云计算安全防护手册.docxVIP

云计算安全防护手册

第1章基础架构与准入控制

1.1云环境安全基线配置

在创建第一个虚拟机实例时，必须强制启用“云安全组（CloudSecurityGroup）”的默认拒绝策略，确保只有配置了特定安全组规则（如允许443端口SSH或80端口HTTP的白名单）的实例才能访问网络资源，任何未明确授权的流量请求均被自动拦截。为所有新创建的容器服务实例自动应用“镜像扫描与签名”规则，禁止运行未通过CVE漏洞扫描且无数字签名证明的镜像，若检测到高危漏洞（如Log4j2）则立即触发阻断并强制回滚镜像。

配置云监控（CloudWatch）作为第一道防线，设定报警阈值（如CPU使用率连续5分钟超过85%或内存使用率超过90%），一旦触发立即通过短信和邮件通知管理员，并自动暂停实例运行以进行安全加固。实施“网络隔离策略”，将生产环境、测试环境和开发环境在VPC（虚拟私有云）层面物理或逻辑上完全割裂，禁止不同环境之间的直接路由访问，所有跨环境通信必须通过受控的“服务Mesh或专用“流量整形组”进行。在云控制台开启“审计日志”功能，确保所有登录操作、配置变更、资源删除及异常网络请求均被记录到带有时间戳和用户身份的日志库中，日志留存时间至少覆盖3个月，以满足合规审计要求。

部署“零信任网络架构”的网关服务，要求所有进出云环境的请求必须经过