建立執行個體時應使用指定範圍內的鏡像,可以協助使用者收斂攻擊面,防止因使用未經授權或存在風險的鏡像而引發安全問題,並確保計算環境的一致性與合規性。
安全風險
如果允許所有使用者或賬戶隨意使用任何鏡像,可能會導致以下安全隱患:
惡意鏡像: 來源不明的第三方公開鏡像可能被植入了惡意軟體、挖礦程式或後門,一旦使用,攻擊者就可能獲得您執行個體的控制權。
漏洞鏡像: 企業內部構建的鏡像如果缺乏持續的安全維護(過時或未打補丁),會因包含未修複的系統或軟體漏洞(如Log4j、Heartbleed)而成為攻擊入口。
配置不當的鏡像: 鏡像在製作過程中可能留下不安全配置,例如開放了不必要的連接埠、使用了弱密碼等。
最佳實務
建立並使用“黃金鏡像 (Golden Image)”,由企業安全和營運團隊共同維護的一套標準化、經過硬化處理、定期掃描和更新的基準鏡像。在阿里雲環境中,我們建議使用標籤 (Tag) 來標記和管理您的黃金鏡像。例如,可以為所有通過審核的鏡像統一打上status: approved或security-level: trusted等標籤。
控制台
在鏡像列表中,使用標籤篩選功能查詢指定標籤的鏡像。
使用指定標籤的鏡像建立執行個體。
API
使用DescribeImages介面通過
Tag.Key、Tag.Value查詢指定標籤的鏡像ImageId。通過RunInstances或者CreateInstance介面建立執行個體時,指定
ImageId參數。
合規能力
攔截:限制建立Linux執行個體等操作中使用指定標籤的鏡像
在組織或賬戶層面通過RAM Policy策略,主動攔截未使用指定標籤的鏡像建立執行個體的行為。
針對企業使用者:
使用阿里雲主帳號登入資來源目錄控制台,單擊左側功能表列的管控策略,建立自訂權限原則,粘貼以下JSON內容。
限制在建立執行個體、更換系統硬碟等操作中必須使用綁定
"environment": "production"標籤的鏡像。{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:CreateInstance", "ecs:RunInstances", "ecs:ReplaceSystemDisk" ], "Resource": "*", "Condition": { "StringEquals": { "acs:ResourceTag/environment": "production" } } }, { "Effect": "Deny", "Action": [ "ecs:DeleteTags", "ecs:UntagResources", "ecs:CreateTags", "ecs:TagResources" ], “Resource”: "acs:ecs:*:*:image/*" } ] }在資來源目錄中選擇合適的節點繫結原則,策略將對目錄下的帳號產生攔截效果。
針對非企業使用者:
使用阿里雲主帳號登入RAM控制台,單擊左側功能表列的權限原則,建立一條與上述內容相同的自訂策略。
通過系統管理權限策略授權將該條權限原則授權給RAM使用者、RAM使用者組或RAM角色。
修複:修複未使用指定標籤鏡像建立的執行個體
為ECS執行個體關聯的鏡像手動設定標籤,清理或替換不符合標籤要求鏡像關聯的ECS執行個體。