背景信息

天翼云永远承担基础设施的安全责任，包括云平台基础设施、底层架构及云资源自身的安全，包括物理服务器、网络设备、存储设备、虚拟化层等的防护，但您在使用云产品的过程中遵循安全实践同样重要，例如使用账号安全、权限控制、信息数据安全等。

安全保护前提

在云端保护信息资产，首要任务是确立安全战略的核心地位，充分认识到其重要性。系统与应用的安全防护是一个需要持续演进、不断优化的长期任务。最好做到如下几步：

• 构建一个全面的安全战略框架，并精心规划一套完善的安全防御策略，运用恰当的安全工具与控件来实施保护措施。

• 将安全性融入到 DevOps 流程中。

• 建立自动化的系统安全防御体系。

• 深入研究云环境下的安全合规性标准。

在此基础上，还需明确以下要点：

• 对所有信息资产进行全面识别、准确定义合理分类。

• 明确需要保护的资产数据范围。

• 规定被保护资产数据的访问权限，并清晰界定访问目的。

如何保护云主机安全

账号安全

开启 MFA 多因素账号认证：MFA 多因素账号认证是在用户名和密码基础上，增加 的另一层安全要素，用户进行重点操作前需完成二次认证，能有效避免因账号密码泄露导致的安全风险，提升账号安全性。

使用 IAM 用户需合理设置权限：避免直接使用天翼云主账号进行操作，而是创建 IAM 用户，根据用户实际职责授予最小必要权限，实现权限精细化管理，降低因账号共享或权限过宽带来的安全隐患。

AccessKey 防泄密：AccessKey 是访问天翼云 API 的重要密钥，需妥善保管，避免嵌入代码、公开暴露。同时，要定期轮换 AccessKey，及时吊销不再使用的 AccessKey，还可通过配置限制公网 IP 网段访问及强制使用 HTTPS 方式访问，进一步降低泄露风险。

账号与密码管理：管理员账号必须开启 MFA 认证，实施账号分级权限设置，遵循最小权限授权原则。禁用 root 账号访问 API 或常用请求方法，建议使用服务目录进行集中身份管理。对于密钥与凭据，禁止使用过期证书与凭据，删除根账号访问密钥，定期清理长期未使用的密钥与凭据，并监控其使用情况。密码设置需符合复杂度要求，定期修改，且与其他平台密码区分，避免交叉泄露风险。

规模化信息资产管理

标签规模化管理：

善用标签功能。标签由键值对组成，可用于对云资源进行标识，基于标签能实现资源的便捷搜索、整理与分类。通过标签，在发生安全事件时可快速定位影响范围，配置安全策略时也能批量为指定标签资源配置，避免遗漏。

云助手自动化运维：

天翼云云助手（CT-CA， Cloud Assistant）是专门为云服务器打造的原生自动化运维工具，免密码、免登录、无需使用跳板机，即可批量执行命令（Shell、PowerShell、Bat、Python等），完成运行自动化运维脚本、轮询进程、安装卸载软件、启动或停止服务、安装补丁或安装安全更新等任务。

当您涉及以下业务场景时，可通过云助手快速实现需求：

• 上传并运行自动化运维脚本。

• 执行常见操作任务。

• 运行已保存的脚本。

• 批量安装软件或应用。

• 安装补丁或安全更新。

• 上传文件或证书到指定目录。

配置审计合规检查：

弹性云主机已接入天翼云云审计，提供统一的云资源操作记录与审计能力。天翼云云审计服务可完整追踪资源配置的历史变更，并基于这些数据支持配置合规性审计、安全事件分析、资源变更追踪与故障排查等多种应用场景，保障云上资产的可控性与安全性，满足内部与外部合规要求。

积极使用安全特性

使用增强计算实例

对于高安全可信要求的业务场景，可选用可信云主机。可信云主机以可信虚拟化技术（vTPM）为可信根，构建从系统启动到应用运行的信任链，实现远程证明机制，为用户提供从启动到运行阶段的全方位可信保障，降低系统或软件被篡改带来的安全风险。

使用安全镜像

1.使用官方提供的公共镜像CTyunOS。CTyunOS公共镜像将定期更新修复镜像里的漏洞，降低被攻击的风险，保护数据安全，确保业务连续性。

2.对于高安全要求场景，建议使用加密私有镜像。使用KMS对镜像进行加密，避免镜像丢失后数据泄露风险。您可选择创建加密的系统盘、数据盘，如果云盘是加密云盘，使用该云盘创建的镜像也是加密镜像，或者在对已有的未加密镜像拷贝时选择加密，生成的新镜像为加密镜像。如果私有加密镜像需要共享给其他天翼云账号时，建议用户对加密镜像进行解密复制后，共享解密后的镜像，避免KMS密钥泄露导致安全风险。

使用云盘数据加密

在创建云服务器或单独创建云盘时，可勾选加密选项开启云盘加密功能。云盘加密采用行业标准加密算法，由天翼云自研密钥管理服务提供密钥支持，加密过程对用户透明，无需用户自建密钥管理基础设施，能有效保护云盘数据隐私与安全。

善用云主机备份

云主机备份是一种非常重要的数据保护和恢复措施，适用于政府、金融等对数据安全性要求较高的客户，可以在各种场景下快速恢复数据，防止因意外、事故、黑客攻击或病毒入侵等导致的数据丢失。在面临黑客攻击或病毒入侵的情况下，通过备份，可以立即恢复到最近一次没有受到黑客攻击或病毒入侵的备份时间点。这将消除黑客或病毒对数据和系统造成的损害，让系统恢复到正常运行状态，同时避免进一步扩散和数据丢失。数据误删是一个常见但严重的问题，通过云主机备份，可以迅速找回被删除的数据。备份允许立即恢复到删除前的备份时间点，确保数据的完整性和可用性，从而避免因误操作而导致的数据丢失或业务中断。当云主机遭遇宕机时，业务可能会受到严重影响。通过备份，可以迅速恢复到宕机之前的备份时间点，使云主机能够再次正常启动。这将减少业务中断时间，恢复服务，并降低损失的可能性。

使用服务器安全卫士

在创建云主机时或云主机使用过程中，可开通服务器安全卫士。服务器安全卫士能全面识别并管理服务器中的信息资产、实时监测服务器风险并阻止非法入侵行为，当发现服务器出现安全问题时，第一时间发出告警通知。主要包括资产清点、漏洞扫描、入侵检测、基线检查、弱口令检测、病毒查杀、文件防勒索等功能，有利于构建服务器安全防护体系。

网络权限配置

网络隔离配置

借助虚拟私有云（VPC）构建隔离的虚拟网络环境，VPC 内可创建子网划分网段，不同 VPC 默认无法内网互通，实现网络层面的基础隔离。同时，可通过安全组、网络 ACL 等措施，进一步限制子网与云主机的出入流量，实现业务间的安全隔离。

搭建安全网络环境

在 VPC 规划上，可按业务单元或安全等级划分 VPC，规划共享服务 VPC 集中部署公共服务。合理设计 CIDR，预留地址空间，通过对等连接等方式实现必要的跨 VPC 互联。在互联网访问方面，部署 NAT 网关作为私有子网访问外网的出口，对需要公网服务的子网配置相应规则。同时，跨可用区部署关键服务与负载均衡，提升网络可用性与安全性。此外，通过安全组与网络 ACL 配置精细的访问控制规则，限制跨 VPC 访问与公网访问范围，保障网络环境安全。

应用防护安全

应用的网络流量攻击防护

使用基础DDoS防御与DDoS高防，天翼云为云主机提供免费 DDoS 基础防护能力，依托资源池网络，在公网 IP 遭受 DDoS 攻击时，能提供一定防护阈值，在阈值内保障 IP 可用。当攻击超出阈值时，为保护资源池整体稳定，IP 会进入封禁状态。若基础防护无法满足需求，用户可选择 DDoS 高防等更高级别防护产品。

应用的漏洞攻击防护

使用Web应用防火墙（原生版）为用户Web应用提供一站式安全防护，对Web业务流量进行智能全方位检测，有效识别恶意请求特征并防御，避免源站服务器被恶意入侵，保护网站核心业务安全和数据安全。

实例内 GuestOS 应用系统安全

登录安全配置

创建Linux云主机时，推荐用户选择登录名为ecs-user。创建成功后，云主机登录账号权限默认为非root权限，只能执行被授权的操作，若涉及系统敏感的操作，则用户需要在本地通过su或sudo提权至root权限执行。Windows云主机建议使用8位以上、包含特殊字符的复杂密码作为登录凭证。

Linux云主机：默认非root账号登陆云主机。如果您使用root用户登录Linux云主机，则您可以获得系统最高权限。该方式虽然便于您进行系统运维操作，但如果您的主机遭到入侵，就会面临严重的数据安全风险。建议您使用ecs-user用户登录云主机。

Windows云主机：设置复杂的密码并定期更换，养成良好的安全运维习惯。

避免服务弱口令

如果您的服务器使用弱口令登录，黑客可能会非法登录您的服务器，窃取服务器数据或破坏服务器。建议您为服务器设置复杂的登录口令，并定期提升登录口令的安全性。口令提升方法：

• 设置复杂口令。

• 不使用常见或公开的弱口令。

• 定期修改口令。

云主机的口令需设置为强密码：长度为8-30个字符，必须同时包含三项（大写字母、小写字母、数字、 ()`~!@#$%^&*_-+=|{}[]:;'<>,.?/ 中的特殊符号），不能以斜线号（/）开头，不能包含3个及以上连续字符，如abc、123。

数据传输加密

通过配置安全组或防火墙，限制仅允许加密网络服务端口通信，采用 TLS 1.2 及以上版本等加密协议，对客户端与实例间传输的敏感数据进行加密，防止数据在传输过程中被监听、截取或篡改。

监控与审计

利用云监控、云审计、VPC 流日志等功能，构建异常资源与权限访问监控告警体系。云监控可实时监控云资源状态，设置告警通知；操作审计记录云资源操作日志，用于安全分析与合规审计；VPC 流日志记录网络流量信息，助力网络故障排查与安全分析。