Topik ini menjelaskan sistem keamanan Container Service for Kubernetes (ACK) dari tiga perspektif: runtime security, trusted software supply chain, dan infrastructure security. Sistem ini mencakup fitur-fitur seperti inspeksi keamanan, manajemen kebijakan, pemantauan dan peringatan saat runtime, pemindaian gambar, penandatanganan gambar, delivery chain aplikasi cloud-native, pengaturan keamanan default, manajemen identitas, serta kontrol akses detail halus.
Runtime security
Inspeksi keamanan
Pengembang aplikasi harus mengikuti prinsip hak istimewa minimal saat mengonfigurasi template penyebaran aplikasi. Penyerang sering mengeksploitasi kemampuan hak istimewa yang tidak perlu dalam pod aplikasi untuk melancarkan serangan container escape. Oleh karena itu, ACK menyediakan fitur inspeksi konfigurasi keamanan untuk runtime aplikasi guna membantu Anda memeriksa risiko keamanan secara real-time pada konfigurasi aplikasi yang sedang berjalan.
Hasil inspeksi ditampilkan dalam laporan yang mencakup deskripsi item yang dipindai serta saran perbaikan. Anda juga dapat mengonfigurasi inspeksi berkala, dengan hasil pemindaian yang ditulis ke Logstore tertentu di Simple Log Service (SLS) untuk disimpan. Untuk informasi selengkapnya, lihat Gunakan inspeksi konfigurasi untuk memeriksa risiko keamanan pada workload kluster.
Manajemen kebijakan
ACK menggunakan admission controller Gatekeeper berbasis Open Policy Agent (OPA) untuk menyediakan fitur tambahan seperti statistik status governance kebijakan, pelaporan, dan pengambilan log. ACK juga dilengkapi pustaka bawaan yang kaya berisi aturan governance kebijakan guna mendukung berbagai skenario Kubernetes. Anda dapat mengonfigurasi aturan governance kebijakan secara visual di Konsol ACK, sehingga menurunkan hambatan penggunaan fitur governance kebijakan. Untuk informasi selengkapnya, lihat Konfigurasikan kebijakan keamanan kontainer (baru).
Fitur manajemen kebijakan ACK membantu engineer O&M keamanan perusahaan secara otomatis memblokir aplikasi berisiko yang tidak mematuhi kebijakan selama fase penyebaran, sehingga meningkatkan runtime security aplikasi dalam kluster serta mengurangi biaya komunikasi dan pembelajaran bagi tim pengembangan dan O&M aplikasi perusahaan.
Pemantauan dan peringatan saat runtime
Meskipun aplikasi terkontainerisasi telah berhasil diterapkan—melewati autentikasi dan admission control server API—kemampuan pemantauan dan peringatan keamanan tetap diperlukan selama runtime aplikasi, sesuai dengan prinsip keamanan percaya nol untuk aplikasi cloud-native. Oleh karena itu, ACK terintegrasi secara mendalam dengan kemampuan deteksi kerentanan dan pemrosesan peringatan dari Security Center. Administrator kluster dapat menyediakan kemampuan pemantauan dan peringatan selama runtime aplikasi. Perilaku pencegahan serangan utama di sisi kontainer meliputi:
Peringatan terkait image startup berbahaya.
Deteksi dan penghapusan virus serta program berbahaya.
Peringatan atas intrusi internal dalam kontainer.
Peringatan dini terhadap container escape dan operasi berisiko tinggi.
Anda dapat menerima peringatan waktu nyata di halaman pada halaman manajemen kluster. Tinjau dan tangani detail peringatan sesuai petunjuk. Untuk informasi selengkapnya, lihat Menggunakan pemantauan keamanan.
Manajemen kontainer sandbox
Dibandingkan dengan runtime Docker asli, kontainer sandbox menyediakan opsi runtime kontainer baru yang memungkinkan Anda menjalankan aplikasi dalam lingkungan sandbox mesin virtual ringan dengan kernel independen untuk memberikan isolasi keamanan yang lebih baik.
Kontainer sandbox sangat cocok untuk skenario seperti isolasi aplikasi tidak tepercaya, isolasi kesalahan, isolasi performa, dan isolasi workload antar beberapa pengguna. Meski meningkatkan keamanan, dampak performanya minimal dan menyediakan pengalaman pengguna yang sama seperti kontainer Docker untuk fitur-fitur seperti logging, pemantauan, dan elastisitas. Untuk informasi selengkapnya tentang manajemen kontainer sandbox, lihat Sandboxed Container.
ACK-TEE confidential computing
Untuk skenario aplikasi dengan persyaratan keamanan tinggi, seperti keuangan dan pemerintahan, ACK-TEE confidential computing menyediakan platform kontainer confidential computing all-in-one berbasis cloud-native yang menggunakan teknologi enkripsi perangkat keras. Platform ini membantu Anda melindungi keamanan, integritas, dan kerahasiaan data selama digunakan (komputasi), sekaligus menyederhanakan biaya pengembangan, pengiriman, dan manajemen aplikasi tepercaya atau rahasia.
Confidential computing memungkinkan Anda menempatkan data dan kode penting dalam Trusted Execution Environment (TEE) khusus tanpa mengeksposnya ke bagian lain sistem. Aplikasi lain, BIOS, OS, kernel, administrator, engineer O&M, penyedia cloud, atau bahkan perangkat keras selain CPU tidak dapat mengakses data pada platform confidential computing. Hal ini secara signifikan mengurangi risiko kebocoran data sensitif serta memberikan kontrol, transparansi, dan privasi yang lebih baik kepada Anda. Untuk informasi selengkapnya, lihat ACK-TEE confidential computing.
Trusted software supply chain
Pemindaian gambar
Container Registry mendukung pemindaian keamanan untuk semua gambar kontainer berbasis Linux guna mengidentifikasi kerentanan yang diketahui dalam gambar tersebut. Anda dapat memperoleh penilaian kerentanan dan saran perbaikan terkait, yang secara signifikan mengurangi risiko keamanan penggunaan kontainer. Container Registry juga terintegrasi dengan mesin pemindaian Security Center yang dapat mendeteksi kerentanan sistem, kerentanan aplikasi, dan sampel berbahaya dalam gambar.
Penandatanganan gambar
Dalam manajemen gambar kontainer, Anda dapat menggunakan mekanisme content trust untuk memastikan keamanan sumber gambar dan mencegah perubahan tidak sah. Pembuat gambar dapat menandatangani gambar tersebut secara digital, dengan tanda tangan digital disimpan di Container Registry. Verifikasi tanda tangan gambar kontainer sebelum penyebaran memastikan bahwa hanya gambar kontainer yang ditandatangani oleh otoritas tepercaya yang diterapkan dalam kluster, sehingga mengurangi risiko menjalankan kode tak terduga atau berbahaya di lingkungan Anda. Fitur ini juga menjamin keamanan dan keterlacakan gambar aplikasi dari supply chain perangkat lunak hingga proses penyebaran kontainer. Untuk informasi tentang cara mengonfigurasi dan menggunakan penandatanganan gambar serta verifikasi tanda tangan, lihat Gunakan komponen kritis-validation-hook untuk secara otomatis memverifikasi tanda tangan gambar kontainer.
Delivery chain aplikasi cloud-native
Dalam skenario yang memerlukan pengiriman kontainer aman dan efisien, Anda dapat menggunakan fitur cloud-native application delivery chain dari Container Registry. Anda dapat mengonfigurasi tugas-tugas seperti pembuatan gambar, pemindaian gambar, sinkronisasi gambar global, dan penyebaran gambar, serta menyesuaikan kebijakan keamanan detail halus untuk mencapai pengiriman aman yang dapat diamati dan dilacak secara end-to-end. Hal ini memastikan bahwa satu commit kode memicu distribusi aman dan penyebaran efisien di berbagai wilayah di seluruh dunia, sehingga meningkatkan proses pengiriman dari DevOps menjadi DevSecOps. Untuk informasi selengkapnya tentang delivery chain aplikasi cloud-native, lihat Buat delivery chain.
Infrastructure security
Keamanan default
Konfigurasi node dan komponen lapisan kontrol dalam kluster ACK Alibaba Cloud diperkuat berdasarkan fitur Alibaba Cloud Kubernetes security hardening. Semua komponen sistem dalam kluster juga diperkuat sesuai praktik terbaik keamanan kontainer, sehingga memastikan bahwa gambar komponen sistem tidak memiliki kerentanan CVE tingkat kritis.
Setiap kluster baru secara default diberikan security group yang sesuai, yang hanya mengizinkan permintaan inbound ICMP dari Internet. Secara default, Anda tidak dapat menghubungkan node kluster menggunakan SSH melalui Internet. Jika ingin mengonfigurasi koneksi SSH ke node kluster melalui Internet, lihat Hubungkan ke node master kluster khusus ACK menggunakan SSH.
Node kluster mengakses jaringan publik melalui NAT Gateway, yang semakin mengurangi risiko keamanan.
Pada node pekerja kluster terkelola, RAM role yang disambungkan ke node mengikuti prinsip hak istimewa minimal, dengan izin akses resource Alibaba Cloud yang telah diminimalkan. Untuk informasi selengkapnya, lihat [Perubahan Produk] Pengumuman tentang konvergensi izin RAM role untuk node kluster terkelola.
Manajemen identitas
Semua tautan komunikasi antar komponen dalam kluster ACK memerlukan validasi sertifikat TLS untuk memastikan transmisi data aman end-to-end. Lapisan kontrol ACK bertanggung jawab atas perpanjangan otomatis sertifikat komponen sistem. Pengguna RAM atau pengguna yang mengasumsikan RAM role dapat memperoleh kredensial akses Kubeconfig untuk menghubungkan ke API Server kluster tertentu melalui Konsol atau OpenAPI. Untuk informasi selengkapnya, lihat Dapatkan KubeConfig kluster. ACK memelihara informasi identitas yang dikeluarkan dalam kredensial akses. Jika Kubeconfig terdistribusi dikompromikan, Anda dapat segera mencabutnya. Untuk informasi selengkapnya, lihat Cabut kredensial KubeConfig kluster.
Saat membuat kluster, ACK mendukung fitur Service Account Token Volume Projection untuk meningkatkan keamanan ServiceAccount dalam aplikasi. Untuk informasi selengkapnya, lihat Terapkan service account token volume projection.
Kontrol akses detail halus
Kontrol akses untuk resource Kubernetes dalam kluster ACK diimplementasikan berdasarkan RBAC Kubernetes, yang merupakan langkah penguatan keamanan dasar dan wajib bagi aplikasi. Di halaman Authorization management di Konsol ACK, ACK menyediakan kemampuan otorisasi RBAC detail halus tingkat namespace. Fitur utamanya meliputi:
Sistem menyediakan templat izin RBAC yang telah ditentukan sebelumnya untuk role seperti administrator, engineer O&M, dan developer guna memenuhi berbagai kebutuhan izin perusahaan, sehingga menurunkan tingkat kesulitan penggunaan otorisasi RBAC.
Mendukung otorisasi batch untuk beberapa kluster dan beberapa pengguna RAM.
Mendukung otorisasi untuk pengguna yang mengasumsikan RAM role.
Mendukung pengikatan ClusterRole kustom dalam kluster ke pengguna.
Untuk informasi selengkapnya, lihat Konfigurasikan role RBAC untuk pengguna RAM atau RAM role.
ACK juga mendukung pemasangan komponen Gatekeeper melalui manajemen komponen untuk menyediakan kontrol akses detail halus berdasarkan mesin kebijakan OPA. Untuk informasi selengkapnya, lihat gatekeeper.
Audit
ACK terintegrasi secara mendalam dengan Simple Log Service dan mendukung fitur koleksi, pengambilan, serta visualisasi untuk berbagai jenis log audit, yang mencakup tiga kategori berikut:
Log audit Cluster API Server: Membantu Anda mencatat atau melacak operasi harian pengunjung kluster, yang merupakan bagian penting dari O&M keamanan kluster. Di halaman Cluster Auditing, Anda dapat melihat laporan audit lengkap serta mengonfigurasi peringatan real-time untuk operasi pada jenis resource tertentu berdasarkan isi log. Untuk informasi selengkapnya, lihat Gunakan fitur audit Cluster API Server.
Audit traffic Ingress: Membantu Anda memahami status keseluruhan Ingress kluster melalui berbagai laporan traffic visual, termasuk pemantauan traffic komprehensif terhadap PV dan UV akses layanan, rasio keberhasilan dan kegagalan, serta informasi latensi. Fitur ini juga mendukung penggunaan algoritma pembelajaran mesin yang disediakan oleh Simple Log Service untuk secara otomatis mendeteksi anomali dari metrik Ingress menggunakan berbagai algoritma analisis deret waktu, sehingga meningkatkan efisiensi deteksi masalah. Untuk informasi selengkapnya, lihat Kumpulkan dan analisis log akses NGINX Ingress.
Audit pemantauan event: Pemantauan berbasis event membantu Anda mendiagnosis anomali dan risiko keamanan kluster secara real-time dengan menangkap event. Untuk informasi selengkapnya, lihat Pemantauan event.
Enkripsi Secret saat idle
Secret Kubernetes native hanya dienkripsi Base64 saat disimpan dalam etcd. Untuk melindungi keamanan data sensitif dalam Secret saat idle, Anda dapat menggunakan kunci yang dibuat di Alibaba Cloud Key Management Service (KMS) untuk mengenkripsi Secret kluster Kubernetes dalam kluster ACK Pro, sehingga mencapai enkripsi saat idle untuk data aplikasi sensitif. Untuk informasi selengkapnya, lihat Gunakan Alibaba Cloud KMS untuk mengenkripsi Secret saat idle.