标签：加固

首先制定统一的安全基线，包含系统镜像选择、最小化安装、关闭不必要服务、强密码和SSH密钥登录策略。建议启用操作系统自带防火墙并安装云安全中心（SAS）用于基线检测与合规扫描。对敏感端口限制访问，仅开放必要服务端口，并使用镜像模板保证新实例符合基线。 用安全组实现细粒度入站/出站规则，结合网络ACL做二次防护。将生产实例放在私有子网，必要时通过NAT