背景信息

天翼云永遠承擔基礎設施的安全責任，包括云平臺基礎設施、底層架構及云資源自身的安全，包括物理服務器、網絡設備、存儲設備、虛擬化層等的防護，但您在使用云產品的過程中遵循安全實踐同樣重要，例如使用賬號安全、權限控制、信息數據安全等。

安全保護前提

在云端保護信息資產，首要任務是確立安全戰略的核心地位，充分認識到其重要性。系統與應用的安全防護是一個需要持續演進、不斷優化的長期任務。最好做到如下幾步：

• 構建一個全面的安全戰略框架，并精心規劃一套完善的安全防御策略，運用恰當的安全工具與控件來實施保護措施。

• 將安全性融入到 DevOps 流程中。

• 建立自動化的系統安全防御體系。

• 深入研究云環境下的安全合規性標準。

在此基礎上，還需明確以下要點：

• 對所有信息資產進行全面識別、準確定義合理分類。

• 明確需要保護的資產數據范圍。

• 規定被保護資產數據的訪問權限，并清晰界定訪問目的。

如何保護云主機安全

賬號安全

開啟 MFA 多因素賬號認證：MFA 多因素賬號認證是在用戶名和密碼基礎上，增加 的另一層安全要素，用戶進行重點操作前需完成二次認證，能有效避免因賬號密碼泄露導致的安全風險，提升賬號安全性。

使用 IAM 用戶需合理設置權限：避免直接使用天翼云主賬號進行操作，而是創建 IAM 用戶，根據用戶實際職責授予最小必要權限，實現權限精細化管理，降低因賬號共享或權限過寬帶來的安全隱患。

AccessKey 防泄密：AccessKey 是訪問天翼云 API 的重要密鑰，需妥善保管，避免嵌入代碼、公開暴露。同時，要定期輪換 AccessKey，及時吊銷不再使用的 AccessKey，還可通過配置限制公網 IP 網段訪問及強制使用 HTTPS 方式訪問，進一步降低泄露風險。

賬號與密碼管理：管理員賬號必須開啟 MFA 認證，實施賬號分級權限設置，遵循最小權限授權原則。禁用 root 賬號訪問 API 或常用請求方法，建議使用服務目錄進行集中身份管理。對于密鑰與憑據，禁止使用過期證書與憑據，刪除根賬號訪問密鑰，定期清理長期未使用的密鑰與憑據，并監控其使用情況。密碼設置需符合復雜度要求，定期修改，且與其他平臺密碼區分，避免交叉泄露風險。

規模化信息資產管理

標簽規模化管理：

善用標簽功能。標簽由鍵值對組成，可用于對云資源進行標識，基于標簽能實現資源的便捷搜索、整理與分類。通過標簽，在發生安全事件時可快速定位影響范圍，配置安全策略時也能批量為指定標簽資源配置，避免遺漏。

云助手自動化運維：

天翼云云助手（CT-CA， Cloud Assistant）是專門為云服務器打造的原生自動化運維工具，免密碼、免登錄、無需使用跳板機，即可批量執行命令（Shell、PowerShell、Bat、Python等），完成運行自動化運維腳本、輪詢進程、安裝卸載軟件、啟動或停止服務、安裝補丁或安裝安全更新等任務。

當您涉及以下業務場景時，可通過云助手快速實現需求：

• 上傳并運行自動化運維腳本。

• 執行常見操作任務。

• 運行已保存的腳本。

• 批量安裝軟件或應用。

• 安裝補丁或安全更新。

• 上傳文件或證書到指定目錄。

配置審計合規檢查：

彈性云主機已接入天翼云云審計，提供統一的云資源操作記錄與審計能力。天翼云云審計服務可完整追蹤資源配置的歷史變更，并基于這些數據支持配置合規性審計、安全事件分析、資源變更追蹤與故障排查等多種應用場景，保障云上資產的可控性與安全性，滿足內部與外部合規要求。

積極使用安全特性

使用增強計算實例

對于高安全可信要求的業務場景，可選用可信云主機。可信云主機以可信虛擬化技術（vTPM）為可信根，構建從系統啟動到應用運行的信任鏈，實現遠程證明機制，為用戶提供從啟動到運行階段的全方位可信保障，降低系統或軟件被篡改帶來的安全風險。

使用安全鏡像

1.使用官方提供的公共鏡像CTyunOS。CTyunOS公共鏡像將定期更新修復鏡像里的漏洞，降低被攻擊的風險，保護數據安全，確保業務連續性。

2.對于高安全要求場景，建議使用加密私有鏡像。使用KMS對鏡像進行加密，避免鏡像丟失后數據泄露風險。您可選擇創建加密的系統盤、數據盤，如果云盤是加密云盤，使用該云盤創建的鏡像也是加密鏡像，或者在對已有的未加密鏡像拷貝時選擇加密，生成的新鏡像為加密鏡像。如果私有加密鏡像需要共享給其他天翼云賬號時，建議用戶對加密鏡像進行解密復制后，共享解密后的鏡像，避免KMS密鑰泄露導致安全風險。

使用云盤數據加密

在創建云服務器或單獨創建云盤時，可勾選加密選項開啟云盤加密功能。云盤加密采用行業標準加密算法，由天翼云自研密鑰管理服務提供密鑰支持，加密過程對用戶透明，無需用戶自建密鑰管理基礎設施，能有效保護云盤數據隱私與安全。

善用云主機備份

云主機備份是一種非常重要的數據保護和恢復措施，適用于政府、金融等對數據安全性要求較高的客戶，可以在各種場景下快速恢復數據，防止因意外、事故、黑客攻擊或病毒入侵等導致的數據丟失。在面臨黑客攻擊或病毒入侵的情況下，通過備份，可以立即恢復到最近一次沒有受到黑客攻擊或病毒入侵的備份時間點。這將消除黑客或病毒對數據和系統造成的損害，讓系統恢復到正常運行狀態，同時避免進一步擴散和數據丟失。數據誤刪是一個常見但嚴重的問題，通過云主機備份，可以迅速找回被刪除的數據。備份允許立即恢復到刪除前的備份時間點，確保數據的完整性和可用性，從而避免因誤操作而導致的數據丟失或業務中斷。當云主機遭遇宕機時，業務可能會受到嚴重影響。通過備份，可以迅速恢復到宕機之前的備份時間點，使云主機能夠再次正常啟動。這將減少業務中斷時間，恢復服務，并降低損失的可能性。

使用服務器安全衛士

在創建云主機時或云主機使用過程中，可開通服務器安全衛士。服務器安全衛士能全面識別并管理服務器中的信息資產、實時監測服務器風險并阻止非法入侵行為，當發現服務器出現安全問題時，第一時間發出告警通知。主要包括資產清點、漏洞掃描、入侵檢測、基線檢查、弱口令檢測、病毒查殺、文件防勒索等功能，有利于構建服務器安全防護體系。

網絡權限配置

網絡隔離配置

借助虛擬私有云（VPC）構建隔離的虛擬網絡環境，VPC 內可創建子網劃分網段，不同 VPC 默認無法內網互通，實現網絡層面的基礎隔離。同時，可通過安全組、網絡 ACL 等措施，進一步限制子網與云主機的出入流量，實現業務間的安全隔離。

搭建安全網絡環境

在 VPC 規劃上，可按業務單元或安全等級劃分 VPC，規劃共享服務 VPC 集中部署公共服務。合理設計 CIDR，預留地址空間，通過對等連接等方式實現必要的跨 VPC 互聯。在互聯網訪問方面，部署 NAT 網關作為私有子網訪問外網的出口，對需要公網服務的子網配置相應規則。同時，跨可用區部署關鍵服務與負載均衡，提升網絡可用性與安全性。此外，通過安全組與網絡 ACL 配置精細的訪問控制規則，限制跨 VPC 訪問與公網訪問范圍，保障網絡環境安全。

應用防護安全

應用的網絡流量攻擊防護

使用基礎DDoS防御與DDoS高防，天翼云為云主機提供免費 DDoS 基礎防護能力，依托資源池網絡，在公網 IP 遭受 DDoS 攻擊時，能提供一定防護閾值，在閾值內保障 IP 可用。當攻擊超出閾值時，為保護資源池整體穩定，IP 會進入封禁狀態。若基礎防護無法滿足需求，用戶可選擇 DDoS 高防等更高級別防護產品。

應用的漏洞攻擊防護

使用Web應用防火墻（原生版）為用戶Web應用提供一站式安全防護，對Web業務流量進行智能全方位檢測，有效識別惡意請求特征并防御，避免源站服務器被惡意入侵，保護網站核心業務安全和數據安全。

實例內 GuestOS 應用系統安全

登錄安全配置

創建Linux云主機時，推薦用戶選擇登錄名為ecs-user。創建成功后，云主機登錄賬號權限默認為非root權限，只能執行被授權的操作，若涉及系統敏感的操作，則用戶需要在本地通過su或sudo提權至root權限執行。Windows云主機建議使用8位以上、包含特殊字符的復雜密碼作為登錄憑證。

Linux云主機：默認非root賬號登陸云主機。如果您使用root用戶登錄Linux云主機，則您可以獲得系統最高權限。該方式雖然便于您進行系統運維操作，但如果您的主機遭到入侵，就會面臨嚴重的數據安全風險。建議您使用ecs-user用戶登錄云主機。

Windows云主機：設置復雜的密碼并定期更換，養成良好的安全運維習慣。

避免服務弱口令

如果您的服務器使用弱口令登錄，黑客可能會非法登錄您的服務器，竊取服務器數據或破壞服務器。建議您為服務器設置復雜的登錄口令，并定期提升登錄口令的安全性。口令提升方法：

• 設置復雜口令。

• 不使用常見或公開的弱口令。

• 定期修改口令。

云主機的口令需設置為強密碼：長度為8-30個字符，必須同時包含三項（大寫字母、小寫字母、數字、 ()`~!@#$%^&*_-+=|{}[]:;'<>,.?/ 中的特殊符號），不能以斜線號（/）開頭，不能包含3個及以上連續字符，如abc、123。

數據傳輸加密

通過配置安全組或防火墻，限制僅允許加密網絡服務端口通信，采用 TLS 1.2 及以上版本等加密協議，對客戶端與實例間傳輸的敏感數據進行加密，防止數據在傳輸過程中被監聽、截取或篡改。

監控與審計

利用云監控、云審計、VPC 流日志等功能，構建異常資源與權限訪問監控告警體系。云監控可實時監控云資源狀態，設置告警通知；操作審計記錄云資源操作日志，用于安全分析與合規審計；VPC 流日志記錄網絡流量信息，助力網絡故障排查與安全分析。