全部产品
Search

搜索本产品

    Security Center:Keamanan tanpa server

    文档中心

    Security Center:Keamanan tanpa server

    更新时间:Nov 11, 2025

    Jika Anda menerapkan bisnis di lingkungan tanpa server di Alibaba Cloud, Anda dapat menggunakan fitur keamanan tanpa server dari Security Center untuk melindungi aset tanpa server Anda. Fitur ini mendeteksi ancaman umum, memindai kerentanan, dan memeriksa risiko baseline. Topik ini menjelaskan cara menghubungkan aset tanpa server Anda ke Security Center serta mengaktifkan perlindungan keamanannya.

    Fitur

    Instans aset yang didukung

    • Elastic Container Instance (ECI) yang dibuat dari kluster ACK terkelola, kluster ACK khusus, dan kluster ACK Serverless.

    • Instans ECI yang dibuat dari Container Compute Service (ACS).

    • Instans Serverless App Engine (SAE).

      Penting

      Karena alasan stabilitas, instans SAE dengan tipe instans 0,5 core atau kurang tidak dapat dihubungkan atau dipindai.

    • Sumber daya Lingjun dari Platform for AI (PAI).

    Fitur keamanan yang didukung

    Security Center menyediakan fitur keamanan berikut untuk aset tanpa server.

    • Deteksi ancaman: Mendeteksi dan menangani ancaman keamanan umum pada aset tanpa server, seperti file pintu belakang (WebShell), koneksi jaringan mencurigakan, dan perilaku proses abnormal. Untuk informasi lebih lanjut tentang pemeriksaan yang didukung, lihat Ikhtisar peringatan keamanan CWPP (beban kerja cloud).

    • Pemindaian kerentanan: Di halaman Risk Management > Vulnerability Management, Anda dapat mengklik angka di bawah Disclosed Vulnerabilities untuk membuka panel Detectable Vulnerabilities dan melihat daftar kerentanan yang didukung.

      Untuk kerentanan aplikasi, hanya pemindaian yang didukung; perbaikan tidak didukung. Kerentanan aplikasi adalah risiko yang ditemukan melalui pemindaian perangkat lunak yang diinstal pada server Anda. Untuk menghilangkan risiko keamanan tersebut, Anda harus memperbarui atau memodifikasi konfigurasi aplikasi secara manual sesuai saran perbaikan dalam detail kerentanan.

      image.png

    • Pemeriksaan risiko baseline: Mendeteksi dan menangani risiko baseline pada aset tanpa server. Contohnya termasuk pemeriksaan Restrict containers from running as root dan Prohibit containers with kernel capabilities dalam Kubernetes (ECI) Pod General International Security Best Practices Baseline. Untuk informasi lebih lanjut tentang pemeriksaan baseline yang didukung, lihat Item pemeriksaan baseline.

    Security Center mengklasifikasikan aset tanpa server yang terhubung ke dalam berbagai tipe instans berdasarkan status runtime kontainer. Fitur keamanan yang didukung bervariasi tergantung pada tipe instans.

    Tipe instans

    Fitur keamanan yang didukung

    Elastic Container Instance

    • Deteksi ancaman

    • Pemindaian kerentanan

    • Pemeriksaan risiko baseline

    Instans kontainer RunD

    Deteksi ancaman

    Penagihan

    Mulai 31 Juli 2024 (UTC+8), pratinjau publik fitur perlindungan keamanan tanpa server akan berakhir, dan uji coba gratis tidak lagi tersedia. Untuk terus menggunakan fitur perlindungan keamanan tanpa server, Anda harus mengaktifkan bayar sesuai penggunaan untuk Aset Tanpa Server di konsol. Untuk informasi lebih lanjut, lihat 2. Aktifkan bayar sesuai penggunaan dalam topik ini.

    Mulai penagihan

    Setelah Anda mengaktifkan dan memberikan otorisasi untuk aset tanpa server, fitur perlindungan tanpa server ditagih menggunakan model harga bertingkat berbasis penggunaan kumulatif bulanan dengan skema bayar sesuai penggunaan.

    • Metode penagihan: Biaya dihitung menggunakan rumus berikut: Jumlah core server yang diotorisasi × Durasi perlindungan aktual. Durasi perlindungan diukur dalam detik dan hanya dihitung saat klien sedang online.

    • Siklus penagihan: Tagihan diselesaikan setiap hari dan dibuat pada hari berikutnya (T+1).

    • Harga: Digunakan model harga bertingkat berdasarkan penggunaan kumulatif bulanan. Tabel berikut menjelaskan rincian harga.

      Penting

      Untuk bulan pertama, siklus penagihan dimulai dari hari Anda mengaktifkan fitur hingga akhir bulan tersebut. Mulai bulan kedua dan seterusnya, siklus penagihan adalah satu bulan kalender (dari hari pertama hingga hari terakhir bulan).

      Penggunaan kumulatif bulanan (core-detik, per siklus penagihan)

      Harga (USD/core/detik)

      Rumus penagihan (U adalah penggunaan harian dalam core-detik)

      Tingkat 1: 0 hingga 200.000.000

      0,000003

      0,000003 × U (USD)

      Tingkat 2: 200.000.001 hingga 1.000.000.000

      0,000002

      0,000002 × (U - 200.000.000) + 0,000003 × 200.000.000 (USD)

      Tingkat 3: 1.000.000.001 hingga 9.999.999.999.999

      0,0000015

      0,0000015 × (U - 1.000.000.000) + 0,000002 × 800.000.000 + 0,000003 × 200.000.000 (USD)

      Sebagai contoh, jika akun Anda memiliki 20.000 core untuk aset tanpa server dengan klien Security Center yang terpasang, biaya harian dihitung sebagai berikut:

    • Pada hari pertama siklus penagihan, penggunaan kumulatif bulanan adalah 20.000 × 86.400 = 1.728.000.000 core-detik. Penggunaan dari 0 hingga 200.000.000 core-detik termasuk dalam Tingkat 1. Penggunaan dari 200.000.001 hingga 1.000.000.000 core-detik termasuk dalam Tingkat 2. Penggunaan dari 1.000.000.001 hingga 1.728.000.000 core-detik termasuk dalam Tingkat 3.

      Penagihan dilakukan secara bertingkat berdasarkan harga satuan setiap tingkat. Rumus penagihan harian adalah: 0,000003 (harga satuan Tingkat 1) × 200.000.000 + 0,000002 (harga satuan Tingkat 2) × 800.000.000 + 0,0000015 (harga satuan Tingkat 3) × (1.728.000.000 - 1.000.000.000) = 3.292 (USD).

    • Dari hari kedua hingga akhir siklus penagihan saat ini (akhir bulan), biaya dihitung berdasarkan harga satuan Tingkat 3.

      Rumus penagihan harian adalah: 0,0000015 (harga satuan Tingkat 3) × (20.000 × 86.400) = 2.592 (USD).

    Penghentian Penagihan

    Dalam skenario berikut, Alibaba Cloud segera menghentikan deteksi keamanan dan penagihan untuk aset tanpa server yang telah diotorisasi.

    • Hentikan penagihan untuk semua aset tanpa server:

      • Di halaman Overview konsol Security Center, di area Pay-as-you-go Services, matikan sakelar untuk Serverless Assets.

      • Di bagian atas halaman Asset Center > Serverless Assets di konsol Security Center, klik Stop Service.

      • Akun Alibaba Cloud Anda memiliki pembayaran tertunda.

    • Hentikan penagihan untuk aset tanpa server tertentu:

      Di halaman Asset Center > Serverless Assets konsol Security Center, Anda dapat melepas otorisasi untuk aset tertentu. Untuk informasi lebih lanjut, lihat 3.2. Menyambungkan atau melepas otorisasi untuk aset dalam topik ini.

    1. Instal dan mulai klien Security Center pada Pod ECI

    Untuk aset ECI yang dibuat dari kluster ACK terkelola, kluster ACK khusus, kluster ACK Serverless, dan kluster ACS, Anda harus menginstal dan menjalankan klien Security Center agar dapat menggunakan fitur perlindungan keamanan tanpa server yang disediakan oleh Security Center.

    Anda dapat menginstal dan menjalankan klien Security Center pada Pod ECI dengan cara berikut.

    Jalankan klien pada Pod ECI di kluster ACK Serverless

    Di konsol Container Service for Kubernetes (ACK), buka halaman manajemen kluster target. Di panel navigasi sebelah kiri, pilih Workloads > Pods. Klik Create From YAML. Di templat YAML, tambahkan parameter annotations di bawah spec > template > metadata dan atur nilainya menjadi k8s.aliyun.com/eci-aliyundun-enabled: "true".

    Berikut adalah contoh templat YAML:

    apiVersion: apps/v1 # for versions before 1.8.0 use apps/v1beta1
kind: Deployment
metadata:
  name: nginx-deployment-basic
  labels:
    app: nginx
spec:
  replicas: 2
  selector:
    matchLabels:
      app: nginx
  template:
    metadata:
      annotations:
        k8s.aliyun.com/eci-aliyundun-enabled: 'true'
      labels:
        app: nginx
    spec:
    #  nodeSelector:
    #    env: test-team
      containers:
      - name: nginx
        image: nginx:1.7.9 # replace it with your exactly <image_name:tags>
        ports:
        - containerPort: 80
        resources:
          limits:
            cpu: "500m"

    Jika Anda membuat sumber daya dari citra, Anda dapat menambahkan anotasi pod k8s.aliyun.com/eci-aliyundun-enabled=true di bagian Advanced Configuration. Untuk informasi lebih lanjut tentang cara membuat sumber daya, lihat Buat aplikasi tanpa status dari citra.

    image

    Jalankan klien pada Pod ECI di kluster ACK terkelola atau khusus

    Jalankan klien pada Pod ECI di kluster ACK terkelola atau khusus

    1. Login ke konsol ACK, buka halaman manajemen kluster, dan terapkan komponen ack-virtual-node untuk menjadwalkan pod ke ECI. Untuk informasi lebih lanjut, lihat Jadwalkan pod ke ECI.

    2. Di konsol ACK, di panel navigasi sebelah kiri halaman manajemen kluster, pilih Workloads > Pods. Lalu, klik Create From YAML. Di templat YAML, tambahkan parameter annotations di bawah metadata dan atur nilainya menjadi k8s.aliyun.com/eci-aliyundun-enabled: "true". Konfigurasikan variabel lingkungan env di bawah spec > containers dan atur tipe kontainer menjadi ECI_CONTAINER_TYPE = sidecar.

      Berikut adalah contoh templat YAML:

      apiVersion: v1
kind: Pod
metadata:
  name: test-aegis-alinux2-lifsea-x86
  labels:
    eci: "true"
  annotations:
    k8s.aliyun.com/eci-aliyundun-enabled: "true"
spec:
  containers:
  - name: sidecar
    image: registry-vpc.cn-shanghai.aliyuncs.com/eci_open/centos:7
    command:
    - /bin/sh
    - -c
    args:
    - sleep inf
    env:
    - name: ECI_CONTAINER_TYPE
      value: sidecar
  - name: nginx
    image: registry-vpc.cn-shanghai.aliyuncs.com/eci_open/centos:7
    command:
    - /bin/sh
    - -c
    args:
    - sleep inf

    Jalankan klien pada Pod ECI di kluster ACS

    Di konsol Container Compute Service, buka halaman manajemen kluster target. Di panel navigasi sebelah kiri, pilih Workloads > Stateless. Klik Create From YAML. Di templat YAML, tambahkan parameter annotations di bawah spec > template > metadata dan atur nilainya menjadi security.alibabacloud.com/aliyundun-enabled: 'true'. Untuk informasi lebih lanjut, lihat Ikhtisar pod ACS dan Buat sumber daya dari file YAML.

    Berikut adalah contoh templat YAML:

    apiVersion: apps/v1 # for versions before 1.8.0 use apps/v1beta1
kind: Deployment
metadata:
  name: nginx-deployment-basic
  labels:
    app: nginx
spec:
  replicas: 2
  selector:
    matchLabels:
      app: nginx
  template:
    metadata:
      labels:
        app: nginx
        alibabacloud.com/compute-class: general-purpose
        alibabacloud.com/compute-qos: default
      annotations:
         security.alibabacloud.com/aliyundun-enabled: 'true'
    spec:
    #  nodeSelector:
    #    env: test-team
      containers:
      - name: nginx
        image: anolis-registry.cn-zhangjiakou.cr.aliyuncs.com/openanolis/nginx:1.14.1-8.6 # replace it with your exactly <image_name:tags>
        ports:
        - containerPort: 80
        resources:
          limits:
            cpu: "500m"

    Jika Anda membuat sumber daya dari citra, Anda dapat menambahkan anotasi pod security.alibabacloud.com/aliyundun-enabled=true di bagian Advanced Configuration. Untuk informasi lebih lanjut tentang cara membuat sumber daya, lihat Buat sumber daya dari citra.

    image

    2. Aktifkan bayar sesuai penggunaan

    Aktifkan perlindungan aset tanpa server saat pembelian

    Pengguna Edisi Gratis dan pengguna yang sedang dalam uji coba gratis dapat mengaktifkan perlindungan aset tanpa server dengan membeli instans Security Center bayar sesuai penggunaan.

    1. Buka halaman pembelian Security Center dan login dengan akun Alibaba Cloud Anda.

    2. Di halaman pembelian, atur Billing Method menjadi Pay-as-you-go. Untuk Serverless Assets, pilih Yes.

    3. Klik Customize On-demand Binding. Di kotak dialog Authorization Management, Anda dapat memilih Bind All atau Custom Binding untuk mengonfigurasi otorisasi perlindungan untuk aset tanpa server target Anda.

      Penting

      Jika Anda tidak mengonfigurasi binding kustom, semua aset akan diikat secara default, dan otorisasi akan otomatis dilampirkan ke aset baru.

      image

    4. Baca dan pilih Security Center Terms of Service, lalu klik Place Order.

    Security Center secara otomatis menghubungkan aset tanpa server (instans ECI dan aplikasi SAE) yang berstatus Running di bawah akun Alibaba Cloud Anda, lalu melampirkan otorisasi ke aset tanpa server target berdasarkan konfigurasi Authorization Management.

    Aktifkan perlindungan aset tanpa server untuk instans yang sudah ada

    Jika Anda telah membeli edisi berbayar Security Center (Anti-virus, Premium, Enterprise, atau Ultimate), Anda dapat mengaktifkan fitur perlindungan aset tanpa server.

    1. Login ke konsol Security Center.

    2. Di panel navigasi sebelah kiri, pilih Assets > Serverless Asset. Di pojok kiri atas konsol, pilih wilayah tempat aset yang ingin Anda lindungi berada: China atau Outside China.

    3. Di halaman Serverless Assets, klik Enable Now.

      Anda juga dapat mengaktifkan sakelar Serverless Asset di area Pay-as-you-go Services di sisi kanan halaman Overview.

    4. Di kotak dialog konfirmasi, Anda dapat mengklik Customize On-demand Binding untuk mengonfigurasi otorisasi perlindungan untuk aset tanpa server target Anda, lalu klik OK.

      Penting

      Jika Anda tidak mengonfigurasi binding kustom, aset tanpa server diberi otorisasi berdasarkan logika berikut:

      • Jika ini pertama kalinya Anda mengaktifkan fitur ini, semua aset akan diikat secara default, dan otorisasi akan otomatis dilampirkan ke aset baru.

      • Jika Anda sebelumnya telah mengaktifkan fitur ini, otorisasi akan otomatis dilampirkan ke aset tanpa server yang sebelumnya telah diotorisasi. Jika tidak ada instans ECI atau aplikasi SAE yang diotorisasi terakhir kali, semua aset akan diikat secara default, dan otorisasi akan otomatis dilampirkan ke aset baru.

      • Jika akun Anda memiliki pembayaran tertunda dan Anda sebelumnya telah mengaktifkan fitur aset tanpa server sebelum pembayaran menjadi tertunda, aset tanpa server yang sebelumnya diotorisasi akan otomatis diikat setelah Anda melunasi pembayaran tertunda tersebut.

    5. Di kotak dialog konfirmasi, pilih I have read and agree to the Security Center (Pay-As-You-Go) Terms of Service, lalu klik Enable Now.

    3. Kelola aset yang diotorisasi

    • Menyambungkan otorisasi: Untuk menggunakan fitur perlindungan keamanan tanpa server, klien Security Center harus online, dan otorisasi harus dilampirkan ke aset tanpa server.

    • Melepas otorisasi: Anda dapat melepas otorisasi dari aset tanpa server yang tidak memerlukan perlindungan.

    3.1. Sinkronkan aset terbaru

    Setelah Anda mengaktifkan perlindungan untuk aset tanpa server, Anda harus menyinkronkan informasi aset tanpa server terbaru baik untuk aset yang sudah ada maupun aset baru. Hal ini memastikan bahwa klien Security Center diinstal dan berjalan pada aset yang ingin Anda lindungi.

    1. Login ke konsol Security Center.

    2. Di halaman Asset Center > Serverless Assets, klik Sync Latest Assets.

      Security Center menarik informasi aset tanpa server terbaru dan memperbarui daftar aset.

      Catatan

      Menyinkronkan informasi aset terbaru membutuhkan waktu sekitar satu menit. Harap tunggu.

      image

    3. Di halaman Asset Center > Serverless Assets, temukan aset tanpa server target di daftar aset dan periksa warna ikon di kolom Client.

      image

      • Hijau: Klien sedang online dan berjalan. Setelah Anda melampirkan otorisasi, Anda dapat menggunakan fitur perlindungan keamanan tanpa server.

      • Abu-abu: Klien offline karena belum diinstal, jaringan tidak stabil, atau alasan lainnya. Setelah Anda melampirkan otorisasi, fitur perlindungan keamanan tidak didukung.

        Untuk informasi lebih lanjut, lihat 1. Instal dan mulai klien Security Center pada Pod ECI dalam topik ini untuk memeriksa dan menginstal klien Security Center untuk aset yang sesuai, lalu mulai ulang instans aset tersebut.

    4. Setelah Anda membuat atau memulai ulang instans aset tanpa server, buka halaman Asset Center > Serverless Assets dan klik Sync Latest Assets untuk menyinkronkan informasi aset terbaru ke Security Center.

    3.2. Menyambungkan atau melepas otorisasi untuk aset

    Setelah Anda menjalankan klien Security Center pada instans aset target dan klien tersebut online, Anda dapat melampirkan otorisasi ke aset tersebut untuk menggunakan fitur perlindungan keamanan tanpa server. Jika Anda memilih untuk mengikat semua aset saat mengaktifkan fitur tersebut, Anda juga dapat melepas otorisasi dari aset yang tidak memerlukan perlindungan.

    1. Di halaman Asset Center > Serverless Assets, di atas daftar aset, klik Authorization Management di bawah Unbound Instances.

    2. Di kotak dialog Authorization Management, pilih jenis operasi (Attach atau Detach). Pilih aset tanpa server target sesuai petunjuk, lalu klik OK.

      Untuk secara otomatis melampirkan otorisasi ke aset tanpa server baru, pilih Automatically Attach Authorization for New Assets.

      image

    4. Lihat dan tangani risiko keamanan

    Setelah aset tanpa server terhubung ke Security Center dan otorisasi dilampirkan, Security Center mulai melakukan deteksi ancaman keamanan secara real-time untuk instans tersebut. Pemindaian kerentanan dan pemeriksaan risiko baseline dilakukan sesuai dengan siklus pemindaian masing-masing. Anda dapat membuka halaman Vulnerability Management atau Baseline Check untuk melihat waktu pemeriksaan terbaru.

    Langkah-langkah berikut menjelaskan cara melihat status risiko keamanan aset tanpa server.

    1. Di halaman Asset Center > Serverless Assets, temukan aset target di daftar aset. Jika kolom Risk Status menampilkan Risks Exist, artinya peringatan, kerentanan, atau risiko baseline telah terdeteksi pada aset tersebut.

    2. Klik nama aset target atau klik View di kolom Actions untuk aset tersebut guna melihat informasi risiko terperinci.

      Klik kartu Alerts, Vulnerabilities, atau Configuration Risks untuk melihat daftar item risiko yang sesuai.

      image.png

    3. Tangani peringatan keamanan.

      Klik Details di kolom Actions untuk peringatan target guna melihat detailnya dan menentukan apakah itu merupakan risiko nyata.

      Setelah penilaian Anda, klik Handle di kolom Actions untuk peringatan tersebut. Jika itu merupakan risiko nyata, pilih untuk mengisolasi. Jika peringatan tersebut tidak perlu ditangani atau dapat diabaikan, Anda dapat menambahkannya ke daftar putih, mengabaikannya, atau menandainya sebagai ditangani secara manual.

    4. Tangani risiko kerentanan.

      Klik kartu Vulnerabilities untuk melihat kerentanan yang terdeteksi pada aset.

      Kerentanan adalah kelemahan yang dapat dieksploitasi oleh peretas. Kami menyarankan Anda segera menangani semua kerentanan yang terdeteksi. Perbaikan satu klik tidak didukung untuk kerentanan aplikasi. Kami menyarankan Anda memperbaikinya secara manual berdasarkan instruksi dalam detail kerentanan. Untuk informasi lebih lanjut, lihat Lihat dan tangani kerentanan.

    5. Tangani risiko baseline.

      Klik kartu Configuration Risks untuk melihat risiko baseline yang terdeteksi pada aset. Klik Details di kolom Actions untuk risiko target guna melihat detail dan saran penguatan. Putuskan apakah akan menangani risiko baseline tersebut. Berdasarkan keputusan Anda, Anda dapat menangani risiko tersebut atau menambahkannya ke daftar putih.

      Security Center hanya mendukung perbaikan untuk beberapa item risiko baseline. Jika tombol Fix ditampilkan di daftar Risk Handling di halaman detail risiko, artinya item risiko tersebut dapat diperbaiki di Security Center. Anda kemudian dapat memperbaiki risiko baseline tersebut langsung di Security Center.