Keamanan aplikasi mencakup serangkaian langkah dan teknologi untuk melindungi aplikasi dari ancaman serta serangan saat diterapkan dan dijalankan. Keamanan ini dirancang untuk melindungi perangkat lunak dan data dari akses tidak sah, manipulasi, atau kerusakan guna memastikan kelangsungan bisnis dan keamanan informasi pengguna. Topik ini menjelaskan kemampuan keamanan aplikasi yang didukung oleh instance Elastic Compute Service (ECS), termasuk perlindungan keamanan host, manajemen kerentanan, perlindungan jaringan untuk aplikasi web, dan perlindungan lalu lintas untuk aplikasi web.
Sebagian besar bisnis bergantung pada daya komputasi yang disediakan oleh berbagai host, yang menjadi pusat layanan cloud seperti aplikasi web, database, dan Object Storage Service (OSS) konvergen. Memastikan keamanan host merupakan bagian penting dalam melindungi aplikasi di cloud. Layanan keamanan host yang efektif memberikan kemampuan antivirus dan deteksi ancaman untuk melawan virus serta serangan hacker.
Kerentanan dapat dimanfaatkan oleh penyerang. Anda dapat menggunakan fitur manajemen kerentanan dari Security Center untuk mendeteksi dan memperbaiki kerentanan pada instance ECS secepat mungkin. Selain itu, fitur manajemen patch dari Operation Orchestration Service (OOS) memungkinkan pembaruan batch serta pemindaian dan instalasi otomatis patch yang hilang pada instance ECS.
Perlindungan keamanan jaringan untuk aplikasi web
Mengonfigurasi Cloud Firewall atau grup keamanan membatasi serangan pada ruang lingkup terbatas jika terjadi intrusi tanpa memengaruhi keseluruhan bisnis.
Perlindungan keamanan lalu lintas untuk aplikasi web
Serangan terhadap aplikasi web tetap menjadi salah satu sumber utama ancaman keamanan di internet. Selain halaman web dan aplikasi tradisional, API dan program mini juga menjadi hotspot baru dengan trafik tinggi. Serangan keamanan semakin beragam seiring bertambahnya jumlah hotspot dan metode panggilan yang lebih nyaman digunakan. Gunakan Web Application Firewall (WAF) dan layanan Anti-DDoS untuk melindungi dari serangan lalu lintas atau serangan kerentanan jaringan serta mencegah gangguan bisnis.
Anda dapat menggunakan peristiwa dalam ActionTrail untuk melakukan analisis risiko, anomali, dan perilaku serta menelusuri kembali rantai operasi keamanan aplikasi untuk memeriksa kelengkapannya dan mengidentifikasi cacat. Kemudian, buat penyesuaian untuk memastikan keamanan di cloud.
Perlindungan keamanan host
Pengenalan fitur
ECS dapat menggunakan fitur keamanan yang disediakan oleh Security Center Basic untuk melindungi instance ECS (host). Security Center Basic menyediakan fitur keamanan dasar seperti deteksi kerentanan, deteksi login tidak biasa, deteksi kebocoran pasangan AccessKey, dan pemeriksaan kepatuhan. Untuk informasi lebih lanjut, lihat Pengenalan Security Center Basic.
CatatanUntuk menggunakan fitur keamanan tambahan seperti perbaikan kerentanan, anti-ransomware, dan pencegahan perubahan situs web, beli Security Center. Untuk informasi lebih lanjut, lihat Beli Security Center.
Metode konfigurasi
Konsol ECS: Saat membuat instance ECS di Konsol ECS, pilih opsi Free Security Hardening untuk mengaktifkan penguatan keamanan. Instance ECS yang dibuat akan dilindungi oleh fitur keamanan Security Center seperti deteksi kerentanan dan pemeriksaan kepatuhan.
CatatanAnda juga dapat memanggil operasi RunInstances dengan
SecurityEnhancementStrategydiatur ke Aktif untuk membuat instance ECS dengan penguatan keamanan yang diaktifkan.Konsol Security Center: Instal agen Security Center pada instance ECS yang ada untuk menggunakan fitur keamanan Security Center. Untuk informasi lebih lanjut, lihat Instal agen Security Center.
Periksa status keamanan instance ECS
Konsol ECS: Di halaman Instance, gerakkan pointer ke ikon
di kolom Pemantauan yang sesuai dengan instance ECS untuk memeriksa status keamanannya. Anda dapat mengklik Process Now untuk melihat detail peringatan tugas yang belum ditangani. Jika ada risiko tingkat tinggi, kami sarankan Anda menangani risiko tersebut sesuai petunjuk untuk mencegah dampak pada bisnis Anda.
Konsol Security Center: Di panel navigasi kiri Konsol Security Center, pilih . Temukan instance ECS yang ingin Anda kelola dan lihat detail keamanannya. Untuk informasi lebih lanjut, lihat Kelola server.
Manajemen kerentanan
Pindai dan tangani kerentanan
Pengenalan fitur
Security Center menyediakan fitur manajemen kerentanan yang mendeteksi kerentanan keamanan dalam sistem operasi, sistem manajemen konten web, dan aplikasi, menilai tingkat keparahannya, serta memprioritaskan kerentanan berdasarkan tingkat keparahan. Fitur ini memungkinkan Anda memperbaiki kerentanan tertentu hanya dengan beberapa klik dan mengurangi permukaan serangan dalam sistem.
Secara default, Security Center Basic secara otomatis memindai kerentanan perangkat lunak Linux, sistem Windows, dan Web-CMS setiap dua hari. Anda juga dapat menggunakan fitur pemindaian cepat yang disediakan oleh Security Center Basic untuk memindai kerentanan secara manual. Edisi berbayar Security Center tidak hanya memindai kerentanan perangkat lunak Linux, sistem Windows, dan Web-CMS, tetapi juga secara otomatis memperbarui informasi kerentanan dan memperbaikinya. Untuk informasi lebih lanjut, lihat Ikhtisar.
Metode konfigurasi
Untuk melindungi instance ECS dari virus, kami sarankan Anda memindai kerentanan secara berkala dan memperbaiki kerentanan yang terdeteksi. Untuk informasi lebih lanjut, lihat Pindai kerentanan dan Lihat dan tangani kerentanan.
Gunakan baseline patch untuk memperbarui patch keamanan secara otomatis
Pengenalan fitur
Fitur manajemen patch dari Alibaba Cloud OOS memungkinkan Anda menggunakan pembaruan terkait keamanan atau lainnya untuk menginstal patch pada instance ECS secara otomatis. Anda dapat menggunakan fitur ini untuk memperbarui versi minor instance Linux ECS, menginstal paket layanan pada instance Windows ECS, dan menginstal patch pada beberapa instance ECS yang menjalankan jenis sistem operasi yang sama sekaligus. Anda juga dapat memindai instance ECS untuk patch yang hilang dan menginstalnya secara otomatis. Untuk informasi lebih lanjut, lihat Ikhtisar.
Metode konfigurasi
Untuk memastikan keamanan dan stabilitas sistem operasi instance ECS, kami sarankan Anda menggunakan fitur manajemen patch untuk secara otomatis memindai patch sistem pada instance tersebut dan mengunduh serta menginstal patch yang diperlukan.
Konsol OOS: Untuk informasi lebih lanjut, lihat Baseline patch dan Perbaikan segera.
Perlindungan keamanan jaringan untuk aplikasi web
Konfigurasikan Cloud Firewall
Pengenalan fitur
Cloud Firewall Alibaba Cloud adalah layanan perangkat lunak sebagai layanan (SaaS) yang dilengkapi dengan konsol operasi dan manajemennya sendiri. Cloud Firewall mengimplementasikan isolasi keamanan terpusat dan manajemen lalu lintas untuk aset cloud Anda di Internet, virtual private cloud (VPC), dan batas host. Ini adalah garis pertahanan pertama Anda untuk beban kerja di Alibaba Cloud. Untuk informasi lebih lanjut, lihat Apa itu Cloud Firewall?.
Metode konfigurasi
Anda dapat mengonfigurasi firewall berdasarkan batas jaringan untuk memfasilitasi pelapisan logis dan pemeliharaan selanjutnya.
Jika Anda ingin melindungi hanya lalu lintas di Internet, cukup konfigurasikan kebijakan kontrol akses masuk atau keluar untuk firewall internet. Untuk informasi lebih lanjut, lihat Buat kebijakan kontrol akses untuk firewall internet.
Jika Anda ingin mengelola lalu lintas keluar dari sumber daya seperti instance ECS atau instance wadah elastis di VPC ke Internet melalui gateway NAT, aktifkan firewall NAT untuk gateway NAT dan konfigurasikan kebijakan kontrol akses untuk mengelola lalu lintas dari sumber daya akses internal ke Internet secara rinci. Untuk informasi lebih lanjut, lihat Buat kebijakan kontrol akses untuk firewall internet.
Jika Anda ingin melindungi lalu lintas di Internet dan lalu lintas antar instance ECS, gunakan firewall internet bersama dengan firewall internal. Untuk informasi lebih lanjut, lihat Buat kebijakan kontrol akses untuk firewall internal.
Jika Anda ingin melindungi lalu lintas di Internet, lalu lintas antar VPC, dan lalu lintas antar VPC dan pusat data, gunakan firewall internet bersama dengan firewall VPC. Untuk informasi lebih lanjut, lihat Buat kebijakan kontrol akses untuk firewall VPC.
Konfigurasikan grup keamanan
Pengenalan fitur
Grup keamanan adalah firewall virtual yang mengontrol lalu lintas masuk dan keluar instance ECS. Anda dapat mengonfigurasi aturan masuk untuk grup keamanan untuk mengontrol lalu lintas ke instance ECS dalam grup keamanan dan aturan keluar untuk mengontrol lalu lintas dari instance tersebut. Untuk informasi lebih lanjut, lihat Ikhtisar.
Metode konfigurasi
Saat membuat instance ECS, Anda dapat menentukan satu atau lebih grup keamanan untuk instance tersebut. Anda juga dapat menambahkan instance ECS yang ada ke satu atau lebih grup keamanan. Untuk informasi lebih lanjut, lihat Asosiasikan grup keamanan dengan instance (ENI utama).
Perlindungan keamanan lalu lintas untuk aplikasi web
Konfigurasikan WAF
Pengenalan fitur
WAF mengidentifikasi dan menyaring lalu lintas berbahaya yang ditujukan ke situs web dan aplikasi serta meneruskan lalu lintas bersih ke situs web dan aplikasi tersebut. Ini melindungi server web dari intrusi dan memastikan keamanan data dan layanan. Untuk informasi lebih lanjut, lihat Apa itu WAF?.
Metode konfigurasi
Jika Anda sudah membuat instance ECS, Anda dapat menambahkan port instance tersebut ke WAF untuk meneruskan lalu lintas web instance ke WAF untuk perlindungan. Setelah menambahkan instance ECS ke WAF, semua lalu lintas web instance tersebut diteruskan ke WAF untuk inspeksi melalui gateway tertentu. WAF menyaring lalu lintas berbahaya dan meneruskan lalu lintas bersih ke instance ECS. Untuk informasi lebih lanjut, lihat Aktifkan perlindungan WAF untuk instance ECS.
Anti-DDoS Basic
Pengenalan fitur
Anti-DDoS Basic menyediakan mitigasi dasar mulai dari 500 Mbit/s hingga 5 Gbit/s terhadap serangan DDoS untuk instance ECS secara gratis. Untuk informasi lebih lanjut, lihat Apa itu Anti-DDoS Basic?.
CatatanAnda juga dapat menggunakan edisi lanjutan Anti-DDoS, seperti AntiDDoS Origin dan Anti-DDoS Proxy, untuk menambahkan lebih banyak lapisan perlindungan pada instance ECS. Untuk informasi lebih lanjut, lihat Apa itu Anti-DDoS Origin? dan Apa itu Anti-DDoS Proxy?.
Setelah Anti-DDoS Basic diaktifkan, layanan tersebut memantau lalu lintas masuk ke instance ECS secara real-time. Jika lalu lintas jaringan yang ditujukan ke instance ECS dengan alamat IP publik melebihi ambang batas pembersihan lalu lintas yang ditentukan, Anti-DDoS Basic secara otomatis membersihkan lalu lintas tersebut untuk melindungi bisnis Anda dari serangan DDoS.
Metode konfigurasi
Secara default, Anti-DDoS Basic diaktifkan dan tidak dapat dinonaktifkan. Anda tidak perlu mengonfigurasi Anti-DDoS Basic secara manual.
Audit operasi rutin
Pengenalan fitur
ActionTrail memantau dan mencatat operasi akun Alibaba Cloud Anda. Anda dapat menggunakan layanan ini untuk melakukan analisis keamanan, pelacakan perubahan sumber daya, dan audit kepatuhan. ActionTrail dapat mengirimkan peristiwa manajemen ke penyimpanan log di Layanan Log Sederhana atau bucket OSS. Dengan cara ini, Anda dapat mengaudit peristiwa secara real-time dan mengidentifikasi penyebab masalah. Untuk informasi lebih lanjut, lihat Apa itu ActionTrail?.
Di Konsol ActionTrail, Anda dapat menanyakan peristiwa manajemen yang dihasilkan saat mengelola sumber daya ECS. Untuk informasi lebih lanjut, lihat Peristiwa audit ECS. Jika terjadi kesalahan saat melakukan operasi pada instance ECS, Anda dapat menanyakan detail peristiwa terkait untuk mendapatkan informasi seperti waktu terjadinya peristiwa, wilayah tempat peristiwa terjadi, dan instance ECS yang terlibat.
Metode konfigurasi
Secara default, ECS terintegrasi dengan ActionTrail dan ActionTrail diaktifkan. Anda tidak perlu mengonfigurasi ActionTrail secara manual.