阿里云服务器ECS创建实例启用安全合规特性

阿里云服务器ECS面向高安全可信要求的场景，可以使用安全增强型实例，保障实例的可信启动和实例中隐私数据的安全、选择满足三级等保合规镜像、使用更安全的镜像、云盘数据加密（需开启KMS）、快照容灾备份、加固模式下访问实例元数据，阿里云百科aliyunbaike.com分享官方文档说明：

高安全要求业务使用增强计算实例

安全增强型实例具有以下特性：

• 支持Intel®SGX加密计算、支持加密内存，保障关键代码和数据的机密性与完整性不受恶意软件的破坏。
• 依托TPM/TCM芯片，从底层服务器硬件到GuestOS的启动链均进行度量和验证，实现可信启动。

满足三级等保合规镜像

阿里云根据国家信息安全部发布的《GB/T22239-2019信息安全技术网络安全等级保护基本要求》中对操作系统提出的一些等级保护要求，推出自研云原生操作系统Alibaba Cloud Linux等保2.0三级版镜像。您使用本镜像无需额外配置即可满足身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范的等保合规要求。

使用更安全的镜像

使用公共镜像并开启镜像安全加固：

• 使用官方提供的公共镜像。
• 公共实例镜像启用免费安全加固能力，提供网站漏洞检查、云产品安全配置检查、主机登录异常告警等安全功能。

使用加密的自定义镜像：
使用国际标准认证的AES-256算法对镜像进行加密，避免镜像丢失后数据泄露风险。用户可选择创建加密的系统盘、数据盘，如果云盘是加密云盘，使用该云盘创建的快照也是加密镜像，或对已有的未加密镜像拷贝时选择加密，生成的新镜像为加密镜像。如果自定义加密镜像需要共享给其他阿里云账号时，建议用户为共享加密镜像创建独立的BYOK密钥，避免KMS密钥泄露导致安全风险。

云盘数据加密（需开启KMS）

选择云盘数据加密，能够最大限度保护您的数据安全，您的业务和应用程序无需做额外的改动。同时，该云盘生成的快照及这些快照创建的云盘将自动延续加密属性。数据加密适用于数据安全或法规合规等场景，帮助您加密保护存储在阿里云ECS上的数据。无需自建和维护密钥管理基础设施，您就能保护数据的隐私性和自主性，为业务数据提供安全边界。被加密的云盘可以是系统盘和数据盘。

快照容灾备份

使用快照备份：

数据备份是容灾的基础，可以降低因系统故障、操作失误以及安全问题而导致数据丢失的风险。ECS自带的快照功能可满足大部分用户数据备份的需求。您可根据自身业务需求选择创建快照的方式。
建议您每日创建一次自动快照，每个快照至少保留7天。养成良好的备份习惯，在故障发生时可以快速恢复重要数据，减少损失。

使用加密的快照

ECS加密采用行业标准的AES-256加密算法，使用密钥加密快照，避免快照丢失后数据泄露风险。您可以选择创建加密的云盘，如果云盘是加密云盘，使用该云盘创建的快照也是加密快照。

加固模式下访问实例元数据

实例元数据包含了ECS实例在阿里云系统中的信息，您可以在运行中的实例内方便地查看实例元数据，并基于实例元数据配置或管理实例。
建议您在加固模式下使用实例元数据，加固模式下实例和实例元数据服务器之间建立一个会话，并在查看实例元数据时通过Token验证身份，超过有效期后关闭会话并清除Token。Token具有以下特点：

• 仅适用于一台实例。如果将Token文件复制到其他实例使用，会被拒绝访问。
• 必须定义Token的有效期，范围为1秒~21600秒（6小时）。在有效期内可以重复使用，方便您平衡安全性和用户体验。
• 不接受代理访问，如果创建Token的请求中包含X-Forwarded-For标头，则拒绝签发Token。
• 向实例签发的Token数量没有限制。