容器運行所依賴的宿主機的安全保證容器的運行,建議您定期運行基準檢查以驗證叢集是否符合阿里雲OS安全強化(簡稱“阿里雲OS加固”)標準、使用阿里雲Security Center安全防範能力、最小化對節點的存取權限以及遵循ECS安全最佳實務。
定期運行基準檢查以驗證叢集是否符合阿里雲OS加固和等保加固標準
阿里雲OS加固
對於叢集節點宿主機OS系統,阿里雲OS加固功能提供了對應的加固標準,提供的作業系統包括Alibaba Cloud Linux、CentOS、Ubuntu等。Alibaba Cloud Linux 3不僅是阿里雲官方作業系統鏡像,也是ACK的首選預設系統鏡像。更多資訊,請參見使用作業系統Alibaba Cloud Linux 3。
等保加固
阿里雲根據《GB/T22239-2019資訊安全技術網路安全等級保護基本要求》中對作業系統提出的一些等級保護要求,雲端式原生作業系統Alibaba Cloud Linux提供了等保加固功能,檢查項包括身份鑒別、存取控制、安全審計、入侵防範、惡意代碼防範等。更多資訊,請參見ACK等保加固使用說明。
使用阿里雲Security Center安全防範能力
阿里雲Security Center支援對ACK叢集節點的預設安全提供全方位保護,包括:
漏洞修複:支援對主流漏洞類型進行檢測並提供一鍵修複功能。您可以在漏洞修複頁面查看伺服器當前存在的漏洞風險,並手動執行一鍵掃描,協助您更全面地瞭解您資產中的漏洞和風險情況。
基準檢查:基準檢查功能針對伺服器作業系統、資料庫、軟體和容器的配置進行安全檢測,並提供檢測結果說明和加固建議。基準檢查功能可以協助您進行系統安全強化,降低入侵風險並滿足安全合規要求。
雲平台配置檢查:雲平台配置檢查從身份認證及許可權、網路存取控制、資料安全、日誌審計、監控警示、基礎安全防護六個維度為您提供雲產品安全配置的檢查,協助您及時發現您的雲產品配置風險並提供相應的修複方案。
鏡像安全掃描:支援對鏡像中存在的高危系統漏洞、應用漏洞、惡意樣本、配置風險和敏感性資料進行檢測和識別,並提供漏洞修複方案,為您提供一站式漏洞管理能力,讓鏡像漏洞修複更簡單。
最小化對節點的存取權限
當您想要對節點進行遠端存取時,可以通過登入Container Service管理主控台,通過Workbench或者VNC進行內網訪問。如果沒有業務需要,不為節點掛載公網EIP。若要公網訪問,應該在ACK的安全性群組中配置ACK存取原則,限制訪問來源。並且需要在ACK安全性群組中控制對節點各個連接埠的暴露,對於需要公網暴露的連接埠,必須限制訪問來源。
遵循ECS安全最佳實務
ACK預設使用Alibaba Cloud Linux 3建立ECS執行個體作為ACK的節點。關於在阿里雲ECS執行個體使用過程中提高安全性,請參見Elastic Compute Service安全性。