基于阿里云的企业安全最佳实践

账户安全管理
1、为云账户和高风险权限RAM用户启用多因素认证（MFA）。
2、授权予高风险特权操作时，使用带IP和MFA限制条件的授权策略进行授权。
3、分离用户管理、权限管理与资源管理的RAM用户，分权制衡。
4、使用群组给RAM用户分配权限。
5、善用STS安全令牌服务，为临时用户提供短期访问资源的权限凭证。
6、为云账户和RAM登录用户配置强密码策略。
7、不要为云账户（主账号）创建Access Key，避免AK泄漏的巨大风险。
8、定期轮转用户登录密码和Access Key。
9、将控制台用户与API用户分离。
10、使用策略限制条件来增强安全性，比如访问源IP，时间等。比如，授权用户Alice可以关停ECS实例，限制条件是Alice必须在指定时间、并且用户公司网络中执行该操作。
11、及时调整和撤销RAM用户不再需要的权限。
12、遵循最小授权原则，不要过度授权。最小授权原则是安全设计的基本原则，当用户需要给用户授权时，请授予刚好满足他工作所需的权限，而不要过度授权。
密钥管理服务
1、加密与解密实践
用户可以直接调用KMS的API，使用指定的用户主密钥（CMK）来加密、解密数据。这种场景适用于少量（少于4KB）数据的加解密，用户的数据会通过安全信道传递到KMS服务端，对应的结果将在服务端完成加密、解密后通过安全信道返回给用户。
2、信封加密
用户可以直接调用KMS的API，使用指定的用户主密钥（CMK）来产生、解密数据密钥，并自行使用数据密钥在本地加解密数据。这种场景适用于大量数据的加解密，用户的数据无需通过网络传输大量数据，可以低成本的实现大量数据的加解密。
云服务器ECS
为了更好地使用云服务器ECS，建议您遵循阿里云安全的最佳实践指导，注意几个主要原则：
1、在创建ECS时进行合理的安全配置。
2、网络安全组设置，公网安全组和私网安全组都只保留业务需要使用的端口。
3、创建快照。
4、实例登录使用SSH密钥对。
5、关注操作系统安全漏洞并定期升级。
6、使用安骑士保护ECS实例安全。
负载均衡SLB
1、使用SLB时，需要检查勿将后端ECS实例的管理端口通过SLB转发至公网，比如ECS的22、3389、3306、6379等高危端口。
2、如果仅是做私网负载均衡，用户可以选择私网SLB实例。公网实例和私网实例的不同。公网实例：负载均衡实例仅提供公网IP，可以通过Internet访问的负载均衡服务。私网实例：负载均衡实例仅提供阿里云私网IP地址，只能通过阿里云内部网络访问该负载均衡服务，Internet用户无法访问。
3、SLB提供了HTTPS监听，支持单向和双向认证，建议使用。
云数据库RDS
1、网络设置
RDS支持公网的访问和私网的访问，如果仅在阿里云内部使用，建议设置为私网访问。如果在VPC内访问，建议选择VPC实例。
2、IP白名单设置
通过RDS控制台，设置RDS连接IP白名单为对应的ECS私网IP或者云服务的私网IP。
3、数据加密
（1）SSL/TLS：RDS提供MySQL和SQL Server的安全套接层协议。用户可以使用RDS提供的服务器端证书来验证目标地址和端口的数据库服务是否为RDS提供，从而有效避免中间人攻击。
（2）TDE：RDS提供MySQL和SQL Server的透明数据加密功能。RDS for MySQL的TDE由阿里云自研，RDS for SQL Server的TDE基于SQL Server企业版改造而来。
对象存储OSS
1、数据访问控制
OSS提供Bucket级别的权限访问控制，一般将应用的静态图片、CSS、JS等资源放到OSS上面，应当设置Bucket为public-read。如果是用户业务中的敏感数据，建议用户将Bucket设置为private并使用AK认证。
2、数据传输完整性
数据在客户端和服务器之间传输时有可能会出错。OSS现在支持对各种方式上传的object返回其CRC64值，客户端可以和本地计算的CRC64值做对比，从而完成数据完整性的验证。
DDoS高防IP
用户开通高防IP服务，需要把域名解析到高防IP清洗中心上。对于非Web业务，把业务IP换成高防IP服务，配置源站IP。对于Web业务，用户需要通过域名DNS服务商修改域名对应的A记录，指向高防IP。 完成域名解析的修改后，所有公网流量都会通过高防IP服务的清洗中心，通过端口协议转发的方式将用户的访问通过高防IP服务转发到源站，恶意攻击流量在高防IP清洗中心进行过滤后，正常流量返回源站，确保源站业务持续稳定访问。 高防IP服务和云盾Web应用防火墙（WAF）、阿里云的CDN完全兼容，最佳的部署架构是：将高防IP、CDN和WAF结合在一起，为用户提供保护和加速，即：高防IP（入口层，DDoS防护）-> CDN（静态资源加速） -> Web应用防火墙（中间层，应用层防护）-> 源站（ECS/SLB/VPC/IDC…）。
Web应用防火墙
1、配置源站ECS安全组或SLB白名单,可以防止黑客直接攻击源站IP
注意：源站保护不是必须的，不配置不会影响正常业务转发，但不做源站保护可能导致攻击者在源站IP暴露的情况下绕过WAF防护直接攻击源站。
2、使用WAF来防止敏感信息泄露
防泄漏功能主要覆盖包括网站存在敏感信息泄漏，尤其是手机号、身份证、信用卡等信息的过滤。本功能可以防御URL未授权访问；通过越权查看漏洞访问；网页存在敏感信息被恶意爬虫爬取访问等场景。
3、使用WAF有效防御WordPress反射攻击防御
WAF高级版及以上版本用户可以通过精准访问控制规则有效防御WordPress反射攻击。
安骑士（主机安全）
通过使用安装在云服务器上的轻量级软件安骑士，与云端安全中心联动，为客户提供漏洞管理、基线检查和入侵检测等功能，帮助客户看清楚“系统弱点”，查出“入侵事件”，加快事件“响应速度”。
态势感知
态势感知为客户提供资产管理、安全监控、入侵回溯、黑客定位、情报预警等功能特性。在以下场景建议使用态势感知产品了解安全情况。
1、全面了解云上业务的安全态势：如攻击情况，入侵情况，防御效果，自身业务弱点，主机对外提供服务的安全状态等。
2、入侵行为分析：用户云上业务遭到入侵，主机负载突然增加，或收到告警短信主机ECS被入侵时，态势感知可提供入侵行为检测、入侵行为分析和安全事件详情。
3、日志分析：态势感知提供全SaaS化的日志检索平台，免安装免维护，即开即用，支持逻辑（布尔表达式）检索，支持50个维度的数据逻辑组合，秒级出结果。
4、代码外泄感知：态势感知情报采集系统提供企业客户相关的情报，包括数据泄露情报，用户名密码泄露情报，暗网相关情报，IM群攻击预谋情报等。