Anda dapat mengaktifkan perlindungan keamanan host dengan memilih Free Security Hardening saat membuat instans.
Risiko keamanan
Instance ECS baru, meskipun menggunakan sistem operasi yang bersih—seperti host bare metal yang terpapar ke Internet—tetap menghadapi pemindaian dan serangan otomatis secara terus-menerus yang mengeksploitasi kerentanan sistem yang belum dipatch, kata sandi lemah, atau konfigurasi yang salah. Serangan tersebut dapat menginstal malware, seperti virus penambangan dan ransomware, mencuri data, atau mengubah instance menjadi bagian dari jaringan bot.
Saat Anda membuat instance ECS dari gambar publik, Alibaba Cloud menyediakan Edisi Gratis Security Center secara default. Anda dapat mengaktifkan layanan ini untuk mendapatkan fitur penguatan keamanan dasar, seperti pemindaian kerentanan (tanpa perbaikan otomatis), pemindaian kerentanan darurat, pendeteksian kebocoran Pasangan Kunci Akses, pemeriksaan kepatuhan, serta pendeteksian login tidak biasa.
Praktik terbaik
Aktifkan penguatan keamanan gratis
Konsol
Saat membuat instans di halaman pembelian instans, pilih Free Security Hardening, yang diaktifkan secara default untuk gambar publik.
API
Saat membuat instans dengan memanggil operasi API RunInstances atau CreateInstance, atur parameter SecurityEnhancementStrategy ke Active untuk mengaktifkan penguatan keamanan. Fitur ini hanya didukung untuk gambar publik.
Beli Pusat Keamanan
Security Center menawarkan beberapa edisi berbayar untuk keamanan host dan kontainer guna memenuhi berbagai kebutuhan perlindungan, termasuk Edisi Anti-virus, Edisi Premium, Edisi Perusahaan, dan Edisi Ultimate. Security Center juga menyediakan fitur untuk skenario tertentu, seperti anti-ransomware, pemindaian keamanan gambar kontainer, honeypot cloud, pencegahan perusakan web, perlindungan aplikasi, serta analisis dan tanggapan ancaman. Anda dapat mempelajari cara membeli Security Center, lalu memilih edisi host dan kontainer serta fitur keamanan yang sesuai dengan kebutuhan Anda.
Kemampuan kepatuhan
Periksa: Verifikasi bahwa penguatan keamanan gratis diaktifkan untuk instans
Metode 1: Periksa di tampilan Aset Host
Buka Konsol Pusat Keamanan.
Di panel navigasi sebelah kiri, pilih .
Di halaman ini, Anda dapat memfilter dan melihat status klien untuk semua instance ECS.
: Menunjukkan bahwa klien sedang online (Normal).
: Menunjukkan bahwa klien belum diinstal atau sedang offline. Klien offline berarti telah diinstal tetapi tidak dapat berkomunikasi dengan Security Center, yang mungkin disebabkan oleh instance yang berhenti, proses klien tidak normal, atau masalah jaringan.
Metode 2: Periksa menggunakan pemindaian Cloud Security Posture Management
Buka Konsol Pusat Keamanan.
Di panel navigasi sebelah kiri, pilih . Klik tab Cloud Product Configuration Risks. Temukan item pemeriksaan bernama Security Center Client Status Check dan klik Scan di kolom Actions.
Jika statusnya Gagal, artinya penguatan keamanan gratis tidak diaktifkan untuk beberapa instans. Klik Details untuk melihat informasi lebih lanjut.
Mencegat: Blokir pembuatan instans tanpa penguatan keamanan gratis
Anda dapat menggunakan kebijakan RAM di tingkat organisasi atau akun untuk memblokir pembuatan instans yang tidak memiliki penguatan keamanan gratis yang diaktifkan.
Untuk Pengguna Perusahaan:
Login ke Konsol Resource Directory dengan Akun Alibaba Cloud Anda. Di panel navigasi sebelah kiri, klik Control Policies. Buat kebijakan kustom dan tempel konten JSON berikut.
Kebijakan ini menolak pembuatan instans jika penguatan keamanan tidak diaktifkan.
{ "Version": "1", "Statement": [ { "Effect": "Deny", "Action": [ "ecs:RunInstances", "ecs:CreateInstance" ], "Resource": [ "acs:ecs:*:*:instance/*" ], "Condition": { "StringEquals": { "ecs:SecurityEnhancementStrategy": "Deactive" } } } ] }Di Resource Directory, sambungkan kebijakan tersebut ke node yang sesuai. Kebijakan ini akan memblokir operasi tersebut untuk semua akun di bawah node tersebut.
Untuk pengguna non-perusahaan:
Login ke Konsol Resource Access Management (RAM) dengan Akun Alibaba Cloud Anda. Di panel navigasi sebelah kiri, klik Policies. Buat kebijakan kustom dengan konten yang sama seperti pada bagian sebelumnya.
Sambungkan kebijakan tersebut ke Pengguna RAM, Grup pengguna RAM, atau Peran RAM.
Perbaiki: Perbaiki instans yang tidak memiliki penguatan keamanan yang diaktifkan
Skenario 1: Instans memiliki koneksi jaringan yang stabil dan agen Cloud Assistant telah diinstal.
Login ke Konsol Security Center. Di panel navigasi sebelah kiri, pilih .
Klik tab Client, lalu klik sub-tab Client Not Installed. Hal ini akan menampilkan daftar instans yang belum menginstal agen Security Center. Pilih instans yang ingin Anda perbaiki.
Klik tombol Install In One Click di bawah daftar. Sistem secara otomatis mengunduh dan menginstal agen Security Center menggunakan Cloud Assistant.
Kembali ke dan pastikan status klien instans target telah berubah menjadi Online
.
Skenario 2: Instans mengalami masalah jaringan atau agen Cloud Assistant belum diinstal. Jika Anda tidak dapat menginstal agen Security Center secara otomatis dari konsol, Anda harus login ke instans tersebut untuk menginstalnya.
Login ke Konsol Security Center. Di panel navigasi sebelah kiri, pilih . Klik tab Client, lalu klik sub-tab Installation Command.
Berdasarkan sistem operasi instance ECS Anda—seperti CentOS, Ubuntu, atau Windows—serta lingkungan jaringan (jaringan internal VPC atau Internet), salin perintah instalasi yang sesuai.
Login ke instance ECS Anda dan jalankan perintah instalasi yang telah Anda salin pada langkah sebelumnya.
Setelah instalasi selesai, kembali ke dan pastikan status klien instans target telah berubah menjadi Online
.