Instans ECS terintegrasi dengan rangkaian layanan keamanan Alibaba Cloud untuk melindungi aplikasi Anda di setiap lapisan—mulai dari sistem operasi host hingga lalu lintas jaringan. Beberapa perlindungan aktif secara default; yang lain memerlukan konfigurasi eksplisit.
| Domain keamanan | Layanan utama | Memerlukan konfigurasi |
|---|---|---|
| Keamanan host | Security Center | Ya (instalasi agent atau opsi konsol) |
| Manajemen kerentanan | Security Center, Operation Orchestration Service (OOS) | Ya |
| Kontrol akses jaringan | Security groups, Cloud Firewall | Ya |
| Penyaringan traffic web | Web Application Firewall (WAF) | Ya |
| Perlindungan DDoS | Anti-DDoS Basic | Tidak (aktif secara default) |
| Audit operasi | ActionTrail | Tidak (aktif secara default) |
Perlindungan keamanan host
Security Center Basic telah terintegrasi dalam ECS dan menyediakan perlindungan dasar tingkat host:
Deteksi kerentanan
Deteksi logon tidak biasa
Deteksi kebocoran Pasangan Kunci Akses (AccessKey pair)
Pemeriksaan kepatuhan
Untuk kemampuan tambahan—seperti perbaikan kerentanan, anti-ransomware, dan Pencegahan perubahan situs web—beli edisi berbayar Security Center. Untuk detailnya, lihat Beli Security Center dan Pengantar Security Center Basic.
Aktifkan perlindungan keamanan host
Opsi 1: Saat pembuatan instans (disarankan)
Di ECS console, pilih opsi Free Security Hardening saat membuat instans ECS. Hal ini akan mengaktifkan Security Center Basic secara otomatis.
Untuk mengaktifkan security hardening melalui API, panggil RunInstances denganSecurityEnhancementStrategydiatur keActive.
Opsi 2: Pada instans yang sudah ada
Instal agent Security Center dari Security Center console. Untuk petunjuknya, lihat Instal agent Security Center.
Periksa status keamanan instans
ECS console: Di halaman Instances, arahkan kursor ke ikon
pada kolom Monitoring. Klik Process Now untuk melihat dan menangani alert yang belum ditangani.
Security Center console: Buka Assets > Host, temukan instans tersebut, lalu lihat detail keamanannya. Untuk informasi lebih lanjut, lihat Kelola server.
Manajemen kerentanan
Pindai dan perbaiki kerentanan
Security Center Basic secara otomatis memindai jenis kerentanan berikut setiap dua hari sekali:
Kerentanan perangkat lunak Linux
Kerentanan sistem Windows
Kerentanan Web-CMS
Gunakan fitur quick scan di Security Center Basic untuk menjalankan pemindaian manual kapan saja. Edisi berbayar Security Center juga secara otomatis memperbarui informasi kerentanan dan menerapkan perbaikan. Untuk ikhtisar semua edisi, lihat Ikhtisar.
Lakukan pemindaian kerentanan secara berkala dan perbaiki masalah yang terdeteksi untuk mengurangi permukaan serangan Anda. Untuk panduan langkah demi langkah, lihat Pindai kerentanan. Setelah pemindaian selesai, ikuti Lihat dan tangani kerentanan untuk memprioritaskan dan memperbaiki temuan.
Otomatisasi manajemen patch dengan OOS
Manajemen patch Operation Orchestration Service (OOS) memungkinkan Anda memindai dan menginstal patch yang hilang pada instans ECS secara otomatis. Operasi yang didukung meliputi:
Menginstal service pack pada instans ECS Windows
Memperbarui versi minor instans ECS Linux
Menerapkan patch ke beberapa instans ECS yang menjalankan OS yang sama dalam satu batch
Untuk ikhtisar fitur ini, lihat Ikhtisar Patch manager. Untuk memulai, buka OOS console dan ikuti petunjuk di Patch baseline dan Immediate fix.
Perlindungan keamanan jaringan
Dua alat mengontrol akses jaringan ke instans ECS Anda: security groups (terintegrasi dalam ECS) dan Cloud Firewall (layanan SaaS terpisah).
Gunakan security groups sebagai mekanisme utama untuk kontrol lalu lintas tingkat instans—mendukung penyaringan paket stateful dan referensi aturan antar grup. Tambahkan Cloud Firewall ketika Anda memerlukan manajemen kebijakan terpusat di batas VPC atau antara aset cloud Anda dan Internet.
Konfigurasikan security groups
Security group adalah firewall virtual yang mengontrol lalu lintas inbound dan outbound untuk instans ECS. Konfigurasikan aturan inbound untuk membatasi lalu lintas yang mencapai instans Anda dan aturan outbound untuk mengontrol lalu lintas yang keluar darinya.
Tetapkan satu atau beberapa security groups saat membuat instans ECS, atau tambahkan instans yang sudah ada ke security groups kapan saja. Untuk detailnya, lihat Security groups dan Kelola instans ECS dalam security groups.
Konfigurasikan Cloud Firewall
Cloud Firewall adalah firewall software as a service (SaaS) yang menyediakan kontrol lalu lintas terpusat di batas Internet, VPC, dan host. Konfigurasikan sesuai dengan batas jaringan yang perlu Anda lindungi:
| Cakupan lalu lintas | Konfigurasi |
|---|---|
| Hanya lalu lintas Internet | Buat kebijakan kontrol akses inbound atau outbound untuk Firewall internet. Lihat Buat kebijakan kontrol akses untuk Firewall internet. |
| Lalu lintas outbound melalui NAT gateway | Aktifkan Firewall NAT untuk NAT gateway dan konfigurasikan kebijakan kontrol akses. Lihat Buat kebijakan kontrol akses untuk Firewall internet. |
| Lalu lintas Internet dan lalu lintas antar ECS | Gunakan Firewall internet bersama dengan firewall internal. Lihat Buat kebijakan kontrol akses untuk firewall internal. |
| Lalu lintas Internet, lintas-VPC, dan lalu lintas VPC-ke-pusat data | Gunakan Firewall internet bersama dengan Firewall VPC. Lihat Buat kebijakan kontrol akses untuk Firewall VPC. |
Untuk ikhtisar produk, lihat Apa itu Cloud Firewall?
Keamanan traffic web
Konfigurasikan WAF
Web Application Firewall (WAF) ditempatkan di depan instans ECS Anda dan menyaring lalu lintas web inbound. WAF mengidentifikasi serta memfilter lalu lintas berbahaya yang ditujukan ke situs web dan aplikasi, lalu meneruskan lalu lintas yang bersih ke instans Anda.
Untuk mengaktifkan WAF pada instans ECS yang sudah ada, tambahkan port instans tersebut ke WAF. Semua lalu lintas web kemudian dialihkan melalui WAF melalui gerbang, dibersihkan, lalu diteruskan ke instans. Untuk petunjuk penyiapan, lihat Aktifkan perlindungan WAF untuk instans ECS. Untuk ikhtisar produk, lihat Apa itu WAF?
Perlindungan Anti-DDoS
Anti-DDoS Basic menyediakan kapasitas mitigasi DDoS sebesar 500 Mbit/s hingga 5 Gbit/s untuk instans ECS tanpa biaya. Layanan ini memantau lalu lintas inbound secara real time dan secara otomatis membersihkan lalu lintas ketika volumenya melebihi ambang batas yang dikonfigurasi untuk instans dengan Alamat IP publik.
Anti-DDoS Basic aktif secara default—tidak diperlukan konfigurasi. Untuk kapasitas mitigasi yang lebih tinggi, gunakan Anti-DDoS Origin (lihat Apa itu Anti-DDoS Origin?) atau Anti-DDoS Proxy (lihat Apa itu Anti-DDoS Proxy?).
Untuk detail produk, lihat Apa itu Anti-DDoS Basic?
Audit operasi
ActionTrail mencatat semua operasi manajemen yang dilakukan pada Akun Alibaba Cloud Anda dan dapat mengirimkan event ke Logstore Simple Log Service (SLS) atau bucket Object Storage Service (OSS) untuk analisis real-time.
Khusus untuk ECS, ActionTrail menangkap management event seperti pembuatan instans, perubahan konfigurasi, dan operasi kunci akses. Ketika terjadi kesalahan, lakukan kueri log event untuk mengambil waktu, wilayah, dan instans yang terlibat. Untuk jenis event ECS, lihat Event audit ECS. Untuk ikhtisar produk, lihat Apa itu ActionTrail?
ActionTrail aktif secara default—tidak diperlukan konfigurasi.