简介:咱们对基于 Alibaba Cloud linux 操作系统的 ACK 集群进行等保加固,意味着阿里云在云产品开发和交付的过程中将平安作为重要组成部分,将合规融入到产品的“血液”中,把平安植入产品的“骨髓”里,可能帮忙有等保诉求的客户更加疾速便捷的上云。
前言
依据国家信息安全部公布的《GB/T22239-2019 信息安全技术网络安全等级爱护根本要求》,其中对操作系统提出了一些等级爱护的要求。同时,越来越多的企业、行业开始全面拥抱云原生,并充分利用云原生基础设施。云原生技术曾经无处不在, 作为云原生服务的提供者,阿里云将会继续、高速倒退云原生技术。而平安是云原生不可或缺的重要组成部分。Alibaba Cloud Linux 2 作为阿里云官网操作系统镜像和 ACK 的首选默认镜像,为 ACK 客户提供了等保加固的计划,来满足客户对于阿里云更加简略、快捷、稳固、平安的应用的需要。当用户创立 ACK 集群时,如果抉择 Alibaba Cloud Linux 2, 就能够抉择启动配置等保加固,使集群在创立时主动执行对应的等保加固项,间接满足国家信息安全部公布的《GB/T22239-2019 信息安全技术网络安全等级爱护根本要求》中对操作系统的等级爱护要求。具体应用形式请参考:ACK 等保加固应用阐明。
等保背景常识介绍
网络安全等级爱护制度是我国网络安全畛域的基本国策、根本制度。1994 年,国务院公布《计算机信息系统安全爱护条例》147 号令。该条例首次提出“计算机信息零碎履行安全等级爱护”,安全等级爱护理念由此诞生。2007 年和 2008 年,国家颁布《信息安全等级爱护治理方法》和《信息安全等级爱护根本要求》。这被视为 “等保 1.0”。为适应新技术的倒退,解决云计算、物联网、挪动互联和工控畛域信息系统的等级爱护工作的须要,2019 年,由公安部牵头组织发展了信息技术新畛域等级爱护重点规范申报国家标准的工作,等级爱护正式进入“等保 2.0” 时代。
ACK 等保加固的作用
以后,ACK 集群应用 Alibaba Cloud Linux 2 操作系统作为集群默认零碎镜像。为了帮忙 ACK 的用户“开箱即用”地应用“等保操作系统”,在阿里云云原生团队的反对下,对基于 Alibaba Cloud Linux 2 操作系统镜像的 ACK 集群,在保障原生镜像兼容性和性能的根底上进行了等保合规适配,帮忙用户解脱简单的加固操作和繁琐的配置,让用户享受开箱即用的操作系统等保环境。依照《信息安全技术网络安全等级爱护根本要求(GB/T 22239-2019)》,加固后的零碎满足以下查看项:
查看项类型
查看项名称
危险等级
身份甄别
应答登录的用户进行身份标识和甄别,身份标识具备唯一性,身份鉴别信息具备复杂度要求并定期更换
高
身份甄别
当对服务器进行远程管理时,应采取必要措施,避免鉴别信息在网络传输过程中被窃听
高
身份甄别
应具备登录失败解决性能,应配置并启用完结会话、限度非法登录次数和当登录连贯超时主动退出等相干措施
高
访问控制
应答登录的用户调配账户和权限
高
访问控制
应重命名或删除默认账户,批改默认账户的默认口令
高
访问控制
访问控制的粒度应达到主体为用户级或过程级,客体为文件、数据库表级
高
访问控制
应及时删除或停用多余的、过期的账户,防止共享账户的存在
高
访问控制
应授予治理用户所需的最小权限,实现治理用户的权限拆散
高
访问控制
应由受权主体配置拜访控制策略,拜访控制策略规定主体对客体的拜访规定
高
平安审计
应答审计记录进行爱护,定期备份,防止受到未预期的删除、批改或笼罩等
高
平安审计
审计记录应包含事件的日期和工夫、用户、事件类型、事件是否胜利及其他与审计相干的信息
高
平安审计
应启用平安审计性能,审计笼罩到每个用户,对重要的用户行为和重要安全事件进行审计
高
平安审计
应爱护审计过程,防止受到未预期的中断
高
入侵防备
应能发现可能存在的已知破绽,并在通过充沛测试评估后,及时修补破绽
高
入侵防备
应遵循最小装置的准则,仅装置须要的组件和应用程序
高
入侵防备
应敞开不须要的零碎服务、默认共享和高危端口
高
入侵防备
应可能检测到对重要节点进行入侵的行为,并在产生重大入侵事件时提供报警
高
入侵防备
应通过设定终端接入形式或网络地址范畴对通过网络进行治理的治理终端进行限度
高
恶意代码防备
应装置防恶意代码软件,并及时更新防恶意代码软件版本和恶意代码库
高
具体规定阐明请参见 Alibaba Cloud Linux 等保 2.0 三级版镜像查看规定阐明。
ACK 等保加固的用法
用户创立 ack 集群时,如果在购买界面勾选等保加固,则在集群初始化时会主动执行加固脚本,对 ack 集群的所有机器进行加固,加固实现后主动删除加固脚本。具体应用办法参见 ACK 应用 Alibaba Cloud Linux 等保 2.0 三级版。
留神:
- 为了满足满足等保 2.0 三级版的规范要求,ACK 会在等保加固的 Alibaba Cloud Linux 2 操作系统中默认创立 ack_admin、ack_audit、ack_security 三个普通用户。
- 为了满足等保 2.0 三级版的规范要求,等保加固的 Alibaba Cloud Linux 2 禁止应用 Root 用户通过 SSH 登录。您可通过 ECS 控制台应用 VNC 形式,登录零碎创立可应用 SSH 的普通用户。具体操作,请参见通过 VNC 近程连贯登录 Linux 实例。
加固后的成果能够通过配置对应的等保合规扫描基线进行扫描,这份文档具体阐明了如何配置等保合规的基线查看策略:Alibaba Cloud Linux 等保 2.0 三级版镜像基线查看策略配置。具体步骤如下:
- 购买云平安核心企业版。仅企业版反对基线查看服务。具体操作,请参见购买云平安核心。
- 登录 ECS 治理控制台。
- 在左侧导航栏,单击 实例与镜像 > 实例。
- 在顶部菜单栏左上角处,抉择地区。
- 在 实例列表 中,单击您已创立的 Alibaba Cloud Linux 操作系统的 ECS 实例 ID。
- 在 实例详情 页签,单击右侧的 平安防护状态。
在云平安核心治理控制台,配置并执行等保合规的基线查看策略。
在左侧导航栏,抉择 平安防备 > 基线查看。
在 基线查看策略 区域,单击 默认策略,而后单击+ 增加策略。
- 在 基线查看策略 面板,实现配置,并单击 确定。配置阐明如下:
- 策略名称:输出用于辨认该策略的名称。例如:Alibaba Cloud Linux 2 等保合规查看。
- 检测周期:抉择检测周期(每隔 1 天、3 天、7 天、30 天检测一次)和检测触发工夫(00:00~06:00、06:00~12:00、12:00~18:00、18:00~24:00)。
- 基线名称 :在搜寻框输出等保合规进行搜寻,在搜寻后果中选中 等保三级 -Alibaba Cloud Linux/Aliyun Linux 2 合规基线查看。
- 失效服务器 :抉择须要利用该策略的分组资产。新购买的服务器默认归属在 所有分组 的未分组 中,如需对新购资产主动利用该策略,请抉择 未分组。
- 对于基线查看策略的具体阐明,请参见设置基线查看策略。
- 在 基线查看 页面的右上角,单击 策略管理。
- 在面板底部,选中 基线查看等级 的高 和中 ,并单击 确定。
- 在 基线查看策略 区域,单击 默认策略,而后单击已创立的策略名称。
- 单击 立刻查看。
查看结束后,在 基线查看 页面的列表中,单击基线名称。
- 在 等保三级 -Alibaba Cloud Linux/Aliyun Linux 2 合规基线查看 面板,查看查看后果。您能够查看或验证基线查看后果,也能够应用快照回滚实例。具体操作,请参见查看和解决基线查看后果。
ACK 等保加固的意义
随同云时代的飞速发展,企业上云的步调也在逐步放慢,越来越多的客户将阿里云作为企业上云的不二抉择。咱们对基于 Alibaba Cloud linux 操作系统的 ACK 集群进行等保加固,意味着阿里云在云产品开发和交付的过程中将平安作为重要组成部分,将合规融入到产品的“血液”中,把平安植入产品的“骨髓”里,可能帮忙有等保诉求的客户更加疾速便捷的上云。
作者:梅生,阿里云根底软件部操作系统产品专家,从事 Alibaba Cloud Linux 的产品化相干工作。
伯纪,阿里云根底软件部操作系统平安工程师,从事 Alibaba Cloud Linux 的等保加固、CIS 加固以及秘密计算等相干工作。
原文链接
本文为阿里云原创内容,未经容许不得转载