Topik ini menjelaskan sistem keamanan Alibaba Cloud Container Service (ACS) dari tiga dimensi: keamanan waktu proses, rantai pasok perangkat lunak tepercaya, dan keamanan infrastruktur. Sistem keamanan mencakup pemeriksaan keamanan, manajemen kebijakan, pemantauan waktu proses dan peringatan, pemindaian gambar, penandatanganan gambar, rantai pengiriman aplikasi cloud-native, keamanan default, manajemen identitas, serta kontrol akses terperinci.
Keamanan waktu proses
Manajemen Sandbox Aman: Sandbox aman menyediakan opsi baru untuk runtime kontainer yang memungkinkan aplikasi Anda berjalan di lingkungan sandbox mesin virtual ringan. Lingkungan ini memiliki kernel independen dan memberikan isolasi keamanan yang lebih baik. Sandbox aman sangat cocok untuk skenario seperti isolasi aplikasi tidak tepercaya, isolasi gangguan, isolasi kinerja, dan isolasi beban multi-pengguna. Dampaknya minimal terhadap kinerja, sambil menawarkan pengalaman pengguna yang sama dengan kontainer Docker, seperti logging, pemantauan, dan elastisitas.
Rantai pasok perangkat lunak tepercaya
Pemindaian Gambar
Container Registry mendukung pemindaian keamanan untuk semua gambar kontainer berbasis Linux, yang dapat mengidentifikasi kerentanan yang diketahui dalam gambar tersebut. Anda dapat menerima penilaian kerentanan yang sesuai dan saran perbaikan untuk mengurangi risiko keamanan. Container Registry juga terintegrasi dengan mesin pemindaian keamanan cloud, mendukung identifikasi kerentanan sistem, kerentanan aplikasi, serta sampel jahat dalam gambar.
Penandatanganan Gambar
Dalam manajemen gambar kontainer, keamanan dan integritas sumber gambar dapat dijamin melalui mekanisme kepercayaan konten. Pembuat gambar dapat menerapkan tanda tangan digital pada gambar, yang disimpan di Container Registry. Dengan memverifikasi tanda tangan gambar kontainer sebelum penyebaran, Anda dapat memastikan bahwa hanya gambar kontainer tepercaya yang diterapkan di kluster. Ini mengurangi risiko menjalankan kode yang tidak diharapkan atau jahat di lingkungan Anda, serta memastikan keamanan dan jejak aplikasi gambar selama proses penyebaran.
Rantai Pengiriman Aplikasi Cloud-Native
Dalam skenario pengiriman kontainer yang aman dan efisien, Anda dapat menggunakan rantai pengiriman aplikasi cloud-native dari Container Registry untuk mengonfigurasi pembuatan gambar, pemindaian gambar, sinkronisasi gambar global, penyebaran gambar, serta menyesuaikan kebijakan keamanan terperinci guna mencapai pengiriman aman yang sepenuhnya teramati dan dilacak. Ini memastikan bahwa kode dikirimkan sekali dan didistribusikan secara aman serta diterapkan secara efisien di beberapa wilayah global, meningkatkan pipa pengiriman DevOps menjadi DevSecOps. Untuk informasi lebih lanjut, lihat Buat Rantai Pengiriman.
Keamanan infrastruktur
Keamanan Default
Keamanan node kluster ACS dan komponen ControlPlane ditingkatkan berdasarkan CIS Kubernetes Benchmarks. Semua komponen sistem dalam kluster diperkuat sesuai praktik terbaik keamanan kontainer, memastikan bahwa gambar komponen sistem tidak memiliki kerentanan Common Vulnerabilities and Exposures (CVE) yang kritis.
Prinsip hak istimewa minimal diikuti pada node Worker kluster yang dikelola. Pengguna Resource Access Management (RAM) diberikan izin minimal untuk mengakses sumber daya cloud lainnya. Untuk informasi lebih lanjut, lihat Praktik Terbaik Otorisasi ACS.
Manajemen Identitas
Semua tautan komunikasi antara komponen dalam kluster ACS memerlukan verifikasi sertifikat TLS untuk memastikan keamanan transmisi data di seluruh tautan. ACS bertanggung jawab atas pembaruan otomatis sertifikat untuk komponen sistem kluster. Pengguna RAM atau peran dapat memperoleh file kubeconfig untuk terhubung ke API Server kluster tertentu melalui konsol atau OpenAPI. Untuk operasi spesifik, lihat Dapatkan Cluster KubeConfig dan Sambungkan ke Kluster Menggunakan kubectl. ACS bertanggung jawab memelihara informasi identitas yang dikeluarkan dalam kredensial akses, serta dapat mencabut kredensial. Untuk operasi spesifik, lihat Cabut File Kubeconfig Kluster.
Kontrol Akses Terperinci
Kontrol akses untuk sumber daya Kubernetes dalam kluster ACS diimplementasikan berdasarkan Role-Based Access Control (RBAC), yang merupakan langkah pengerasan dasar dan penting untuk melindungi keamanan aplikasi. ACS menyediakan kemampuan otorisasi RBAC terperinci untuk namespace di halaman Authorization management di konsol, mencakup poin-poin berikut:
Template Izin RBAC: Sistem menyediakan template izin RBAC yang sesuai dengan administrator, operasi, dan pengembang berdasarkan persyaratan izin yang berbeda.
Otorisasi Massal: Otorisasi massal untuk beberapa kluster dan beberapa sub-akun didukung.
Peran RAM: Otorisasi untuk peran RAM didukung.
ClusterRoles Kustom: Mengikat pengguna ke ClusterRoles kustom dalam kluster didukung. Untuk informasi lebih lanjut, lihat Konfigurasikan Izin RBAC untuk Pengguna RAM atau Peran RAM.
Enkripsi Model Rahasia
Model Rahasia asli K8s hanya dikodekan dengan Base64 saat data sensitif disimpan di etcd (Distributed Consistent Key-Value Store). Namun, dalam kluster ACS, Model Rahasia K8s dapat dienkripsi menggunakan kunci yang dibuat di Alibaba Cloud Key Management Service (KMS) untuk mencapai enkripsi data aplikasi sensitif di disk.