| 使用场景 | 场景说明 | 安全配置建议 |
| 登录密钥 | 服务器登录账号及密钥。 | 建议设置为强密码形式:12位以上,同时包含数字、大小写字母、特殊符号 |
| 远程登录端口 | 22、3389端口分别用于服务器的Linux和Windows场景下的远程登录,需对这两端口进行安全限制。 | 利用安全组限制22、3389远程登录端口的访问来源IP。无法设置白名单时,将远程登录的方式设置为SSH Key认证方式。 |
| MySQL、FTP等在安装的高危服务端口 | 由于MySQL和FTP的业务需求,需在服务器上开放对应的业务端口,这些端口需进行安全限制。 | 限制只允许本机访问或者利用安全组限制访问来源IP。 |
| 公网访问隔离 | 互联网访问本服务器实例。 | 建议:ECS实例不直接对互联网暴露其IP地址,通过DNS、公网NAT等提供互联网服务。在安全组配置时,IP段及端口不要全开放。只保留业务需要使用的端口和IP。 |
| 内网访问 | VPC内部其他实例访问本服务器实例。 | 建议安全组配置时,IP段及端口不要全开放。只保留业务需要使用的端口和IP。 |
| HTTP 证书 | 服务器的网络业务需加载HTTP证书。 | HTTP业务建议使用HTTPS协议,并加载HTTPS证书。HTTP服务的需要利用安全组限制访问来源IP。HTTP服务域名建议开通WAF防护。 |
| 云服务器防护 | 服务器实例自身的安全监控及防护可由阿里云提供的服务器安全防护产品安骑士保障。 | 建议每个服务器实例均安装使用EDR,HIDS,实时防护服务器。 |
| 应用防护 | 在服务器上部署了Web网站或其他应用,可对应用进行安全防护。 | 纳入WAF、DDoS防护。 |
