作者:
梅生,阿裡雲基礎軟體部作業系統産品專家,從事Alibaba Cloud Linux 的産品化相關工作。
伯紀,阿裡雲基礎軟體部作業系統安全工程師,從事Alibaba Cloud Linux 的等保加強、CIS加強以及機密計算等相關工作。
前言
根據國家資訊安全部釋出的
《GB/T22239-2019資訊安全技術網絡安全等級保護基本要求》,其中對作業系統提出了一些等級保護的要求。同時,越來越多的企業、行業開始全面擁抱雲原生,并充分利用雲原生基礎設施。雲原生技術已經無處不在, 作為雲原生服務的提供者,阿裡雲将會持續、高速發展雲原生技術。而安全是雲原生不可或缺的重要組成部分。Alibaba Cloud Linux 2 作為阿裡雲官方作業系統鏡像和ACK的首選預設鏡像,為ACK客戶提供了等保加強的方案,來滿足客戶對于阿裡雲更加簡單、快捷、穩定、安全的使用的需求。當使用者建立ACK叢集時,如果選擇Alibaba Cloud Linux 2, 就可以選擇啟動配置等保加強,使叢集在建立時自動執行對應的等保加強項,直接滿足國家資訊安全部釋出的《GB/T22239-2019資訊安全技術網絡安全等級保護基本要求》中對作業系統的等級保護要求。具體使用方式請參考:
ACK等保加強使用說明。
等保背景知識介紹
網絡安全等級保護制度是我國網絡安全領域的基本國策、基本制度。1994 年,國務院釋出《計算機資訊系統安全保護條例》147 号令。該條例首次提出“計算機資訊系統實行安全等級保護”,安全等級保護理念由此誕生。2007 年和 2008 年,國家頒布《資訊安全等級保護管理辦法》和《資訊安全等級保護基本要求》。這被視為“等保1.0”。為适應新技術的發展,解決雲計算、物聯網、移動互聯和工控領域資訊系統的等級保護工作的需要,2019年,由公安部牽頭組織開展了資訊技術新領域等級保護重點标準申報國家标準的工作,等級保護正式進入“等保2.0”時代。
ACK等保加強的作用
目前,ACK叢集使用Alibaba Cloud Linux 2 作業系統作為叢集預設系統鏡像。為了幫助ACK的使用者“開箱即用”地使用“等保作業系統”,在阿裡雲雲原生團隊的支援下,對基于Alibaba Cloud Linux 2 作業系統鏡像的ACK叢集,在保障原生鏡像相容性和性能的基礎上進行了等保合規适配,幫助使用者擺脫複雜的加強操作和繁瑣的配置,讓使用者享受開箱即用的作業系統等保環境。按照《資訊安全技術網絡安全等級保護基本要求(GB/T 22239-2019)》,加強後的系統滿足以下檢查項:
| 檢查項類型 | 檢查項名稱 | 危險等級 |
| 身份鑒别 | 應對登入的使用者進行身份辨別和鑒别,身份辨別具有唯一性,身份鑒别資訊具有複雜度要求并定期更換 | 高 |
| 當對伺服器進行遠端管理時,應采取必要措施,防止鑒别資訊在網絡傳輸過程中被竊聽 | ||
| 應具有登入失敗處理功能,應配置并啟用結束會話、限制非法登入次數和當登入連接配接逾時自動退出等相關措施 | ||
| 通路控制 | 應對登入的使用者配置設定賬戶和權限 | |
| 應重命名或删除預設賬戶,修改預設賬戶的預設密碼 | ||
| 通路控制的粒度應達到主體為使用者級或程序級,客體為檔案、資料庫表級 | ||
| 應及時删除或停用多餘的、過期的賬戶,避免共享賬戶的存在 | ||
| 應授予管理使用者所需的最小權限,實作管理使用者的權限分離 | ||
| 應由授權主體配置通路控制政策,通路控制政策規定主體對客體的通路規則 | ||
| 安全審計 | 應對審計記錄進行保護,定期備份,避免受到未預期的删除、修改或覆寫等 | |
| 審計記錄應包括事件的日期和時間、使用者、事件類型、事件是否成功及其他與審計相關的資訊 | ||
| 應啟用安全審計功能,審計覆寫到每個使用者,對重要的使用者行為和重要安全事件進行審計 | ||
| 應保護審計程序,避免受到未預期的中斷 | ||
| 入侵防範 | 應能發現可能存在的已知漏洞,并在經過充分測試評估後,及時修補漏洞 | |
| 應遵循最小安裝的原則,僅安裝需要的元件和應用程式 | ||
| 應關閉不需要的系統服務、預設共享和高危端口 | ||
| 應能夠檢測到對重要節點進行入侵的行為,并在發生嚴重入侵事件時提供報警 | ||
| 應通過設定終端接入方式或網絡位址範圍對通過網絡進行管理的管理終端進行限制 | ||
| 惡意代碼防範 | 應安裝防惡意代碼軟體,并及時更新防惡意代碼軟體版本和惡意代碼庫 |
詳細規則說明請參見
Alibaba Cloud Linux等保2.0三級版鏡像檢查規則說明ACK等保加強的用法
使用者建立ack叢集時,如果在購買界面勾選等保加強,則在叢集初始化時會自動執行加強腳本,對ack叢集的所有機器進行加強,加強完成後自動删除加強腳本。具體使用方法參見
ACK使用Alibaba Cloud Linux等保2.0三級版
- 注意:
- 為了滿足滿足等保2.0三級版的标準要求,ACK會在等保加強的Alibaba Cloud Linux 2作業系統中預設建立ack_admin、ack_audit、ack_security三個普通使用者。
- 為了滿足等保2.0三級版的标準要求,等保加強的Alibaba Cloud Linux 2禁止使用Root使用者通過SSH登入。您可通過 ECS控制台 使用VNC方式,登入系統建立可使用SSH的普通使用者。具體操作,請參見 通過VNC遠端連接配接登入Linux執行個體
加強後的效果可以通過配置對應的等保合規掃描基線進行掃描,這份文檔詳細說明了如何配置等保合規的基線檢查政策:
Alibaba Cloud Linux等保2.0三級版鏡像基線檢查政策配置。具體步驟如下:
- 購買雲安全中心企業版。僅企業版支援基線檢查服務。具體操作,請參見 購買雲安全中心
- 登入 ECS管理控制台
- 在左側導航欄,單擊執行個體與鏡像 > 執行個體。
- 在頂部菜單欄左上角處,選擇地域。
- 在執行個體清單中,單擊您已建立的Alibaba Cloud Linux作業系統的ECS執行個體ID。
- 在執行個體詳情頁簽,單擊右側的安全防護狀态。
- 在雲安全中心管理控制台,配置并執行等保合規的基線檢查政策。
- 在左側導航欄,選擇安全防範 > 基線檢查。
- 在基線檢查政策區域,單擊預設政策,然後單擊+添加政策。
- 在基線檢查政策面闆,完成配置,并單擊确定。配置說明如下:
- 政策名稱:輸入用于識别該政策的名稱。例如:
Alibaba Cloud Linux 2等保合規檢查
- 檢測周期:選擇檢測周期(每隔1天、3天、7天、30天檢測一次)和檢測觸發時間(00:00~06:00、06:00~12:00、12:00~18:00、18:00~24:00)。
- 基線名稱:在搜尋框輸入等保合規進行搜尋,在搜尋結果中選中等保三級-Alibaba Cloud Linux/Aliyun Linux 2合規基線檢查。
- 生效伺服器:選擇需要應用該政策的分組資産。新購買的伺服器預設歸屬在所有分組的未分組中,如需對新購資産自動應用該政策,請選擇未分組。
- 關于基線檢查政策的詳細說明,請參見 設定基線檢查政策
- 在基線檢查頁面的右上角,單擊政策管理。
- 在面闆底部,選中基線檢查等級的高和中,并單擊确定。
- 在基線檢查政策區域,單擊預設政策,然後單擊已建立的政策名稱。
- 單擊立即檢查。
您可以單擊進度詳情檢視。當顯示如下資訊時,表示檢查完畢。
- 檢查完畢後,在基線檢查頁面的清單中,單擊基線名稱。
- 在等保三級-Alibaba Cloud Linux/Aliyun Linux 2合規基線檢查面闆,檢視檢查結果。您可以檢視或驗證基線檢查結果,也可以使用快照復原執行個體。具體操作,請參見 檢視和處理基線檢查結果
ACK等保加強的意義
伴随雲時代的飛速發展,企業上雲的步伐也在逐漸加快,越來越多的客戶将阿裡雲作為企業上雲的不二選擇。我們對基于Alibaba Cloud linux作業系統的ACK叢集進行等保加強,意味着阿裡雲在雲産品開發和傳遞的過程中将安全作為重要組成部分,将合規融入到産品的“血液”中,把安全植入産品的“骨髓”裡,能夠幫助有等保訴求的客戶更加快速便捷的上雲。
掃碼了解更多技術幹貨與客戶案例:
