Cara melihat status keamanan aset kontainer - Security Center

Pusat Keamanan menyediakan perlindungan terintegrasi untuk kontainer Anda dengan mendeteksi serta melindungi dari kerentanan, risiko konfigurasi, serangan, dan intrusi secara real time. Setelah menghubungkan aset kontainer ke Pusat Keamanan, Anda dapat mengelolanya dari satu lokasi terpusat. Topik ini menjelaskan cara melihat risiko keamanan pada aset kontainer Anda.

Persyaratan edisi

Layanan berlangganan: Ultimate (Jika versi Anda saat ini tidak didukung, Anda harus upgrade).
Catatan
Edisi perlindungan server harus diatur ke Ultimate. Untuk informasi selengkapnya, lihat Lampirkan edisi perlindungan ke server.
Layanan bayar sesuai penggunaan: Layanan bayar sesuai penggunaan diaktifkan untuk Host and Container Security. Jika belum, lihat Beli.
Catatan
Anda harus mengatur tingkat perlindungan server ke Host and Container Protection. Untuk informasi selengkapnya, lihat Lampirkan tingkat perlindungan server.

Prasyarat

Hubungkan aset kontainer Anda ke Pusat Keamanan. Untuk informasi selengkapnya, lihat Tambahkan repositori gambar dan Hubungkan kluster K8s yang dikelola sendiri.
Untuk melihat peringatan keamanan terkait anomali kluster kontainer, Anda harus mengaktifkan deteksi ancaman K8s. Untuk informasi selengkapnya, lihat Deteksi ancaman K8s untuk kontainer.

Sinkronkan aset terbaru

Sebelum melihat informasi aset kontainer, Anda harus menyinkronkan data aset terbaru agar aset kontainer yang baru ditambahkan muncul dalam daftar aset.

Masuk ke Konsol Pusat Keamanan.
Di panel navigasi sebelah kiri, pilih Assets > Container. Di pojok kiri atas konsol, pilih wilayah tempat aset Anda berada: China atau Outside China.
Di halaman Container, pada tab Cluster atau Image, klik Synchronize Assets.
(Opsional) Di pojok kanan atas halaman Container, klik Task Management. Di panel Task Management, pada tab Container Asset Synchronization dan Image Asset Sync, Anda dapat melihat progres, status, dan detail sinkronisasi aset.

Manajemen kluster

Jenis kluster yang didukung

Kluster terkelola dan kluster khusus yang dibuat di Alibaba Cloud Container Service for Kubernetes (ACK).
Setiap pagi, Pusat Keamanan secara otomatis melakukan sinkronisasi penuh aset jenis ini di Akun Alibaba Cloud Anda sehingga Anda tidak perlu menambahkan aset secara manual. Jika Anda membuat kluster baru, Anda dapat melakukan sinkronisasi manual informasi aset terbaru di tab Cluster.
Kluster K8s swakelola.

Lihat informasi kluster

Masuk ke Konsol Pusat Keamanan.
Di panel navigasi sebelah kiri, pilih Assets > Container. Di pojok kiri atas konsol, pilih wilayah tempat aset Anda berada: China atau Outside China.
Di halaman Container, pada tab Cluster, Anda dapat melihat jumlah kluster yang terhubung, jumlah kluster yang berisiko, serta daftar kluster yang terhubung.
- Cari kluster target
  Anda dapat menggunakan komponen pencarian di atas daftar kluster untuk mencari kluster berdasarkan ID, tipe, atau informasi lainnya.
- Lihat detail risiko kluster target
  Klik nama kluster target atau View di kolom Actions untuk membuka halaman detail risikonya. Di halaman ini, Anda dapat melihat statistik dan daftar peringatan keamanan, kerentanan, risiko konfigurasi (risiko konfigurasi K8s dan risiko dasar), serta peringatan firewall kontainer.

Aktifkan deteksi ancaman log K8s

Setelah mengaktifkan deteksi ancaman log K8s untuk suatu kluster, Pusat Keamanan dapat mengambil data log kluster tersebut untuk memberikan deteksi risiko keamanan yang lebih komprehensif, seperti mengidentifikasi operasi berisiko tinggi dan perilaku serangan.

Kluster terkelola dan kluster khusus ACK
1. Di konsol Container Service, aktifkan fitur audit log. Untuk informasi selengkapnya, lihat Gunakan fitur audit API server kluster.
  1. Masuk ke Konsol Manajemen Container Service. Di panel navigasi sebelah kiri, pilih Cluster List.
  2. Di halaman Cluster List, klik nama kluster target. Di panel navigasi sebelah kiri, pilih Security Management > Audit.
  3. Ikuti petunjuk di layar untuk memilih proyek SLS dan mengaktifkan fitur tersebut.
2. Di konsol Pusat Keamanan, aktifkan Deteksi ancaman K8s untuk kontainer.
Kluster K8s yang dikelola sendiri
Untuk informasi selengkapnya, lihat Mengaktifkan deteksi ancaman log.

Setelah fitur ini diaktifkan, buka halaman Container di konsol Pusat Keamanan. Di tab Clusters, Anda dapat memeriksa kolom K8s Log Status untuk kluster target guna memverifikasi bahwa deteksi ancaman log K8s telah diaktifkan.

Analisis eksposur kluster

Membuka port kontainer ke internet dapat mengekspos bisnis Anda terhadap risiko keamanan, seperti serangan jaringan dan kebocoran data. Untuk mencegah risiko tersebut, Pusat Keamanan menyediakan fitur analisis eksposur port untuk kluster kontainer yang mendeteksi informasi port publik.

Catatan

Saat ini, fitur analisis eksposur hanya mendukung kluster terkelola dan kluster khusus ACK.

Lakukan analisis eksposur.
Anda dapat melakukan analisis eksposur pada kluster secara otomatis atau manual:
- Analisis eksposur otomatis: Setelah Anda menghubungkan kluster K8s, Pusat Keamanan secara otomatis melakukan sinkronisasi penuh informasi kluster dan menjalankan analisis eksposur pada semua kluster yang terhubung setiap pagi hari.
- Analisis eksposur manual: Di tab Cluster halaman Container, klik Exposure Analysis di kolom Actions untuk kluster target.
(Opsional) Di pojok kanan atas halaman Container, klik Task Management. Di tab Container Exposure panel Task Management, Anda dapat melihat progres dan detail tugas analisis eksposur kluster.
Lihat hasil analisis eksposur kluster.
1. Di halaman Container, klik nama kluster target.
2. Di halaman detail kluster, klik tab Container dan atur filter Exposed ke Yes.
3. Arahkan pointer ke ikon di kolom Exposed untuk melihat informasi port yang terbuka dari kontainer.
  Jika suatu port terbuka ke internet tetapi tidak digunakan, segera tutup untuk mengurangi risiko keamanan.

Manajemen gambar

Lihat informasi gambar

Masuk ke Konsol Pusat Keamanan.
Di panel navigasi sebelah kiri, pilih Assets > Container. Di pojok kiri atas konsol, pilih wilayah tempat aset Anda berada: China atau Outside China.
Di tab Image halaman Container, Anda dapat melihat informasi gambar.
- Lihat informasi ikhtisar
  Bagian Ikhtisar menampilkan informasi seperti jumlah gambar yang berisiko dan Remaining Quota untuk pemindaian keamanan gambar.
  - Di bagian Remaining Quota, klik Increase Quota untuk menambah kuota pemindaian keamanan gambar kontainer Anda. Untuk informasi selengkapnya, lihat Peningkatan dan penurunan spesifikasi.
  - Anda dapat mengklik Add di bagian Add Third-party Image Repository untuk mendaftarkan repositori gambar pribadi. Untuk informasi selengkapnya, lihat Tambahkan repositori gambar.
- Lihat daftar repositori gambar
  Daftar repositori gambar menampilkan semua repositori yang terhubung ke Pusat Aset. Anda dapat melihat nama repositori, wilayah, tipe, dan status risikonya.
  - Cari repositori gambar target
    Anda dapat menggunakan komponen pencarian di atas daftar untuk mencari repositori gambar berdasarkan ID instans, namespace, atau informasi lainnya.
  - Lihat repositori gambar target
    Klik nama repositori gambar target atau klik View di kolom Actions. Di halaman detail repositori, Anda dapat melihat informasi untuk setiap gambar, termasuk nama, versi, ukuran, dan status risikonya. Kolom Created At/Updated At menunjukkan waktu sinkronisasi pertama dan terakhir oleh Pusat Keamanan, bukan waktu pembuatan dan pembaruan lokal repositori gambar.
    Di halaman detail repositori gambar, temukan versi repositori gambar target dan klik Process di kolom Actions untuk melihat atau mengekspor informasi ancaman dan kerentanannya.
  - Lihat repositori gambar Platform for AI (PAI)
    Anda dapat melihat daftar repositori gambar untuk PAI dengan memilih Tag > PAI dari filter pencarian.
  - Sinkronkan aset ACR
    Klik Synchronize di kolom Actions repositori gambar untuk mengaktifkan sinkronisasi otomatis aset dari instans Container Registry Edisi Perusahaan. Setelah diaktifkan, aset yang ditambahkan ke instans akan secara otomatis disinkronkan ke daftar gambar di Pusat Keamanan.

Pemindaian gambar kontainer

Fitur pemindaian gambar di Pusat Keamanan mendeteksi kerentanan gambar, risiko dasar, sampel berbahaya, dan file sensitif untuk membantu Anda memastikan lingkungan runtime gambar yang aman.

Masuk ke Konsol Pusat Keamanan.
Di panel navigasi sebelah kiri, pilih Assets > Container. Di pojok kiri atas konsol, pilih wilayah tempat aset Anda berada: China atau Outside China.
Di tab Image halaman Container, klik Scan Now di bagian Container Image Scan.
Di kotak dialog Quick Scan, pilih tipe gambar, konfigurasikan cakupan pemindaian sesuai kebutuhan, lalu klik OK.
Untuk informasi selengkapnya tentang cara mengonfigurasi cakupan pemindaian, lihat Lakukan pemindaian keamanan gambar.
(Opsional) Di pojok kanan atas halaman Container, klik Task Management. Di panel Task Management, pada tab Image Scan, Image Risk Fixing, dan Container Runtime Image Scan, Anda dapat melihat informasi tentang pemindaian dan perbaikan gambar.

Referensi

Fitur Ikhtisar Aset Kontainer menyediakan kemampuan visualisasi dan manajemen keamanan untuk aset Anda, seperti kluster, kontainer, gambar, dan aplikasi. Fitur ini juga menampilkan topologi jaringan aset kontainer Anda di cloud. Fitur ini membantu Anda mengelola keamanan aset kontainer secara efisien. Untuk informasi selengkapnya, lihat Ikhtisar Aset Kontainer.
Pusat Keamanan menyediakan kemampuan keamanan kontainer, seperti deteksi ancaman K8s untuk kontainer dan pencegahan pelarian kontainer. Anda dapat mengaktifkan fitur-fitur ini untuk melindungi lingkungan runtime kontainer Anda. Untuk informasi selengkapnya, lihat Pengaturan perlindungan kontainer.
Penandatanganan kontainer memungkinkan Anda menandatangani gambar kontainer untuk memastikan hanya gambar tepercaya yang diterapkan. Fitur ini mencegah gambar yang tidak sah diluncurkan dan meningkatkan keamanan aset Anda. Untuk informasi selengkapnya, lihat Penandatanganan kontainer.
Pusat Keamanan mendeteksi kerentanan sistem, kerentanan aplikasi, risiko dasar, dan sampel berbahaya dalam aset gambar Anda, lalu mengkategorikan dan menampilkan hasilnya. Anda dapat melihat detail risiko keamanan dan memperbaikinya. Untuk informasi selengkapnya, lihat Lihat dan perbaiki risiko gambar yang terdeteksi.
Fitur pemantauan keamanan Pusat Keamanan menyediakan kemampuan pemantauan dan peringatan. Fitur ini mendeteksi perilaku serangan utama pada kontainer, seperti peluncuran gambar berbahaya, virus dan malware, intrusi ke dalam kontainer, pelarian kontainer, dan operasi berisiko tinggi. Untuk informasi selengkapnya, lihat Gunakan pemantauan keamanan.