全部產品
Search

搜尋本產品

    Security Center:Serverless安全

    文件中心

    Security Center:Serverless安全

    更新時間:Feb 13, 2025

    如果您的業務部署在阿里雲Serverless資產(例如通過ACK Serverless叢集建立的Elastic Container Instance (ECI)Serverless App Engine (SAE)等雲產品執行個體)中,為了更好地保障Serverless架構下資產的安全,您可以使用Security Center的Serverless安全檢測功能,對Serverless資產進行常見的威脅警示檢測、漏洞掃描、基準檢查。本文將介紹Security Center如何接入Serverless資產和為Serverless資產提供的安全防護功能。

    計費說明

    北京時間2024年07月31日及之後,Serverless安全防護功能停止公測,不再支援免費試用Serverless安全防護功能。如果使用者需要使用Serverless安全防護功能,需要通過控制台開通Serverless資產隨用隨付。具體操作,請參見本文步驟一:開通隨用隨付並完成授權

    開始計費

    開通Serverless資產並完成授權後,Serverless防護採用隨用隨付模式,按照已授權綁定且用戶端線上的資產每秒的計算核心數計費:0.000003美元/核/秒。系統會根據已授權綁定資產每天的計算核心數總量,在次日產生賬單。更多資訊,請參見計費概述

    停止計費

    在以下情境中,阿里雲會立即停止對綁定授權的Serverless資產的安全檢測,同時停止計費。

    • 停止所有Serverless資產的計費:

      • 在Security Center控制台的總覽頁面的隨用隨付服務地區,關閉Serverless資產對應的開關。

      • 在Security Center控制台的資產中心 > Serverless資產頁面上方,單擊停止使用

      • 當前阿里雲帳號欠費。

    • 停止指定Serverless資產的計費:

      在Security Center控制台的資產中心 > Serverless資產頁面,解除綁定指定資產的綁定授權。具體操作,請參見本文步驟三:綁定或解除綁定授權資產

    資產接入說明

    支援接入的Serverless資產

    通過託管版與專有版容器叢集ACK、ACK Serverless叢集和Container Compute Service (ACS)建立的Elastic Container Instance (ECI)以及Serverless App Engine (SAE)的ECI執行個體資產,支援接入Security Center進行防護。

    接入方式

    開通Serverless安全防護服務後,Security Center會自動將當前阿里雲帳號下狀態為運行中的Serverless資產(ECI執行個體和SAE應用)接入Security Center並展示在Serverless資產列表中,完成綁定授權後,即可使用Security CenterServerless防護能力。

    重要

    • 對於開通Serverless安全防護服務前已建立的資產執行個體,開通Serverless安全防護服務後,需要重啟對應資產執行個體。重啟用戶端狀態為正常狀態後,即可對Serverless資產開啟安全掃描能力。

    • 開通Serverless安全防護服務後,對於開通該服務前已建立的ACS叢集的資產執行個體,如果需要進行Serverless安全防護,必須安裝並啟動Security Center用戶端。具體操作可參考本文下方安裝並啟動ECI執行個體用戶端中的ACK Serverless叢集的ECI Pod啟動用戶端

    綁定授權邏輯

    • 使用者首次開通Security Center隨用隨付功能且開通Serverless資產功能時,支援自訂綁定需防護的serverless資產。如果未進行自訂綁定,則預設全量綁定,且開啟新增資產自動綁定。具體內容,請參見本文步驟一:開通隨用隨付並完成授權新購開通Serverless資產防護

    • 使用者在付費版服務基礎上新增開通Serverless資產功能時:

      • 如果是首次開通,則預設全量綁定,且開啟新增資產自動綁定。

      • 如果不是首次開通,則預設自動綁定授權給上一次開通該功能已綁定授權的Serverless資產。如果上一次開通該功能綁定授權的ECI執行個體和SAE應用為0,則預設全量綁定,且開啟新增資產自動綁定。

      具體內容,請參見本文步驟一:開通隨用隨付並完成授權新增開通Serverless資產防護

    • 如果當前帳號已欠費,且欠費前已開通Serverless資產功能,使用者結清當前帳號欠費賬單後,預設綁定之前已綁定授權的Serverless資產。

    安裝並啟動ECI執行個體用戶端

    對於託管版與專有版容器叢集ACK、ACK Serverless叢集建立的ECI資產,必須在建立時完成安裝並啟動Security Center用戶端,才能使用Security Center提供的安全檢測能力。您需要通過以下方式安裝並啟動ECI Pod的Security Center用戶端。

    ACK Serverless叢集的ECI Pod啟動用戶端

    Container Service管理主控台的叢集管理頁面左側導覽列,選擇工作負載 > 容器組,單擊使用YAML建立資源,在YAML模板的spec > template > metadata下增加annotations參數配置,並將其設定為k8s.aliyun.com/eci-aliyundun-enabled: "true"。具體內容,請參見ECI Pod

    建立的YAML模板樣本:

    apiVersion: apps/v1 # for versions before 1.8.0 use apps/v1beta1
kind: Deployment
metadata:
  name: nginx-deployment-basic
  labels:
    app: nginx
spec:
  replicas: 2
  selector:
    matchLabels:
      app: nginx
  template:
    metadata:
      annotations:
        k8s.aliyun.com/eci-aliyundun-enabled: 'true'
      labels:
        app: nginx
    spec:
    #  nodeSelector:
    #    env: test-team
      containers:
      - name: nginx
        image: nginx:1.7.9 # replace it with your exactly <image_name:tags>
        ports:
        - containerPort: 80
        resources:
          limits:
            cpu: "500m"

    如果使用鏡像建立資源,可在進階配置中添加Pod註解:k8s.aliyun.com/eci-aliyundun-enabled=true。資源建立的具體操作,請參見使用鏡像建立無狀態應用

    image

    託管版與專有版容器叢集ACK的ECI Pod啟動用戶端

    託管版與專有版容器叢集ACK的ECI Pod啟動用戶端

    1. 登入Container Service管理主控台,進入對應版本的叢集管理頁面,部署ack-virtual-node組件,將Pod調度到ECI上運行。具體操作,請參見通過虛擬節點將Pod調度到ECI上運行

    2. Container Service管理主控台的叢集管理頁面左側導覽列,選擇工作負載 > 容器組,然後單擊使用YAML建立資源,在YAML模板的metadata下增加annotations參數配置,並將其設定為k8s.aliyun.com/eci-aliyundun-enabled: "true",在spec > containers下配置環境變數env,設定容器類型為ECI_CONTAINER_TYPE = sidecar

      建立的YAML模板樣本:

      apiVersion: v1
kind: Pod
metadata:
  name: test-aegis-alinux2-lifsea-x86
  labels:
    eci: "true"
  annotations:
    k8s.aliyun.com/eci-aliyundun-enabled: "true"
spec:
  containers:
  - name: sidecar
    image: registry-vpc.cn-shanghai.aliyuncs.com/eci_open/centos:7
    command:
    - /bin/sh
    - -c
    args:
    - sleep inf
    env:
    - name: ECI_CONTAINER_TYPE
      value: sidecar
  - name: nginx
    image: registry-vpc.cn-shanghai.aliyuncs.com/eci_open/centos:7
    command:
    - /bin/sh
    - -c
    args:
    - sleep inf

    安全能力說明

    Security Center為Serverless資產提供以下安全能力。

    • 威脅警示檢測:支援檢測並處理Serverless資產中存在的常見安全威脅,例如發現後門(WebShell)檔案、異常網路連接、進程異常行為等。支援的具體檢查項,請參見適用於容器環境的警示

    • 漏洞掃描:您可以在風險治理 > 漏洞管理頁面,單擊已支援漏洞下的數字,前往支援檢測的漏洞列表面板,查看支援檢測的漏洞列表。

      對於應用漏洞,僅支援掃描,不支援修複。應用漏洞是針對您伺服器上安裝的軟體進行掃描後發現的風險,需要您根據漏洞詳情中的修複建議,手動對軟體應用升級或進行配置修改,排除安全隱患。

      image.png

    • 基準檢查:支援檢測並處理Serverless資產的存在的基準檢查風險項,例如Kubernetes(ECI) Pod 國際通用安全最佳實務基準檢查的限制以root運行容器禁止配置具有核心功能的容器等。支援的具體基準檢查內容,請參見基準檢查內容

    Security Center對於接入的Serverless資產根據容器運行時狀態劃分為不同的執行個體類型,對應支援的安全能力有如下區別。

    執行個體類型

    支援的安全能力

    Elastic Container Instance

    • 威脅警示檢測

    • 漏洞掃描

    • 基準檢查

    RunD容器執行個體

    威脅警示檢測

    步驟一:開通隨用隨付並完成授權

    新購開通Serverless資產防護

    免費版申請試用的使用者,可以通過購買Security Center服務方式,開通Serverless資產防護能力。

    1. 訪問Security Center購買頁並使用您的阿里雲帳號登入。

    2. 在購買頁面,選擇購買方式隨用隨付,單擊Serverless資產

    3. 單擊自訂按需綁定,在授權管理對話方塊中,您可選擇全量綁定自訂綁定,配置Serverless資產的防護授權。

      如果不配置防護授權,則Security Center會自動綁定授權已接入所有Serverless資產,且後續新增的Serverless資產也會自動接入並綁定授權。您可以在開通Serverless資產防護服務後,手動對Serverless資產進行綁定或解除綁定授權。具體操作,請參見下文步驟三:綁定或解除綁定授權資產

      image

    4. 仔細閱讀並選中Security Center服務合約,單擊立即下單

    Security Center會自動接入當前帳號下的所有Serverless資產,並根據防護授權配置,綁定授權目標Serverless資產。

    新增開通Serverless資產防護

    已購買Security Center服務的付費版(防病毒版、進階版、企業版和旗艦版)的使用者,可以新增開通Serverless資產防護能力。

    1. 登入Security Center控制台。在控制台左上方,選擇需防護資產所在的地區:中國全球(不含中國)

    2. 在左側導覽列,選擇資產 > Serverless 資產

    3. Serverless資產頁面,單擊立即開通

      您也可以在總覽頁面右側的隨用隨付服務地區,開啟Serverless資產開關。

    4. 在確認對話方塊中,選中我已閱讀並同意Security Center(隨用隨付)使用者協議,然後單擊立即開通

    完成新增開通後,按照以下邏輯綁定授權Serverless資產:

    • 如果是首次開通,則Security Center會自動接入並綁定授權當前帳號下的所有Serverless資產,且後續新增的Serverless資產也會自動接入並綁定授權。

    • 如果不是首次開通,則預設自動綁定授權給上一次開通該功能已綁定授權的Serverless的ECI執行個體。如果上一次開通該功能綁定授權的ECI執行個體和SAE應用為0,則預設全量綁定,且開啟新增資產自動綁定。

    步驟二:同步最新資產

    如果新建立了Serverless資產,您可以單擊同步最新资产,手動將最新Serverless資產列表同步到Security Center控制台。

    1. 登入Security Center控制台。在控制台左上方,選擇需防護資產所在的地區:中國全球(不含中國)

    2. 在左側導覽列,選擇資產 > Serverless 資產

    3. Serverless資產頁面,單擊同步最新資產

      Security Center會拉取最新的Serverless資產資訊,重新整理資產列表。

      說明

      同步最新資產資訊需要1分鐘時間,請您耐心等待。

    步驟三:綁定或解除綁定授權資產

    只有授權綁定的Serverless資產,才能使用Security Center提供的Serverless安全防護能力,進行安全風險檢測。

    1. 登入Security Center控制台。在控制台左上方,選擇需防護資產所在的地區:中國全球(不含中國)

    2. 在左側導覽列,選擇資產 > Serverless 資產

    3. Serverless資產頁面的資產列表中找到目標Serverless資產,查看用戶端列表徵圖顏色。

      • 綠色表示用戶端線上運行中,支援綁定和解除綁定授權。

      • 灰色表示用戶端因未安裝或網路不穩定等其他因素不線上。此時,Serverless資產仍支援綁定和解除綁定授權,但綁定後不支援使用安全防護能力且不會計費。您可以參考上文的資產接入說明,安裝並檢查對應資產的用戶端進行啟動。

      綁定授權的Serverless資產用戶端線上運行,才能開始使用Security Center提供的安全防護能力並開始隨用隨付。

      image

    4. 單擊資產列表上方未綁定的執行個體下的授權管理

    5. 授權管理對話方塊中,選擇操作類型(綁定解除綁定),根據頁面提示選擇目標Serverless資產,然後單擊確定

      如需自動綁定新增的Serverless資產,可選中新增資產自動綁定

      image

    步驟四:查看並處理安全風險

    Serverless資產接入Security Center並完成綁定授權後,Security Center會為該執行個體即時開啟安全威脅警示檢測,漏洞掃描和基準檢查會按照漏洞或基準的掃描周期執行檢查。您可以前往漏洞管理基線檢查頁面,查看最新檢查時間。

    以下介紹查看Serverless資產安全風險狀態的具體步驟。

    1. 登入Security Center控制台。在控制台左上方,選擇需防護資產所在的地區:中國全球(不含中國)

    2. 在左側導覽列,選擇資產 > Serverless 資產

    3. Serverless資產頁面的資產列表中,找到目標資產,如果對應风险状况列顯示風險,表示該資產中檢測出了警示、漏洞或基準風險。

    4. 單擊目標資產名稱或該資產對應操作列的查看,可查看該資產的詳細風險資訊。

      單擊安全警示數漏洞風險數基準風險數卡片,可以查看對應的風險檢查項列表。

      image.png

    5. 處理安全警示。

      單擊目標警示對應操作列的詳情,查看警示的詳細資料,判斷警示是否為真實存在的風險。

      判斷完成後,單擊目標警示操作列的處理,如果為真實存在的風險,選擇隔離處理方式;如果無需處理或需忽略本次警示,選擇加白名單、忽略或我已手工處理等處理方式。

    6. 處理漏洞風險。

      單擊漏洞風險數卡片,查看該資產中檢測出的漏洞。

      漏洞為可被駭客利用的薄弱點,建議您及時處理已檢測出的漏洞。應用漏洞不支援一鍵修複,建議您根據漏洞詳情中的說明自行修複漏洞。具體操作,請參見開通漏洞修複能力

    7. 處理基準風險。

      單擊基準風險數卡片,查看該資產中檢測出的基準風險。單擊目標風險操作列的詳情,查看風險詳情和加固建議,並判斷是否需要處理該基準風險,並根據判斷結果處理該風險,或對該風險加白名單。

      Security Center僅支援修複部分基準檢查項風險問題,如果風險詳情頁面的風險處理列表顯示修複按鈕,表示該風險項支援在Security Center修複,您可以在Security Center直接修複基準風險問題。