ACK正式支持对基于Alibaba Cloud Linux操作系统的集群进行等保加固
作者:
梅生,阿里云基礎軟件部操作系統產品專家,從事Alibaba Cloud Linux 的產品化相關工作。
伯紀,阿里云基礎軟件部操作系統安全工程師,從事Alibaba Cloud Linux 的等保加固、CIS加固以及機密計算等相關工作。
前言
根據國家信息安全部發布的《GB/T22239-2019信息安全技術網絡安全等級保護基本要求》,其中對操作系統提出了一些等級保護的要求。同時,越來越多的企業、行業開始全面擁抱云原生,并充分利用云原生基礎設施。云原生技術已經無處不在, 作為云原生服務的提供者,阿里云將會持續、高速發展云原生技術。而安全是云原生不可或缺的重要組成部分。Alibaba Cloud Linux 2 作為阿里云官方操作系統鏡像和ACK的首選默認鏡像,為ACK客戶提供了等保加固的方案,來滿足客戶對于阿里云更加簡單、快捷、穩定、安全的使用的需求。當用戶創建ACK集群時,如果選擇Alibaba Cloud Linux 2, 就可以選擇啟動配置等保加固,使集群在創建時自動執行對應的等保加固項,直接滿足國家信息安全部發布的《GB/T22239-2019信息安全技術網絡安全等級保護基本要求》中對操作系統的等級保護要求。具體使用方式請參考:ACK等保加固使用說明。
等保背景知識介紹
網絡安全等級保護制度是我國網絡安全領域的基本國策、基本制度。1994 年,國務院發布《計算機信息系統安全保護條例》147 號令。該條例首次提出“計算機信息系統實行安全等級保護”,安全等級保護理念由此誕生。2007 年和 2008 年,國家頒布《信息安全等級保護管理辦法》和《信息安全等級保護基本要求》。這被視為“等保1.0”。為適應新技術的發展,解決云計算、物聯網、移動互聯和工控領域信息系統的等級保護工作的需要,2019年,由公安部牽頭組織開展了信息技術新領域等級保護重點標準申報國家標準的工作,等級保護正式進入“等保2.0”時代。
ACK等保加固的作用
當前,ACK集群使用Alibaba Cloud Linux 2 操作系統作為集群默認系統鏡像。為了幫助ACK的用戶“開箱即用”地使用“等保操作系統”,在阿里云云原生團隊的支持下,對基于Alibaba Cloud Linux 2 操作系統鏡像的ACK集群,在保障原生鏡像兼容性和性能的基礎上進行了等保合規適配,幫助用戶擺脫復雜的加固操作和繁瑣的配置,讓用戶享受開箱即用的操作系統等保環境。按照《信息安全技術網絡安全等級保護基本要求(GB/T 22239-2019)》,加固后的系統滿足以下檢查項:
檢查項類型 | 檢查項名稱 | 危險等級 |
| 身份鑒別 | 應對登錄的用戶進行身份標識和鑒別,身份標識具有唯一性,身份鑒別信息具有復雜度要求并定期更換 | 高 |
| 身份鑒別 | 當對服務器進行遠程管理時,應采取必要措施,防止鑒別信息在網絡傳輸過程中被竊聽 | 高 |
| 身份鑒別 | 應具有登錄失敗處理功能,應配置并啟用結束會話、限制非法登錄次數和當登錄連接超時自動退出等相關措施 | 高 |
| 訪問控制 | 應對登錄的用戶分配賬戶和權限 | 高 |
| 訪問控制 | 應重命名或刪除默認賬戶,修改默認賬戶的默認口令 | 高 |
| 訪問控制 | 訪問控制的粒度應達到主體為用戶級或進程級,客體為文件、數據庫表級 | 高 |
| 訪問控制 | 應及時刪除或停用多余的、過期的賬戶,避免共享賬戶的存在 | 高 |
| 訪問控制 | 應授予管理用戶所需的最小權限,實現管理用戶的權限分離? | 高 |
| 訪問控制 | 應由授權主體配置訪問控制策略,訪問控制策略規定主體對客體的訪問規則 | 高 |
| 安全審計 | 應對審計記錄進行保護,定期備份,避免受到未預期的刪除、修改或覆蓋等 | 高 |
| 安全審計 | 審計記錄應包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關的信息 | 高 |
| 安全審計 | 應啟用安全審計功能,審計覆蓋到每個用戶,對重要的用戶行為和重要安全事件進行審計 | 高 |
| 安全審計 | 應保護審計進程,避免受到未預期的中斷 | 高 |
| 入侵防范 | 應能發現可能存在的已知漏洞,并在經過充分測試評估后,及時修補漏洞 | 高 |
| 入侵防范 | 應遵循最小安裝的原則,僅安裝需要的組件和應用程序 | 高 |
| 入侵防范 | 應關閉不需要的系統服務、默認共享和高危端口 | 高 |
| 入侵防范 | 應能夠檢測到對重要節點進行入侵的行為,并在發生嚴重入侵事件時提供報警 | 高 |
| 入侵防范 | 應通過設定終端接入方式或網絡地址范圍對通過網絡進行管理的管理終端進行限制 | 高 |
| 惡意代碼防范 | 應安裝防惡意代碼軟件,并及時更新防惡意代碼軟件版本和惡意代碼庫 | 高 |
詳細規則說明請參見Alibaba Cloud Linux等保2.0三級版鏡像檢查規則說明。
ACK等保加固的用法
? ? ? 用戶創建ack集群時,如果在購買界面勾選等保加固,則在集群初始化時會自動執行加固腳本,對ack集群的所有機器進行加固,加固完成后自動刪除加固腳本。具體使用方法參見ACK使用Alibaba Cloud Linux等保2.0三級版。
- 注意:
- 為了滿足滿足等保2.0三級版的標準要求,ACK會在等保加固的Alibaba Cloud Linux 2操作系統中默認創建ack_admin、ack_audit、ack_security三個普通用戶。
- 為了滿足等保2.0三級版的標準要求,等保加固的Alibaba Cloud Linux 2禁止使用Root用戶通過SSH登錄。您可通過ECS控制臺使用VNC方式,登錄系統創建可使用SSH的普通用戶。具體操作,請參見通過VNC遠程連接登錄Linux實例。
加固后的效果可以通過配置對應的等保合規掃描基線進行掃描,這份文檔詳細說明了如何配置等保合規的基線檢查策略:Alibaba Cloud Linux等保2.0三級版鏡像基線檢查策略配置。具體步驟如下:
- 策略名稱:輸入用于識別該策略的名稱。例如:Alibaba Cloud Linux 2等保合規檢查。
- 檢測周期:選擇檢測周期(每隔1天、3天、7天、30天檢測一次)和檢測觸發時間(00:00~06:00、06:00~12:00、12:00~18:00、18:00~24:00)。
- 基線名稱:在搜索框輸入等保合規進行搜索,在搜索結果中選中等保三級-Alibaba Cloud Linux/Aliyun Linux 2合規基線檢查。
- 生效服務器:選擇需要應用該策略的分組資產。新購買的服務器默認歸屬在所有分組的未分組中,如需對新購資產自動應用該策略,請選擇未分組。
您可以單擊進度詳情查看。當顯示如下信息時,表示檢查完畢。
ACK等保加固的意義
伴隨云時代的飛速發展,企業上云的步伐也在逐漸加快,越來越多的客戶將阿里云作為企業上云的不二選擇。我們對基于Alibaba Cloud linux操作系統的ACK集群進行等保加固,意味著阿里云在云產品開發和交付的過程中將安全作為重要組成部分,將合規融入到產品的“血液”中,把安全植入產品的“骨髓”里,能夠幫助有等保訴求的客戶更加快速便捷的上云。
原文鏈接:https://developer.aliyun.com/article/782304?
版權聲明:本文內容由阿里云實名注冊用戶自發貢獻,版權歸原作者所有,阿里云開發者社區不擁有其著作權,亦不承擔相應法律責任。具體規則請查看《阿里云開發者社區用戶服務協議》和《阿里云開發者社區知識產權保護指引》。如果您發現本社區中有涉嫌抄襲的內容,填寫侵權投訴表單進行舉報,一經查實,本社區將立刻刪除涉嫌侵權內容。總結
以上是生活随笔為你收集整理的ACK正式支持对基于Alibaba Cloud Linux操作系统的集群进行等保加固的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 快手基于 Flink 的持续优化与实践
- 下一篇: 小麦助教:通过阿里云原生中间件产品组合,