安全组

云服务器安全组提供与虚拟防火墙相似的功能,可以对单个或多个云服务器实例进行网络访问控制, 是云端重要的安全手段。

安全组实践建议

  • 安全组应作为白名单使用
  • 遵循「最小授权」原则开放应用出入规则,例如,可以对Web服务只暴露80端口。
  • 不要将所有应用都放在一个安全组里,建议不同类型的应用尽量放在不同的安全组,确保重要应用无法被外界轻易访问。
  • 不需要公网访问的资源不应该提供公网 IP
  • 优先考虑 VPC 网络
  • 尽可能保持单个安全组的规则简洁

账户权限管理

在有多个用户需要对资源进行访问操作的情况下,建议使用「访问控制」服务对用户身份进行管理,对资源访问进行控制。使用「访问控制」可以控制多个用户对同一个资源的操作权限,可以避免与多个访问用户共享云平台账号密钥。按需为每个用户分配最小权限,从而有效降低云服务器信息安全风险。

网络安全与 VPC

  • 使用 VPC 网络并设置安全组

    建议使用 VPC 网络将不需要暴露在互联网下的重点业务服务器和重要数据放在与公网隔离的虚拟子网中,并根据自身业务需求灵活设置安全组,配置网络访问控制规则。

  • 使用高防 DDoS

    网易云平台上的服务均免费提供 5 Gbps 的 DDoS 防御能力,并提供用户的攻击详情报告和次数。如果需要更大流量的防御可以购买 DDoS 高防服务。使用网易云 DDoS 防御无需采购昂贵的流量清洗设备,在服务器受到 DDoS 攻击时不影响正常访问速度。

  • 接入 Web 防火墙

其它提高云服务器的安全实践

定期备份数据

为了降低因系统故障、操作失误、安全等问题导致的数据丢失风险,应定期为数据进行备份。云硬盘带有快照备份功能,合理使用云硬盘快照功能即可满足大部分用户数据备份的要求。用户可以根据自身业务实际情况,制定适合自己的备份策略。

合理设置安全组

安全组用于设置单台或多台云服务器的网络访问控制,是重要的网络安全隔离手段。通过安全组设置云服务器防火墙策略,可以限定服务器的访问端口,限制服务器的主动/被动访问行为,减少服务器受攻击可能性。

合理设置 VPC 网络

云服务器提供 VPC 网络,用户可自定义子网、配置路由表和网关等,用以隔离不同安全级别的云服务器,将存储重要数据的云服务器和互联网环境完全隔离,保障业务数据安全。

服务器登录密码设置

服务器登录密码建议至少8位以上,应尽量包含大小写字母、数字和特殊字符等,增加登录密码的复杂度。并且要不定时更新密码,形成良好的安全保密习惯。如果是 Linux 云服务器建议使用密钥对认证方式的 SSH 登录

服务器端口安全

从安全角度来说,服务器端口暴露在互联网是有安全隐患的。建议关闭多余服务端口,只对我开放必要的服务端口,并且将常用端口修改为高端口,以加强对服务器的安全保护。