Batasi pembuatan instans hanya pada citra dari cakupan tertentu - Elastic Compute Service

Membatasi pembuatan instans hanya pada citra dari cakupan tertentu membantu mengurangi permukaan serangan. Praktik ini mencegah masalah keamanan yang timbul dari citra tidak sah atau berisiko tinggi dan memastikan lingkungan komputasi yang konsisten dan sesuai.

Risiko keamanan

Mengizinkan semua pengguna atau akun untuk menggunakan citra apa pun dapat menyebabkan risiko keamanan berikut:

Citra Jahat: Citra publik dari sumber yang tidak dikenal mungkin berisi malware, program penambangan, atau pintu belakang. Menggunakan citra ini dapat memungkinkan penyerang mengambil alih Instance ECS Anda.
Citra Rentan: Citra internal yang tidak terus-menerus dipelihara bisa menjadi vektor serangan. Citra yang sudah usang atau belum diperbarui ini mungkin berisi kerentanan sistem atau perangkat lunak yang belum diperbaiki, seperti Log4j atau Heartbleed.
Konfigurasi Citra yang Tidak Tepat: Citra mungkin memiliki konfigurasi yang tidak aman sejak proses pembuatannya, seperti port terbuka yang tidak diperlukan atau kata sandi lemah.

Praktik terbaik

Anda dapat membuat dan menggunakan "citra emas". Citra emas merupakan citra garis dasar standar yang diperkuat dan diperbarui secara berkala oleh tim keamanan serta Operasi dan Pemeliharaan (O&M) Anda. Di lingkungan Alibaba Cloud, Anda dapat menggunakan tag untuk menandai dan mengelola citra emas tersebut. Sebagai contoh, Anda bisa menambahkan tag seperti status: disetujui atau tingkat-keamanan: tepercaya pada semua citra yang telah disetujui.

Konsol

Dalam daftar citra, gunakan fitur penyaringan tag untuk menemukan citra dengan tag tertentu.
Buat instans menggunakan citra dengan tag tertentu.

API

Panggil operasi DescribeImages dan gunakan parameter Tag.Key dan Tag.Value untuk menanyakan ImageId dari citra dengan tag tertentu.
Saat Anda memanggil operasi RunInstances atau CreateInstance untuk membuat instans, tentukan parameter ImageId.

Kepatuhan

Blokir: Batasi operasi, seperti pembuatan instans, hanya pada citra dengan tag tertentu

Anda dapat menggunakan kebijakan Resource Access Management (RAM) di tingkat organisasi atau akun untuk memblokir upaya membuat instans dengan citra yang tidak memiliki tag tertentu.

Untuk pengguna perusahaan:

Masuk ke Konsol Direktori Sumber Daya dengan Akun Alibaba Cloud Anda. Di bilah menu di sebelah kiri, klik Control Policies. Kemudian, buat kebijakan kustom dan tempelkan konten JSON berikut.

Kebijakan ini mengharuskan citra yang digunakan untuk membuat instans atau mengganti disk sistem harus memiliki tag "environment": "production".

{
  "Version": "1",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "ecs:CreateInstance",
        "ecs:RunInstances",
        "ecs:ReplaceSystemDisk"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "acs:ResourceTag/environment": "production"
        }
      }
    },
    {
      "Effect": "Deny",
      "Action": [
        "ecs:DeleteTags",
        "ecs:UntagResources",
        "ecs:CreateTags",
        "ecs:TagResources"
      ],
      "Resource": "acs:ecs:*:*:image/*"
    }
  ]
}

Di direktori sumber daya, pilih node yang sesuai dan sambungkan kebijakan tersebut. Kebijakan ini kemudian akan memblokir operasi yang ditentukan untuk semua akun di bawah node tersebut.

Untuk pengguna non-perusahaan:
1. Masuk ke Konsol RAM dengan Akun Alibaba Cloud Anda. Di bilah menu di sebelah kiri, klik Policies. Kemudian, buat kebijakan kustom dengan konten yang sama seperti kebijakan untuk pengguna perusahaan.
2. Sambungkan kebijakan tersebut ke Pengguna RAM, Grup Pengguna RAM, atau Peran RAM. Untuk informasi lebih lanjut, lihat Kelola otorisasi berbasis kebijakan.

Perbaikan: Pastikan instans dibuat dengan citra bertag tertentu

Anda dapat secara manual menambahkan tag ke citra yang terkait dengan Instance ECS Anda. Anda juga dapat membersihkan atau mengganti Instance ECS yang terkait dengan citra yang tidak memenuhi persyaratan tag.