ACK正式支持对基于Alibaba Cloud Linux操作系统的集群进行等保加固

简介: 我们对基于Alibaba Cloud linux操作系统的ACK集群进行等保加固,意味着阿里云在云产品开发和交付的过程中将安全作为重要组成部分,将合规融入到产品的“血液”中,把安全植入产品的“骨髓”里,能够帮助有等保诉求的客户更加快速便捷的上云。

前言

根据国家信息安全部发布的《GB/T22239-2019信息安全技术网络安全等级保护基本要求》,其中对操作系统提出了一些等级保护的要求。同时,越来越多的企业、行业开始全面拥抱云原生,并充分利用云原生基础设施。云原生技术已经无处不在, 作为云原生服务的提供者,阿里云将会持续、高速发展云原生技术。而安全是云原生不可或缺的重要组成部分。Alibaba Cloud Linux 2 作为阿里云官方操作系统镜像和ACK的首选默认镜像,为ACK客户提供了等保加固的方案,来满足客户对于阿里云更加简单、快捷、稳定、安全的使用的需求。当用户创建ACK集群时,如果选择Alibaba Cloud Linux 2, 就可以选择启动配置等保加固,使集群在创建时自动执行对应的等保加固项,直接满足国家信息安全部发布的《GB/T22239-2019信息安全技术网络安全等级保护基本要求》中对操作系统的等级保护要求。具体使用方式请参考:ACK等保加固使用说明。

等保背景知识介绍

网络安全等级保护制度是我国网络安全领域的基本国策、基本制度。1994 年,国务院发布《计算机信息系统安全保护条例》147 号令。该条例首次提出“计算机信息系统实行安全等级保护”,安全等级保护理念由此诞生。2007 年和 2008 年,国家颁布《信息安全等级保护管理办法》和《信息安全等级保护基本要求》。这被视为“等保1.0”。为适应新技术的发展,解决云计算、物联网、移动互联和工控领域信息系统的等级保护工作的需要,2019年,由公安部牵头组织开展了信息技术新领域等级保护重点标准申报国家标准的工作,等级保护正式进入“等保2.0”时代。

ACK等保加固的作用

当前,ACK集群使用Alibaba Cloud Linux 2 操作系统作为集群默认系统镜像。为了帮助ACK的用户“开箱即用”地使用“等保操作系统”,在阿里云云原生团队的支持下,对基于Alibaba Cloud Linux 2 操作系统镜像的ACK集群,在保障原生镜像兼容性和性能的基础上进行了等保合规适配,帮助用户摆脱复杂的加固操作和繁琐的配置,让用户享受开箱即用的操作系统等保环境。按照《信息安全技术网络安全等级保护基本要求(GB/T 22239-2019)》,加固后的系统满足以下检查项:

检查项类型

检查项名称

危险等级

身份鉴别

应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换

身份鉴别

当对服务器进行远程管理时,应采取必要措施,防止鉴别信息在网络传输过程中被窃听

身份鉴别

应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施

访问控制

应对登录的用户分配账户和权限

访问控制

应重命名或删除默认账户,修改默认账户的默认口令

访问控制

访问控制的粒度应达到主体为用户级或进程级,客体为文件、数据库表级

访问控制

应及时删除或停用多余的、过期的账户,避免共享账户的存在

访问控制

应授予管理用户所需的最小权限,实现管理用户的权限分离

访问控制

应由授权主体配置访问控制策略,访问控制策略规定主体对客体的访问规则

安全审计

应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等

安全审计

审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息

安全审计

应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计

安全审计

应保护审计进程,避免受到未预期的中断

入侵防范

应能发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞

入侵防范

应遵循最小安装的原则,仅安装需要的组件和应用程序

入侵防范

应关闭不需要的系统服务、默认共享和高危端口

入侵防范

应能够检测到对重要节点进行入侵的行为,并在发生严重入侵事件时提供报警

入侵防范

应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制

恶意代码防范

应安装防恶意代码软件,并及时更新防恶意代码软件版本和恶意代码库

详细规则说明请参见Alibaba Cloud Linux等保2.0三级版镜像检查规则说明。

ACK等保加固的用法

用户创建ack集群时,如果在购买界面勾选等保加固,则在集群初始化时会自动执行加固脚本,对ack集群的所有机器进行加固,加固完成后自动删除加固脚本。具体使用方法参见ACK使用Alibaba Cloud Linux等保2.0三级版。

 

注意:

  • 为了满足满足等保2.0三级版的标准要求,ACK会在等保加固的Alibaba Cloud Linux 2操作系统中默认创建ack_admin、ack_audit、ack_security三个普通用户。
  • 为了满足等保2.0三级版的标准要求,等保加固的Alibaba Cloud Linux 2禁止使用Root用户通过SSH登录。您可通过ECS控制台使用VNC方式,登录系统创建可使用SSH的普通用户。具体操作,请参见通过VNC远程连接登录Linux实例。

加固后的效果可以通过配置对应的等保合规扫描基线进行扫描,这份文档详细说明了如何配置等保合规的基线检查策略:Alibaba Cloud Linux等保2.0三级版镜像基线检查策略配置。具体步骤如下:

 

  1. 购买云安全中心企业版。仅企业版支持基线检查服务。具体操作,请参见购买云安全中心。
  2. 登录ECS管理控制台。
  3. 在左侧导航栏,单击实例与镜像 > 实例
  4. 在顶部菜单栏左上角处,选择地域。
  5. 实例列表中,单击您已创建的Alibaba Cloud Linux操作系统的ECS实例ID。
  6. 实例详情页签,单击右侧的安全防护状态

 

在云安全中心管理控制台,配置并执行等保合规的基线检查策略。

在左侧导航栏,选择安全防范 > 基线检查

基线检查策略区域,单击默认策略,然后单击+添加策略

 

  1. 基线检查策略面板,完成配置,并单击确定。配置说明如下:

 

  • 策略名称:输入用于识别该策略的名称。例如:Alibaba Cloud Linux 2等保合规检查。
  • 检测周期:选择检测周期(每隔1天、3天、7天、30天检测一次)和检测触发时间(00:00~06:00、06:00~12:00、12:00~18:00、18:00~24:00)。
  • 基线名称:在搜索框输入等保合规进行搜索,在搜索结果中选中等保三级-Alibaba Cloud Linux/Aliyun Linux 2合规基线检查

 

  • 生效服务器:选择需要应用该策略的分组资产。新购买的服务器默认归属在所有分组未分组中,如需对新购资产自动应用该策略,请选择未分组
  1. 关于基线检查策略的详细说明,请参见设置基线检查策略。
  2. 基线检查页面的右上角,单击策略管理
  3. 在面板底部,选中基线检查等级,并单击确定
  4. 基线检查策略区域,单击默认策略,然后单击已创建的策略名称。
  5. 单击立即检查

 

 

检查完毕后,在基线检查页面的列表中,单击基线名称。

 

  1. 等保三级-Alibaba Cloud Linux/Aliyun Linux 2合规基线检查面板,查看检查结果。您可以查看或验证基线检查结果,也可以使用快照回滚实例。具体操作,请参见查看和处理基线检查结果。

ACK等保加固的意义

伴随云时代的飞速发展,企业上云的步伐也在逐渐加快,越来越多的客户将阿里云作为企业上云的不二选择。我们对基于Alibaba Cloud linux操作系统的ACK集群进行等保加固,意味着阿里云在云产品开发和交付的过程中将安全作为重要组成部分,将合规融入到产品的“血液”中,把安全植入产品的“骨髓”里,能够帮助有等保诉求的客户更加快速便捷的上云。

作者:梅生,阿里云基础软件部操作系统产品专家,从事Alibaba Cloud Linux 的产品化相关工作。

伯纪,阿里云基础软件部操作系统安全工程师,从事Alibaba Cloud Linux 的等保加固、CIS加固以及机密计算等相关工作。

原文链接

本文为阿里云原创内容,未经允许不得转载

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/514146.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

华为一口气发布十余款新品,HarmonyOS用户过亿

9月13日19:30,华为在线上举办了智慧办公新品发布会。本次发布会带来了华为MateBook 13s笔记本电脑、华为MateBook 14s笔记本电脑、华为MateStation X一体机、华为PixLab X1打印机、华为MateView GT 27英寸曲面屏显示器以及华为MatePad Pro 12.6英寸套装版等十余款新…

labelme实例分割_MaskRCNN在多个实例数据集上实践

刚刚开通付费功能,好奇心驱使我试试效果,这不,前两天试了一下,感觉也没啥新奇的。我的公众号使命是记录和分享个人学习经历,不会使用付费功能的。在此也非常感谢之前给我付费的小伙伴哈,哈哈,话…

技术干货 | 阿里云数据库PostgreSQL 13大版本揭秘

简介: 阿里云RDS PostgreSQL是一款兼容开源PostgreSQL的全托管云数据库产品,自2015年首次发布以来,根据用户需求不断升级迭代,已支持9.4、10、11、12等多个版本,覆盖了高可用版、基础版、只读实例等多种形态&#xff0…

国家能源集团携手华为首次部署矿鸿操作系统,开创工控新纪元

9月14日,由国家能源集团携手华为公司共同举办的“矿鸿操作系统”发布会在北京圆满举行。矿监局、工信部、科技部、能源局、煤炭工业协会、国家能源集团、华为等政府机构与企业代表出席,共同见证了“矿鸿操作系统”的正式发布。面对煤矿数字化、智能化的快…

MaxCompute在电商场景中如何进行漏斗模型分析

简介: 本文以某电商案例为例,通过案例为您介绍如何使用离线计算并制作漏斗图。 背景 漏斗模型其实是通过产品各项数据的转化率来判断产品运营情况的工具。转化漏斗则是通过各阶段数据的转化,来判断产品在哪一个环节出了问题,然后…

ado.net mysql 事务_ADO.NET事务

在发布System.Transaction命名空间之前,可以直接用ADO.NET创建事务,也可以通过组件、特性和COM运行库(位于System.EnterpriseServices命名空间中)进行事务处理。本文如题所示,介绍在这些传统事务处理方式中较为简单的“ASP.NET事务”。在传统…

这可能是大型复杂项目下数据流的最佳实践

简介: 实际项目中沉淀的数据流最佳实践。 数据流是前端一直以来都存在的一个问题,我们项目沉淀了一套最佳实践,如有问题,欢迎探讨 在旧的 Done 项目中,代码复杂度高,已经到了“牵一发而动全身”&#xff0c…

淘宝推荐、视频搜索背后的检索技术竟是它!深度揭秘达摩院向量检索引擎Proxima

简介: 淘宝搜索推荐、视频搜索的背后使用了什么样的检索技术?非结构化数据检索,向量检索,以及多模态检索,它们到底解决了什么问题?今天由阿里巴巴达摩院的科学家从业务问题出发,抽丝剥茧&#x…

ipython和jupyter哪个好_对Python开发者而言,IPython仍然是Jupyter Notebook的核心

如果你不明白 Jupyter 是什么,这么说吧,它拥有和 IPython 同样的代码,并且是由同一批人开发的,只不过取了一个新名字、安了一个新家。下面这个注脚进一步说明了这一点:我从声明中解读出来的信息是,“Jupyte…

这个高薪行业正在大量招人,你会考虑吗?

作者 | 侯淼淼 出品 | 《新程序员》当人们提及“程序员”这一职业的时候,大多数人的第一想法往往是高薪。然而近年来,随着造车势力的兴起,新一轮的高薪岗位抢人大战正式打响。2021年以来,一汽、东风等传统车厂招聘岗位数量持…

AI在出行场景的应用实践:路线规划、ETA、动态事件挖掘…

简介: 本文是#春招专栏#系列的第1篇,根据高德机器学习研发部负责人damon在AT技术讲坛所分享的《AI在出行领域的应用实践》的内容整理而成。 前言:又到春招季!作为国民级出行服务平台,高德业务快速发展,大量…

lsof查看进程占用文件_Linux 利用lsof命令查找已经删除的文件来释放磁盘空间

测试环境一台服务器/ 根目录空间使用率达到94%,但是通过du -sh * 发现实际空间没没用用到那么多,初步怀疑,之前删除的文件,有运行中的进程一直占用,导致空间没有释放,如图通过du -sh * 发现共实际使用不到1…

AcWing 1238. 日志统计(双指针,滑动窗口)

题目&#xff1a; 1238. 日志统计 - AcWing题库 数据范围 输入样例&#xff1a; 7 10 2 0 1 0 10 10 10 10 1 9 1 100 3 100 3输出样例&#xff1a; 1 3 思路&#xff1a;双指针 代码&#xff1a; #include<iostream> #include<cstdio> #include<cmath>…

基于 Wasm 和 ORAS 简化扩展服务网格功能

简介&#xff1a; 本文将介绍如何使用 ORAS 客户端将具有允许的媒体类型的 Wasm 模块推送到 ACR 注册库&#xff08;一个 OCI 兼容的注册库&#xff09;中&#xff0c;然后通过 ASM 控制器将 Wasm Filter 部署到指定工作负载对应的 Pod 中。Wasm Filter 部署中的所有步骤都使用…

漫话:如何给女朋友解释什么是元宇宙?

作者 | 漫话编程来源 | 漫话编程Metaverse元宇宙这个词&#xff0c;第一次出现是在1992 年&#xff0c;美国著名科幻作家尼尔・斯蒂芬森&#xff08;Neal Stephenson&#xff09;的小说《雪崩&#xff08;Snow Crash&#xff09;》中。在书中&#xff0c;尼尔・斯蒂芬森描述了一…

浅谈分库分表那些事儿

简介&#xff1a; 本文主要阐述在分库分表改造过程中需要考虑的因素以及对应的解法&#xff0c;还有踩过的那些坑。 本文适合阅读群众&#xff1a;需要从单库单表改造为多库多表的新手。 本文主要阐述在分库分表改造过程中需要考虑的因素以及对应的解法&#xff0c;还有踩过的…

java上传大文件_Java超大文件上传解决办法

这里只写后端的代码&#xff0c;基本的思想就是&#xff0c;前端将文件分片&#xff0c;然后每次访问上传接口的时候&#xff0c;向后端传入参数&#xff1a;当前为第几块文件&#xff0c;和分片总数下面直接贴代码吧&#xff0c;一些难懂的我大部分都加上注释了&#xff1a;上…

剪了 20% 的刘海、120Hz 刷新率、1TB 存储,iPhone 13 来了!

作者 | 苏宓出品 | CSDN&#xff08;ID&#xff1a;CSDNnews&#xff09;2011 年 8 月 24 日&#xff0c;乔布斯表示「无法继续担任苹果首席执行官的这一天终于来临」&#xff0c;随后彼时的代理首席执行官蒂姆库克被任命为正式首席执行官&#xff0c;成为苹果公司的新任掌舵者…

阿里云AHAS Chaos:应用及业务高可用提升工具平台之故障演练

简介&#xff1a; 阿里云AHAS Chaos&#xff1a;应用及业务高可用提升工具平台之故障演练 应用高可用服务AHAS及故障演练AHAS Chaos 应用高可用服务&#xff08;Application High Availability Service&#xff09;是阿里云一款专注于提高应用及业务高可用的工具平台&#xff…

SAE助力「海底小纵队学英语」全面拥抱Serverless,节省25%以上成本

简介&#xff1a; 阿里云Serveless应用引擎SAE 具备免运维IaaS、按需使用、按量计费、低门槛服务应用上云&#xff0c;并且支持多种语言和高弹性能力等特点&#xff0c;刚好完美解决了客户长期以来运维复杂、资源利用率不高、开发迭代效率低等问题。 海底小纵队学英语隶属于成都…