文档

主机安全

更新时间:

容器运行所依赖的宿主机的安全保证容器的运行,建议您定期运行基线检查以验证集群是否符合CIS Benchmarks和等保加固标准、使用阿里云云安全中心安全防范能力、最小化对节点的访问权限以及遵循ECS安全最佳实践。

定期运行基线检查以验证集群是否符合CIS Benchmarks和等保加固标准

CIS(Center for Internet Security)是一个第三方安全组织,致力于采用线上社区的模式与大公司、政府机构、学术机构一起打造优秀的安全实践解决方案。

CIS Kubernetes基线是针对开源Kubernetes发行版本所编写的,旨在尽可能广泛应用于各个发行版本,同时不同的基线版本与特定的Kubernetes版本相关联。更多信息,请参见CIS Kubernetes基线

通用版本的CIS Kubernetes基线包含了管控面和数据面的相关内容,各大云服务商通常提供了管控面全托管的Kubernetes集群,通用版本的CIS Kubernetes基线并不能适配所有云服务商。为此,阿里云也在CIS社区发布了更符合ACK集群应用配置场景的CIS Alibaba Cloud Container Service For Kubernetes(ACK)Benchmark。

阿里云ACK集群基于CIS Alibaba Cloud Container Service For Kubernetes(ACK)Benchmark实现了默认安全加固。更多信息,请参见使用security-inspector组件实现集群安全CIS基线检查

对于集群节点宿主机OS系统,当前各大云服务商发布系统大多都已经提供了对应的CIS Benchmark,包括Alibaba Cloud Linux、CentOS、Ubuntu等。Alibaba Cloud Linux 3不仅是阿里云官方操作系统镜像,也是ACK的首选默认系统镜像。

您可以提升ACK集群所有节点的操作系统的安全性。具体操作,请参见ACK CIS加固使用说明

阿里云根据国家信息安全部发布的《GB/T22239-2019信息安全技术网络安全等级保护基本要求》中对操作系统提出的一些等级保护要求,基于云原生操作系统Alibaba Cloud Linux实现。更多信息,请参见ACK等保加固使用说明

您可以使用ACK的等保加固配置满足以下等保合规要求:

  • 身份鉴别

  • 访问控制

  • 安全审计

  • 入侵防范

  • 恶意代码防范

使用阿里云云安全中心安全防范能力

阿里云云安全中心支持对ACK集群节点的默认安全提供全方位保护,包括:

  • 漏洞修复:支持对主流漏洞类型进行检测并提供一键修复功能。您可以在漏洞修复页面查看服务器当前存在的漏洞风险,并手动执行一键扫描,帮助您更全面地了解您资产中的漏洞和风险情况。

  • 基线检查:基线检查功能针对服务器操作系统、数据库、软件和容器的配置进行安全检测,并提供检测结果说明和加固建议。基线检查功能可以帮您进行系统安全加固,降低入侵风险并满足安全合规要求。

  • 云平台配置检查:云平台配置检查从身份认证及权限、网络访问控制、数据安全、日志审计、监控告警、基础安全防护六个维度为您提供云产品安全配置的检查,帮助您及时发现您的云产品配置风险并提供相应的修复方案。

  • 镜像安全扫描:支持对镜像中存在的高危系统漏洞、应用漏洞、恶意样本、配置风险和敏感数据进行检测和识别,并提供漏洞修复方案,为您提供一站式漏洞管理能力,让镜像漏洞修复更简单。

最小化对节点的访问权限

当您想要对节点进行远程访问时,可以通过登录容器服务管理控制台,通过Workbench或者VNC进行内网访问。如果没有业务需要,不为节点挂载公网EIP。若要公网访问,应该在ACK的安全组中配置ACK访问策略,限制访问来源。并且需要在ACK安全组中控制对节点各个端口的暴露,对于需要公网暴露的端口,必须限制访问来源。

遵循ECS安全最佳实践

ACK默认使用Alibaba Cloud Linux 3创建ECS实例作为ACK的节点。关于在阿里云ECS实例使用过程中提高安全性,请参见云服务器ECS安全性

  • 本页导读 (1)
文档反馈