安全云脑 SECMASTER-内置检查项:华为云安全配置基线—虚拟机与容器

时间:2024-11-19 19:07:17

华为 云安全 配置基线—虚拟机与容器

表36 虚拟机与容器风险项检查项

检查子项目

检查项目

云容器引擎 CCE

启用HSS的 容器安全

企业主机安全 (Host Security Service,HSS)是以工作负载为中心的安全产品,集成了主机安全、容器安全和网页防篡改,旨在解决混合云、多云数据中心基础架构中服务器工作负载的独特保护要求。推荐启用HSS服务保护CCE集群中的Node节点及之上的容器。

禁止容器获取宿主机元数据

租户使用CCE集群作为共享资源池来构建高阶服务,且允许高阶服务的最终用户在集群中创建不可控的容器负载时,应限制容器访问所在宿主机的元数据。

启用LTS服务并采集容器日志

云日志 服务(Log Tank Service,简称LTS)用于收集来自主机和云服务的日志数据,通过海量日志数据的分析与处理,可以将云服务和应用程序的可用性和性能最大化,为您提供实时、高效、安全的日志处理能力,帮助您快速高效地进行实时决策分析、设备运维管理、用户业务趋势分析等。

建议统一采集容器日志(包括容器标准输出、容器内的日志文件、节点日志文件和Kubernetes事件)并上报到LTS。

禁止使用CCE已经EOS的K8S集群版本

集群版本EOS后,CCE将不再支持对该版本的集群创建,同时不提供相应的技术支持,包含新特性更新、漏洞/问题修复、补丁升级以及工单指导、在线排查等客户支持,不再适用于CCE服务SLA保障。

请留意CCE Console公告栏或CCE官方资料中的Kubernetes版本策略,在集群生命周期截止前参考集群升级等资料及时完成升级。

集群apiserver不要暴露到公网

Kubernetes API具备访问控制能力,但偶尔存在一些无访问控制的CVE漏洞,同时为减少攻击者刺探Kubernetes API版本,建议非必须不要为集群绑定EIP,以减少攻击面。在必须绑定EIP的情况下,应通过合理配置防火墙或者安全组规则,限制非必须的端口和IP访问。

限制业务容器访问管理面

在节点上的业务容器无需访问kube-apiserver时,建议禁止节点上的容器网络流量访问到kube-apiserver。

及时处置CCE在官网发布的漏洞

CCE服务会不定期发布涉及的漏洞,用户需及时关注和处理。对于高危漏洞,当Kubernetes社区发现漏洞并发布修复方案后,CCE一般在1个月内进行修复,修复策略与社区保持一致。在CCE官方未彻底修复漏洞前,请租户参考CCE官方提供的消减措施为最大化降低漏洞带来的影响。

集群节点不要暴露到公网

节点对公网暴露后,攻击者可通过互联网发起攻击,攻破节点后可能会进一步控制集群。

如非必需,集群节点不建议绑定EIP,以减少攻击面。在必须绑定EIP的情况下,应通过合理配置防火墙或者安全组规则,限制非必须的端口和IP访问。

在使用CCE集群过程中,由于业务场景需要,在节点上配置了kubeconfig.json文件,kubectl使用该文件中的证书和私钥信息可以控制整个集群。在不需要时,请清理节点上的/root/.kube目录下的目录文件,防止被恶意用户利用:

rm -rf /root/.kube

加固K8S集群所在VPC的安全组规则

CCE作为通用的容器平台,安全组规则的设置适用于通用场景。用户可根据安全需求,通过网络控制台的安全组找到CCE集群对应的安全组规则进行安全加固。

弹性云服务器 E CS

确保ECS内的重置密码插件更新到最新版本

弹性云服务器提供一键式重置密码功能。当弹性云服务器的密码丢失或过期时,如果提前安装了一键式重置密码插件,则可以应用一键式重置密码功能,给弹性云服务器设置新密码。及时更新重置密码插件可确保漏洞及时得到修复。

在ECS内设置防火墙策略限制对元数据的访问

弹性云服务器元数据包含了弹性云服务器在云平台的基本信息,例如云服务 ID、主机名、网络信息等,亦可能包含敏感信息,GuestOS的多用户设计会导致元数据访问范围开放过大,租户APP的SSRF漏洞也可能导致元数据泄露。

在ECS内设置防火墙策略限制对元数据的访问,可以限制元数据访问范围,消减元数据泄露风险。

确保私有镜像开启了加密

镜像加密支持私有镜像的加密。在创建弹性云服务器时,用户如果选择加密镜像,弹性云服务器的系统盘会自动开启加密功能,从而实现弹性云服务器系统盘的加密。

使用密钥对安全登录ECS

密钥对,即SSH密钥对,是为用户提供远程登录云服务器的认证方式,是一种区别于传统的用户名和密码登录的认证方式。

密钥对包含一个公钥和一个私钥,公钥自动保存在KPS(Key Pair Service)中,私钥由用户保存在本地。若用户将公钥配置在Linux云服务器中,则可以使用私钥登录Linux云服务器,而不需要输入密码。

由于密钥对可以让用户无需输入密码登录到Linux云服务器,因此,可以防止由于密码被拦截、破解造成的账户密码泄露,从而提高Linux云服务器的安全性。

裸金属服务器 BMS

使用密钥对安全登录BMS

密钥对,即SSH密钥对,是为用户提供远程登录云服务器的认证方式,是一种区别于传统的用户名和密码登录的认证方式。

密钥对包含一个公钥和一个私钥,公钥自动保存在KPS(Key Pair Service)中,私钥由用户保存在本地。若用户将公钥配置在Linux云服务器中,则可以使用私钥登录Linux云服务器,而不需要输入密码。

由于密钥对可以让用户无需输入密码登录到Linux云服务器,因此,可以防止由于密码被拦截、破解,造成的账户密码泄露,从而提高Linux云服务器的安全性。

确保BMS内的重置密码插件更新到最新版本

裸金属服务器提供一键式重置密码功能。当裸金属服务器的密码丢失或过期时,如果提前安装了一键式重置密码插件,则可以应用一键式重置密码功能,给裸金属服务器设置新密码。

及时更新重置密码插件可确保漏洞及时得到修复。

在BMS内设置防火墙策略限制对元数据的访问

裸金属服务器元数据包含了裸金属服务器在云平台的基本信息,例如云服务 ID、主机名、网络信息等,亦可能包含敏感信息,GuestOS的多用户设计会导致元数据访问范围开放过大,租户APP的SSRF漏洞也可能导致元数据泄露。

在BMS内设置防火墙策略限制对元数据的访问,可以限制元数据访问范围,消减元数据泄露风险。

support.huaweicloud.com/usermanual-secmaster/secmaster_01_0021.html