别让您的服务器“裸奔”——新购服务器后的安全配置(基础篇)

2021-12-20 15:21:43 浏览数 (4)

作者:何相龙(p_xlhhe@tencent.com),2021年12月20日

1. 前言

本指南旨在指导腾讯云用户开通主机安全(专业版)、配置云硬盘定期快照,以达到提高终端和数据的安全性、防范病毒木马等安全威胁的目的。

请注意,没有任何一种技术或服务能100%确保安全;也没有任何一种方案100%适合所有的用户。建议您在本指南的基础上,根据您的实际业务场景,合理地、针对性地设计适合您的安全解决方案。

本指南假定您在腾讯云已购买云服务器(不限制操作系统)。

本指南中云硬盘定期快照部分不适用于带有本地盘的云服务器和黑石物理服务器,本指南也不适用于腾讯云之外的服务器。

本指南仅供参考,不提供任何保证,请按实际情况谨慎操作。

2. 设置云硬盘定期快照

为云硬盘创建快照可以有效地避免因误操作、勒索病毒等造成的业务数据丢失和损坏。腾讯云云硬盘支持手动创建快照和定期创建快照,这里着重介绍定期创建快照的功能。只有云硬盘才支持创建快照,本地盘不支持。

请注意,使用云硬盘快照功能会产生费用,详见腾讯云官网相关计费说明。

2.1 创建定期快照策略

2.1.1 访问腾讯云控制台-定期快照策略配置页面

访问链接:https://console.cloud.tencent.com/cvm/snapshot/asp

在页面中,我们可以看到系统已经预置了一些默认策略。我们在页面左上侧下拉框内,选择服务器所在的地域;然后选择点击蓝色的“新建”按钮,创建自定义定期快照策略。

图2-1 定期快照策略配置页面图2-1 定期快照策略配置页面

2.1.2 配置快照策略

点击“新建”按钮后,在弹出的“新建快照策略”对话框内,可以进行以下配置。配置完成后,请点击下方蓝色的“确定”按钮。

表2-1 快照策略配置项

配置项

含义

配置建议

名称

该策略的名称

可根据您的业务命名

所属地域

该策略所属的物理地域

需要与服务器所属地域相同。 如不同,请返回上一步、重新选择地域。

备份日期

在星期几创建定期快照

重要业务可以每天备份一次 一般业务建议最少每周备份一次

备份时间点

创建定期快照的时间点

一般可配置为一天内业务低谷期 如需一天创建多个快照,请勾选多个时间点

快照保留时间

快照存储x天后自动删除 或永久保留

重要业务建议保留7-30日 一般业务建议至少保留7日

图2-2 新建快照策略对话框图2-2 新建快照策略对话框

2.1.3 查看创建的自定义定期快照策略

点击“确认”按钮后,我们可以在页面上看到刚才创建的快照策略,并可查看预计下次触发策略时间。如果我们对已有的策略不满意,也可以点击页面右侧的“修改策略”按钮。

图2-3 创建的定期快照策略图2-3 创建的定期快照策略

2.2 为已有的云硬盘绑定定期快照策略

如果您已经购买云服务器,想要为已经创建的云硬盘绑定定期快照策略,请参照本小节;如您还没有购买云服务器,请参照2.3小节。

2.2.1 方案一:在定期快照策略页面操作

链接:https://console.cloud.tencent.com/cvm/snapshot/asp

请访问定期快照策略页面,找到您创建的定期快照策略,点击右侧的“关联云硬盘”按钮。然后在弹出的“关联云硬盘”对话框中,勾选要启用定期快照的云硬盘,然后点击“确定”按钮。

图2-4 关联云硬盘图2-4 关联云硬盘

2.2.2 方案二:在云硬盘页面操作

链接:https://console.cloud.tencent.com/cvm/cbs/index

请访问云硬盘页面,找到要启用定期快照的云硬盘,然后点击页面右侧的“更多”,并在弹出的下拉菜单中选择“设置定期快照策略”。在弹出的“设置数据定期快照策略”对话框中,选择您创建的定期快照策略,然后点击“提交”按钮。

图2-5 云硬盘页面图2-5 云硬盘页面
图2-6 设置数据定期快照策略图2-6 设置数据定期快照策略

2.3 在创建云服务器时启用定期快照

在购买云服务器CVM(自定义配置页面)的“选择机型”步骤,您可以选择启用定期快照策略。请根据需要勾选“为系统盘设置定期快照”和“为数据盘设计定期快照,然后选择合适的定期快照策略,即可继续购买服务器的流程。

图2-7 购买云服务器-自定义配置-选择机型图2-7 购买云服务器-自定义配置-选择机型
图2-8 定期快照配置项图2-8 定期快照配置项

2.4 其他

2.4.1 查看已关联定期快照策略的云硬盘

链接:https://console.cloud.tencent.com/cvm/snapshot/asp

在定期快照策略页面,找到您创建的策略,点击该策略的ID,即可在新页面下方看到该策略关联的云硬盘。

图2-9 定期创建快照的云硬盘图2-9 定期创建快照的云硬盘

2.4.2 进阶配置

您可以为一个云硬盘绑定多个定期快照策略,以实现个性化的备份需求。

例如,您可以参考下表的配置方案,每天创建一个保存1周的快照、每周创建一个保存30天的快照:

表2-2 示例组合快照策略

执行时间

保留时长

策略1

每周一至周六

7天

策略2

每周日

30天

2.4.3 注意事项

以下事项仅代表本指南撰写时的情况,请以腾讯云官网为准:

  • 单地域下,最多支持创建 64 地域内云硬盘数量 × 64 个快照。
  • 单地域下,最多支持创建 30个 定期快照策略。
  • 单块云硬盘最多绑定 10个 定期快照策略。
  • 单个定期快照策略,最多绑定 200个 云硬盘。
  • 欠费时,快照相关操作将被禁止。欠费超过一定期限,快照将被删除。

3. 购买主机安全(专业版)

为了防范黑客入侵、病毒木马、检测漏洞,加强服务器的安全防护。我们建议您购买主机安全(专业版)。请注意,使用主机安全(专业版)会产生费用,详见腾讯云官网相关计费说明。

3.1 购买指南

链接:https://buy.cloud.tencent.com/yunjing

请访问上述链接,进入主机安全(专业版)购买页面。主机安全(专业版)支持按量计费、包年包月两种计费模式,您可以选择适合您的计费模式。

3.1.1 按量计费

如您选择按量计费的付费模式,则既可以一次性为所有主机升级为专业版,也可以只选择部分主机升级。我们建议您为所有主机升级为专业版。

页面下方还有“新增主机自动升级为专业版”选项,我们建议您勾选该选项,系统将自动为您之后新购买的云服务器开通主机安全(专业版)。

图 3-1 主机安全 按量计费图 3-1 主机安全 按量计费

3.1.2 包年包月

如您选择包年包月的付费模式,则只能手动选择要开通主机安全(专业版)的服务器。在页面上方选择好要开通的服务器后,您可以选择要购买的时长,以及是否开通自动续费。我们建议您保持主机安全服务时长与服务器到期时间一致,并开通自动续费功能。页面下方的日志分析存储量和专家服务是进阶选项,您可以根据您的需求灵活选配。

图3-2 主机安全-包年包月图3-2 主机安全-包年包月

3.2 主机安全(专业版)功能简介

3.2.1 主机安全概览页面

链接:https://console.cloud.tencent.com/cwp

您可以在主机安全概览页面查看当前的安全评分、待处理风险、实时动态等信息。并可以点击相应的链接查看详情,进行相应的处置。

图3-3 主机安全概览页面图3-3 主机安全概览页面

3.2.2 主机列表页面

链接:https://console.cloud.tencent.com/cwp/asset/machine

您可以在主机列表页面查看各台服务器的安全概况,并可点击某台服务器的IP地址,查看该服务器的详情。

图3-4 主机列表页面图3-4 主机列表页面

3.2.3 主机详情

如下图所示,主机详情提供主机信息、入侵检测、漏洞关联、基线管理、高级防御等功能,在此不再赘述,您可参考腾讯云官网相关文档。

图3-5 主机详情-主机信息图3-5 主机详情-主机信息
图3-6 主机详情-入侵检测图3-6 主机详情-入侵检测
图3-7 主机详情-漏洞管理图3-7 主机详情-漏洞管理

4. 结语

信息安全界通常认为,攻击方与防守方一直的较量每时每刻都在上演,没有绝对的安全、只有相对的安全。一般的,业务价值越高、业务越重要,需要在信息安全上投入的相应也就越多。防守方需要通过购买安全产品、加固业务代码、培养信息安全团队等手段,将黑客等不法分子攻陷业务所需的成本提高,使其高于攻陷业务带来的不法收益。

笔者认为,我们既不能忽视安全方面的投入、也不能一味追求大而全的整套安全产品,而应该量入为出分配资源、合理安排安全方面的投入。适合自己的才是最好的,选择适合实际业务场景的方案,说不定能达到事半功倍的效果。

本指南只介绍了定期快照、主机安全两款产品。腾讯云提供的安全产品远远不止这些,另外还提供有网络安全、终端安全、业务安全、身份安全、应用安全、数据安全等全方位的安全解决方案,以应对不同维度的安全威胁。如有需要,您可在官网了解详情,或联系相关同事进行业务洽谈。

5. 参考文档

  • 云硬盘 定期快照:https://cloud.tencent.com/document/product/362/8191
  • 主机安全 产品文档:https://cloud.tencent.com/document/product/296

1 人点赞