全部产品
云市场

阿里云自定义镜像安全建议

更新时间:2017-09-20 16:45:50

阿里云自定义镜像主要用于创建 ECS 实例,操作系统、及已经预安装的应用程序和数据,都可以通过自定义镜像自动复制到新实例中。您可以通过准备好的自定义镜像方便地创建具有相同配置环境的实例,从而提高工作交付效率。

通过阿里云自定义镜像创建的实例与通过正常官方镜像创建的实例一样,在创建过程中,可能会存在不同层面的操作系统自身的漏洞问题,如远程命令执行高危漏洞(导致 NSA 工具受影响的 Windows 0day 漏洞)、应用安全漏洞(弱口令、管理后台信息泄露、SQL 代码注入漏洞、Struts2 高危漏洞)。如果在镜像创建前能解决掉这些安全问题,将会提高您业务的安全性。阿里云安全团队提供以下安全最佳实践帮助您解决自定义镜像安全问题:

1. 操作系统漏洞

  • 在使用官方标准镜像的自定义镜像后,建议您时刻关注 安全漏洞情报,当出现高风险漏洞时,及时更新操作系统所有补丁,并重新创建自定义镜像。
  • 对于高危漏洞但暂时无法更新补丁的情况,建议您使用安全组访问控制策略、应用防护策略对该服务器进行实时检测、防御,防止被黑客成功入侵。

2. 软件配置加固

  • 对于已自定义安装的应用服务软件(如 Tomcat、Apache、Nginx 等软件),建议使用官方最新版的软件,并对应用软件进行安全加固,禁止不必要的功能或组件,提高整体安全能力。您可参考阿里云安全团队提供的相关安全加固文档对应用服务进行安全加固。
  • 定期关注安全漏洞情况,一旦发现高危漏洞,应及时更新到最新版本。

3. 上线前最后一步

  • 在您已完成前两步后,建议您使用 安全扫描工具 (例如,操作系统漏洞扫描工具:Nessus、Nexpose,Web 漏洞扫描工具:Appscan、WVS)扫描自定义镜像是否仍存在高风险漏洞。如存在安全漏洞,强烈建议您修复完漏洞后再发布使用。