阿里云自定義鏡像安全建議

阿里云自定義鏡像主要用于創(chuàng)建ECS實例，操作系統(tǒng)、及已經(jīng)預(yù)安裝的應(yīng)用程序和數(shù)據(jù)，都可以通過自定義鏡像自動復(fù)制到新實例中。您可以通過準(zhǔn)備好的自定義鏡像方便地創(chuàng)建具有相同配置環(huán)境的實例，從而提高工作交付效率。

通過阿里云自定義鏡像創(chuàng)建的實例與通過正常官方鏡像創(chuàng)建的實例一樣，在創(chuàng)建過程中，可能會存在不同層面的操作系統(tǒng)自身的漏洞問題，如遠(yuǎn)程命令執(zhí)行高危漏洞（導(dǎo)致NSA工具受影響的Windows 0day漏洞）、應(yīng)用安全漏洞（弱口令、管理后臺信息泄露、SQL代碼注入漏洞、Struts2高危漏洞）。如果在鏡像創(chuàng)建前能解決掉這些安全問題，將會提高您業(yè)務(wù)的安全性。阿里云安全團(tuán)隊提供以下安全最佳實踐幫助您解決自定義鏡像安全問題：

1.操作系統(tǒng)漏洞

在使用官方標(biāo)準(zhǔn)鏡像的自定義鏡像后，建議您時刻關(guān)注安全漏洞情報，當(dāng)出現(xiàn)高風(fēng)險漏洞時，及時更新操作系統(tǒng)所有補(bǔ)丁，并重新創(chuàng)建自定義鏡像。

對于高危漏洞但暫時無法更新補(bǔ)丁的情況，建議您使用安全組訪問控制策略、應(yīng)用防護(hù)策略對該服務(wù)器進(jìn)行實時檢測、防御，防止被黑客成功入侵。

2.軟件配置加固

對于已自定義安裝的應(yīng)用服務(wù)軟件（如Tomcat、Apache、Nginx等軟件），建議使用官方最新版的軟件，并對應(yīng)用軟件進(jìn)行安全加固，禁止不必要的功能或組件，提高整體安全能力。您可參考阿里云安全團(tuán)隊提供的相關(guān)安全加固文檔對應(yīng)用服務(wù)進(jìn)行安全加固。

定期關(guān)注安全漏洞情況，一旦發(fā)現(xiàn)高危漏洞，應(yīng)及時更新到最新版本。

3.上線前最后一步

在您已完成前兩步后，建議您使用安全掃描工具（例如，操作系統(tǒng)漏洞掃描工具：Nessus、Nexpose，Web漏洞掃描工具：Appscan、WVS）掃描自定義鏡像是否仍存在高風(fēng)險漏洞。如存在安全漏洞，強(qiáng)烈建議您修復(fù)完漏洞后再發(fā)布使用。