尊敬的建行云用户:
您好!
为了支持您使用建行云产品构建更为安全可靠应用系统,有效防范各类安全攻击,建行云提出如下安全使用建议,请您参考:
账号及权限管理方面:
1.提高租户主账号和子账号密码复杂度,密码复杂度建议为:10-16位,包含[a-z,A-Z],[0-9]和[()`~!@#$%^&*-+_|{}[]:;'<>,.?/]的特殊符号,且不得包含登录的用户名,不得使用与用户名相同的邮箱或邮箱前缀作为密码;
2.避免多人共用账号、密码和个人信息关联等操作;
3.按照“最小所需”原则进行账号权限设置,清理非必需权限;
4.开启双因子认证,通过手动勾选“账号中心 - 安全设置 - 敏感操作 - 开启手机验证”功能实现。
网络部署方面:
1.设立互联网区、开放服务区、外联网等三个VPC服务区,确保不同类型网络流量安全隔离;
2.通过设立负载均衡隐藏服务器真实IP地址,弹性公网IP不直接和云主机绑定用于业务或管理入口;
3.每个VPC内严格设置安全组及ACL,从云服务器实例级别、子网级别控制网络流量;
4.公网IP为CLB类型时,使用标准端口,标准端口定义如下:http类型为80、8080、8000三个端口,https类型为443、8443两个端口。
安全产品使用方面:
1.配置使用龙御、龙堡垒、安全组/ACL、龙卫士和蜜罐等安全产品,其中互联网WEB业务通过龙御(WAF)进行防护;
2.若设立对等连接,安全组或ACL要按照“默认禁止,按需开通”的原则配置,有效限制VPC之间的互访流量,保障VPC内资源安全运行;
3.所有运维操作通过龙堡垒进行,龙堡垒更新至最新版本,龙堡垒标准使用模式:入访需求通过CLB实现,推荐端口为443,工具访问方式(涉及端口15305、15306、15281)按需开通,出访需求(用于发送短信验证码)通过NAT实现。
文件上传及解析方面:
1.在服务器端采用白名单方式(默认禁止所有,按需允许)对上传的文件类型、大小、权限进行严格的限制;
2.检测重点放在文件内容检测,可以用检测脚本语言特征码的机制,尤其注意上传文件初始权限设置为不可执行;
3.建议对写/上传文件的路径、文件名采用随机方式生成,或将写/上传文件放置在非网站目录或对象存储器里面;
4.排查WEB、应用服务器的WEBLOGIC、TOMCAT、NGINX等中间件对静态目录的解析。
其他方面:
1.及时关注并更新各类漏洞补丁,包括基础软件、应用软件等,排查并及时修复应用常见高危漏洞,包括SQL注入、XSS跨站脚本等;
2.避免在GitHub等公共空间上传邮箱密码和源代码等敏感信息;
3.应用对互联网屏蔽所有后台管理页面;
4.定期对业务数据进行备份。
如有任何问题,请联系您的建行云技术服务经理,谢谢!
建行云
2019年5月31日