全部产品
Search

搜索本产品

    Elastic Compute Service:Keamanan sistem operasi

    文档中心

    Elastic Compute Service:Keamanan sistem operasi

    更新时间:Jul 06, 2025

    Topik ini menjelaskan bagaimana Elastic Compute Service (ECS) meningkatkan keamanan sistem operasi melalui akses aman, penguatan sistem operasi, dan langkah-langkah keamanan tingkat lanjut.

    Tingkatkan keamanan sistem operasi melalui akses aman

    Untuk meningkatkan keamanan akses sistem operasi pada instance ECS, tiga komponen utama digunakan: pasangan kunci untuk masuk instance, Session Manager untuk akses tanpa kata sandi, dan pembatasan akses ke atau dari 0.0.0.0/0 melalui port.

    Gunakan pasangan kunci untuk masuk instance

    Pasangan kunci, yang terdiri dari kunci publik dan privat, berfungsi sebagai kredensial aman untuk otentikasi instance ECS, mengurangi risiko terkait dengan kata sandi lemah. Pasangan kunci default Alibaba Cloud dihasilkan menggunakan algoritma enkripsi RSA 2048-bit. Otentikasi pasangan kunci menawarkan alternatif yang lebih aman dan nyaman dibandingkan metode nama pengguna dan kata sandi tradisional, dengan manfaat berikut:

    • Mencegah serangan brute-force, tidak seperti kata sandi konvensional.

    • Masuk menggunakan pasangan kunci lebih nyaman karena hanya memerlukan konfigurasi satu kali tanpa perlu memasukkan kata sandi di masa mendatang.

    Untuk informasi lebih lanjut, lihat Gunakan Workbench untuk terhubung ke instance Linux melalui SSH dan Terhubung ke instance Linux menggunakan pasangan kunci SSH.

    Gunakan Session Manager untuk masuk tanpa kata sandi

    Selain masuk menggunakan pasangan kunci, instance ECS dapat diakses secara aman dan nyaman melalui Session Manager, fitur dari Cloud Assistant. Metode ini menawarkan beberapa keuntungan:

    • Protokol Web Socket Secure (WSS) digunakan untuk membuat koneksi WebSocket persisten antara Session Manager Client dan server Cloud Assistant serta antara server Cloud Assistant dan Cloud Assistant Agent. Protokol WSS mengenkripsi koneksi WebSocket menggunakan protokol SSL untuk memastikan keamanan.

    • Session Manager menggunakan otentikasi berbasis Resource Access Management (RAM). Saat menggunakan Session Manager untuk terhubung ke instance, Anda tidak perlu mengelola kata sandi instance, sehingga menghindari risiko keamanan akibat pengelolaan kata sandi yang buruk.

    • Setelah koneksi WebSocket dibuat antara Cloud Assistant Agents yang diinstal pada instance dan server Cloud Assistant, Anda dapat menggunakan Session Manager untuk terhubung ke instance tanpa perlu membuka port untuk lalu lintas arah masuk pada instance, meningkatkan keamanan instance.

    Untuk informasi lebih lanjut, lihat Terhubung ke instance menggunakan Session Manager.

    Batasi akses ke atau dari 0.0.0.0/0 melalui port

    Sistem Linux biasanya menggunakan SSH pada port 22, sedangkan sistem Windows menggunakan RDP pada port 3389 untuk koneksi jarak jauh. Akses tanpa batasan (otorisasi 0.0.0.0/0) menimbulkan ancaman keamanan dengan memungkinkan logon tidak sah potensial. Grup keamanan Alibaba Cloud bertindak sebagai firewall virtual pada tingkat instance, memungkinkan kontrol akses jaringan dan menyediakan isolasi keamanan penting. Untuk informasi lebih lanjut, lihat Ikhtisar grup keamanan dan Kelola sumber daya terkait grup keamanan.

    Penguatan sistem operasi

    Gunakan OOS baseline patch untuk pembaruan otomatis patch keamanan

    CloudOps Orchestration Service (OOS) Alibaba Cloud mengotomatiskan manajemen dan eksekusi tugas. Fitur baseline patch OOS memungkinkan Anda memindai atau menginstal patch untuk instance ECS berdasarkan baseline patch default atau kustom. Anda juga dapat memilih pembaruan terkait keamanan untuk menginstal patch secara otomatis pada instance ECS. Untuk informasi lebih lanjut, lihat Ikhtisar.

    Kernel Live Patching dari Alibaba Cloud Linux

    Alibaba Cloud Linux menyediakan fitur Kernel Live Patching (KLP) untuk memperbaiki kerentanan umum dan eksposur (CVE) serta bug kritis kernel. KLP dapat memperbarui hotfix untuk CVE atau bug kritis kernel secara lancar dan cepat tanpa mengorbankan keamanan dan stabilitas server. Anda tidak perlu me-restart server atau proses tugas terkait bisnis lainnya, menunggu hingga tugas yang memakan waktu selesai, log off, atau memigrasi bisnis. Untuk informasi lebih lanjut, lihat Kernel Live Patching.

    Gunakan layanan keamanan dasar gratis

    Alibaba Cloud menyediakan rangkaian layanan keamanan dasar dengan instance ECS baru yang menggunakan gambar publik, termasuk Edisi Dasar Security Center. Edisi ini menawarkan fitur penguatan keamanan esensial seperti pemindaian kerentanan server dan peringatan login abnormal. Meskipun opsional, sangat disarankan untuk mengaktifkan layanan ini. Jika Anda memiliki kebutuhan keamanan tingkat lanjut, Edisi Lanjutan dan Edisi Perusahaan Security Center tersedia. Untuk informasi lebih lanjut, lihat Layanan keamanan dasar.

    image

    Tingkatkan keamanan sistem operasi

    ECS lebih meningkatkan keamanan sistem dalam skenario kepatuhan dan audit melalui audit log dan kepatuhan terhadap standar.

    Audit log

    Aktifkan audit logon

    Kami merekomendasikan Anda menggunakan Session Manager untuk masuk instance dan mengaktifkan fitur Pengiriman Rekaman Sesi dari Session Manager. Ini memungkinkan penyimpanan persisten, pencarian, analisis, dan audit rekaman sesi di Simple Log Service (SLS) atau Object Storage Service (OSS). Untuk informasi lebih lanjut, lihat Gunakan fitur Pengiriman Rekaman Sesi.

    Aktifkan ActionTrail

    ECS terintegrasi dengan layanan ActionTrail, memungkinkan Anda menanyakan peristiwa manajemen yang dipicu oleh operasi ECS. ActionTrail memfasilitasi pengiriman peristiwa ini ke Logstore SLS atau Bucket OSS, memberikan solusi untuk audit real-time dan analisis pemecahan masalah. Untuk informasi lebih lanjut, lihat Peristiwa audit ECS.

    Aktifkan Log Audit Service

    Selain audit logon dan ActionTrail, kami merekomendasikan Anda mengaktifkan Log Audit Service. Layanan ini membangun kemampuan dari Simple Log Service (SLS), menawarkan dukungan untuk pengumpulan log real-time, otomatis, dan terpusat dari berbagai produk cloud di beberapa akun untuk tujuan audit. Selain itu, ini memfasilitasi penyimpanan, pencarian, dan agregasi informasi yang diperlukan untuk kepatuhan audit.

    Kepatuhan

    Gambar kepatuhan Level 3

    Alibaba Cloud menawarkan gambar yang memenuhi standar kepatuhan Level 3 nasional untuk Skema Perlindungan Multi-Tingkat (MLPS) 2.0. Gambar-gambar ini secara inheren memenuhi persyaratan untuk otentikasi identitas, kontrol akses, dan pencegahan intrusi.

    Pemeriksaan kepatuhan

    Security Center menyediakan fitur pemeriksaan kepatuhan perlindungan terklasifikasi dan pemeriksaan kepatuhan ISO 27001. Anda dapat menggunakan fitur-fitur tersebut untuk memeriksa apakah sistem Anda memenuhi persyaratan perlindungan terklasifikasi dan ISO 27001. ISO 27001 adalah standar internasional tentang cara mengelola keamanan informasi. Untuk informasi lebih lanjut, lihat Gunakan fitur pemeriksaan keamanan.