宿主机安全保证容器的运行,本文主要介绍如何保护ACK中宿主机的安全性。
定期运行基线检查以验证集群是否符合CIS Benchmarks和等保加固标准
CIS(Center for Internet Security)是一个第三方安全组织,致力于采用线上社区的模式与大公司、政府机构、学术机构一起打造优秀的安全实践解决方案。
CIS Kubernetes基线是针对开源Kubernetes发行版本所编写的,旨在尽可能广泛应用于各个发行版本,同时不同的基线版本与特定的Kubernetes版本相关联。更多信息,请参见CIS Kubernetes基线。
通用版本的CIS Kubernetes基线包含了管控面和数据面的相关内容,各大云服务商通常提供了管控面全托管的Kubernetes集群,通用版本的CIS Kubernetes基线并不能适配所有云服务商。为此,阿里云也在CIS社区发布了更符合ACK集群应用配置场景的CIS Alibaba Cloud Container Service For Kubernetes(ACK)Benchmark。
阿里云ACK集群基于CIS Alibaba Cloud Container Service For Kubernetes(ACK)Benchmark实现了默认安全加固。更多信息,请参见使用security-inspector组件实现集群安全CIS基线检查。
对于集群节点宿主机OS系统,当前各大云服务商发布系统大多都已经提供了对应的CIS Benchmark,包括Alibaba Cloud Linux 2、CentOS、Ubuntu等。Alibaba Cloud Linux 2不仅是阿里云官方操作系统镜像,也是ACK的首选默认系统镜像。Alibaba Cloud Linux 2在2019年08月16日正式通过了CIS组织的全部认证流程并对外发布CIS Aliyun Linux 2 Benchmark version 1.0.0。更多信息,请参见CIS Aliyun Linux 2 Benchmark version 1.0.0。
您可以提升ACK集群所有节点的操作系统的安全性。具体操作,请参见ACK CIS加固使用说明。
阿里云根据国家信息安全部发布的《GB/T22239-2019信息安全技术网络安全等级保护基本要求》中对操作系统提出的一些等级保护要求,基于云原生操作系统Alibaba Cloud Linux实现。更多信息,请参见ACK等保加固使用说明。
- 身份鉴别
- 访问控制
- 安全审计
- 入侵防范
- 恶意代码防范
使用阿里云云安全中心安全防范能力
- 漏洞修复:支持对主流漏洞类型进行检测并提供一键修复功能。您可在漏洞修复页面查看服务器当前存在的漏洞风险、手动执行一键扫描,帮助您更全面地了解您资产中的漏洞和风险情况。
- 基线检查:基线检查功能针对服务器操作系统、数据库、软件和容器的配置进行安全检测,并提供检测结果说明和加固建议。基线检查功能可以帮您进行系统安全加固,降低入侵风险并满足安全合规要求。
- 云平台配置检查:云平台配置检查从身份认证及权限、网络访问控制、数据安全、日志审计、监控告警、基础安全防护六个维度为您提供云产品安全配置的检查,帮助您及时发现您的云产品配置风险并提供相应的修复方案。
- 镜像安全扫描:支持对镜像中存在的高危系统漏洞、应用漏洞、恶意样本、配置风险和敏感数据进行检测和识别,并提供漏洞修复方案,为您提供一站式漏洞管理能力,让镜像漏洞修复更简单。
最小化对节点的访问权限
当您想要对节点进行远程访问时,可以通过登录容器服务管理控制台,通过Workbench或者VNC进行内网访问,不为节点挂载公网EIP,若要公网访问,应该在ACK的安全组中配置ACK访问策略,限制访问来源。
并且需要在ACK安全组中控制对节点各个端口的暴露,对于需要公网暴露的端口,必须限制访问来源。
遵循ECS安全最佳实践
ACK默认使用Alibaba Cloud Linux 2创建ECS实例作为ACK的节点,关于在阿里云ECS实例使用过程中提高安全性,请参见安全最佳实践。