Pusat Keamanan menyediakan keamanan kontainer terintegrasi di seluruh kluster Kubernetes dan repositori gambar Anda. Setelah menghubungkan aset kontainer, Anda dapat melihat risiko keamanan, memindai gambar untuk mendeteksi kerentanan, mengaktifkan deteksi ancaman, serta menganalisis eksposur port kluster dari satu konsol.
Persyaratan edisi
Layanan berlangganan: Diperlukan Edisi Ultimate. Untuk upgrade, lihat Upgrade dan downgrade Security Center.
Edisi proteksi server harus diatur ke Ultimate. Untuk informasi lebih lanjut, lihat Lampirkan edisi proteksi ke server.
Layanan pay-as-you-go: Host and Container Security harus diaktifkan. Untuk pembelian, lihat Beli Security Center.
Tingkat proteksi server harus diatur ke Host and Container Protection. Untuk informasi lebih lanjut, lihat Lampirkan tingkat proteksi server.
Prasyarat
Sebelum memulai, pastikan Anda telah:
Menghubungkan aset kontainer ke Security Center. Lihat Tambahkan repositori gambar dan Hubungkan kluster Kubernetes yang dikelola sendiri.
(Opsional) Mengaktifkan deteksi ancaman K8s untuk melihat peringatan terkait anomali kluster. Lihat Deteksi ancaman K8s untuk kontainer.
Sinkronisasi aset
Pusat Keamanan secara otomatis melakukan sinkronisasi penuh aset setiap pagi. Untuk aset yang baru ditambahkan, picu sinkronisasi secara manual sebelum melihat data aset.
Masuk ke atau Konsol Security Center.
Di panel navigasi kiri, pilih Assets > Container. Di pojok kiri atas, pilih wilayah Anda: Chinese Mainland atau Di luar Tiongkok daratan.
Di halaman Container, klik tab Cluster atau Image, lalu klik Synchronize Assets.
(Opsional) Klik Task Management di pojok kanan atas. Di tab Container Asset Synchronization dan Sinkronisasi Aset Gambar, periksa progres dan status sinkronisasi.
Manajemen kluster
Jenis kluster yang didukung
Pusat Keamanan mendukung jenis kluster berikut:
| Jenis kluster | Catatan |
|---|---|
| Kluster managed dan khusus ACK | Kluster managed dan khusus Alibaba Cloud Container Service for Kubernetes (ACK). Security Center melakukan sinkronisasi aset lengkap setiap pagi. Kluster baru terdeteksi secara otomatis — tidak perlu pendaftaran manual. |
| Kluster Kubernetes yang dikelola sendiri | Harus dihubungkan secara manual. Lihat Connect a self-managed Kubernetes cluster. |
Lihat risiko keamanan kluster
Masuk ke atau Konsol Security Center.
Di panel navigasi kiri, pilih Assets > Container. Di pojok kiri atas, pilih wilayah Anda.
Di tab Cluster, lihat jumlah kluster yang terhubung, kluster berisiko, dan daftar lengkap kluster.
Cari kluster: Gunakan bilah pencarian untuk memfilter berdasarkan ID kluster, tipe, atau atribut lainnya.
Lihat detail risiko: Klik nama kluster atau View di kolom Actions untuk membuka halaman detail risiko. Halaman ini menampilkan statistik dan daftar peringatan keamanan, kerentanan, risiko konfigurasi (risiko konfigurasi Kubernetes dan risiko dasar), serta peringatan firewall kontainer.
Aktifkan deteksi ancaman log K8s
Deteksi ancaman log K8s memungkinkan Pusat Keamanan mengambil data log kluster untuk mengidentifikasi operasi berisiko tinggi dan perilaku serangan, sehingga memberikan cakupan keamanan yang lebih dalam dibandingkan deteksi berbasis agen saja.
Untuk kluster ACK managed dan dedicated:
Aktifkan fitur audit log di konsol Container Service. Lihat Gunakan fitur audit API server kluster.
Masuk ke Konsol Manajemen Container Service. Di panel navigasi kiri, klik Clusters.
Klik nama kluster target. Di panel navigasi kiri, pilih Security Management > Audit.
Ikuti petunjuk di layar untuk memilih proyek Simple Log Service (SLS) dan aktifkan fitur tersebut.
Di konsol Pusat Keamanan, aktifkan Deteksi ancaman K8s untuk kontainer.
Untuk kluster Kubernetes yang dikelola sendiri:
Lihat Aktifkan deteksi ancaman log.
Setelah mengaktifkan fitur tersebut, buka tab Clusters di halaman Container. Periksa kolom K8s Log Status untuk kluster target guna memastikan deteksi ancaman log aktif.
Analisis eksposur port kluster
Membuka port kontainer ke internet menciptakan permukaan serangan untuk intrusi jaringan dan kebocoran data. Analisis eksposur Pusat Keamanan mendeteksi port yang dapat diakses publik di seluruh kluster Anda.
Analisis eksposur saat ini hanya mendukung kluster ACK managed dan dedicated.
Pusat Keamanan menjalankan analisis eksposur penuh pada semua kluster yang terhubung setiap pagi. Untuk menjalankan analisis sesuai permintaan, klik Exposure Analysis di kolom Actions untuk kluster target di tab Cluster.
(Opsional) Klik Task Management di pojok kanan atas. Di tab Container Exposure pada panel Task Management, periksa progres dan detail analisis eksposur.
Untuk melihat hasil eksposur:
Di halaman Container, klik nama kluster target.
Di halaman detail kluster, klik tab Container dan atur filter Exposed ke Yes.
Arahkan kursor ke ikon
di kolom Exposed untuk melihat detail port yang terbuka.
Tutup semua port yang terbuka ke internet namun tidak digunakan secara aktif untuk mengurangi permukaan serangan Anda.
Manajemen gambar
Lihat repositori gambar
Masuk ke atau Konsol Security Center.
Di panel navigasi kiri, pilih Assets > Container. Di pojok kiri atas, pilih wilayah Anda.
Di tab Image, lihat informasi repositori gambar.
Bagian Overview menampilkan jumlah gambar berisiko dan Remaining Quota Anda untuk pemindaian keamanan gambar.
Tingkatkan kuota pemindaian: Di bagian Remaining Quota, klik Increase Quota. Lihat Upgrade dan downgrade.
Daftarkan repositori pribadi: Di bagian Add Third-party Image Repository, klik Add. Lihat Tambahkan repositori gambar.
Daftar repositori menampilkan semua repositori yang terhubung ke Asset Center, termasuk nama repositori, wilayah, tipe, dan status risiko.
Cari repositori: Gunakan bilah pencarian untuk memfilter berdasarkan ID instans, namespace, atau atribut lainnya.
Lihat detail repositori: Klik nama repositori atau View di kolom Actions. Halaman detail menampilkan setiap gambar beserta nama, versi, ukuran, dan status risikonya. Kolom Created At/Updated At mencerminkan waktu sinkronisasi pertama dan terbaru oleh Pusat Keamanan, bukan waktu pembuatan dan pembaruan lokal repositori.
Lihat repositori gambar Platform for AI (PAI): Terapkan filter Tag > PAI di bilah pencarian.
Aktifkan sinkronisasi otomatis untuk Container Registry Enterprise Edition: Klik Synchronize di kolom Actions untuk repositori tersebut. Setelah diaktifkan, aset yang ditambahkan ke instans Container Registry Enterprise Edition akan secara otomatis disinkronkan ke daftar gambar di Pusat Keamanan.
Untuk melihat atau mengekspor detail ancaman dan kerentanan untuk versi gambar tertentu, buka halaman detail repositori, temukan versi target, lalu klik Handle di kolom Actions.
Pemindaian gambar kontainer
Pemindaian gambar mendeteksi kerentanan, risiko dasar, sampel berbahaya, dan file sensitif dalam gambar kontainer Anda.
Masuk ke atau Konsol Security Center.
Di panel navigasi kiri, pilih Assets > Container. Di pojok kiri atas, pilih wilayah Anda.
Di tab Image, klik Scan Now di bagian Container Image Scan.
Di kotak dialog Quick Scan, pilih tipe gambar dan konfigurasikan cakupan pemindaian, lalu klik OK. Untuk opsi konfigurasi cakupan pemindaian, lihat Lakukan pemindaian keamanan gambar.
(Opsional) Klik Task Management di pojok kanan atas. Di tab Image Scan, Image Risk Fixing, dan Container Runtime Image Scan, lacak progres pemindaian dan tinjau informasi perbaikan.
Langkah selanjutnya
Ikhtisar Aset Kontainer: Lihat visualisasi keamanan, hubungan aset, dan topologi jaringan di seluruh kluster, kontainer, gambar, dan aplikasi. Lihat Ikhtisar Aset Kontainer.
Pengaturan perlindungan kontainer: Aktifkan deteksi ancaman K8s untuk kontainer dan pencegahan escape kontainer untuk melindungi lingkungan runtime Anda. Lihat Pengaturan perlindungan kontainer.
Penandatanganan kontainer: Tandatangani gambar kontainer untuk memastikan hanya gambar tepercaya yang dideploy. Lihat Penandatanganan kontainer.
Lihat dan perbaiki risiko gambar: Tinjau dan perbaiki kerentanan sistem, kerentanan aplikasi, risiko dasar, serta sampel berbahaya yang terdeteksi dalam gambar Anda. Lihat Lihat dan perbaiki risiko gambar yang terdeteksi.
Pemantauan keamanan: Deteksi perilaku serangan seperti startup gambar berbahaya, intrusi, escape kontainer, dan operasi berisiko tinggi. Lihat Gunakan pemantauan keamanan.