All Products
Search
Document Center

Container Service for Kubernetes:Penguatan Keamanan MLPS untuk ACK

Last Updated:Jun 22, 2026

ACK menyediakan penerapan MLPS 2.0 Level 3 berbasis Alibaba Cloud Linux. Anda dapat mengaktifkan fitur Penguatan Keamanan MLPS untuk kelompok node dan mengonfigurasi kebijakan pemeriksaan baseline. ACK secara otomatis mengonfigurasi item penguatan keamanan pada kluster serta menjalankan pemeriksaan baseline kepatuhan MLPS guna memastikan sistem operasi memenuhi persyaratan MLPS.

Persyaratan kepatuhan yang dipenuhi oleh penguatan keamanan MLPS

Sesuai dengan persyaratan sistem operasi dalam standar GB/T 22239-2019 Information Security Technology—Baseline for Classified Protection of Cybersecurity, ACK menerapkan MLPS 2.0 Level 3 berbasis Alibaba Cloud Linux. Anda dapat mengaktifkan fitur Penguatan Keamanan MLPS untuk memenuhi persyaratan kepatuhan berikut.

  • otentikasi identitas

  • Kontrol akses

  • audit keamanan

  • Pencegahan Intrusi

  • pencegahan malware

Aturan pemeriksaan untuk image Alibaba Cloud Linux MLPS 2.0 Level 3

Image Alibaba Cloud Linux MLPS 2.0 Level 3 telah diperkuat sesuai dengan GB/T 22239-2019. Tabel berikut merinci item pemeriksaan terkait.

Jenis item

Nama item

Deskripsi

otentikasi identitas

Identifikasi dan autentikasi pengguna yang login. Identitas pengguna harus unik. Kredensial autentikasi harus memenuhi persyaratan kompleksitas dan diubah secara berkala.

  • Periksa akun dengan password kosong.

  • Pastikan User ID (UID) bersifat unik.

  • Tetapkan persyaratan kompleksitas password.

  • Ubah password secara berkala.

  • Tetapkan interval waktu minimum untuk perubahan password guna mencegah pengguna tidak sah mengubah password beberapa kali dalam periode singkat.

  • Batasi penggunaan ulang password.

  • Pastikan hanya akun root yang memiliki UID 0.

Amankan koneksi manajemen remote untuk mencegah penyadapan informasi autentikasi melalui jaringan.

  • Periksa apakah SSHD dikonfigurasi untuk menerapkan protokol SSHv2.

  • Nonaktifkan layanan koneksi remote yang tidak aman, seperti Telnet.

Sediakan fitur penanganan kegagalan login yang mencakup terminasi session, batasan jumlah percobaan login gagal, dan logout otomatis setelah timeout.

Periksa apakah kebijakan lockout saat login gagal telah dikonfigurasi, timeout session idle telah ditetapkan, dan pemutusan koneksi otomatis diaktifkan setelah timeout login.

Kontrol akses

Tetapkan akun dan izin untuk pengguna yang login.

  • Selain administrator sistem, tetapkan akun untuk pengguna biasa, auditor, dan personel keamanan.

  • Pastikan umask pengguna diatur ke 027 atau lebih ketat.

  • Pastikan izin direktori home setiap pengguna diatur ke 750 atau lebih ketat.

Ubah nama atau hapus akun default dan ganti password default-nya.

  • Jangan hapus akun root pada Linux. Sebagai gantinya, periksa apakah login SSH langsung sebagai pengguna root dinonaktifkan.

  • Nonaktifkan login (non-login) untuk akun sistem dan database default selain root.

  • Pastikan tidak ada password lemah dan pemeriksaan baseline password lemah terkait telah lulus.

Granularitas kontrol akses berada pada level pengguna atau proses untuk subjek, serta level file atau tabel database untuk objek.

Periksa apakah izin file penting, seperti file konfigurasi kontrol akses dan file konfigurasi izin pengguna, memiliki granularitas pada level pengguna.

Segera hapus atau nonaktifkan akun yang tidak digunakan lagi dan kadaluarsa. Hindari penggunaan akun bersama.

  • Nonaktifkan login (non-login) untuk akun sistem dan database default selain root.

  • Kunci atau hapus akun shutdown dan halt.

Berikan kepada pengguna administratif izin minimum yang diperlukan dan pisahkan izin antar pengguna administratif.

  • Pastikan akses ke perintah su dibatasi.

  • Periksa file /etc/sudoers untuk pengguna yang memiliki izin sudo. Konfigurasikan izin sudo untuk pengguna non-root sesuai kebutuhan. Jangan berikan izin ALL kepada pengguna mana pun kecuali administrator.

Entitas yang berwenang harus mengonfigurasi kebijakan kontrol akses. Kebijakan tersebut harus menentukan aturan akses subjek terhadap objek.

  • Pastikan izin direktori home setiap pengguna diatur ke 750 atau lebih ketat.

  • Setel ulang kepemilikan file atau folder yatim kepada pengguna aktif pada sistem sesuai kebutuhan.

  • Tetapkan izin dan kepemilikan file kunci publik host SSH.

  • Tetapkan izin dan kepemilikan file kunci privat host SSH.

audit keamanan

Lindungi catatan audit dan backup secara berkala untuk mencegah penghapusan, modifikasi, atau penimpaan yang tidak disengaja.

Periksa ukuran file auditd dan konfigurasi rotasi log, atau periksa apakah log telah dibackup ke server log. Jika remediasi otomatis gagal, Anda harus terlebih dahulu menyelesaikan item pemeriksaan untuk mengaktifkan fitur audit keamanan.

Catatan audit harus mencakup tanggal dan waktu event, pengguna, jenis event, hasil event (sukses atau gagal), serta informasi terkait audit lainnya.

Persyaratan ini terpenuhi jika fitur audit keamanan diaktifkan.

Aktifkan fitur audit keamanan. Audit harus mencakup setiap pengguna dan mencatat perilaku pengguna penting serta event keamanan.

  • Aktifkan layanan auditd.

  • Aktifkan layanan rsyslog atau syslog-ng.

  • Pastikan event penghapusan file oleh pengguna dikumpulkan.

  • Pastikan perubahan pada cakupan administrasi sistem (sudoers) dikumpulkan.

  • Pastikan event terkait modifikasi informasi pengguna atau grup dikumpulkan. Jika Anda menggunakan layanan koleksi log pihak ketiga, Anda dapat memberikan bukti sendiri dan mengabaikan item ini.

Lindungi proses audit dari gangguan yang tidak diinginkan.

Proses auditd adalah daemon untuk proses audit, dan proses syslogd adalah daemon untuk proses syslog. Periksa apakah proses sistem ini sedang berjalan.

Pencegahan Intrusi

Temukan kerentanan yang diketahui dan segera perbaiki setelah pengujian dan evaluasi menyeluruh.

Fitur deteksi dan remediasi kerentanan Pusat Keamanan memenuhi persyaratan ini. Jika Anda menggunakan metode lain, Anda dapat memberikan bukti sendiri dan mengabaikan item ini.

Ikuti prinsip instalasi minimal dan instal hanya komponen serta aplikasi yang diperlukan.

  • Untuk Alibaba Cloud Linux 3: Hapus perangkat lunak seperti avahi-daemon, Bluetooth, firstboot, Kdump, wdaemon, wpa_supplicant, dan ypbind.

  • Untuk Alibaba Cloud Linux 2: Hapus perangkat lunak seperti NetworkManager, avahi-daemon, Bluetooth, firstboot, Kdump, wdaemon, wpa_supplicant, dan ypbind.

Nonaktifkan layanan sistem, share default, dan port berisiko tinggi yang tidak diperlukan.

  • Nonaktifkan layanan sistem dan layanan berbagi file yang tidak diperlukan.

  • Tutup port berisiko tinggi seperti 21, 23, 25, 111, 427, dan 631.

  • Jika Anda menggunakan kebijakan kontrol akses ketat untuk mengamankan layanan dan port ini karena kebutuhan khusus, Anda dapat memberikan bukti sendiri dan mengabaikan item ini.

Deteksi intrusi pada node penting dan berikan peringatan untuk event intrusi kritis.

Fitur pendeteksian intrusi dan peringatan Pusat Keamanan dapat memenuhi persyaratan ini. Jika Anda menggunakan metode deteksi dan peringatan lain, Anda dapat memberikan bukti sendiri dan mengabaikan item ini.

Batasi terminal manajemen remote berdasarkan jenis koneksi atau rentang alamat jaringan.

  • Untuk Alibaba Cloud Linux 3:

    1. Berdasarkan terminal yang ingin Anda izinkan terhubung, edit file /etc/ssh/sshd_config.

    2. Tetapkan parameter AllowUsers <user>@<host> sesuai kebutuhan.

      Catatan

      <user> menentukan username yang diizinkan untuk login ke server. <host> menentukan alamat IP server. Ganti sesuai kebutuhan.

    3. Setelah mengedit, tekan Esc, masukkan :wq, lalu tekan Enter untuk menyimpan dan keluar.

    4. Jalankan perintah sudo systemctl restart sshd untuk restart layanan sshd.

  • Untuk Alibaba Cloud Linux 2:

    • File /etc/hosts.allow menentukan alamat IP yang diizinkan terhubung ke host. File ini tidak boleh diatur ke ALL:ALL.

    • File /etc/hosts.deny menentukan alamat IP yang dilarang terhubung ke host. File ini harus diatur ke ALL:ALL untuk menolak semua koneksi secara default.

    File-file ini bekerja bersama, dan aturan /etc/hosts.allow diproses terlebih dahulu. Jika Anda menerapkan pembatasan ini dengan metode lain, seperti grup keamanan atau firewall, Anda dapat memberikan bukti sendiri dan mengabaikan item ini.

pencegahan malware

  • Untuk Alibaba Cloud Linux 3: Gunakan langkah teknis untuk melindungi dari serangan malware, atau gunakan mekanisme verifikasi tepercaya berbasis imunitas aktif untuk segera mengidentifikasi dan memblokir intrusi serta perilaku virus.

  • Untuk Alibaba Cloud Linux 2: Instal perangkat lunak anti-malware dan segera perbarui versi perangkat lunak serta basis data signature malware.

Periksa apakah Pusat Keamanan telah diinstal dan digunakan. Jika Anda telah menginstal perangkat lunak anti-malware lain, Anda dapat memberikan bukti sendiri dan mengabaikan item ini.

Gunakan Alibaba Cloud Linux MLPS 2.0 Level 3

Saat Anda membuat kluster ACK, Anda dapat mengaktifkan MLPS Security Hardening. ACK secara otomatis mengonfigurasi item penguatan keamanan untuk kluster guna memenuhi persyaratan sistem operasi yang ditentukan dalam GB/T 22239-2019.

Penting
  • Untuk memenuhi persyaratan MLPS 2.0 Level 3, ACK membuat tiga pengguna biasa (ack_admin, ack_audit, dan ack_security) secara default dalam Alibaba Cloud Linux yang telah diperkuat.

  • Untuk memenuhi persyaratan MLPS 2.0 Level 3, Alibaba Cloud Linux yang telah diperkuat melarang login root melalui SSH. Anda dapat login ke Konsol ECS untuk menghubungkan ke instans menggunakan VNC dan membuat pengguna biasa yang dapat menggunakan SSH.

Konfigurasikan kebijakan pemeriksaan baseline

Bagian ini menjelaskan cara mengonfigurasi dan menjalankan pemeriksaan baseline yang sesuai dengan MLPS pada Instance ECS, dengan contoh Alibaba Cloud Linux 3.

Prasyarat

Anda harus memiliki edisi Pusat Keamanan yang mendukung pemeriksaan baseline. Untuk informasi lebih lanjut, lihat Beli Pusat Keamanan. Fitur pemeriksaan baseline bervariasi tergantung edisi Pusat Keamanan yang Anda gunakan. Untuk informasi lebih lanjut, lihat Fitur.

Prosedur

  1. Login ke Konsol Pusat Keamanan.

  2. Di pojok kanan atas halaman Risk Governance > CSPM, klik Policy.

  3. Pada panel Policy, klik tab Baseline Check Policy untuk mengonfigurasi kebijakan pemeriksaan baseline yang sesuai.

    • Tetapkan tingkat cakupan pemeriksaan baseline.

      Anda dapat memilih satu atau beberapa level risiko: High, medium, dan Low. Konfigurasi ini berlaku untuk semua kebijakan pemeriksaan.

    • Klik Create Standard Policy. Pada panel Baseline Check Policy, lengkapi konfigurasi dan klik OK. Bagian berikut hanya menjelaskan parameter utama. Untuk informasi lebih lanjut, lihat Baseline check.

      • Policy Name: Masukkan nama kebijakan, misalnya Alibaba Cloud Linux 3 MLPS Compliance Check. Pilih Detection Cycle dan Check Start Time.

      • Baseline Name: Cari dan pilih MLPS Level 3 - Alibaba Cloud Linux 3 Compliance Baseline.

      • Scan Method: Pilih metode pemindaian untuk server. Nilai yang valid:

        • Group: Memindai server berdasarkan grup aset. Anda hanya dapat memilih semua server dalam satu atau beberapa grup.

        • ECS: Memindai server berdasarkan Instance ECS. Anda dapat memilih sebagian atau semua server dari grup yang berbeda.

      • Effective Server: Pilih grup aset tempat Anda ingin menerapkan kebijakan. Server yang baru dibeli akan ditambahkan ke grup Ungrouped. Untuk menerapkan kebijakan ini pada aset baru, pilih Ungrouped.

    Setelah mengonfigurasi kebijakan pemeriksaan, Anda juga dapat mengklik Edit atau Delete pada kolom Actions untuk kebijakan tersebut guna memodifikasi atau menghapusnya sesuai kebutuhan bisnis Anda.

    Catatan

    Kebijakan yang dihapus tidak dapat dipulihkan. Anda tidak dapat menghapus kebijakan default atau mengubah item pemeriksaan baseline-nya. Anda hanya dapat mengubah waktu mulai pemeriksaan dan server tempat kebijakan default diterapkan.

  4. Jalankan kebijakan pemeriksaan baseline.

    Pada halaman Risk Governance > CSPM, klik tab System Baseline Risks. Pada tab Baseline Check Policy, klik ikon 三角 untuk memperluas kebijakan, pilih kebijakan pemeriksaan baseline yang sesuai dengan MLPS yang telah dikonfigurasi, lalu klik Check Now pada bagian Check Item Scan di sebelah kanan.

    Setelah menjalankan kebijakan pemeriksaan, tombol Check Now akan dinonaktifkan hingga pemindaian selesai. Setelah pemeriksaan baseline selesai, buka tab System Baseline Risks > Risk Level untuk melihat item pemeriksaan yang gagal beserta detailnya, dan segera perbaiki item pemeriksaan yang gagal tersebut. Untuk informasi lebih lanjut, lihat Lihat dan tangani risiko baseline.