公有云最佳安全实践
Erda 可以帮助企业快速的构建一个完整的 DevOps 链路,其可以构建在任何公有云平台上,比如阿里云,腾讯云,华为云,AWS,Azure等。由于云计算平台的相对开放性,在公有云上构建一套安全的PaaS平台对保护企业信息安全尤为重要,本章节将从云上安全问题、云安全防护架构出发,帮助用户设计构建云上安全体系、全面保护云上资产,包含云上账号安全、架构安全、安全产品接入、安全运营,指导用户基于公有云(阿里云)产品和生态建立起围绕 Erda 的云上安全防护体系。
账号安全
启动MFA
建议用户为主账户绑定 MFA,每次使用根账户时都强制使用多因素认证。如果用户创建了 RAM 子用户,并且给用户授予了高风险操作权限(例如,停止虚拟机、删除存储桶等),建议 用户为 RAM 子用户绑定 MFA。
定期更换用户登录密码和 AccessKey
建议用户或 RAM 子用户要定期更换登录密码或访问密钥。在用户不知情的时候,如果出现 凭证泄露,其凭证的使用期限也是受限制的。用户可以通过设置密码策略来强制 RAM 子用户更 换登录密码或访问密钥的周期。
:::warning AccessKey要注意妥善保存,严格禁止将其上传到公共代码托管平台上,比如Github,Gitee等。 :::
架构安全
构建在 Erda 上的业务产品往往要提供服务给互联网所有用户,因此也就将安全风险暴露在整个互联网之下,如何将正常,安全的流量回源到服务器,避免网站服务器被入侵,保障业务的核心数据安全很大程度依赖于底层技术架构如何实施,Erda 结合各个公有云的安全产品共性实践出适用于改建的 Erda 上的业务产品的安全架构体系。
- 根据环境属性建设两个 VPC,开发,测试,预发环境公用一个VPC, 生产环境单独一个VPC,可有效隔离生产跟非生产环境的业务流量,防止有测试业务操作生产数据的情况发生;另外网络上的隔离也确保了即使非生产环境被入侵,生产环境也不受影响;
- Erda 平台组件处于非生产 VPC,需要管理生产集群,只需要在生产VPC通过安全组开放若干端口即可,端口列表如下:
规则方向 | 源地址 | 端口 | 策略 | 备注 |
---|---|---|---|---|
入方向 | 非生产 vpc 网段 | 443 | 允许 | 允许 Erda 管理组件通过443端口纳管生产集群 |
- 系统运维人员通过VPN服务进入到内网,通过堡垒机对所有ECS进行运维;
- 采用WAF(WEB应用防火墙)对业务域名进行防护,过滤恶意流量,阻断通用web共计;
- 所有服务器的公网出口统一使用SNAT统一出口,做到公网流量统一管理;
- 所有云上中间件设置白名单,只允许本VPC的IP可访问;
- 开启云安全中心,实时识别、分析、预警安全威胁。
安全产品接入
Web应用防火墙
todo
DDos流量清洗
todo
漏洞扫描
todo
流量安全监控
todo
安全审计
todo
安骑士
todo
堡垒机
todo
VPN
todo
安全运营
仅依靠一套安全架构以及引入各种安全产品可以抵御大多数已知的安全风险,但是互联网的攻击行为往往是瞬息万变的,各种新的漏洞也是会经常被暴露出来,再加上人的因素也会导致整个系统会被人为的”制造”出某些安全漏洞,因此,后期的维护同样重要,阿里云的安全中心通过对海量数据进行分析,为用户提供漏洞情报、泄漏检测、安全基线检测、云平台安全配置检测等能力,并采取相应的安全措施,保障信息系统安全,帮用户实现全生命周期安全运营。 建议用户定期对安全中心报出来的安全事件进行处理,最大限度地保障整个系统的安全性。