ACK menyediakan penerapan MLPS 2.0 Level 3 berbasis Alibaba Cloud Linux. Anda dapat mengaktifkan fitur Penguatan Keamanan MLPS untuk kelompok node dan mengonfigurasi kebijakan pemeriksaan baseline. ACK secara otomatis mengonfigurasi item penguatan keamanan pada kluster serta menjalankan pemeriksaan baseline kepatuhan MLPS guna memastikan sistem operasi memenuhi persyaratan MLPS.
Persyaratan kepatuhan yang dipenuhi oleh penguatan keamanan MLPS
Sesuai dengan persyaratan sistem operasi dalam standar GB/T 22239-2019 Information Security Technology—Baseline for Classified Protection of Cybersecurity, ACK menerapkan MLPS 2.0 Level 3 berbasis Alibaba Cloud Linux. Anda dapat mengaktifkan fitur Penguatan Keamanan MLPS untuk memenuhi persyaratan kepatuhan berikut.
-
otentikasi identitas
-
Kontrol akses
-
audit keamanan
-
Pencegahan Intrusi
-
pencegahan malware
Aturan pemeriksaan untuk image Alibaba Cloud Linux MLPS 2.0 Level 3
Image Alibaba Cloud Linux MLPS 2.0 Level 3 telah diperkuat sesuai dengan GB/T 22239-2019. Tabel berikut merinci item pemeriksaan terkait.
|
Jenis item |
Nama item |
Deskripsi |
|
otentikasi identitas |
Identifikasi dan autentikasi pengguna yang login. Identitas pengguna harus unik. Kredensial autentikasi harus memenuhi persyaratan kompleksitas dan diubah secara berkala. |
|
|
Amankan koneksi manajemen remote untuk mencegah penyadapan informasi autentikasi melalui jaringan. |
|
|
|
Sediakan fitur penanganan kegagalan login yang mencakup terminasi session, batasan jumlah percobaan login gagal, dan logout otomatis setelah timeout. |
Periksa apakah kebijakan lockout saat login gagal telah dikonfigurasi, timeout session idle telah ditetapkan, dan pemutusan koneksi otomatis diaktifkan setelah timeout login. |
|
|
Kontrol akses |
Tetapkan akun dan izin untuk pengguna yang login. |
|
|
Ubah nama atau hapus akun default dan ganti password default-nya. |
|
|
|
Granularitas kontrol akses berada pada level pengguna atau proses untuk subjek, serta level file atau tabel database untuk objek. |
Periksa apakah izin file penting, seperti file konfigurasi kontrol akses dan file konfigurasi izin pengguna, memiliki granularitas pada level pengguna. |
|
|
Segera hapus atau nonaktifkan akun yang tidak digunakan lagi dan kadaluarsa. Hindari penggunaan akun bersama. |
|
|
|
Berikan kepada pengguna administratif izin minimum yang diperlukan dan pisahkan izin antar pengguna administratif. |
|
|
|
Entitas yang berwenang harus mengonfigurasi kebijakan kontrol akses. Kebijakan tersebut harus menentukan aturan akses subjek terhadap objek. |
|
|
|
audit keamanan |
Lindungi catatan audit dan backup secara berkala untuk mencegah penghapusan, modifikasi, atau penimpaan yang tidak disengaja. |
Periksa ukuran file auditd dan konfigurasi rotasi log, atau periksa apakah log telah dibackup ke server log. Jika remediasi otomatis gagal, Anda harus terlebih dahulu menyelesaikan item pemeriksaan untuk mengaktifkan fitur audit keamanan. |
|
Catatan audit harus mencakup tanggal dan waktu event, pengguna, jenis event, hasil event (sukses atau gagal), serta informasi terkait audit lainnya. |
Persyaratan ini terpenuhi jika fitur audit keamanan diaktifkan. |
|
|
Aktifkan fitur audit keamanan. Audit harus mencakup setiap pengguna dan mencatat perilaku pengguna penting serta event keamanan. |
|
|
|
Lindungi proses audit dari gangguan yang tidak diinginkan. |
Proses auditd adalah daemon untuk proses audit, dan proses syslogd adalah daemon untuk proses syslog. Periksa apakah proses sistem ini sedang berjalan. |
|
|
Pencegahan Intrusi |
Temukan kerentanan yang diketahui dan segera perbaiki setelah pengujian dan evaluasi menyeluruh. |
Fitur deteksi dan remediasi kerentanan Pusat Keamanan memenuhi persyaratan ini. Jika Anda menggunakan metode lain, Anda dapat memberikan bukti sendiri dan mengabaikan item ini. |
|
Ikuti prinsip instalasi minimal dan instal hanya komponen serta aplikasi yang diperlukan. |
|
|
|
Nonaktifkan layanan sistem, share default, dan port berisiko tinggi yang tidak diperlukan. |
|
|
|
Deteksi intrusi pada node penting dan berikan peringatan untuk event intrusi kritis. |
Fitur pendeteksian intrusi dan peringatan Pusat Keamanan dapat memenuhi persyaratan ini. Jika Anda menggunakan metode deteksi dan peringatan lain, Anda dapat memberikan bukti sendiri dan mengabaikan item ini. |
|
|
Batasi terminal manajemen remote berdasarkan jenis koneksi atau rentang alamat jaringan. |
|
|
|
pencegahan malware |
|
Periksa apakah Pusat Keamanan telah diinstal dan digunakan. Jika Anda telah menginstal perangkat lunak anti-malware lain, Anda dapat memberikan bukti sendiri dan mengabaikan item ini. |
Gunakan Alibaba Cloud Linux MLPS 2.0 Level 3
Saat Anda membuat kluster ACK, Anda dapat mengaktifkan MLPS Security Hardening. ACK secara otomatis mengonfigurasi item penguatan keamanan untuk kluster guna memenuhi persyaratan sistem operasi yang ditentukan dalam GB/T 22239-2019.
-
Untuk memenuhi persyaratan MLPS 2.0 Level 3, ACK membuat tiga pengguna biasa (ack_admin, ack_audit, dan ack_security) secara default dalam Alibaba Cloud Linux yang telah diperkuat.
-
Untuk memenuhi persyaratan MLPS 2.0 Level 3, Alibaba Cloud Linux yang telah diperkuat melarang login root melalui SSH. Anda dapat login ke Konsol ECS untuk menghubungkan ke instans menggunakan VNC dan membuat pengguna biasa yang dapat menggunakan SSH.
Konfigurasikan kebijakan pemeriksaan baseline
Bagian ini menjelaskan cara mengonfigurasi dan menjalankan pemeriksaan baseline yang sesuai dengan MLPS pada Instance ECS, dengan contoh Alibaba Cloud Linux 3.
Prasyarat
Anda harus memiliki edisi Pusat Keamanan yang mendukung pemeriksaan baseline. Untuk informasi lebih lanjut, lihat Beli Pusat Keamanan. Fitur pemeriksaan baseline bervariasi tergantung edisi Pusat Keamanan yang Anda gunakan. Untuk informasi lebih lanjut, lihat Fitur.
Prosedur
-
Login ke Konsol Pusat Keamanan.
-
Di pojok kanan atas halaman , klik Policy.
-
Pada panel Policy, klik tab Baseline Check Policy untuk mengonfigurasi kebijakan pemeriksaan baseline yang sesuai.
-
Tetapkan tingkat cakupan pemeriksaan baseline.
Anda dapat memilih satu atau beberapa level risiko: High, medium, dan Low. Konfigurasi ini berlaku untuk semua kebijakan pemeriksaan.
-
Klik Create Standard Policy. Pada panel Baseline Check Policy, lengkapi konfigurasi dan klik OK. Bagian berikut hanya menjelaskan parameter utama. Untuk informasi lebih lanjut, lihat Baseline check.
-
Policy Name: Masukkan nama kebijakan, misalnya
Alibaba Cloud Linux 3 MLPS Compliance Check. Pilih Detection Cycle dan Check Start Time. -
Baseline Name: Cari dan pilih
MLPS Level 3 - Alibaba Cloud Linux 3 Compliance Baseline. -
Scan Method: Pilih metode pemindaian untuk server. Nilai yang valid:
-
Group: Memindai server berdasarkan grup aset. Anda hanya dapat memilih semua server dalam satu atau beberapa grup.
-
ECS: Memindai server berdasarkan Instance ECS. Anda dapat memilih sebagian atau semua server dari grup yang berbeda.
-
-
Effective Server: Pilih grup aset tempat Anda ingin menerapkan kebijakan. Server yang baru dibeli akan ditambahkan ke grup Ungrouped. Untuk menerapkan kebijakan ini pada aset baru, pilih Ungrouped.
-
Setelah mengonfigurasi kebijakan pemeriksaan, Anda juga dapat mengklik Edit atau Delete pada kolom Actions untuk kebijakan tersebut guna memodifikasi atau menghapusnya sesuai kebutuhan bisnis Anda.
CatatanKebijakan yang dihapus tidak dapat dipulihkan. Anda tidak dapat menghapus kebijakan default atau mengubah item pemeriksaan baseline-nya. Anda hanya dapat mengubah waktu mulai pemeriksaan dan server tempat kebijakan default diterapkan.
-
-
Jalankan kebijakan pemeriksaan baseline.
Pada halaman , klik tab System Baseline Risks. Pada tab Baseline Check Policy, klik ikon
untuk memperluas kebijakan, pilih kebijakan pemeriksaan baseline yang sesuai dengan MLPS yang telah dikonfigurasi, lalu klik Check Now pada bagian Check Item Scan di sebelah kanan.Setelah menjalankan kebijakan pemeriksaan, tombol Check Now akan dinonaktifkan hingga pemindaian selesai. Setelah pemeriksaan baseline selesai, buka tab untuk melihat item pemeriksaan yang gagal beserta detailnya, dan segera perbaiki item pemeriksaan yang gagal tersebut. Untuk informasi lebih lanjut, lihat Lihat dan tangani risiko baseline.