前言

img

Alibaba Cloud Linux 2(原Aliyun Linux 2)是阿里云操作系统团队为云应用场景打造的一款云操作系统。随其发展,使用该系统的用户对安全的需求也不断增加。另一方面,根据国家信息安全部发布的《GB/T22239-2019信息安全技术网络安全等级保护基本要求》,其中对操作系统提出了一些等级保护要求。那么如何快速构建符合网络安全等级保护制度2.0(简称等保2.0)规定的云服务器,有效降低手动配置的人力成本,尽量减少误操作带来的安全隐患,成为诸多企业,尤其是银行、保险、证券等金融客户迫切需要解决的难题之一。针对这一需求,阿里云官方推出操作系统“等保合规”镜像 —— Alibaba Cloud Linux 等保2.0三级版,并免费开放给阿里云上的用户使用。具体使用方式请参考:Alibaba Cloud Linux等保2.0三级版镜像使用说明:

https://help.aliyun.com/document_detail/186245.html

背景

img

网络安全等级保护制度是我国网络安全领域的基本国策、基本制度。1994 年,国务院发布《计算机信息系统安全保护条例》147 号令。该条例首次提出“计算机信息系统实行安全等级保护”,安全等级保护理念由此诞生。

2007 年和 2008 年,国家颁布《信息安全等级保护管理办法》和《信息安全等级保护基本要求》。这被视为“等保1.0”。为适应新技术的发展,解决云计算、物联网、移动互联和工控领域信息系统的等级保护工作的需要,2019年,由公安部牵头组织开展了信息技术新领域等级保护重点标准申报国家标准的工作,等级保护正式进入“等保2.0”时代。

产品介绍

img

Alibaba Cloud Linux 2 在阿里云正式发布以来,在阿里云上积累了大量客户。为了切实解决广大客户在“过保”中遇到的困难,实现“等保操作系统”的开箱即用,在阿里云云安全团队的支持下,阿里云官方操作系统“等保合规”镜像 —— Alibaba Cloud Linux 等保2.0三级版镜像应运而生。本产品基于公共镜像Alibaba Cloud Linux 2 LTS版本打造,在保障原生镜像兼容性和性能的基础上进行了等保合规适配,帮助用户摆脱复杂的加固操作和繁琐的配置,让用户享受开箱即用的操作系统等保环境。

Alibaba Cloud Linux 等保2.0三级版镜像按照《信息安全技术网络安全等级保护基本要求(GB/T 22239-2019)》进行加固。具体而言,它满足以下检查项:

https://yuque.antfin-inc.com/docs/share/b1a99688-ecff-4512-b864-445ab7878a53?inner=GoCKk

https://yuque.antfin-inc.com/docs/share/b1a99688-ecff-4512-b864-445ab7878a53?inner=GoCKk

检查项类型 检查项名称 危险等级
身份鉴别 应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换
身份鉴别 当对服务器进行远程管理时,应采取必要措施,防止鉴别信息在网络传输过程中被窃听
身份鉴别 应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施
访问控制 应对登录的用户分配账户和权限
访问控制 应重命名或删除默认账户,修改默认账户的默认口令
访问控制 访问控制的粒度应达到主体为用户级或进程级,客体为文件、数据库表级
访问控制 应及时删除或停用多余的、过期的账户,避免共享账户的存在
访问控制 应授予管理用户所需的最小权限,实现管理用户的权限分离
访问控制 应由授权主体配置访问控制策略,访问控制策略规定主体对客体的访问规则
安全审计 应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等
安全审计 审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息
安全审计 应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计
安全审计 应保护审计进程,避免受到未预期的中断
入侵防范 应能发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞
入侵防范 应遵循最小安装的原则,仅安装需要的组件和应用程序
入侵防范 应关闭不需要的系统服务、默认共享和高危端口
入侵防范 应能够检测到对重要节点进行入侵的行为,并在发生严重入侵事件时提供报警
入侵防范 应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制
恶意代码防范 应安装防恶意代码软件,并及时更新防恶意代码软件版本和恶意代码库

阿里云操作系统团队通过专业的技术,依托阿里云云安全的专业检测程序,结合自身测评经验对云服务器相关配置进行深度分析和持续优化,最终精心打磨构造出这款等保合规操作系统镜像,显著降低客户手动配置的人力成本,有效规避人为误操作带来的安全隐患,帮助用户实现:

  • 无需逐一单机配置操作系统等保合规项,即可批量创建等保合规机器;
  • 无需深入理解操作系统等保合规技术,即可快速实现操作系统合规;
  • 无惧配置修改引起的系统故障,即可实现默认安全合规配置;
  • 无需安全预算投入,即可免费获取官方等保合规镜像。

产品实现

img

首先,我们结合阿里云云安全中心的能力识别当前Alibaba Cloud Linux 2 LTS已经满足和还未满足的等保项,通过分析所有风险项的描述,总结发现:

1、每个风险项包含至少一个小项,只有修复该风险项下所有的小项才能修复该风险项。

2、有的风险项比较灵活,需要用户交互,比如“应对登录的用户分配账户和权限 访问控制”这一项,需要除系统管理用户之外,应该至少再分配三个用户:普通用户、审计员、安全员帐户。这些账户的名字与密码需要用户自己设定,因此归为用户交互项。

3、有些风险项不需要用户交互,但是会限制用户的登陆以及访问权限,比如:“应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制 入侵防范”,会限制登陆机器的IP;“应授予管理用户所需的最小权限,实现管理用户的权限分离 访问控制”,会限制su命令的访问权限;“应重命名或删除默认账户,修改默认账户的默认口令 访问控制”,会禁止root用户登陆。这几项虽然不需要与用户交互,但是如果执行后很有可能用户无法访问机器,从而影响机器的正常使用,所以应该尽可能地在等保加固时考虑不影响机器的正常使用,是加固时需要考虑的难点。

4、剩余的一些风险项既不需要用户交互,也不影响机器的正常使用,比如:“应关闭不需要的系统服务、默认共享和高危端口 入侵防范”。这类风险项一般加固建议比较明确,可以直接按照对应的检查项能够很快写出脚本来修复。

因此,在等保加固时,我们把加固脚本分为两大类,一类是“非交互脚本”,直接在镜像构建时加载。另一类是“交互脚本”,需要用户在首次登录系统后,手动运行它来进一步加固配置,使用方式参见Alibaba Cloud Linux等保2.0三级版镜像使用说明:

https://help.aliyun.com/document_detail/186245.html

意义

img

伴随云时代的飞速发展,企业上云的步伐也在逐渐加快,越来越多的客户将阿里云作为企业上云的不二选择,并将 Alibaba Cloud Linux 这一阿里云官方操作系统作为业务部署的底层系统,其中很重的原因就是相信阿里云官方能够将操作系统的维护做到最好,等保镜像这一产品意味着阿里云在云产品开发和交付的过程中将安全作为重要组成部分,将合规融入到产品的“血液”中,把安全植入产品的“骨髓”里,能够帮助有等保诉求的客户快速便捷的上云。

联系我们

img

产品页:https://www.aliyun.com/product/alinux

文档:

https://help.aliyun.com/document_detail/111881.html

钉钉群:Alibaba Cloud Linux OS 开发者&用户群

img