阿里云云安全acp认证知识点精讲

DNS 区域传送（DNS zone transfer）是指一台备用 DNS 服务器使用来自主 DNS 服务器的数据刷新自己的域（zone）数据库，从而避免主 DNS 服务器因意外故障影响到整个域名解析服务。

一般情况下，DNS 区域传送只在网络里存在备用 DNS 服务器时才会使用；但许多 DNS 服务器却被错误地配置，只要有客户机发出请求，就会向对方提供一个 zone 数据库的详细信息。因此，不受信任的因特网用户也可以执行 DNS 区域传送（zone transfer）操作。

恶意用户可以通过 DNS 区域传送快速地判定出某个特定 zone 的所有主机，并收集域信息、选择攻击目标，进而找出未使用的 IP 地址，绕过基于网络的访问控制窃取信息。

注意：建议您在修复前创建服务器快照，以免修复失败造成损失。

区域传送是 DNS 常用的功能，为保证使用安全，应严格限制允许区域传送的主机，例如一个主 DNS 服务器应该只允许它的备用 DNS 服务器执行区域传送功能。

严格限制允许进行区域传送的客户端的 IP：

阿里云账号最佳安全实践：

AccessKey是阿里云颁发给用户的一种身份凭证，用于在API调用时进行身份验证。AccessKey是获取用户云资源的钥匙。如果AccessKey泄露，将带来云资源泄露以及被恶意利用等风险。建议您定期检查是否存在AccessKey泄漏。

如果您发现包含AccessKey的敏感信息已在公网泄露，请尽快删除已泄露的代码或信息，并登录阿里云控制台禁用或删除AccessKey。操作步骤如下：

单击页面右上角用户菜单下的AccessKey管理。

在安全信息管理页面，单击已泄露的AccessKey操作列表的禁用或删除。

尽量不要使用Github类代码托管服务。特殊情况下，一定要使用的话，建议您自建私有仓库，或搭建企业内部代码托管系统，以防敏感信息泄露，确保代码安全。

采用云上安全产品进行预警、检测，例如使用阿里云提供的云安全中心。云安全中心能够检测到您系统账号的安全漏洞，您可登录到云盾控制台免费开通该服务，并开启自动检测功能。

启用阿里云权限管理机制，包括使用访问控制RAM（Resource Access Management）和阿里云临时安全令牌STS（SecurityToken Service）服务。根据需求使用不同权限的子账号来访问云资源（例如：OSS），或为用户提供访问的临时授权。访问控制更多信息请参见访问控制。阿里云临时安全令牌更多信息请参见阿里云临时安全令牌。

遵循企业上云安全实践，从登录验证、账号授权、权限分配等方面配置RAM，有效地使用RAM进行用户身份管理和资源访问控制。主要的访问控制策略包括：

为主账号和RAM用户启用MFA。

为用户登录配置强密码策略。

定期轮转用户登录密码和访问密钥。

及时撤销用户不再需要的权限。

不要为主账号创建访问密钥。

使用群组给RAM用户分配权限。

将用户管理、权限管理与资源管理分离。

将控制台用户与API用户分离。

遵循OSS安全实践，包括：

不使用主账号访问OSS。

使用STS的临时凭证来访问OSS。

在企业内建立安全制度，开展必要的安全意识培训等工作，提升全员安全意识。