Keamanan host memastikan kontainer yang diterapkan pada host berjalan sesuai harapan. Disarankan untuk secara berkala melakukan pemeriksaan baseline guna memverifikasi bahwa kluster Anda mematuhi standar yang ditetapkan oleh Penguatan Keamanan Alibaba Cloud Linux (Penguatan Keamanan OS), menggunakan kemampuan keamanan dari Alibaba Cloud Security Center, membatasi akses ke node kluster berdasarkan prinsip hak istimewa minimal, serta mengikuti praktik terbaik keamanan Elastic Compute Service (ECS).
Secara berkala lakukan pemeriksaan baseline untuk memverifikasi bahwa kluster Anda mematuhi standar yang ditetapkan oleh Penguatan Keamanan OS dan Skema Perlindungan Multi-Level (MLPS) Penguatan Keamanan.
Penguatan Keamanan OSPenguatan Keamanan OS
Penguatan Keamanan OS mendefinisikan standar untuk meningkatkan keamanan OS host, termasuk Alibaba Cloud Linux, CentOS, dan Ubuntu. Alibaba Cloud Linux 3 adalah OS yang dirilis oleh Alibaba Cloud dan digunakan sebagai OS default oleh kluster ACK. Untuk informasi lebih lanjut, lihat Gunakan Alibaba Cloud Linux 3.
Penguatan Keamanan MLPS
Alibaba Cloud mendefinisikan standar MLPS untuk meningkatkan keamanan OS berdasarkan "GB/T 22239-2019 Teknologi Keamanan Informasi - Baseline untuk Perlindungan Tingkat Keamanan Siber". Fitur-fitur ini mencakup verifikasi identitas, kontrol akses, audit keamanan, pencegahan intrusi, dan pencegahan kode jahat. Untuk informasi lebih lanjut, lihat Penguatan Keamanan ACK berdasarkan MLPS.
Gunakan kemampuan keamanan yang disediakan oleh Alibaba Cloud Security Center
Fitur-fitur berikut dari Alibaba Cloud Security Center membantu memastikan konfigurasi default node dalam kluster ACK aman:
Patch kerentanan: Mendeteksi kerentanan umum dan memungkinkan Anda memperbaiki kerentanan dengan beberapa klik. Anda dapat melihat kerentanan yang terdeteksi atau menjalankan tugas pemindaian secara manual di halaman Kerentanan. Fitur ini membantu mengidentifikasi kerentanan dan risiko potensial dalam aset Anda.
Pemeriksaan baseline: Memeriksa konfigurasi OS server, database, perangkat lunak, dan kontainer, menghasilkan laporan, serta memberikan saran keamanan. Fitur ini membantu meningkatkan keamanan OS, mengurangi risiko intrusi, dan memenuhi persyaratan kepatuhan keamanan.
Pemeriksaan konfigurasi layanan cloud: Memeriksa konfigurasi layanan cloud berdasarkan verifikasi identitas dan izin, kontrol akses jaringan, keamanan data, audit log, pemantauan dan peringatan, serta keamanan dasar. Security Center juga memberikan saran untuk mengurangi risiko yang terdeteksi.
Pemindaian gambar kontainer: Mendeteksi dan mengidentifikasi kerentanan sistem tingkat tinggi, kerentanan aplikasi, sampel jahat, risiko konfigurasi, dan data sensitif dalam gambar kontainer. Security Center juga memberikan saran penanganan masalah serta menyederhanakan cara memperbaiki kerentanan untuk gambar kontainer.
Batasi akses ke node kluster berdasarkan prinsip hak istimewa minimal
Untuk mengakses node remote, Anda dapat masuk ke Konsol ACK dan menggunakan Workbench atau Virtual Network Computing (VNC) untuk mengakses node melalui jaringan internal. Dalam skenario ini, tidak perlu mengaitkan alamat IP elastis (EIP) dengan node. Jika Anda ingin mengakses node melalui Internet, tambahkan aturan ke grup keamanan kluster ACK untuk membatasi akses ke node. Untuk membatasi lebih lanjut, modifikasi grup keamanan untuk membatasi akses ke port node yang terpapar ke Internet.
Ikuti praktik terbaik keamanan ECS
Secara default, Instance ECS yang menjadi host node dalam kluster ACK menjalankan Alibaba Cloud Linux 3. Untuk informasi lebih lanjut tentang cara meningkatkan keamanan instance ECS, lihat Keamanan instance ECS.