如果您的業務部署在阿里云Serverless資產(例如通過ACK Serverless集群創建的彈性容器實例 ECI(Elastic Container Instance)、Serverless 應用引擎 SAE(Serverless App Engine)等云產品實例)中,為了更好地保障Serverless架構下資產的安全,您可以使用云安全中心的Serverless安全檢測功能,對Serverless資產進行常見的威脅告警檢測、漏洞掃描、基線檢查。本文將介紹云安全中心如何接入Serverless資產和為Serverless資產提供的安全防護功能。
計費說明
北京時間2024年07月31日及之后,Serverless安全防護功能停止公測,不再支持免費試用Serverless安全防護功能。如果用戶需要使用Serverless安全防護功能,需要通過控制臺開通Serverless資產按量付費。具體操作,請參見本文步驟一:開通按量計費并完成授權。
開始計費
開通Serverless資產并完成授權后,Serverless防護采用按量計費模式,按照已授權綁定且客戶端在線的資產每秒的計算核數計費:0.00002元/核/秒。系統會根據已授權綁定資產每天的計算核數總量,在次日生成賬單。更多信息,請參見計費概述。
停止計費
在以下場景中,阿里云會立即停止對綁定授權的Serverless資產的安全檢測,同時停止計費。
停止所有Serverless資產的計費:
在云安全中心控制臺的總覽頁面的按量付費服務區域,關閉Serverless資產對應的開關。
在云安全中心控制臺的頁面上方,單擊停止使用。
當前阿里云賬號欠費且延停額度已使用完。具體說明,請參見延期免停權益。
停止指定Serverless資產的計費:
在云安全中心控制臺的頁面,解綁指定資產的綁定授權。具體操作,請參見本文步驟三:綁定或解綁授權資產。
資產接入說明
支持接入的Serverless資產
通過托管版與專有版容器集群ACK、ACK Serverless集群和人工智能平臺 PAI創建的彈性容器實例 ECI(Elastic Container Instance)以及Serverless 應用引擎 SAE(Serverless App Engine)的ECI實例資產,支持接入云安全中心進行防護。
接入方式
開通Serverless安全防護服務后,云安全中心會自動將當前阿里云賬號下狀態為運行中的Serverless資產(ECI實例和SAE應用)接入云安全中心并展示在Serverless資產列表中,完成綁定授權后,即可使用云安全中心Serverless防護能力。
對于開通Serverless安全防護服務前已創建的資產實例,開通Serverless安全防護服務后,需要重啟對應資產實例。重啟客戶端狀態為正常狀態后,即可對Serverless資產開啟安全掃描能力。
綁定授權邏輯
用戶首次開通云安全中心按量付費功能且開通Serverless資產功能時,支持自定義綁定需防護的serverless資產。如果未進行自定義綁定,則默認全量綁定,且開啟新增資產自動綁定。具體內容,請參見本文步驟一:開通按量計費并完成授權的新購開通Serverless資產防護。
用戶在付費版服務基礎上新增開通Serverless資產功能時:
如果是首次開通,則默認全量綁定,且開啟新增資產自動綁定。
如果不是首次開通,則默認自動綁定授權給上一次開通該功能已綁定授權的Serverless資產。如果上一次開通該功能綁定授權的ECI實例和SAE應用為0,則默認全量綁定,且開啟新增資產自動綁定。
具體內容,請參見本文步驟一:開通按量計費并完成授權的新增開通Serverless資產防護。
如果當前賬號已欠費,且欠費前已開通Serverless資產功能,用戶結清當前賬號欠費賬單后,默認綁定之前已綁定授權的Serverless資產。
安裝并啟動ECI實例客戶端
對于托管版與專有版容器集群ACK、ACK Serverless集群創建的ECI資產,必須在創建時完成安裝并啟動云安全中心客戶端,才能使用云安全中心提供的安全檢測能力。您需要通過以下方式安裝并啟動ECI Pod的云安全中心客戶端。
ACK Serverless集群的ECI Pod啟動客戶端
在容器服務管理控制臺的集群管理頁面左側導航欄,選擇,單擊使用YAML創建資源,在YAML模板的spec > template > metadata下增加annotations參數配置,并將其設置為k8s.aliyun.com/eci-aliyundun-enabled: "true"。具體內容,請參見ECI Pod。
新建的YAML模板示例:
apiVersion: apps/v1 # for versions before 1.8.0 use apps/v1beta1
kind: Deployment
metadata:
name: nginx-deployment-basic
labels:
app: nginx
spec:
replicas: 2
selector:
matchLabels:
app: nginx
template:
metadata:
annotations:
k8s.aliyun.com/eci-aliyundun-enabled: 'true'
labels:
app: nginx
spec:
# nodeSelector:
# env: test-team
containers:
- name: nginx
image: nginx:1.7.9 # replace it with your exactly <image_name:tags>
ports:
- containerPort: 80
resources:
limits:
cpu: "500m"如果使用鏡像創建資源,可在高級配置中添加Pod注解:k8s.aliyun.com/eci-aliyundun-enabled=true。資源創建的具體操作,請參見使用鏡像創建無狀態應用。
托管版與專有版容器集群ACK的ECI Pod啟動客戶端
托管版與專有版容器集群ACK的ECI Pod啟動客戶端
登錄容器服務管理控制臺,進入對應版本的集群管理頁面,部署ack-virtual-node組件,將Pod調度到ECI上運行。具體操作,請參見通過虛擬節點將Pod調度到ECI上運行。
在容器服務管理控制臺的集群管理頁面左側導航欄,選擇,然后單擊使用YAML創建資源,在YAML模板的
metadata下增加annotations參數配置,并將其設置為k8s.aliyun.com/eci-aliyundun-enabled: "true",在spec > containers下配置環境變量env,設置容器類型為ECI_CONTAINER_TYPE = sidecar。新建的YAML模板示例:
apiVersion: v1 kind: Pod metadata: name: test-aegis-alinux2-lifsea-x86 labels: eci: "true" annotations: k8s.aliyun.com/eci-aliyundun-enabled: "true" spec: containers: - name: sidecar image: registry-vpc.cn-shanghai.aliyuncs.com/eci_open/centos:7 command: - /bin/sh - -c args: - sleep inf env: - name: ECI_CONTAINER_TYPE value: sidecar - name: nginx image: registry-vpc.cn-shanghai.aliyuncs.com/eci_open/centos:7 command: - /bin/sh - -c args: - sleep inf
安全能力說明
云安全中心為Serverless資產提供以下安全能力。
威脅告警檢測:支持檢測并處理Serverless資產中存在的常見安全威脅,例如發現后門(WebShell)文件、異常網絡連接、進程異常行為等。支持的具體檢查項,請參見適用于容器環境的告警。
漏洞掃描:您可以在頁面,單擊已支持漏洞下的數字,前往支持檢測的漏洞列表面板,查看支持檢測的漏洞列表。
對于應用漏洞,僅支持掃描,不支持修復。應用漏洞是針對您服務器上安裝的軟件進行掃描后發現的風險,需要您根據漏洞詳情中的修復建議,手動對軟件應用升級或進行配置修改,排除安全隱患。
基線檢查:支持檢測并處理Serverless資產的存在的基線檢查風險項,例如Kubernetes(ECI) Pod 國際通用安全最佳實踐基線檢查的限制以root運行容器和禁止配置具有內核功能的容器等。支持的具體基線檢查內容,請參見基線檢查內容。
云安全中心對于接入的Serverless資產根據容器運行時狀態劃分為不同的實例類型,對應支持的安全能力有如下區別。
實例類型 | 支持的安全能力 |
彈性容器實例 |
|
RunD容器實例 | 威脅告警檢測 |
步驟一:開通按量計費并完成授權
新購開通Serverless資產防護
免費版和申請試用的用戶,可以通過購買云安全中心服務方式,開通Serverless資產防護能力。
訪問云安全中心購買頁并使用您的阿里云賬號登錄。
在購買頁面,選擇購買方式為按量付費,單擊Serverless資產的是。
單擊自定義按需綁定,在授權管理對話框中,您可選擇全量綁定或自定義綁定,配置Serverless資產的防護授權。
如果不配置防護授權,則云安全中心會自動綁定授權已接入所有Serverless資產,且后續新增的Serverless資產也會自動接入并綁定授權。您可以在開通Serverless資產防護服務后,手動對Serverless資產進行綁定或解綁授權。具體操作,請參見下文步驟三:綁定或解綁授權資產。
仔細閱讀并選中云安全中心服務協議,單擊立即下單。
云安全中心會自動接入當前賬號下的所有Serverless資產,并根據防護授權配置,綁定授權目標Serverless資產。
新增開通Serverless資產防護
已購買云安全中心服務的付費版(防病毒版、高級版、企業版和旗艦版)的用戶,可以新增開通Serverless資產防護能力。
登錄云安全中心控制臺。在控制臺左上角,選擇需防護資產所在的區域:中國或全球(不含中國)。
在左側導航欄,選擇。
在Serverless資產頁面,單擊立即開通。
您也可以在總覽頁面右側的按量付費服務區域,打開Serverless資產開關。
在確認對話框中,選中我已閱讀并同意云安全中心(按量付費)用戶協議,然后單擊立即開通。
完成新增開通后,按照以下邏輯綁定授權Serverless資產:
如果是首次開通,則云安全中心會自動接入并綁定授權當前賬號下的所有Serverless資產,且后續新增的Serverless資產也會自動接入并綁定授權。
如果不是首次開通,則默認自動綁定授權給上一次開通該功能已綁定授權的Serverless的ECI實例。如果上一次開通該功能綁定授權的ECI實例和SAE應用為0,則默認全量綁定,且開啟新增資產自動綁定。
步驟二:同步最新資產
如果新創建了Serverless資產,您可以單擊同步最新資產,手動將最新Serverless資產列表同步到云安全中心控制臺。
登錄云安全中心控制臺。在控制臺左上角,選擇需防護資產所在的區域:中國或全球(不含中國)。
在左側導航欄,選擇。
在Serverless資產頁面,單擊同步最新資產。
云安全中心會拉取最新的Serverless資產信息,刷新資產列表。
說明同步最新資產信息需要1分鐘時間,請您耐心等待。
步驟三:綁定或解綁授權資產
只有授權綁定的Serverless資產,才能使用云安全中心提供的Serverless安全防護能力,進行安全風險檢測。
登錄云安全中心控制臺。在控制臺左上角,選擇需防護資產所在的區域:中國或全球(不含中國)。
在左側導航欄,選擇。
在Serverless資產頁面的資產列表中找到目標Serverless資產,查看客戶端列圖標顏色。
綠色表示客戶端在線運行中,支持綁定和解綁授權。
灰色表示客戶端因未安裝或網絡不穩定等其他因素不在線。此時,Serverless資產仍支持綁定和解綁授權,但綁定后不支持使用安全防護能力且不會計費。您可以參考上文的資產接入說明,安裝并檢查對應資產的客戶端進行啟動。
綁定授權的Serverless資產客戶端在線運行,才能開始使用云安全中心提供的安全防護能力并開始按量計費。
單擊資產列表上方未綁定的實例下的授權管理。
在授權管理對話框中,選擇操作類型(綁定或解綁),根據頁面提示選擇目標Serverless資產,然后單擊確定。
如需自動綁定新增的Serverless資產,可選中新增資產自動綁定。
步驟四:查看并處理安全風險
Serverless資產接入云安全中心并完成綁定授權后,云安全中心會為該實例實時開啟安全威脅告警檢測,漏洞掃描和基線檢查會按照漏洞或基線的掃描周期執行檢查。您可以前往漏洞管理或基線檢查頁面,查看最新檢查時間。
以下介紹查看Serverless資產安全風險狀態的具體步驟。
登錄云安全中心控制臺。在控制臺左上角,選擇需防護資產所在的區域:中國或全球(不含中國)。
在左側導航欄,選擇。
在Serverless資產頁面的資產列表中,找到目標資產,如果對應風險狀況列顯示存在風險,表示該資產中檢測出了告警、漏洞或基線風險。
單擊目標資產名稱或該資產對應操作列的查看,可查看該資產的詳細風險信息。
單擊安全告警數、漏洞風險數或基線風險數卡片,可以查看對應的風險檢查項列表。
處理安全告警。
單擊目標告警對應操作列的詳情,查看告警的詳細信息,判斷告警是否為真實存在的風險。
判斷完成后,單擊目標告警操作列的處理,如果為真實存在的風險,選擇隔離處理方式;如果無需處理或需忽略本次告警,選擇加白名單、忽略或我已手工處理等處理方式。
處理漏洞風險。
單擊漏洞風險數卡片,查看該資產中檢測出的漏洞。
漏洞為可被黑客利用的薄弱點,建議您及時處理已檢測出的漏洞。應用漏洞不支持一鍵修復,建議您根據漏洞詳情中的說明自行修復漏洞。具體操作,請參見開通漏洞修復能力。
處理基線風險。
單擊基線風險數卡片,查看該資產中檢測出的基線風險。單擊目標風險操作列的詳情,查看風險詳情和加固建議,并判斷是否需要處理該基線風險,并根據判斷結果處理該風險,或對該風險加白名單。
云安全中心僅支持修復部分基線檢查項風險問題,如果風險詳情頁面的風險處理列表顯示修復按鈕,表示該風險項支持在云安全中心修復,您可以在云安全中心直接修復基線風險問題。