系统架构优化建议

减少数据外泄的通道，通过报告掌握整体的安全态势

1. 存放关键内容的ECS，不开通公网IP
2. 在ECS前面增加SLB，多一层保护
3. 数据库服务器rds不开通外网IP
4. 远程管理采用堡垒机中转
5. 开通“云安全中心+云监控”，并定期查看报告

系统架构的优化建议--架构举例 1

系统架构的优化建议--架构举例 2

相比架构1，多使用了安全组，根据应用提供的服务不同，把服务放在不同安全组

系统架构的优化建议--架构举例3

相比架构2，多使用了VPC

系统架构的优化建议--远程管理

使用VPN+堡垒机 来远程管理ECS服务器

1. VPN+堡垒机成为唯一的运维通道
2. 堡垒机实现运维实名制
3. 远程运维过程全审计
4. 满足等级保护等法律发规要求

网络层优化建议

1. 关注云盾安全报表F1a;基础DDOS防护
2. 依据业务实际情况，配置DDoS清洗阈值
3. 超过5G攻击时，启动“DDoS高防IP”
4. 重大活动保障，启用“安全管家服务”

主机优化建议

云服务器层的优化建议

1. 启动操作系统自带的防火墙功能：iptables，windows防火墙
2. 开放端口时，采用最小化原则
3. 管理端口增加白名单IP，如：SSH，远程桌面
4. 关闭ECS里的无用端口
5. 开启“云安全中心”，“内容安全”，定期查看检测报告
6. 没有运维团队时，可选择“云市场种的代维”，“安全管家”

应用层和数据层的优化建议

1. 遵循软件开发安全生命周期（SDL）
2. “安全评估” 和 “安全测试” 是基础
3. 定期查看“云安全中心”，“云监控”的报告
4. 对业务系统进行分组，启用Ram账号，最小化权限

构建云上的安全体系

阿里云混服云方案

混合云并列架构和混合云串联架构：

混合云串联架构优势：

1.  仅开启阿里云对互联网的访问，将互联网出口应用全部部署在阿里云，和自建数据中心的网络、所有互联网的访问都必须经过阿里云
2. 在阿里云的DDoS高防，WAF，云安全中心等安全能力
3. 在阿里云上，通过多VPC隔离不同种类的业务

总结