云安全中心的Serverless资产如何绑定微服务应用_Serverless 应用引擎(SAE)-阿里云帮助中心

云安全中心的Serverless资产绑定微服务应用后，云安全中心可对微服务应用进行漏洞扫描、入侵检测和基线检查，极大提升应用安全的同时也优化了成本效益，为SAE应用构筑坚实的安全防线。本文主要介绍云安全中心的Serverless资产绑定微服务应用，以高效保障SAE微服务应用免受安全威胁。

背景信息

在Serverless 应用引擎 SAE（Serverless App Engine）上创建完成微服务应用之后，在使用时，安全仍然是一个关键的考虑因素。

阿里云云安全中心深度整合云原生技术优势，依托丰富的云端安全防护实践与最前沿的攻防策略，为用户打造了一站式的高级安全解决方案。这些方案广泛覆盖云资源管理、漏洞扫描、入侵检测和基线检查等多个核心安全层面。关于安全中心的具体介绍，请参见什么是云安全中心。

当您在Serverless 应用引擎上成功创建微服务应用后，可无缝对接云安全中心，实现安全策略的统一管理与实施，确保您的应用能够高效地抵御各类安全威胁。

功能介绍

在安全中心的Serverless资产绑定微服务应用后，支持漏洞扫描、入侵检测和基线检测的功能。具体信息，如下所示。

漏洞扫描：通过云安全中心检测您的应用中是否存在漏洞，云安全中心客户端AliSecureCheckAdvanced进程可能会在本地执行POC验证，发出特定的请求（POC请求）以检查是否存在应用漏洞。这些请求旨在测试应用漏洞的存在性和实际危害性，而不会进行实际的恶意攻击。具体信息，请参见什么是漏洞管理。
入侵检测：为了发现任何形式的隐藏和混淆的Rootkit，Rootkit检测功能依据通用Rootkit的原理进行操作，即总是存在对内核态函数（系统调用、VFS函数及底层功能函数）的挂钩、篡改和劫持。通过对系统内存镜像进行必要数据的采集检查，来确定Rootkit的存在和属性，以及判断被篡改劫持的系统功能，推断Rootkit本身的功能作用。通过以上操作，尽可能准确地判定Rootkit，并向用户告警传递相关信息。具体信息，请参见检测Linux Rootkit入侵威胁。
基线检测：病毒和黑客会利用服务器存在的安全配置缺陷入侵服务器，盗取数据或植入后门。基线检查功能针对服务器操作系统、数据库、软件和容器的配置进行安全检测，可以帮助您加固系统安全，降低入侵风险并满足安全合规要求。具体信息，请参见基线检查。

流程介绍

当微服务应用被Serverless资产绑定后，此应用会受到云安全中心的安全防护。
当被绑定的应用实例存在安全隐患（如代码入侵）时，云安全中心会检测到并产生报警，报警也会同步到SAE侧。
当您接收到报警信息后，可在云安全中心控制台对报警进行处理。
报警处理完成后，SAE侧会同步消除报警。

步骤概述

开通云安全中心的Serverless资产：如果您的应用需要在Serverless资产上进行绑定，首先需要开通云安全中心的Serverless资产。
在安全中心的Serverless资产中绑定应用：您的业务部署在阿里云Serverless产品（如：Serverless应用引擎）上，Serverless资产绑定您的应用后，可以为应用提供安全防护功能，包括漏洞扫描、入侵检测和基线检查。
测试与告警处理：通过对应用进行模拟攻击，检测是否能正常收到安全告警。并介绍当安全告警触发后，如何迅速响应并有效处理这些告警，以确保应用实例能够快速恢复正常运行状态。
解除安全中心的Serverless资产绑定（可选）：如果您想关闭此功能，可以解绑您的应用并关闭安全中心的Serverless资产。

前提条件

开通SAE服务。
已创建微服务应用且应用的单实例CPU资源必须大于等于1 Core。具体操作，请参见应用部署下面的文档。
重要
在邀约测试期间，如果您想使用此功能，请在钉钉群（群号：32874633）联系相关技术人员，为您的账号添加白名单。
已购买云安全中心。具体操作，请参见购买云安全中心。

1. 开通云安全中心的Serverless资产

重要

开通后，Serverless防护采用按量计费模式，按照0.00002元/核/秒以自然日为单位计费。具体信息，请参见计费概述。
如果您已经开通了云安全中心的Serverless资产，请跳过此步骤。

登录云安全中心控制台，在Serverless 资产页面，单击立即开通。
在弹出的正在开通云安全中心对话框，请仔细阅读云安全中心（按量付费）用户协议，然后单击立即开通。

2. 在云安全中心的Serverless资产中绑定应用

重要

如果您的应用是在添加白名单之前创建的，并且想绑定云安全中心的Serverless资产进行安全防护，需要重新部署应用，因为重新部署会在应用中安装安骑士Agent，只有在应用中安装了安骑士Agent，绑定Serverless资产后您的应用才能被云安全中心进行防护。应用重新部署的具体信息，请参见部署应用。
如果您的应用是在添加白名单之后创建的，则无需重新部署应用，因为在创建应用的过程中，已经默认安装了安骑士Agent。

为微服务应用绑定云安全中心的Serverless资产可以通过以下两种入口进行绑定：

入口一：从SAE控制台提供的入口进入云安全中心控制台进行绑定

登录SAE控制台，在概览页选择目标地域，可以查看未绑定云安全中心的微服务应用，然后单击自定义按需绑定进入云安全中心控制台进行应用绑定。
在弹出授权管理面板，单击选择资产的下拉框，选择阿里云，然后选择应用所在的地域，最后绑定目标应用。
通过以下两种方式验证是否绑定成功。
- 方式一：在Serverless 资产页面的搜索框输入应用名称，查看目标应用是否绑定成功。
- 方式二：登录SAE控制台，进入到目标应用的基本信息页面，查看是否被绑定成功。

入口二：直接进入云安全中心控制台进行绑定

登录云安全中心控制台，在Serverless 资产页面单击授权管理。
然后在弹出的授权面板，进行条件筛选，然后绑定应用。
1. 在选择资产区域，筛选云产品为SAE。
2. 在选择资产区域，单击下拉框选择地域，然后选择阿里云，最后选择目标地域。
3. 勾选目标应用左侧的复选框，然后单击确定。
通过以下两种方式验证是否绑定成功。
- 方式一：在Serverless 资产页面的搜索框输入应用名称，查看目标应用是否绑定成功。
- 方式二：登录SAE控制台，进入到目标应用的基本信息页面，查看是否被绑定成功。

3. 测试与告警处理

3.1 对应用进行模拟攻击

您可以通过对应用实例进行模拟攻击（例如：向目标应用注入挖矿程序）来测试是否能正常触发安全报警。

警告

此步骤是为了测试应用实例存在安全隐患时，是否能正常触发安全报警，切勿在生产环境中操作。

3.2 查看是否能正常触发安全告警

登录SAE控制台，进入到目标应用的基本信息页面，查看是否已经触发了报警机制。

3.3 告警处理

在目标应用的基本信息页面，单击已经触发的告警。
会跳转至云安全中心控制台的总览页面，然后在左侧导航栏单击安全告警处理。
在安全告警处理页面，单击告警操作列的处理。
说明
您也可以单击告警操作列的详情，查看告警向详情信息。
在弹出的面板中，选择处理方式，然后单击立即处理。
返回目标应用的基本信息页面，查看安全告警是否已经恢复。

4. 解除安全中心的Serverless资产绑定（可选）

4.1 解绑应用

登录云安全中心控制台，在Serverless 资产页面单击授权管理。
在授权管理面板，筛选条件，然后选择目标应用进行解绑。
1. 选择操作类型为解绑，然后在选择资产区域选择云产品为SAE。
2. 在选择资产区域，单击下拉框选择地域，然后选择阿里云，最后选择目标地域。
3. 选择目标应用，然后单击确定。

4.2 关闭云安全中心的Serverless资产

登录云安全中心控制台，在Serverless 资产页面单击停止使用。
在弹出的关闭Serverless 资产按量付费对话框，单击确定。