的區(qū)別

1.RAM和STS是阿里云提供的權(quán)限管理系統(tǒng)。RAM的主要作用是控制賬號(hào)系統(tǒng)的權(quán)限；

2.STS是一個(gè)安全憑證的管理系統(tǒng)，為RAM用戶提供短期訪問權(quán)限管理。

3.RAM允許在一個(gè)阿里云賬號(hào)下創(chuàng)建并管理多個(gè)身份，并允許給單個(gè)身份或一組身份分配不同的權(quán)限，從而實(shí)現(xiàn)不同用戶擁有不同資源訪問權(quán)限的目的。

考法2：API鑒權(quán)

1.AccessKeySecret不支持通過控制臺(tái)直接查看。

2.【Access Key ID】用于標(biāo)識(shí)訪問者身份。

考點(diǎn)：基礎(chǔ)安全服務(wù)

考法1：開通方式

基礎(chǔ)安全服務(wù)是自動(dòng)開通，無需單獨(dú)購買。

考法2：支持功能

1. 云服務(wù)器ECS提供了基礎(chǔ)安全服務(wù)，包括異常登錄檢測(cè)、漏洞掃描、基線配置核查等。您可以在ECS控制臺(tái)或者云安全中心看到您的云服務(wù)器安全狀態(tài)

2.DDoS基礎(chǔ)防護(hù)是免費(fèi)的，而DDoS高防IP是需要付費(fèi)購買的功能

考法3：產(chǎn)品支撐

1.【云安全中心】提供云計(jì)算服務(wù)的基礎(chǔ)安全加固和防護(hù)。