容器运行所依赖的宿主机的安全保证容器的运行,建议您定期运行基线检查以验证集群是否符合阿里云OS安全加固(简称“阿里云OS加固”)标准、使用阿里云云安全中心安全防范能力、最小化对节点的访问权限以及遵循ECS安全最佳实践。
定期运行基线检查以验证集群是否符合阿里云OS加固和等保加固标准
阿里云OS加固
对于集群节点宿主机OS系统,阿里云OS加固功能提供了对应的加固标准,提供的操作系统包括Alibaba Cloud Linux、CentOS、Ubuntu等。Alibaba Cloud Linux 3不仅是阿里云官方操作系统镜像,也是ACK的首选默认系统镜像。更多信息,请参见使用操作系统Alibaba Cloud Linux 3。
等保加固
阿里云根据《GB/T22239-2019信息安全技术网络安全等级保护基本要求》中对操作系统提出的一些等级保护要求,基于云原生操作系统Alibaba Cloud Linux提供了等保加固功能,检查项包括身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范等。更多信息,请参见ACK等保加固使用说明。
使用阿里云云安全中心安全防范能力
阿里云云安全中心支持对ACK集群节点的默认安全提供全方位保护,包括:
漏洞修复:支持对主流漏洞类型进行检测并提供一键修复功能。您可以在漏洞修复页面查看服务器当前存在的漏洞风险,并手动执行一键扫描,帮助您更全面地了解您资产中的漏洞和风险情况。
基线检查:基线检查功能针对服务器操作系统、数据库、软件和容器的配置进行安全检测,并提供检测结果说明和加固建议。基线检查功能可以帮助您进行系统安全加固,降低入侵风险并满足安全合规要求。
云平台配置检查:云平台配置检查从身份认证及权限、网络访问控制、数据安全、日志审计、监控告警、基础安全防护六个维度为您提供云产品安全配置的检查,帮助您及时发现您的云产品配置风险并提供相应的修复方案。
镜像安全扫描:支持对镜像中存在的高危系统漏洞、应用漏洞、恶意样本、配置风险和敏感数据进行检测和识别,并提供漏洞修复方案,为您提供一站式漏洞管理能力,让镜像漏洞修复更简单。
最小化对节点的访问权限
当您想要对节点进行远程访问时,可以通过登录容器服务管理控制台,通过Workbench或者VNC进行内网访问。如果没有业务需要,不为节点挂载公网EIP。若要公网访问,应该在ACK的安全组中配置ACK访问策略,限制访问来源。并且需要在ACK安全组中控制对节点各个端口的暴露,对于需要公网暴露的端口,必须限制访问来源。
遵循ECS安全最佳实践
ACK默认使用Alibaba Cloud Linux 3创建ECS实例作为ACK的节点。关于在阿里云ECS实例使用过程中提高安全性,请参见云服务器ECS安全性。