阿里云自定義鏡像安全建議

阿里云自定義鏡像主要用于創(chuàng)建ECS實(shí)例，操作系統(tǒng)、及已經(jīng)預(yù)安裝的應(yīng)用程序和數(shù)據(jù)，都可以通過自定義鏡像自動(dòng)復(fù)制到新實(shí)例中。您可以通過準(zhǔn)備好的自定義鏡像方便地創(chuàng)建具有相同配置環(huán)境的實(shí)例，從而提高工作交付效率。

通過阿里云自定義鏡像創(chuàng)建的實(shí)例與通過正常官方鏡像創(chuàng)建的實(shí)例一樣，在創(chuàng)建過程中，可能會(huì)存在不同層面的操作系統(tǒng)自身的漏洞問題，如遠(yuǎn)程命令執(zhí)行高危漏洞（導(dǎo)致NSA工具受影響的Windows 0day漏洞）、應(yīng)用安全漏洞（弱口令、管理后臺(tái)信息泄露、SQL代碼注入漏洞、Struts2高危漏洞）。如果在鏡像創(chuàng)建前能解決掉這些安全問題，將會(huì)提高您業(yè)務(wù)的安全性。阿里云安全團(tuán)隊(duì)提供以下安全最佳實(shí)踐幫助您解決自定義鏡像安全問題：

1.操作系統(tǒng)漏洞

在使用官方標(biāo)準(zhǔn)鏡像的自定義鏡像后，建議您時(shí)刻關(guān)注安全漏洞情報(bào)，當(dāng)出現(xiàn)高風(fēng)險(xiǎn)漏洞時(shí)，及時(shí)更新操作系統(tǒng)所有補(bǔ)丁，并重新創(chuàng)建自定義鏡像。

對(duì)于高危漏洞但暫時(shí)無法更新補(bǔ)丁的情況，建議您使用安全組訪問控制策略、應(yīng)用防護(hù)策略對(duì)該服務(wù)器進(jìn)行實(shí)時(shí)檢測(cè)、防御，防止被黑客成功入侵。

2.軟件配置加固

對(duì)于已自定義安裝的應(yīng)用服務(wù)軟件（如Tomcat、Apache、Nginx等軟件），建議使用官方最新版的軟件，并對(duì)應(yīng)用軟件進(jìn)行安全加固，禁止不必要的功能或組件，提高整體安全能力。您可參考阿里云安全團(tuán)隊(duì)提供的相關(guān)安全加固文檔對(duì)應(yīng)用服務(wù)進(jìn)行安全加固。

定期關(guān)注安全漏洞情況，一旦發(fā)現(xiàn)高危漏洞，應(yīng)及時(shí)更新到最新版本。

3.上線前最后一步

在您已完成前兩步后，建議您使用安全掃描工具（例如，操作系統(tǒng)漏洞掃描工具：Nessus、Nexpose，Web漏洞掃描工具：Appscan、WVS）掃描自定義鏡像是否仍存在高風(fēng)險(xiǎn)漏洞。如存在安全漏洞，強(qiáng)烈建議您修復(fù)完漏洞后再發(fā)布使用。