ECS mengamankan sistem operasi melalui kontrol akses, penguatan OS, dan audit kepatuhan.
Akses aman ke instans
ECS mendukung otentikasi pasangan kunci, logon tanpa password melalui Session Manager, serta aturan security group untuk membatasi akses ke atau dari 0.0.0.0/0 melalui port tertentu.
Gunakan pasangan kunci untuk masuk ke instans
Pasangan kunci yang terdiri dari kunci publik dan kunci privat digunakan untuk otentikasi instans ECS sebagai pengganti password. Alibaba Cloud menghasilkan pasangan kunci default dengan enkripsi RSA 2048-bit. Manfaatnya:
-
Mencegah serangan brute-force.
-
Hanya perlu diatur sekali tanpa perlu memasukkan password lagi.
Lihat Masuk ke instans Linux menggunakan Workbench dan Terhubung ke instans Linux dengan OpenSSH atau Xshell.
Gunakan Session Manager untuk logon tanpa password
Session Manager, sebuah fitur Cloud Assistant, menyediakan akses aman tanpa password ke instans ECS:
-
Menggunakan protokol WebSocket Secure (WSS) untuk mengenkripsi koneksi antara Session Manager Client, server Cloud Assistant, dan Cloud Assistant Agent.
-
Memverifikasi identitas melalui Resource Access Management (RAM), sehingga menghilangkan kebutuhan pengelolaan password dan risiko keamanan terkait.
-
Terhubung melalui Cloud Assistant Agent tanpa membuka port inbound, sehingga mengurangi permukaan serangan.
Batasi akses port dari 0.0.0.0/0
Linux menggunakan SSH (port 22) dan Windows menggunakan RDP (port 3389) untuk koneksi jarak jauh. Mengizinkan akses 0.0.0.0/0 pada port-port tersebut membuat instans rentan terhadap upaya logon tidak sah. Gunakan security group sebagai firewall virtual tingkat instans untuk menerapkan kontrol akses jaringan. Lihat Overview of security groups dan Manage resources associated with security groups.
Penguatan sistem operasi
Otomatisasi pembaruan patch dengan garis dasar patch OOS
CloudOps Orchestration Service (OOS) memindai dan menginstal patch untuk instans ECS berdasarkan garis dasar patch default atau kustom. Anda dapat memilih kategori pembaruan tertentu, seperti pembaruan terkait keamanan, untuk diinstal secara otomatis. Lihat Patch Management Overview.
Kernel Live Patching untuk Alibaba Cloud Linux
Alibaba Cloud Linux Kernel Live Patching (KLP) menerapkan hotfix untuk CVE dan bug kernel kritis tanpa perlu me-restart server, mengganggu proses, atau memigrasikan beban kerja. Lihat Kernel Live Patching.
Gunakan layanan keamanan dasar gratis
Alibaba Cloud menyediakan layanan keamanan dasar bersama instans ECS baru yang menggunakan gambar publik, termasuk Security Center Edisi Dasar. Edisi ini menyediakan fitur penguatan keamanan seperti pemindaian kerentanan server dan peringatan login tidak biasa. Untuk kebutuhan keamanan lanjutan, tersedia Security Center Edisi Lanjutan dan Edisi Perusahaan. Lihat Basic security services.

Audit log dan kepatuhan
ECS terintegrasi dengan layanan audit log dan standar kepatuhan untuk memperkuat keamanan sistem.
Audit log
Aktifkan audit logon
Gunakan Session Manager untuk logon instans dan aktifkan Session Record Delivery untuk menyimpan, melakukan kueri, serta mengaudit catatan sesi di Simple Log Service (SLS) atau Object Storage Service (OSS). Lihat Deliver session records.
Aktifkan ActionTrail
ECS terintegrasi dengan ActionTrail untuk melakukan kueri terhadap peristiwa manajemen yang dipicu oleh operasi ECS. ActionTrail mengirimkan event ke Logstore SLS atau Bucket OSS untuk audit dan troubleshooting secara real-time. Lihat Audit events of ECS.
Aktifkan Log Audit Service
Aktifkan Log Audit Service, yang dibangun di atas Simple Log Service (SLS), untuk pengumpulan log terpusat, otomatis, dan real-time dari beberapa akun dan produk cloud guna memenuhi kepatuhan audit.
Kepatuhan
Gambar kepatuhan Level 3
Alibaba Cloud menyediakan gambar yang memenuhi standar kepatuhan nasional Level 3 dalam Skema Perlindungan Multi-Level (MLPS) 2.0, dengan fitur bawaan berupa otentikasi identitas, kontrol akses, dan pencegahan intrusi.
Pemeriksaan kepatuhan
Security Center menyediakan pemeriksaan kepatuhan perlindungan terklasifikasi dan pemeriksaan kepatuhan ISO 27001 untuk memverifikasi apakah sistem Anda memenuhi standar tersebut. Lihat