阿里云服务器ECS创建实例启用安全合规特性

阿里云服务器ECS面向高安全可信要求的场景,可以使用安全增强型实例,保障实例的可信启动和实例中隐私数据的安全、选择满足三级等保合规镜像、使用更安全的镜像、云盘数据加密(需开启KMS)、快照容灾备份、加固模式下访问实例元数据,aliyunbaike.com分享官方文档说明:

高安全要求业务使用增强计算实例

安全增强型实例具有以下特性:

  • 支持Intel®SGX加密计算、支持加密内存,保障关键代码和数据的机密性与完整性不受恶意软件的破坏。
  • 依托TPM/TCM芯片,从底层服务器硬件到GuestOS的启动链均进行度量和验证,实现可信启动。

满足三级等保合规镜像

阿里云根据国家信息安全部发布的《GB/T22239-2019信息安全技术网络安全等级保护基本要求》中对操作系统提出的一些等级保护要求,推出自研云原生操作系统Alibaba Cloud Linux等保2.0三级版镜像。您使用本镜像无需额外配置即可满足身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范的等保合规要求。

使用更安全的镜像

使用公共镜像并开启镜像安全加固:

  • 使用官方提供的公共镜像。
  • 公共实例镜像启用免费安全加固能力,提供网站漏洞检查、云产品安全配置检查、主机登录异常告警等安全功能。

使用加密的自定义镜像:
使用国际标准认证的AES-256算法对镜像进行加密,避免镜像丢失后数据泄露风险。用户可选择创建加密的系统盘、数据盘,如果云盘是加密云盘,使用该云盘创建的快照也是加密镜像,或对已有的未加密镜像拷贝时选择加密,生成的新镜像为加密镜像。如果自定义加密镜像需要共享给其他阿里云账号时,建议用户为共享加密镜像创建独立的BYOK密钥,避免KMS密钥泄露导致安全风险。

云盘数据加密(需开启KMS)

选择云盘数据加密,能够最大限度保护您的数据安全,您的业务和应用程序无需做额外的改动。同时,该云盘生成的快照及这些快照创建的云盘将自动延续加密属性。数据加密适用于数据安全或法规合规等场景,帮助您加密保护存储在阿里云ECS上的数据。无需自建和维护密钥管理基础设施,您就能保护数据的隐私性和自主性,为业务数据提供安全边界。被加密的云盘可以是系统盘和数据盘。

快照容灾备份

使用快照备份:

数据备份是容灾的基础,可以降低因系统故障、操作失误以及安全问题而导致数据丢失的风险。ECS自带的快照功能可满足大部分用户数据备份的需求。您可根据自身业务需求选择创建快照的方式。
建议您每日创建一次自动快照,每个快照至少保留7天。养成良好的备份习惯,在故障发生时可以快速恢复重要数据,减少损失。

使用加密的快照

ECS加密采用行业标准的AES-256加密算法,使用密钥加密快照,避免快照丢失后数据泄露风险。您可以选择创建加密的云盘,如果云盘是加密云盘,使用该云盘创建的快照也是加密快照。

加固模式下访问实例元数据

实例元数据包含了ECS实例在阿里云系统中的信息,您可以在运行中的实例内方便地查看实例元数据,并基于实例元数据配置或管理实例。
建议您在加固模式下使用实例元数据,加固模式下实例和实例元数据服务器之间建立一个会话,并在查看实例元数据时通过Token验证身份,超过有效期后关闭会话并清除Token。Token具有以下特点:

  • 仅适用于一台实例。如果将Token文件复制到其他实例使用,会被拒绝访问。
  • 必须定义Token的有效期,范围为1秒~21600秒(6小时)。在有效期内可以重复使用,方便您平衡安全性和用户体验。
  • 不接受代理访问,如果创建Token的请求中包含X-Forwarded-For标头,则拒绝签发Token。
  • 向实例签发的Token数量没有限制。

2024阿里云服务器租用价格
①阿里云官方活动:https://t.aliyun.com/U/bLynLC 云服务器99元1年,新老同享,多配置特价
②代金券:领券入口 aliyun.club 免费领取12张代金券,总面值2088元优惠券。