ACK正式支持对基于Alibaba Cloud Linux操作系统的集群进行等保加固

本文涉及的产品
访问控制,不限时长
简介: 前言      根据国家信息安全部发布的《GB/T22239-2019信息安全技术网络安全等级保护基本要求》,其中对操作系统提出了一些等级保护的要求。同时,越来越多的企业、行业开始全面拥抱云原生,并充分利用云原生基础设施。云原生技术已经无处不在, 作为云原生服务的提供者,阿里云将会持续、高速发展云原生技术。而安全是云原生不可或缺的重要组成部分。Alibaba C

前言

 

   根据国家信息安全部发布的《GB/T22239-2019信息安全技术网络安全等级保护基本要求》,其中对操作系统提出了一些等级保护的要求。同时,越来越多的企业、行业开始全面拥抱云原生,并充分利用云原生基础设施。云原生技术已经无处不在, 作为云原生服务的提供者,阿里云将会持续、高速发展云原生技术。而安全是云原生不可或缺的重要组成部分。Alibaba Cloud Linux 2 作为阿里云官方操作系统镜像和ACK的首选默认镜像,为ACK客户提供了等保加固的方案,来满足客户对于阿里云更加简单、快捷、稳定、安全的使用的需求。当用户创建ACK集群时,如果选择Alibaba Cloud Linux 2, 就可以选择启动配置等保加固,使集群在创建时自动执行对应的等保加固项,直接满足国家信息安全部发布的《GB/T22239-2019信息安全技术网络安全等级保护基本要求》中对操作系统的等级保护要求。具体使用方式请参考ACK等保加固使用说明

 

等保背景知识介绍

 

网络安全等级保护制度是我国网络安全领域的基本国策、基本制度。1994 年,国务院发布《计算机信息系统安全保护条例》147 号令。该条例首次提出“计算机信息系统实行安全等级保护”,安全等级保护理念由此诞生。2007 年和 2008 年,国家颁布《信息安全等级保护管理办法》和《信息安全等级保护基本要求》。这被视为“等保1.0”。为适应新技术的发展,解决云计算、物联网、移动互联和工控领域信息系统的等级保护工作的需要,2019年,由公安部牵头组织开展了信息技术新领域等级保护重点标准申报国家标准的工作,等级保护正式进入“等保2.0”时代。

 

ACK等保加固的作用

 

当前,ACK集群使用Alibaba Cloud Linux 2 操作系统作为集群默认系统镜像。为了帮助ACK的用户“开箱即用”地使用“等保操作系统”,在阿里云云原生团队的支持下,对基于Alibaba Cloud Linux 2 操作系统镜像的ACK集群,在保障原生镜像兼容性和性能的基础上进行了等保合规适配,帮助用户摆脱复杂的加固操作和繁琐的配置,让用户享受开箱即用的操作系统等保环境。按照《信息安全技术网络安全等级保护基本要求(GB/T 22239-2019)》,加固后的系统满足以下检查项:

检查项类型

检查项名称

危险等级

身份鉴别 应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换

身份鉴别 当对服务器进行远程管理时,应采取必要措施,防止鉴别信息在网络传输过程中被窃听

身份鉴别 应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施

访问控制 应对登录的用户分配账户和权限

访问控制 应重命名或删除默认账户,修改默认账户的默认口令

访问控制 访问控制的粒度应达到主体为用户级或进程级,客体为文件、数据库表级

访问控制 应及时删除或停用多余的、过期的账户,避免共享账户的存在

访问控制 应授予管理用户所需的最小权限,实现管理用户的权限分离 

访问控制 应由授权主体配置访问控制策略,访问控制策略规定主体对客体的访问规则

安全审计 应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等

安全审计 审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息

安全审计 应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计

安全审计 应保护审计进程,避免受到未预期的中断

入侵防范 应能发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞

入侵防范 应遵循最小安装的原则,仅安装需要的组件和应用程序

入侵防范 应关闭不需要的系统服务、默认共享和高危端口

入侵防范 应能够检测到对重要节点进行入侵的行为,并在发生严重入侵事件时提供报警

入侵防范 应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制

恶意代码防范 应安装防恶意代码软件,并及时更新防恶意代码软件版本和恶意代码库

详细规则说明请参见Alibaba Cloud Linux等保2.0三级版镜像检查规则说明

 

ACK等保加固的用法

 

      用户创建ack集群时,如果在购买界面勾选等保加固,则在集群初始化时会自动执行加固脚本,对ack集群的所有机器进行加固,加固完成后自动删除加固脚本。具体使用方法参见ACK使用Alibaba Cloud Linux等保2.0三级版

 

image.png

 

  • 注意:
  • 为了满足满足等保2.0三级版的标准要求,ACK会在等保加固的Alibaba Cloud Linux 2操作系统中默认创建ack_admin、ack_audit、ack_security三个普通用户。
  • 为了满足等保2.0三级版的标准要求,等保加固的Alibaba Cloud Linux 2禁止使用Root用户通过SSH登录。您可通过ECS控制台使用VNC方式,登录系统创建可使用SSH的普通用户。具体操作,请参见通过VNC远程连接登录Linux实例

 

加固后的效果可以通过配置对应的等保合规扫描基线进行扫描,这份文档详细说明了如何配置等保合规的基线检查策略:Alibaba Cloud Linux等保2.0三级版镜像基线检查策略配置。具体步骤如下:

 

  1. 购买云安全中心企业版。仅企业版支持基线检查服务。具体操作,请参见购买云安全中心
  2. 登录ECS管理控制台
  3. 在左侧导航栏,单击实例与镜像 > 实例
  4. 在顶部菜单栏左上角处,选择地域。
  5. 实例列表中,单击您已创建的Alibaba Cloud Linux操作系统的ECS实例ID。
  6. 实例详情页签,单击右侧的安全防护状态image
  7. 在云安全中心管理控制台,配置并执行等保合规的基线检查策略。
    1. 在左侧导航栏,选择安全防范 > 基线检查
    2. 基线检查策略区域,单击默认策略,然后单击+添加策略image
    3. 基线检查策略面板,完成配置,并单击确定。配置说明如下:
      • 策略名称:输入用于识别该策略的名称。例如:Alibaba Cloud Linux 2等保合规检查
      • 检测周期:选择检测周期(每隔1天、3天、7天、30天检测一次)和检测触发时间(00:00~06:00、06:00~12:00、12:00~18:00、18:00~24:00)。
      • 基线名称:在搜索框输入等保合规进行搜索,在搜索结果中选中等保三级-Alibaba Cloud Linux/Aliyun Linux 2合规基线检查image
      • 生效服务器:选择需要应用该策略的分组资产。新购买的服务器默认归属在所有分组未分组中,如需对新购资产自动应用该策略,请选择未分组
    1. 关于基线检查策略的详细说明,请参见设置基线检查策略
    2. 基线检查页面的右上角,单击策略管理
    3. 在面板底部,选中基线检查等级,并单击确定
    4. 基线检查策略区域,单击默认策略,然后单击已创建的策略名称。
    5. 单击立即检查image
      您可以单击进度详情查看。当显示如下信息时,表示检查完毕。image
  1. 检查完毕后,在基线检查页面的列表中,单击基线名称。image
  2. 等保三级-Alibaba Cloud Linux/Aliyun Linux 2合规基线检查面板,查看检查结果。您可以查看或验证基线检查结果,也可以使用快照回滚实例。具体操作,请参见查看和处理基线检查结果

ACK等保加固的意义

 

伴随云时代的飞速发展,企业上云的步伐也在逐渐加快,越来越多的客户将阿里云作为企业上云的不二选择。我们对基于Alibaba Cloud linux操作系统的ACK集群进行等保加固,意味着阿里云在云产品开发和交付的过程中将安全作为重要组成部分,将合规融入到产品的“血液”中,把安全植入产品的“骨髓”里,能够帮助有等保诉求的客户更加快速便捷的上云。

 

相关实践学习
通过Ingress进行灰度发布
本场景您将运行一个简单的应用,部署一个新的应用用于新的发布,并通过Ingress能力实现灰度发布。
容器应用与集群管理
欢迎来到《容器应用与集群管理》课程,本课程是“云原生容器Clouder认证“系列中的第二阶段。课程将向您介绍与容器集群相关的概念和技术,这些概念和技术可以帮助您了解阿里云容器服务ACK/ACK Serverless的使用。同时,本课程也会向您介绍可以采取的工具、方法和可操作步骤,以帮助您了解如何基于容器服务ACK Serverless构建和管理企业级应用。 学习完本课程后,您将能够: 掌握容器集群、容器编排的基本概念 掌握Kubernetes的基础概念及核心思想 掌握阿里云容器服务ACK/ACK Serverless概念及使用方法 基于容器服务ACK Serverless搭建和管理企业级网站应用
相关文章
|
21天前
|
算法 Linux 调度
深入理解Linux操作系统的进程管理
本文旨在探讨Linux操作系统中的进程管理机制,包括进程的创建、执行、调度和终止等环节。通过对Linux内核中相关模块的分析,揭示其高效的进程管理策略,为开发者提供优化程序性能和资源利用率的参考。
48 1
|
2天前
|
Prometheus Kubernetes 监控
OpenAI故障复盘 - 阿里云容器服务与可观测产品如何保障大规模K8s集群稳定性
聚焦近日OpenAI的大规模K8s集群故障,介绍阿里云容器服务与可观测团队在大规模K8s场景下我们的建设与沉淀。以及分享对类似故障问题的应对方案:包括在K8s和Prometheus的高可用架构设计方面、事前事后的稳定性保障体系方面。
|
5天前
|
Kubernetes 网络协议 应用服务中间件
Kubernetes Ingress:灵活的集群外部网络访问的利器
《Kubernetes Ingress:集群外部访问的利器-打造灵活的集群网络》介绍了如何通过Ingress实现Kubernetes集群的外部访问。前提条件是已拥有Kubernetes集群并安装了kubectl工具。文章详细讲解了Ingress的基本组成(Ingress Controller和资源对象),选择合适的版本,以及具体的安装步骤,如下载配置文件、部署Nginx Ingress Controller等。此外,还提供了常见问题的解决方案,例如镜像下载失败的应对措施。最后,通过部署示例应用展示了Ingress的实际使用方法。
21 2
|
17天前
|
存储 Kubernetes 关系型数据库
阿里云ACK备份中心,K8s集群业务应用数据的一站式灾备方案
本文源自2024云栖大会苏雅诗的演讲,探讨了K8s集群业务为何需要灾备及其重要性。文中强调了集群与业务高可用配置对稳定性的重要性,并指出人为误操作等风险,建议实施周期性和特定情况下的灾备措施。针对容器化业务,提出了灾备的新特性与需求,包括工作负载为核心、云资源信息的备份,以及有状态应用的数据保护。介绍了ACK推出的备份中心解决方案,支持命名空间、标签、资源类型等维度的备份,并具备存储卷数据保护功能,能够满足GitOps流程企业的特定需求。此外,还详细描述了备份中心的使用流程、控制台展示、灾备难点及解决方案等内容,展示了备份中心如何有效应对K8s集群资源和存储卷数据的灾备挑战。
|
23天前
|
安全 Linux 数据安全/隐私保护
深入Linux操作系统:文件系统和权限管理
在数字世界的海洋中,操作系统是连接用户与硬件的桥梁,而Linux作为其中的佼佼者,其文件系统和权限管理则是这座桥梁上不可或缺的结构。本文将带你探索Linux的文件系统结构,理解文件权限的重要性,并通过实际案例揭示如何有效地管理和控制这些权限。我们将一起航行在Linux的命令行海洋中,解锁文件系统的奥秘,并学习如何保护你的数据免受不必要的访问。
|
24天前
|
搜索推荐 Linux
深入理解Linux操作系统的启动过程
本文旨在揭示Linux操作系统从开机到完全启动的神秘面纱,通过逐步解析BIOS、引导加载程序、内核初始化等关键步骤,帮助读者建立对Linux启动流程的清晰认识。我们将探讨如何自定义和优化这一过程,以实现更高效、更稳定的系统运行。
|
21天前
|
存储 缓存 网络协议
Linux操作系统的内核优化与性能调优####
本文深入探讨了Linux操作系统内核的优化策略与性能调优方法,旨在为系统管理员和高级用户提供一套实用的指南。通过分析内核参数调整、文件系统选择、内存管理及网络配置等关键方面,本文揭示了如何有效提升Linux系统的稳定性和运行效率。不同于常规摘要仅概述内容的做法,本摘要直接指出文章的核心价值——提供具体可行的优化措施,助力读者实现系统性能的飞跃。 ####
|
22天前
|
缓存 监控 网络协议
Linux操作系统的内核优化与实践####
本文旨在探讨Linux操作系统内核的优化策略与实际应用案例,深入分析内核参数调优、编译选项配置及实时性能监控的方法。通过具体实例讲解如何根据不同应用场景调整内核设置,以提升系统性能和稳定性,为系统管理员和技术爱好者提供实用的优化指南。 ####
|
25天前
|
运维 监控 Linux
Linux操作系统的守护进程与服务管理深度剖析####
本文作为一篇技术性文章,旨在深入探讨Linux操作系统中守护进程与服务管理的机制、工具及实践策略。不同于传统的摘要概述,本文将以“守护进程的生命周期”为核心线索,串联起Linux服务管理的各个方面,从守护进程的定义与特性出发,逐步深入到Systemd的工作原理、服务单元文件编写、服务状态管理以及故障排查技巧,为读者呈现一幅Linux服务管理的全景图。 ####
|
27天前
|
消息中间件 安全 Linux
深入探索Linux操作系统的内核机制
本文旨在为读者提供一个关于Linux操作系统内核机制的全面解析。通过探讨Linux内核的设计哲学、核心组件、以及其如何高效地管理硬件资源和系统操作,本文揭示了Linux之所以成为众多开发者和组织首选操作系统的原因。不同于常规摘要,此处我们不涉及具体代码或技术细节,而是从宏观的角度审视Linux内核的架构和功能,为对Linux感兴趣的读者提供一个高层次的理解框架。