腾讯云主机安全最佳使用指南-无懈可击的服务器防御配置

安全防御反入侵角度:如何在公有云上打造一台无懈可击的云服务器?

构建体系化集群防御的护城河

云立体防护:直达控制台巡检各安全产品异常情况

https://console.cloud.tencent.com/cwp/ptcenter

腾讯云安全产品构建云上集群安全防御体系

第一步:安全产品配置

目的:获得自动化的防护能力及保持服务器防护水平赶上动态变化的攻击手段,配置专业安全产品是防护前提。

1.使用主机安全(专业版/旗舰版)

https://buy.cloud.tencent.com/yunjing

主机安全专业版/旗舰版防护配置

第二步:集群容灾策略配置

目的:防范数据丢失与业务异常故障场景

1.定期快照策略

https://console.cloud.tencent.com/cvm/snapshot/asp?rid=1

建议配置每日一备安全策略
定期快照策略关联云硬盘
将定期快照策略关联云硬盘勾选挂起,策略生效
CBS定期快照策略生效

第三步:防入侵策略

1.访问控制

(1)安全组访问控制

https://console.cloud.tencent.com/vpc/security-group?rid=1&rid=1

除HTTP/HTTPS协议外其他协议访问源IP均设置为固定IP访问

(2)登录访问控制

SSH/RDP远程登录方式建议使用密钥登录方式:https://console.cloud.tencent.com/cvm/sshkey/index?rid=1&pid=-1

创建SSH登录密钥与绑定实例

使用远程登录插件登陆时配置好自己的私钥即可:

建议:勿将私钥PC本地保存(防止本地PC沦陷对业务集群投毒),采用私钥异地备份

远程登录配置为私钥登录/同时将私钥异地备份保存

2.防开源供应链恶意投毒

(1)防第三方OS操作系统投毒(请使用公共镜像,勿使用第三方自定义镜像)

创建一台新的CVM或者LH机器的时候,不建议使用自定义镜像/或未经验证安全的共享镜像创建

(2)防跳板机/堡垒机/SSLVPN/私有云集群被攻击投毒

(3)防开源软件投毒

第四步:重要的定期安全巡检习惯

1.