安全巡檢

集群的應(yīng)用開發(fā)人員應(yīng)該遵循權(quán)限的最小化原則配置應(yīng)用部署模板，攻擊者往往是利用應(yīng)用Pod中開啟的不必要的特權(quán)能力發(fā)起逃逸攻擊，因此阿里云容器服務(wù)Kubernetes版ACK（Alibaba Cloud Container Service for Kubernetes）提供了應(yīng)用運(yùn)行時(shí)刻的安全配置巡檢能力，幫助您實(shí)時(shí)了解當(dāng)前狀態(tài)下運(yùn)行應(yīng)用的配置是否存在安全隱患。

巡檢結(jié)果支持以報(bào)表化的方式展示，同時(shí)展示巡檢對(duì)應(yīng)掃描項(xiàng)的說明和修復(fù)建議。您還可以配置定期巡檢，對(duì)應(yīng)的掃描結(jié)果會(huì)寫入到SLS指定的日志庫中存儲(chǔ)。具體操作，請(qǐng)參見使用配置巡檢檢查集群Workload安全隱患。

策略管理

ACK基于使用OPA策略的Gatekeeper準(zhǔn)入控制器，擴(kuò)展了策略治理狀態(tài)統(tǒng)計(jì)和日志上報(bào)檢索等能力，同時(shí)內(nèi)置了種類豐富的策略治理規(guī)則庫，提供更多符合K8s應(yīng)用場(chǎng)景的策略規(guī)則。您可以在容器服務(wù)管理控制臺(tái)上進(jìn)行策略治理規(guī)則可視化配置，降低使用策略治理相關(guān)能力的門檻。更多信息，請(qǐng)參見配置容器安全策略（新版）。

通過使用ACK策略管理能力，可以幫助企業(yè)安全運(yùn)維人員在應(yīng)用部署階段自動(dòng)化阻斷不符合策略要求的風(fēng)險(xiǎn)應(yīng)用，提升集群內(nèi)應(yīng)用運(yùn)行時(shí)安全水位，降低企業(yè)應(yīng)用開發(fā)和運(yùn)維團(tuán)隊(duì)的溝通和學(xué)習(xí)成本。

運(yùn)行時(shí)監(jiān)控和告警

安全沙箱管理

相比于原有Docker運(yùn)行時(shí)，安全沙箱為您提供了一種新的容器運(yùn)行時(shí)選項(xiàng)，可以讓您的應(yīng)用運(yùn)行在一個(gè)輕量虛擬機(jī)沙箱環(huán)境中，擁有獨(dú)立的內(nèi)核，具備更好的安全隔離能力。

安全沙箱特別適合于不可信應(yīng)用隔離、故障隔離、性能隔離、多用戶間負(fù)載隔離等場(chǎng)景。在提升安全性的同時(shí)，對(duì)性能影響非常小，并且具備與Docker容器一樣的用戶體驗(yàn)，例如日志、監(jiān)控、彈性等。關(guān)于安全沙箱管理的詳細(xì)介紹，請(qǐng)參見安全沙箱概述。

ACK-TEE機(jī)密計(jì)算

當(dāng)面向諸如金融、政府等有很強(qiáng)安全訴求的應(yīng)用場(chǎng)景時(shí)，ACK-TEE機(jī)密計(jì)算提供了基于硬件加密技術(shù)的云原生一站式機(jī)密計(jì)算容器平臺(tái) ，它可以幫助您保護(hù)數(shù)據(jù)使用（計(jì)算）過程中的安全性、完整性和機(jī)密性，同時(shí)簡(jiǎn)化了可信或機(jī)密應(yīng)用的開發(fā)、交付和管理成本。

機(jī)密計(jì)算可以讓您把重要的數(shù)據(jù)和代碼放在一個(gè)特殊的可信執(zhí)行加密環(huán)境（Trusted Execution Environment，TEE）中，而不會(huì)暴露給系統(tǒng)其他部分，其他應(yīng)用、BIOS、OS、Kernel、管理員、運(yùn)維人員、云廠商，甚至除了CPU以外的其他硬件均無法訪問機(jī)密計(jì)算平臺(tái)數(shù)據(jù)，極大減少敏感數(shù)據(jù)的泄露風(fēng)險(xiǎn)，為您提供了更好的控制、透明度和隱秘性。更多信息，請(qǐng)參見ACK-TEE機(jī)密計(jì)算介紹。

鏡像掃描

容器鏡像服務(wù)支持所有基于Linux的容器鏡像安全掃描，可以識(shí)別鏡像中已知的漏洞信息。您可以收到相應(yīng)的漏洞信息評(píng)估和相關(guān)的漏洞修復(fù)建議，為您大幅降低使用容器的安全風(fēng)險(xiǎn)。容器鏡像服務(wù)也接入了云安全的掃描引擎，可支持鏡像系統(tǒng)漏洞、鏡像應(yīng)用漏洞和鏡像惡意樣本的識(shí)別。關(guān)于鏡像掃描的詳細(xì)介紹，請(qǐng)參見安全掃描容器鏡像。

鏡像簽名

在容器鏡像管理中，您可以通過內(nèi)容可信的機(jī)制保障鏡像來源的安全性及不被篡改。鏡像的創(chuàng)建者可以對(duì)鏡像做數(shù)字簽名，數(shù)字簽名將保存在容器鏡像服務(wù)中。通過在部署前對(duì)容器鏡像進(jìn)行簽名驗(yàn)證可以確保集群中只部署可信授權(quán)方簽名的容器鏡像，降低在您的環(huán)境中運(yùn)行意外或惡意代碼的風(fēng)險(xiǎn)，確保從軟件供應(yīng)鏈到容器部署流程中應(yīng)用鏡像的安全和可溯源性。關(guān)于鏡像簽名和驗(yàn)簽的配置使用流程，請(qǐng)參見使用kritis-validation-hook組件實(shí)現(xiàn)自動(dòng)驗(yàn)證容器鏡像簽名。

云原生應(yīng)用交付鏈

在容器安全高效交付場(chǎng)景中，您可以使用容器鏡像服務(wù)的云原生應(yīng)用交付鏈功能，配置鏡像構(gòu)建、鏡像掃描、鏡像全球同步和鏡像部署等，自定義細(xì)粒度安全策略，實(shí)現(xiàn)全鏈路可觀測(cè)、可追蹤的安全交付。保障代碼一次提交，全球多地域安全分發(fā)和高效部署，將DevOps的交付流程全面升級(jí)成DevSecOps。關(guān)于云原生應(yīng)用交付鏈的詳細(xì)介紹，請(qǐng)參見創(chuàng)建交付鏈。

默認(rèn)安全

身份管理

ACK集群內(nèi)所有組件之間的通訊鏈路均需要TLS證書校驗(yàn)，保證全鏈路通訊的數(shù)據(jù)傳輸安全，同時(shí)ACK管控側(cè)會(huì)負(fù)責(zé)集群系統(tǒng)組件的證書自動(dòng)更新。RAM賬號(hào)或角色扮演用戶均可以通過控制臺(tái)或OpenAPI的方式獲取連接指定集群API Server的Kubeconfig訪問憑證，具體操作，請(qǐng)參見獲取集群KubeConfig接口。ACK負(fù)責(zé)維護(hù)訪問憑證中簽發(fā)的身份信息，對(duì)于可能泄露的已下發(fā)Kubeconfig，可以及時(shí)進(jìn)行吊銷操作，具體操作，請(qǐng)參見吊銷集群的KubeConfig憑證。

在集群創(chuàng)建時(shí)，ACK支持服務(wù)賬戶令牌卷投影（Service Account Token Volume Projection）特性以增強(qiáng)在應(yīng)用中使用ServiceAccount的安全性。具體操作，請(qǐng)參見部署服務(wù)賬戶令牌卷投影。

細(xì)粒度訪問控制

基于Kubernetes RBAC實(shí)現(xiàn)了對(duì)ACK集群內(nèi)Kubernetes資源的訪問控制，它是保護(hù)應(yīng)用安全的一個(gè)基本且必要的加固措施。ACK在控制臺(tái)的授權(quán)管理頁面中提供了命名空間維度的細(xì)粒度RBAC授權(quán)能力，主要包括以下幾點(diǎn)。

• 根據(jù)企業(yè)內(nèi)部不同人員對(duì)權(quán)限需求的不同，系統(tǒng)預(yù)置了管理員、運(yùn)維人員、開發(fā)人員等對(duì)應(yīng)的RBAC權(quán)限模板，降低了RBAC授權(quán)的使用難度。

• 支持多集群和多個(gè)子賬號(hào)的批量授權(quán)。

• 支持RAM角色扮演用戶的授權(quán)。

• 支持綁定用戶在集群中自定義的ClusterRole。

更多信息，請(qǐng)參見配置RAM用戶或RAM角色的RBAC權(quán)限。

ACK同時(shí)支持以組件管理的方式安裝Gatekeeper組件，提供基于OPA策略引擎的細(xì)粒度訪問控制能力。具體操作，請(qǐng)參見gatekeeper。

審計(jì)

Secret落盤加密

Kubernetes原生的Secret模型在etcd落盤時(shí)只經(jīng)過了Base64編碼，為了保護(hù)Secret中敏感數(shù)據(jù)的落盤安全性，在ACK Pro托管集群中，您可以使用在阿里云密鑰管理服務(wù)KMS（Key Management Service）中創(chuàng)建的密鑰加密Kubernetes集群Secret，實(shí)現(xiàn)應(yīng)用敏感數(shù)據(jù)的落盤加密。具體操作，請(qǐng)參見使用阿里云KMS進(jìn)行Secret的落盤加密。