阿里云自定義鏡像安全建議

阿里云自定義鏡像主要用于創(chuàng)建ECS實例，操作系統、及已經預安裝的應用程序和數據，都可以通過自定義鏡像自動復制到新實例中。您可以通過準備好的自定義鏡像方便地創(chuàng)建具有相同配置環(huán)境的實例，從而提高工作交付效率。

通過阿里云自定義鏡像創(chuàng)建的實例與通過正常官方鏡像創(chuàng)建的實例一樣，在創(chuàng)建過程中，可能會存在不同層面的操作系統自身的漏洞問題，如遠程命令執(zhí)行高危漏洞（導致NSA工具受影響的Windows 0day漏洞）、應用安全漏洞（弱口令、管理后臺信息泄露、SQL代碼注入漏洞、Struts2高危漏洞）。如果在鏡像創(chuàng)建前能解決掉這些安全問題，將會提高您業(yè)務的安全性。阿里云安全團隊提供以下安全最佳實踐幫助您解決自定義鏡像安全問題：

1.操作系統漏洞

在使用官方標準鏡像的自定義鏡像后，建議您時刻關注安全漏洞情報，當出現高風險漏洞時，及時更新操作系統所有補丁，并重新創(chuàng)建自定義鏡像。

對于高危漏洞但暫時無法更新補丁的情況，建議您使用安全組訪問控制策略、應用防護策略對該服務器進行實時檢測、防御，防止被黑客成功入侵。

2.軟件配置加固

對于已自定義安裝的應用服務軟件（如Tomcat、Apache、Nginx等軟件），建議使用官方最新版的軟件，并對應用軟件進行安全加固，禁止不必要的功能或組件，提高整體安全能力。您可參考阿里云安全團隊提供的相關安全加固文檔對應用服務進行安全加固。

定期關注安全漏洞情況，一旦發(fā)現高危漏洞，應及時更新到最新版本。

3.上線前最后一步

在您已完成前兩步后，建議您使用安全掃描工具（例如，操作系統漏洞掃描工具：Nessus、Nexpose，Web漏洞掃描工具：Appscan、WVS）掃描自定義鏡像是否仍存在高風險漏洞。如存在安全漏洞，強烈建議您修復完漏洞后再發(fā)布使用。