ホストのセキュリティにより、ホストにデプロイされたコンテナを期待どおりに実行できます。 定期的にベースラインチェックを実行して、クラスターがAlibaba Cloud Linux Security Hardening (OS Security Hardening) で定義された標準に準拠していること、Alibaba Cloud security Centerが提供するセキュリティ機能を使用していること、最小権限の原則に基づいてクラスターノードへのアクセスを制限していること、およびElastic Compute Service (ECS) セキュリティのベストプラクティスに従っていることを確認することを推奨します。
定期的にベースラインチェックを実行して、クラスターがOSセキュリティ強化およびマルチレベル保護スキーム (MLPS) セキュリティ強化で定義された標準に準拠していることを確認します。
OSセキュリティの強化
OSセキュリティ強化は、Alibaba Cloud Linux、CentOS、UbuntuなどのホストのOSセキュリティを強化するための標準を定義しています。 Alibaba Cloud Linux 3は、Alibaba CloudによってリリースされたOSであり、ACKクラスターによるデフォルトのOSとして使用されます。 詳細については、「Alibaba Cloud Linux 3の使用」をご参照ください。
MLPSセキュリティ強化
Alibaba Cloudは、「GB/T 22239-2019情報セキュリティ技術-サイバーセキュリティの分類保護のベースライン」に基づいてOSセキュリティを強化するためのMLPS標準を定義し、Alibaba Cloud Linuxのセキュリティを確保するためのセキュリティ強化機能を提供します。 これらの機能には、ID検証、アクセス制御、セキュリティ監査、侵入防止、および悪意のあるコード防止が含まれます。 詳細については、「MLPSに基づくACKセキュリティ強化」をご参照ください。
Alibaba Cloud security Centerが提供するセキュリティ機能の使用
Alibaba Cloud Security Centerの次の機能は、ACKクラスター内のノードのデフォルト設定を安全にするのに役立ちます。
脆弱性パッチ: 一般的な脆弱性を検出し、数回クリックするだけで脆弱性をパッチできます。 [脆弱性] ページで、検出された脆弱性を表示したり、スキャンタスクを手動で実行できます。 この機能は、資産の脆弱性と潜在的なリスクを特定するのに役立ちます。
ベースラインチェック: サーバーOS、データベース、ソフトウェア、コンテナーの構成を確認し、レポートを生成し、セキュリティに関する提案を行います。 この機能は、OSのセキュリティを強化し、侵入リスクを軽減し、セキュリティコンプライアンス要件を満たすのに役立ちます。
クラウドサービス構成チェック: IDの検証とアクセス許可、ネットワークアクセス制御、データセキュリティ、ログ監査、モニタリングとアラート、および基本セキュリティに基づいて、クラウドサービスの構成をチェックします。 セキュリティセンターは、検出されたリスクを軽減する方法についても提案します。
コンテナイメージスキャン: リスクの高いシステムの脆弱性、アプリケーションの脆弱性、悪意のあるサンプル、構成リスク、コンテナイメージ内の機密データを検出して識別します。 セキュリティセンターは、これらの問題を処理する方法に関する提案も提供します。 Security Centerは、コンテナイメージの脆弱性をパッチする方法を簡素化します。
最小特権の原則に基づいてクラスターノードへのアクセスを制限する
リモートノードにアクセスする場合は、ACKコンソールにログインし、WorkbenchまたはVirtual Network Computing (VNC) を使用して内部ネットワーク経由でノードにアクセスします。 このシナリオでは、elastic IPアドレス (EIP) をノードに関連付ける必要はありません。 インターネット経由でノードにアクセスする場合は、ACKクラスターのセキュリティグループにルールを追加して、ノードへのアクセスを制限する必要があります。 ノードへのアクセスをさらに制限するには、セキュリティグループを変更して、インターネットに公開されているノードのポートへのアクセスを制限する必要があります。
ECSセキュリティのベストプラクティスに従う
デフォルトでは、ACKクラスターのノードをホストするECSインスタンスはAlibaba Cloud Linux 3を実行します。 ECSインスタンスのセキュリティを向上させる方法の詳細については、「ECSインスタンスのセキュリティ」をご参照ください。