阿里云认证资料：ECS安全

本文是ECS安全，将ECS安全的考点和考法做了一个梳理，希望能帮助到各位考生。ECS安全的考点和考法具体如下：

章节：ECS安全

考点：安全组

考法1：安全组的概念和定位

1.不同云服务器ECS实例之间的网络访问控制，通过【安全组】实现。

考法2：普通安全组与企业安全组

1.对运维效率、ECS实例规格以及计算节点的规模要求高，使用【企业安全组】最合适。

考法3：默认安全组

1.默认安全组默认打开的端口：ICMP协议、SSH 22端口、RDP 3389端口。

考法4：安全组规则的字段

1.创建安全组的字段包括：名称、描述、网络、类型、资源组、标签、访问规则。

考法5：安全组规则的优先级

1.安全组规则生效策略是：若规则优先级相同，拒绝策略的规则优先生效，允许策略的规则不生效；若优先级不同，优先级数字小的规则生效。

考法6：安全组使用限制

1.每个ECS实例最多可以加入5个安全组，且ECS至少加入一个安全组。

考法7：安全组的实践建议

1.安全组应该尽量开放和暴露最好的端口并且生产环境和测试环境使用不同的安全组。

2.仅允许少量请求访问ECS实例时，可将安全组作为【白名单】使用。

考法8：入方向解决方案

1.ECS添加到了安全组是不需要任何操作立即生效的，特定IP访问这个安全组也是即刻生效的，可以访问该安全组内所有的机器。

考法9：WEB服务解决方案

1.新的ECS实例只允许开放特定端口的公网访问，需要新建一个安全组并新增安全组规则，只允许该端口的公网入流量，并且将该实例从原先的默认安全组移入该安全组。

考法10：互通解决方案

1.同一个安全组下面的实例默认互通，同一个账号在同一个地域不同安全组情况需要两个安全组相互授权对方可以访问。

考法11：远程连接解决方案

1.使用Xshell客户端远程连接Linux系统的ECS实例，安全组规则应该放行【SSH协议】和【22端口】。

考法12：PING命令解决方案

1.避免公网用户通过ping命令检查到ECS是否在线：

启用安全组，拒绝“公网入”的ICMP协议。

启用ECS内操作系统的防火墙，拒绝“公网入”的ICMP协议。

先将ECS IP解析到一个不常用的四级域名，然后将对外推广的域名通过CNAME指向以上四级域名。

考法13：安全组内网络隔离解决方案

针对普通安全组内的实例之间默认网络互通的情况，您可以修改普通安全组内的网络连通策略，实现组内隔离。设置安全组内网络隔离时，需注意以下事项：

仅设置指定的普通安全组内的网络隔离，不改变默认的网络连通策略， 即其他已有和新建的普通安全组，以及企业安全组仍采用默认策略。

安全组内网络隔离是网卡之间的隔离，而不是ECS实例之间的隔离。若实例上绑定了多张弹性网卡，需设置每个网卡所属安全组的组内网络隔离。

安全组内网络隔离的优先级最低，即设置组内网络隔离后，仅在安全组内没有任何自定义规则的情况下保证组内实例之间网络隔离。

以下情况，安全组内实例之间仍然可以互相访问：

实例同时归属于多个安全组时，有一个及以上的安全组未设置组内隔离。

既设置了安全组内隔离，又设置了让组内实例之间可以互相访问的ACL。

考法14：错误配置安全组问题

1.错误配置安全组可能导致的后果包括且不限于：

无法从本地远程连接（SSH） Linux实例（安全组22端口关闭）

无法远程桌面连接Windows实例（安全组RDP协议3389端口关闭）

无法远程ping ECS实例的公网IP（ICMP协议）

无法通过HTTP或HTTPS协议访问ECS实例提供的Web服务（安全组Web服务的端口被关闭）

ECS无法访问外网或者其他同地域的云产品

考点：SSH密钥对

考法1：SSH密钥对的优势

1.SSH密钥的两个优势：

安全性：

SSH密钥对登录认证更为安全可靠。

密钥对安全强度远高于常规用户口令，可以杜绝暴力破解威胁。

不可能通过公钥推导出私钥。

便捷性：

如果您将公钥配置在Linux实例中，那么，在本地或者另外一台实例中，您可以使用私钥通过SSH命令或相关工具登录目标实例，而不需要输入密码。

便于远程登录大量Linux实例，方便管理。如果您需要批量维护多台Linux实例，推荐使用这种方式登录。

考点：管理身份和权限

考法1：RAM与STS的区别

1.RAM和STS是阿里云提供的权限管理系统。RAM的主要作用是控制账号系统的权限；

2.STS是一个安全凭证的管理系统，为RAM用户提供短期访问权限管理。

3.RAM允许在一个阿里云账号下创建并管理多个身份，并允许给单个身份或一组身份分配不同的权限，从而实现不同用户拥有不同资源访问权限的目的。

考法2：API鉴权

1.AccessKeySecret不支持通过控制台直接查看。

2.【Access Key ID】用于标识访问者身份。

考点：基础安全服务

考法1：开通方式

基础安全服务是自动开通，无需单独购买。

考法2：支持功能

1. 云服务器ECS提供了基础安全服务，包括异常登录检测、漏洞扫描、基线配置核查等。您可以在ECS控制台或者云安全中心看到您的云服务器安全状态

2.DDoS基础防护是免费的，而DDoS高防IP是需要付费购买的功能

考法3：产品支撑

1.【云安全中心】提供云计算服务的基础安全加固和防护。