
)聚焦于为客户业务拓展提供一站式覆盖全球、算力弹性、网络优质的分布式全球化边缘基础设施,在面对安全需求时,更多是借助阿里云中心云的安全防护能力。本方案将介绍如何通过
阿里云云安全中心充分利用云原生架构优势、多年云上安全防护经验和前沿的安全攻防技术,提供涵盖云资产管理、安全配置核查、主动防御、安全加固、云产品配置评估和安全可视化等关键领域的全面的安全解决方案。包含基线配置风险、合规风险、漏洞风险、AK泄露风险、身份和权限管理风险等方面的实时检测能力,有效防御勒索软件、挖矿病毒、木马、Webshell等恶意行为,以及网页篡改等攻击。云安全中心详细介绍请参考:云安全中心。
您可以在阿里云官网的云安全中心产品页直接购买云安全中心产品,云安全中心针对不同场景下的安全防护需求,提供了多个版本的基础防护服务和增值服务。您可以根据自身的安全需求,灵活购买所需的版本和增值服务。详情请参见:购买云买球官方网站安全中心。
边缘节点服务 ENS计算实例只有安装客户端后,才能使用云安全中心的安全防护能力。云安全中心客户端是安装在计算实例中的软件程序,用于收集和分析多种日志和数据,以监控和检测实例中潜在的安全威胁。
在安装云安全中心客户端前,请先确认您的边缘节点服务 ENS计算实例可以访问公网。
安装客户端后,云安全中心会在您的服务器中下载客户端相关文件,并启动相应进程。您可以通过确认客户端进程的状态或在云安全中心控制台上查看客户端状态,判断客户端是否安装成功。
您可以查看到一个边缘节点服务 ENS计算实例已经纳入云安全中心的主机资产管理中。
因边缘云算力是分散在阿里云中心云之外的节点上,所以在云安全中心中显示为云外主机。
安全组是边缘节点服务 ENS在边缘节点提供的一种虚拟防火墙能力,能够控制ENS实例的出入站流量。安全组的入方向规则控制ENS实例的入站流量,出方向规则控制ENS实例的出站流量。
边缘云的安全组创建与中心云安全组创建是存在差异的,在创建边缘云安全组时只需录入安全组名称即可。边缘云安全组不归属于任何节点以及任何VPC网络,安全组及其规则可以在全局任意节点及VPC生效。
页面还包含描述字段和访问规则配置区域(含入方向和出方向页签),可通过+添加链接添加规则。北京时间2024年4月22日10点后,ENS新建安全组默认添加入方向不放行规则。完成配置后单击创建。
安全组规则用来控制ENS实例的出入站流量。适用于允许或拒绝特定网络流量、封锁不必要的端口、限制特定协议的流量和配置应用程序访问权限等使用场景。
您可以在创建安全组时同步添加安全组规则,也可以在安全组创建后再添加安全组规则。
创建ENS实例时,您至多可以指定加入一个安全组。后续可以根据业务需求,在ENS实例列表页将实例加入多个安全组,在决定ENS实例的流量能否通过时,会将ENS实例多个安全组的规则汇总在一起,按照固定的策略排序,并与安全组对流量的默认访问控制规则一起,作用于ENS实例,决定允许或拒绝流量通过。
安全组规则设置不当可能导致严重的安全隐患。您可结合自身实际业务需求管理安全组规则,以保障ENS实例的网络安全。
您可以在安全组详情页进行安全组出入向规则的修改操作,一旦安全组规则修改,会作用于边缘云全部节点上加入该安全组的所有ENS实例。
网络ACL是专有网络VPC中的网络访问控制功能。您可以自定义设置网络ACL规则,并将网络ACL与VPC网络绑定,实现对边缘云VPC中ENS计算实例流量的访问控制。
网络ACL与安全组都是控制流入和流出流量的网络能力,但网络ACL是作用到整个VPC网络的,网络ACL规则会控制VPC网络下的所有ENS实例出入VPC的数据流;安全组是作用到具体的ENS实例,仅控制加入该安全组下的ENS实例出入向数据流。
如果您部署在边缘云VPC内的业务对公网的访问规则一致,可以通过配置网络ACL实现全部ENS实例的流量控制;如果您部署在边缘云VPC内的业务具有多样性,可以通过更细粒度的安全组实现具体ENS实例的流量控制。
运维安全中心是阿里云提供的运维和安全审计管控平台,可集中管理运维权限,全程管控操作行为,实时还原运维场景,保障运维行为身份可鉴别、权限可管控、操作可审计,解决资产多、难管理、运维职责权限不清晰以及运维事件难追溯等问题,助力企业满足等保合规需求。运维安全中心详细介绍请参考:运维安全中心(堡垒机)。
运维边缘节点服务 ENS资源,需要使用运维安全中心的企业双引擎版本,通过网络域代理模式实现边缘云资产的统一运维管控。
支持对接IDaaS用户,将钉钉、Azure AD等多种身份认证来源用户同步为堡垒机用户。
支持资产账密(密码/密钥)托管,运维人员无需感知资产密码即可对资产运维访问。
支持资产状态检测,对ECS、RDS实例以及网络连通性状态进行定期或手动检测。
可联动云安全中心资产风险监控状况,及时提醒包含告警、漏洞、基线等风险状态及数量,并支持快速跳转至云安全中心处理风险闭环。
支持网络域代理模式,堡垒机可通过代理服务器与其他内网环境的资产网络连通。
使用本地WinSCP、Xftp、SecureFX等SFTP客户端工具登录堡垒机进行文件传输。
支持SSH运维时,设置命令黑白名单阻断及审批策略,控制高危、敏感命令执行。
支持在运维过程中,对文件的上传、下载、删除、重命名、文件夹的创建、删除等操作进行控制。
支持针对运维操作全程进行日志及录像审计,可通过录像清晰地还原并追溯运维过程。
您可以在阿里云官网的运维安全中心产品页直接购买运维安全中心产品,运维安全中心针对不同场景下的运维安全需求,提供了多个版本的堡垒机服务。详情请参见:开通免费试用。
云堡垒机运行在阿里云中心云上,边缘云算力分散在阿里云中心云之外的节点上,因此边缘云算力与云堡垒机所在专有网络VPC的内网是不互通的,在运维边缘节点服务 ENS实例时推荐使用云堡垒机的网络域功能。
您可以为边缘节点服务 ENS资产配置一台代理服务器,然后在云堡垒机中新建网络域并添加代理服务器,将资产加入该网络域后即可通过云堡垒机运维资产。
主代理服务器需要配置代理方式、服务器地址、服务器端口、主机账户及密码相关信息。代理方式支持SSH代理、HTTP代理、SOCKS5代理三种方式。
在主机列表页选择导入其他来源主机,通过新建主机方式纳管ENS实例。在主机页面,单击导入其他来源主机,下拉菜单中提供新建主机、导入云数据库专属集群主机和从文件导入主机三个选项。
如果网络域选择代理方式,主机IP配置内网IP,如果网络域选择直连方式,主机IP配置公网IP。
在新建主机表单中,操作系统选择Linux,填写主机IP,主机名为选填项。
将ENS计算实例导入为主机资产后,可在主机列表页的操作列点击新建主机账户,配置访问协议、登录名、认证类型及对应的密码或密钥,用于日常运维访问。
对话框顶部提示:请确认主机或ECS实例上已创建对应的操作系统账户,堡垒机不会将主机账户同步到主机或ECS实例,SFTP运维使用SSH协议账户。填写完成后可单击验证密码验证连通性;底部可通过仅开启SFTP权限开关控制该账户是否仅用于SFTP运维。
在主机被导入后,可进入人员管理用户列表页,为RAM用户授权可运维的主机资源。
被授权的RAM用户登录后,可在资产运维主机运维列表页下查看到被授权运维的主机资源,可通过远程连接方式进行主机运维操作。
DDoS高防(Anti-DDoS)是阿里云提供的DDoS攻击代理防护服务,可以抵御流量型和资源耗尽型DDoS攻击,支持防护阿里云、非阿里云或云外的服务器。业务接入DDoS高防后,当遭受大流量DDoS攻击时,DDoS高防通过DNS解析将流量调度到高防机房进行清洗,并将干净流量转发给服务器。
根据业务服务器部署地域的不同,DDoS高防提供DDoS高防(中国内地)和DDoS高防(非中国内地)。
DDoS高防(中国内地):适用于业务服务器部署在中国内地的场景。采用中国内地独有的T级八线BGP带宽资源,为接入防护的业务防御超大流量的DDoS攻击。提供专业版和高级版两种实例类型。
DDoS高防(非中国内地):适用于业务服务部署在非中国内地的场景。依托先进的分布式近源清洗能力,为接入防护的业务提供不设上限的DDoS攻击全力防护能力。
您可以在阿里云官网的DDoS高防产品页直接购买DDoS高防产品。详情请参见:DDoS高防(新BGP)。
如果是网站业务,可将网站域名配置到DDoS高防,DDoS高防会为网站生成一个CNAME地址,您需要将网站域名的DNS解析指向高防CNAME地址,DDoS高防才能转发业务流量为网站防御DDoS攻击。
在接入管理域名接入页面,单击添加网站可新增网站域名。域名列表展示已接入域名的功能套餐、服务器地址、关联高防IP、协议类型、证书状态、CC防护状态等信息,支持对域名执行编辑、删除、防护设置操作。
非网站业务(例如客户端应用程序)接入DDoS高防时,需要配置端口转发规则,使业务流量先经过DDoS高防清洗,再转发到源站服务器。
在端口接入页面,单击添加规则可新增转发规则。规则列表展示转发协议、转发端口、源站端口、回源转发模式、源站IP、会话保持、健康检查、DDoS防护策略等配置项,支持编辑、删除和回源设置操作。
成功添加DDoS高防网站或端口配置后,DDoS高防预期会把请求高防IP对应端口的报文转发到源站(真实服务器)的对应端口。为了保证业务的稳定,我们建议您在进行业务接入高防配置前先完成本地验证,确保转发配置已经生效。

