ACK官方支持基于阿里云Linux操作系统的集群等保加固。将安全作为重要组成部分,将合规融入产品的“血液”,将安全植入产品的“骨髓”,可以帮助有高安全需求的客户更快速、更便捷地接入云。前言根据中华人民共和国信息安全部颁布的《GB/T22239-2019信息安全技术网络安全等级保护基本要求》,对操作系统提出了一定级别的保护要求。与此同时,越来越多的企业和行业开始全面拥抱云原生,充分利用云原生基础设施。云原生技术无处不在。作为云原生服务的提供者,阿里云将持续高速发展云原生技术。安全是云原生不可或缺的一部分。AlibabaCloudLinux2作为阿里云官方操作系统镜像和ACK首选默认镜像,为ACK客户提供等保加固解决方案,满足客户更简单、更快速、更稳定、更安全的使用需求阿里云。用户在创建ACK集群时,如果选择AlibabaCloudLinux2,可以选择启动等安全加固的配置,这样集群在创建集群的时候会自动执行对应的等安全加固项,直接满足信息安全部在《GB/T22239-2019信息安全技术网络安全等级保护基本要求》中的要求。操作系统级保护要求。具体使用方法请参考:ACK等安全加固使用说明。平等保护背景知识介绍网络安全等级保护制度是我国网络安全领域的基本国策和基本制度。1994年,国务院发布了147号令。《条例》首次提出“计算机信息系统实行安全等级保护”,安全等级保护的概念由此诞生。2007年和2008年,国家颁布了《信息安全等级保护管理办法》和《信息安全等级保护基本要求》。这被认为是“多重保证1.0”。为适应新技术发展,满足云计算、物联网、移动互联网、工业控制等领域信息系统分级保护需求,2019年,公安部牵头组织开展信息技术新领域分级保护重点标准国家标准应用工作。工作、等级保护正式进入“等级保护2.0”时代。ACK等安全加固的作用目前ACK集群采用阿里云Linux2操作系统作为集群的默认系统镜像。为了帮助ACK用户“开箱即用”的使用“类保操作系统”,在阿里云云原生团队的支持下,基于阿里云Linux2操作系统镜像的ACK集群保证了原生镜像的兼容性和性能在安全的基础上进行合规适配,帮助用户摆脱复杂的加固操作和繁琐的配置,让用户享受开箱即用的操作系统等安全环境。根据《信息安全技术网络安全等级保护基本要求(GB/T 22239-2019)》,加固后的系统满足以下检查项:检查项类型检查项名称危险等级身份认证登录用户需要识别认证,身份唯一,身份认证信息有复杂性要求和定期更换高身份认证在对服务器进行远程管理时,应采取必要措施防止认证信息在网络传输过程中被窃听。高身份认证应该有登录失败处理功能。应配置并启用结束会话、限制非法登录次数和登录时连接超时、自动注销等相关措施。高访问控制应为登录用户分配帐户和权限。高访问控制应该重命名或删除默认帐户,修改默认帐户的默认密码。高访问控制访问控制的粒度应以用户级别或进程为准高访问控制应及时删除或禁用冗余和过期帐户,避免共享帐户的存在。高访问控制应授予管理用户所需的最小权限,实现管理用户权限分离。高访问控制应由授权主体配置。访问控制策略规定了主体对客体的访问规则。高安审计应对审计记录进行保护并定期备份,避免高安审计审计记录被意外删除、修改或覆盖。包括事件发生的日期和时间、用户、事件类型、事件是否成功等审计相关信息eventsHigh安全审计应该保护审计过程,避免意外中断。高入侵防御应该能够发现可能存在的已知漏洞,经过充分的测试和评估,及时修复漏洞。高入侵防御应遵循最小安装原则,只安装需要的组件和应用高入侵防御应关闭不必要的系统服务、默认共享和高风险端口发生严重入侵事件高入侵防御应通过设置终端访问方式或网络地址范围,限制通过网络管理的管理终端高恶意代码防御应安装反恶意软件,并更新反恶意软件版本和恶意代码库及时详细规则请参考阿里巴巴对CloudLinuxLevel2.0Version3的图片检测规则说明。ACK等安全加固的使用用户在创建ack集群时,如果用户在购买界面选择了安全加固,集群初始化时会自动执行加固脚本,对ack集群内的所有机器进行加固.加固完成后,加固脚本会自动删除。具体使用方法参见ACKusingAlibabaCloudLinuxEtc.Guarantee2.0Level3。注:为了满足Level2.0Level3的标准要求,ACK会创建三个普通用户ack_admin、ack_audit、ack_security,默认在Level1加固的AlibabaCloudLinux2操作系统。为了满足MLB2.0Level3的标准要求,MLB加固的AlibabaCloudLinux2禁止root用户通过SSH登录。您可以通过ECS控制台使用VNC方式登录系统,并创建可以使用SSH的普通用户。具体操作请参见通过VNC远程连接登录Linux实例。可以通过配置相应的合规扫描基线来扫描加固后的效果。本文档详细介绍了如何配置合规性基线检查策略:AlibabaCloudLinuxLevel2.0Level3ImageBaselineCheckPolicyConfiguration。具体步骤如下:购买云安全中心企业版。仅企业版支持基线检查服务。具体请参见购买云安全中心。登录ECS管理控制台。在左侧导航窗格中,单击实例和图像>实例。在顶部菜单栏的左上角,选择区域。在实例列表中,单击您创建的AlibabaCloudLinux操作系统的ECS实例ID。在实例详情页签,单击右侧的安全保护状态。在云安全中心管理控制台,配置并执行合规性基线检查策略。在左侧导航栏选择“安全防护>基线检查”。在“基线检查策略”区域中,单击“默认策略”,然后单击“+添加策略”。在“基线检查策略”面板,完成配置,单击“确定”。配置说明如下:PolicyName:输入一个名称来标识该策略。例如:AlibabaCloudLinux2等保险合规检查。检测周期:选择检测周期(每隔1天、3天、7天、30天)和检测触发时间(00:00~06:00、06:00~12:00、12:00~18:00、18:00~24:00)。基线名称:在搜索框中输入MLPScompliance进行搜索,在搜索结果中选择MLPSLevel3-AlibabaCloudLinux/AliyunLinux2ComplianceBaselineCheck。有效服务器:选择需要应用该策略的组资产。默认情况下,新购买的服务器在所有组中都属于Ungrouped。要自动将此策略应用于新购买的资产,请选择未分组。基线检查策略详见设置基线检查策略。在基线检查页面右上角,单击策略管理。在面板的底部,选中BaselineCheckLevelsHigh和Medium,然后单击OK。在“基线检查策略”区域中,单击“默认策略”,然后单击您创建的策略的名称。单击立即检查。检查完成后,在“基线检查”页面的列表中单击基线名称。在Level3-AlibabaCloudLinux/AliyunLinux2合规基线检查面板查看检查结果。您可以查看或验证基线检查结果,并可以使用快照回滚实例。有关详细信息,请参阅查看和处理基线检查结果。ACK等保险加固的意义随着云时代的快速发展,企业上云的步伐也在逐步加快。越来越多的客户将阿里云作为企业上云的唯一选择。我们基于阿里云Linux操作系统对ACK集群实施了等量保护加固,意味着阿里云将安全作为云产品研发和交付过程中的重要一环,将合规融入产品的“血液”,并将安全性植入产品的“骨髓”,可以帮助有保费需求的客户更快速、更便捷地接入云端。作者:美盛,阿里云基础软件部操作系统产品专家,从事阿里云Linux产品化工作。BoJi是阿里云基础软件部的操作系统安全工程师。从事阿里云Linux安全加固、CIS加固、机密计算等相关工作。原文链接本文为阿里云原创内容,未经允许不得转载
