云安全中心的Serverless资产绑定微服务应用后,云安全中心可对微服务应用进行漏洞扫描、入侵检测和基线检查,极大提升应用安全的同时也优化了成本效益,为SAE应用构筑坚实的安全防线。本文主要介绍云安全中心的Serverless资产绑定微服务应用,以高效保障SAE微服务应用免受安全威胁。
此功能目前处于邀约测试阶段。如果您想使用此功能,请在钉钉群(群号:32874633)联系相关技术人员开通。
背景信息
在Serverless 应用引擎 SAE(Serverless App Engine)上创建完成微服务应用之后,在使用时,安全仍然是一个关键的考虑因素。
阿里云云安全中心深度整合云原生技术优势,依托丰富的云端安全防护实践与最前沿的攻防策略,为用户打造了一站式的高级安全解决方案。这些方案广泛覆盖云资源管理、漏洞扫描、入侵检测和基线检查等多个核心安全层面。关于安全中心的具体介绍,请参见什么是云安全中心。
当您在Serverless 应用引擎上成功创建微服务应用后,可无缝对接云安全中心,实现安全策略的统一管理与实施,确保您的应用能够高效地抵御各类安全威胁。
功能介绍
在安全中心的Serverless资产绑定微服务应用后,支持漏洞扫描、入侵检测和基线检测的功能。具体信息,如下所示。
漏洞扫描:通过云安全中心检测您的应用中是否存在漏洞,云安全中心客户端
AliSecureCheckAdvanced进程可能会在本地执行POC验证,发出特定的请求(POC请求)以检查是否存在应用漏洞。这些请求旨在测试应用漏洞的存在性和实际危害性,而不会进行实际的恶意攻击。具体信息,请参见什么是漏洞管理。入侵检测:为了发现任何形式的隐藏和混淆的Rootkit,Rootkit检测功能依据通用Rootkit的原理进行操作,即总是存在对内核态函数(系统调用、VFS函数及底层功能函数)的挂钩、篡改和劫持。通过对系统内存镜像进行必要数据的采集检查,来确定Rootkit的存在和属性,以及判断被篡改劫持的系统功能,推断Rootkit本身的功能作用。通过以上操作,尽可能准确地判定Rootkit,并向用户告警传递相关信息。具体信息,请参见检测Linux Rootkit入侵威胁。
基线检测:病毒和黑客会利用服务器存在的安全配置缺陷入侵服务器,盗取数据或植入后门。基线检查功能针对服务器操作系统、数据库、软件和容器的配置进行安全检测,可以帮助您加固系统安全,降低入侵风险并满足安全合规要求。具体信息,请参见基线风险检查。
流程介绍
当微服务应用被Serverless资产绑定后,此应用会受到云安全中心的安全防护。
当被绑定的应用实例存在安全隐患(如代码入侵)时,云安全中心会检测到并产生报警,报警也会同步到SAE侧。
当您接收到报警信息后,可在云安全中心控制台对报警进行处理。
报警处理完成后,SAE侧会同步消除报警。
步骤概述
开通云安全中心的Serverless资产:如果您的应用需要在Serverless资产上进行绑定,首先需要开通云安全中心的Serverless资产。
在安全中心的Serverless资产中绑定应用:您的业务部署在阿里云Serverless产品(如:Serverless应用引擎)上,Serverless资产绑定您的应用后,可以为应用提供安全防护功能,包括漏洞扫描、入侵检测和基线检查。
测试与告警处理:通过对应用进行模拟攻击,检测是否能正常收到安全告警。并介绍当安全告警触发后,如何迅速响应并有效处理这些告警,以确保应用实例能够快速恢复正常运行状态。
解除安全中心的Serverless资产绑定(可选):如果您想关闭此功能,可以解绑您的应用并关闭安全中心的Serverless资产。
前提条件
开通SAE服务。
已创建微服务应用且应用的单实例CPU资源必须大于等于1 Core。具体操作,请参见应用部署下面的文档。
已购买云安全中心。具体操作,请参见购买云安全中心。
1. 开通云安全中心的Serverless资产
开通后,Serverless防护采用按量计费模式,按照0.00002元/核/秒以自然日为单位计费。具体信息,请参见计费概述。
如果您已经开通了云安全中心的Serverless资产,请跳过此步骤。
登录云安全中心控制台,在Serverless 资产页面,单击立即开通。
在弹出的正在开通云安全中心对话框,请仔细阅读云安全中心(按量付费)用户协议,然后单击立即开通。
2. 在云安全中心的Serverless资产中绑定应用
如果您的应用是在添加白名单之前创建的,并且想绑定云安全中心的Serverless资产进行安全防护,需要重新部署应用,因为重新部署会在应用中安装安骑士Agent,只有在应用中安装了安骑士Agent,绑定Serverless资产后您的应用才能被云安全中心进行防护。应用重新部署的具体信息,请参见部署应用。
如果您的应用是在添加白名单之后创建的,则无需重新部署应用,因为在创建应用的过程中,已经默认安装了安骑士Agent。
为微服务应用绑定云安全中心的Serverless资产可以通过以下两种入口进行绑定:
入口一:从SAE控制台提供的入口进入云安全中心控制台进行绑定
登录SAE控制台,在概览页选择目标地域,可以查看未绑定云安全中心的微服务应用,然后单击自定义按需绑定进入云安全中心控制台进行应用绑定。
在弹出授权管理面板,单击选择资产的下拉框,选择阿里云,然后选择应用所在的地域,最后绑定目标应用。
通过以下两种方式验证是否绑定成功。
方式一:在Serverless 资产页面的搜索框输入应用名称,查看目标应用是否绑定成功。
方式二:登录SAE控制台,进入到目标应用的基本信息页面,查看是否被绑定成功。
入口二:直接进入云安全中心控制台进行绑定
登录云安全中心控制台,在Serverless 资产页面单击授权管理。
然后在弹出的授权面板,进行条件筛选,然后绑定应用。
在选择资产区域,筛选云产品为SAE。
在选择资产区域,单击下拉框选择地域,然后选择阿里云,最后选择目标地域。
勾选目标应用左侧的复选框,然后单击确定。
通过以下两种方式验证是否绑定成功。
方式一:在Serverless 资产页面的搜索框输入应用名称,查看目标应用是否绑定成功。
方式二:登录SAE控制台,进入到目标应用的基本信息页面,查看是否被绑定成功。
3. 测试与告警处理
3.1 对应用进行模拟攻击
您可以通过对应用实例进行模拟攻击(例如:向目标应用注入挖矿程序)来测试是否能正常触发安全报警。
此步骤是为了测试应用实例存在安全隐患时,是否能正常触发安全报警,切勿在生产环境中操作。
3.2 查看是否能正常触发安全告警
登录SAE控制台,进入到目标应用的基本信息页面,查看是否已经触发了报警机制。
3.3 告警处理
在目标应用的基本信息页面,单击已经触发的告警。
会跳转至云安全中心控制台的总览页面,然后在左侧导航栏单击安全告警处理。
在安全告警处理页面,单击告警操作列的处理。
说明您也可以单击告警操作列的详情,查看告警向详情信息。
在弹出的面板中,选择处理方式,然后单击立即处理。
返回目标应用的基本信息页面,查看安全告警是否已经恢复。
4. 解除安全中心的Serverless资产绑定(可选)
4.1 解绑应用
登录云安全中心控制台,在Serverless 资产页面单击授权管理。
在授权管理面板,筛选条件,然后选择目标应用进行解绑。
选择操作类型为解绑,然后在选择资产区域选择云产品为SAE。
在选择资产区域,单击下拉框选择地域,然后选择阿里云,最后选择目标地域。
选择目标应用,然后单击确定。
4.2 关闭云安全中心的Serverless资产
登录云安全中心控制台,在Serverless 资产页面单击停止使用。
在弹出的关闭Serverless 资产按量付费对话框,单击确定。