云服务器安全设置有哪些关键点
2025-12-07 02:37:52 丨 来源:紫云
云服务器安全设置关键点
网络与边界防护
- 以最小权限为原则配置安全组:只开放业务必需的端口(如 80/443/22),避免使用 0.0.0.0/0 放行全网;对管理后台等敏感入口按来源 IP 白名单收敛。
- 分层分区分组:为 Web/App/DB 分别创建安全组(如 sg-web/sg-database),在数据库安全组中对 Web 安全组 以安全组 ID 授权 3306 访问,避免直接暴露到公网或开放到过大的 CIDR。
- 内网安全:在经典网络中内网入站默认关闭,授权务必谨慎;同一安全组内实例默认互通,单个实例最多加入 5 个安全组,按业务划分并规范命名与标签。
- 纵深防御:在安全组之外,叠加云防火墙/主机防火墙(iptables)与WAF,对南北向与东西向流量进行多层过滤与策略统一。
系统与主机加固
- 及时更新补丁与内核,修复已知漏洞;关闭不必要的服务与端口(如 Telnet、未使用的数据库端口)。
- 强化账号与密码:设置复杂度要求与定期更换(如长度≥8位、包含大小写与特殊字符、最长使用期≤90天、保留历史≥3次),并启用多因素认证 MFA。
- 开启主机安全防护(如企业主机安全/HSS):安装 Agent,启用系统完整性保护、应用控制、行为监控、基于主机的入侵防御、网页防篡改等能力,统一查看与处置风险。
- 加固远程登录:SSH 默认端口 22 建议改为非标准端口并限制来源 IP;Windows 远程桌面 3389 同样仅放通管理网段。
应用与数据安全
- Web 应用防护:管理后台仅允许内网或白名单访问;对外域名启用WAF,防御 SQL 注入、XSS、CC 等常见 Web 攻击。
- 数据库安全:禁止 3306/1433 等数据库端口对公网开放;通过安全组授权仅允许应用层访问;开启强口令与最小权限账号;对敏感数据加密存储并实施脱敏与访问审计。
- 备份与恢复:制定定期与持续的备份策略(如每日增量、每周全量),并进行异地/跨地域与离线副本保存;定期恢复演练验证可用性与完整性。
运维与监控审计
- 身份与访问管理:使用临时凭证/密钥替代长期口令,按最小权限分配 RAM/IAM 策略;运维通过云堡垒机集中接入,强制双人审批与会话录像。
- 日志与监控:开启并集中系统日志、安全日志、访问日志与主机/网络流量监控;对异常登录、端口扫描、暴力破解、Webshell 等设置告警与自动化处置。
- 变更与应急:变更走审批与灰度流程,保留回滚方案;制定应急预案与演练计划,发生入侵时按流程隔离、取证、加固与恢复。
快速检查清单
| 检查项 | 推荐做法 |
|---|
| 安全组入站 | 仅开放 80/443/22 等必要端口;管理后台限制来源 IP;禁止 0.0.0.0/0 放行;数据库端口不对公网开放 |
| 安全组授权 | 分层使用安全组;数据库安全组对 Web 安全组 以安全组 ID 授权 访问 |
| 远程登录 | SSH 改为非 22端口并限制来源;Windows 3389 仅放通管理网段 |
| 主机防护 | 开启 HSS/主机安全,安装 Agent,启用入侵检测/防篡改 |
| 系统与软件 | 及时打补丁;关闭不必要服务/端口 |
| 账号口令 | 开启复杂度与定期更换;启用 MFA;禁用默认/弱口令 |
| 应用与数据库 | 对外域名启用 WAF;数据库仅内网访问、强口令与最小权限 |
| 备份恢复 | 每日/每周备份;异地/离线副本;定期恢复演练 |
| 日志与监控 | 集中系统/安全/访问日志;对异常行为告警与处置 |
| 运维审计 | 通过云堡垒机接入;临时凭证与最小权限;变更审批与回滚 |
