<p class="shortdesc"></p> <p class="p"><strong class="ph b">密钥对概述</strong></p> <p class="p">秘钥对是用户登录云服务器进行身份认证的一种方式，通常只支持Linux系统。平安金融云生成秘钥对采用 RSA 2048 位的加密方式，安全强度高于常规用户口令，可以防止暴力破解。云平台生成一对密钥，对外公开的为“公钥”，自己保留的为“私钥”，私钥使用未加密的PEM（Privacy-enhanced Electronic Mail）编码的 PKCS#8 格式，可通过PuTTYgen转换成ppk格式。</p> <p class="p"><strong class="ph b">注意：</strong></p> <ul class="ul" id="Safety__ul_px4_cfh_z5b"> <li class="li">私钥下载到本地后，平安金融云不做保存，无法再次下载，请妥善保管。</li> <li class="li">当该密钥对绑定某个 ECS 实例时，如果没有私钥，您将无法再登录该 ECS 实例，通过用户名、密码也无法登录。</li> </ul> <p class="p"><strong class="ph b">安全组概述</strong></p> <p class="p">安全组是一种虚拟防火墙，具有检测状态和过滤数据包的功能。一个安全组，由实例列表与安全组规则两部分组成。您可以将云服务器 ECS实例添加到安全组的实例列表中，并通过安全组规则对实例列表中的云服务器 ECS实例进行访问授权，安全组是一种重要的网络安全隔离手段。</p> <img class="image" id="Safety__image_kqm_ffh_z5b" src="https://obs-cn-shanghai.fincloud.pinganyun.com/pacloud/20232006152129-149345eb9d9c.png"> <p class="p"><strong class="ph b">默认安全组</strong></p> <p class="p">每一个VPC会默认创建一个安全组，用户在创建云主机实例时可以直接选择关联默认安全组进行创建。</p> <p class="p">默认安全组中的安全组规则如下：</p> <p class="p"><strong class="ph b">入方向</strong>：放行了ICMP协议、SSH 22端口、RDP 3389端口。</p> <p class="p"><strong class="ph b">出方向</strong>：允许所有访问。</p> <p class="p">默认安全组的优先级高于手动添加的安全组规则，默认安全组的规则可以删除。</p> <img class="image" id="Safety__image_zt4_hfh_z5b" src="https://obs-cn-shanghai.fincloud.pinganyun.com/pacloud/20232006152129-1d221b579d1d.png"> <p class="p"><strong class="ph b">安全组规则</strong></p> <p class="p">创建好安全组后，用户可以在安全组中创建访问规则，针对每条规则定义出/入方向、授权策略、目的IP地址、端口、协议、优先级等属性。当云主机加入该安全组后，就会受到这些访问规则的保护，由安全组规则决定放行还是阻断相关流量。</p> <p class="p">手动添加安全组规则时，优先级范围为1-10，数值越小，优先级越高。默认安全组的规则优先级为0，表示该规则的优先级高于手动添加的安全组规则。默认安全组的规则可以删除。</p> <p class="p">ECS实例所在的安全组中，无论是同一个安全组内或不同安全组之间，如果两条安全组规则的协议类型、端口范围、授权类型、授权对象都相同，最终生效的安全组规则如下：</p> <ul class="ul" id="Safety__ul_ott_3fh_z5b"> <li class="li">如果优先级相同，则拒绝策略的授权规则优先生效，允许策略的授权规则不生效。</li> <li class="li">如果优先级不同，则优先级高的规则生效，与授权策略无关。</li> </ul> <p class="p">默认情况下，平安金融云的安全组访问策略如下：</p> <ul class="ul" id="Safety__ul_dcf_jfh_z5b"> <li class="li">相同安全组内的云主机默认互通，不同安全组的云主机默认不通。</li> <li class="li">安全组出方向流量默认放通。</li> <li class="li">安全组入方向icmp流量默认放通，其他流量默认阻断。</li> </ul> <p class="p"><strong class="ph b">安全组限制</strong></p> <ul class="ul" id="Safety__ul_azx_jfh_z5b"> <li class="li">每个VPC最多可以创建20个安全组。</li> <li class="li">每个实例最多可绑定4个安全组。</li> <li class="li">每个安全组最多可以创建50条安全组规则。</li> </ul> <p class="p"><strong class="ph b">系统热补丁概述</strong></p> <p class="p">系统热补丁是基于 Oracle Ksplice 技术、针对关键业务场景所提供的热补丁方案，可以实现完全在线的内核以及系统关键组件的热补丁和在线热回退，从而避免了在对Linux系统进行补丁升级过程中频繁的系统重启，有效地提高了运维效率，减少时间窗口以及快速满足安全合规要求。</p> <p class="p">Ksplice用户空间核心组件在线升级主要针对glibc和openssl，传统升级方式在完成这两个组件的升级之后往往需要逐个重启依赖这些核心组件的应用，其效果等同于系统的重启。Ksplice用户空间核心组件的在线升级即解决该问题，该功能可以使大多数对glibc和openssl有依赖的进程或者服务在升级glibc和openssl后实现在线适配。</p> <p class="p"> </p> <p class="p"><strong class="ph b">主机卫士概述</strong></p> <p class="p">主机卫士是平安金融云免费提供的Windows系统的防病毒软件，为云服务器ECS提供云查杀功能。采用McAfee杀毒引擎，可以有效保护您的云服务器ECS安全，及时预防病毒攻击。</p> <p class="p"> </p> <p class="p"><strong class="ph b">云安全中心PSC概述</strong></p> <p class="p">平安云安全中心（简称“PSC”）是一个实时识别、分析、预警安全威胁的服务器主机安全管理系统，具备资产清点、风险发现、入侵检测、病毒查杀、合规基线检查等安全能力，帮助用户实现威胁检测、响应的自动化安全运营，保护云上主机安全，并满足监管合规要求。</p> <p class="p">云安全中心PSC具体产品功能、应用场景及操作指南可参考文档中心<a class="xref" href="/ssr/help/security/PSC/index.overview" target="_blank" rel="external noopener">云安全中心PSC</a>。</p>