運行時安全

安全沙箱管理：相比于原有Docker運行時，安全沙箱為您提供了一種新的容器運行時選項，可以讓您的應用運行在一個輕量虛擬機沙箱環境中，擁有獨立的內核，具備更好的安全隔離能力。安全沙箱特別適合于不可信應用隔離、故障隔離、性能隔離、多用戶間負載隔離等場景。在提升安全性的同時，對性能影響非常小，并且具備與Docker容器一樣的用戶體驗，例如日志、監控、彈性等。

可信軟件供應鏈

• 鏡像掃描

  容器鏡像服務支持所有基于Linux的容器鏡像安全掃描，可以識別鏡像中已知的漏洞信息。您可以收到相應的漏洞信息評估和相關的漏洞修復建議，為您大幅降低使用容器的安全風險。容器鏡像服務也接入了云安全的掃描引擎，可支持鏡像系統漏洞、鏡像應用漏洞和鏡像惡意樣本的識別。

• 鏡像簽名

  在容器鏡像管理中，您可以通過內容可信的機制保障鏡像來源的安全性及不被篡改。鏡像的創建者可以對鏡像做數字簽名，數字簽名將保存在容器鏡像服務中。通過在部署前對容器鏡像進行簽名驗證可以確保集群中只部署可信授權方簽名的容器鏡像，降低在您的環境中運行意外或惡意代碼的風險，確保從軟件供應鏈到容器部署流程中應用鏡像的安全和可溯源性。

• 云原生應用交付鏈

  在容器安全高效交付場景中，您可以使用容器鏡像服務的云原生應用交付鏈功能，配置鏡像構建、鏡像掃描、鏡像全球同步和鏡像部署等，自定義細粒度安全策略，實現全鏈路可觀測、可追蹤的安全交付。保障代碼一次提交，全球多地域安全分發和高效部署，將DevOps的交付流程全面升級成DevSecOps。關于云原生應用交付鏈的詳細介紹，請參見創建交付鏈。

基礎架構安全

• 默認安全

  阿里云容器計算服務ACS集群節點，ControlPlane組件配置基于K8s安全基線加固，且集群內所有系統組件均依據容器安全最佳實踐進行了組件配置上的加固，同時保證系統組件鏡像沒有嚴重級別的CVE漏洞。

  在托管集群的Worker節點上，遵循權限最小化原則，節點上綁定的RAM角色對應的阿里云資源訪問權限經過了最小化收斂。更多信息，請參見授權最佳實踐。

• 身份管理

  ACS集群內所有組件之間的通訊鏈路均需要TLS證書校驗，保證全鏈路通訊的數據傳輸安全，同時ACS管控側會負責集群系統組件的證書自動更新。RAM賬號或角色扮演用戶均可以通過控制臺或OpenAPI的方式獲取連接指定集群API Server的Kubeconfig訪問憑證，具體操作，請參見獲取集群KubeConfig并通過kubectl工具連接集群。ACS負責維護訪問憑證中簽發的身份信息，對于可能泄露的已下發Kubeconfig，可以及時進行吊銷操作，具體操作，請參見吊銷集群的KubeConfig憑證。

• 細粒度訪問控制

  基于Kubernetes RBAC實現了對ACS集群內Kubernetes資源的訪問控制，它是保護應用安全的一個基本且必要的加固措施。ACS在控制臺的授權管理頁面中提供了命名空間維度的細粒度RBAC授權能力，主要包括以下幾點。

  • 根據企業內部不同人員對權限需求的不同，系統預置了管理員、運維人員、開發人員等對應的RBAC權限模板，降低了RBAC授權的使用難度。

  • 支持多集群和多個子賬號的批量授權。

  • 支持RAM角色扮演用戶的授權。

  • 支持綁定用戶在集群中自定義的ClusterRole。

  更多信息，請參見配置RAM用戶或RAM角色RBAC權限。

• Secret落盤加密

  Kubernetes原生的Secret模型在etcd落盤時只經過了Base64編碼，為了保護Secret中敏感數據的落盤安全性，在ACS集群中，您可以使用在阿里云密鑰管理服務KMS（Key Management Service）中創建的密鑰加密Kubernetes集群Secret，實現應用敏感數據的落盤加密。