安全运营建议

一、日常运营

（一）暴露面管理

多数攻击源于公网暴露面，建议优先做好暴露面的收敛工作，非必要情况不对外暴露。

安全组管控：强化安全组管理，一个集群配置一个专用安全组，遵循最小化配置原则，避免开放整个网段，杜绝多台机器共用一个安全组的情况。

主动扫描：定期排查分析公网暴露资产，涵盖 IP、端口、域名、COS 存储桶、应用程序等，推荐使用云安全中心定期收集资产信息并自动扫描，及时发现潜在风险。

被动感知：借助云镜的密码破解、网络攻击监测功能，被动监测对外暴露资产状况，以便快速响应异常。

（二）漏洞管理

构建资产与漏洞风险等级 CMDB，从资产暴露程度、漏洞严重性（是否存在 EXP、是否已在野利用）两个维度重点评估漏洞修复优先级。

高优先级：涉及对外提供服务或属于敏感核心资产的重要资产，且存在严重漏洞。

次优先级：存在严重漏洞的重要资产相关漏洞。

缓解措施：部署 WAF（Web 应用防火墙）、RASP（运行时应用自我保护），收紧权限，降低风险。

二、重保 / HW 场景

资产收敛：精简对外提供的服务，对必须对外开放的应用实施 WAF、云防等安全强化措施，并部署主机安全产品用于主机内入侵检测与防御。

网络隔离：优化内网隔离策略，例如利用入向和出向安全组管控，严格限定最小访问权限，增加攻击者触及重要资产的难度。

访问控制：严格限制内网访问，严禁免密访问及 ssh key 多账号共用情况，建议在 HW 期间严控 ssh/rdp 访问源，使用堡垒机进行密码/密钥托管，并开启多因素认证，同时做好访问审计。

云 API 检测：鉴于云 API 密钥攻击频繁发生，运用云安全中心治理 AK，借助权限收敛、访问源 IP 审计、AK 异常检测等功能保障安全。

DNS 检测：DNSLOG 是漏洞验证攻击的关键环节，需对 DNS 日志进行审计与告警，HW 期间可针对出向域名开展白名单学习并及时告警。