病毒和駭客會利用伺服器存在的安全配置缺陷入侵伺服器,盜取資料或植入後門。基準檢查功能針對伺服器作業系統、資料庫、軟體和容器的配置進行安全檢測,可以協助您加固系統安全,降低入侵風險並滿足安全合規要求。本文介紹基準檢查功能的基本資料以及如何使用該功能。
版本限制
僅Security Center進階版、企業版和旗艦版使用者可開通和使用基準檢查功能。
企業版、旗艦版:
旗艦版支援基準檢查的所有功能,企業版不支援容器安全檢查。
支援一鍵修複Linux系統的阿里雲標準和等保標準基準相關檢查項。
進階版:
僅可使用預設策略執行基準檢查。
僅支援弱口令檢查。
功能介紹
基準檢查功能通過配置不同的基準檢查策略,可以協助您快速對伺服器進行批量掃描,發現包括系統、帳號許可權、資料庫、弱口令、等級保護合規配置等存在的風險點,並提供修複建議和一鍵修複功能。支援檢測的內容詳情,請參見基準檢查內容。
基本概念
名詞 | 說明 |
基準 | 基準指作業系統、資料庫及中介軟體的安全實踐及合規檢查的配置紅線,包括弱口令、帳號許可權、身份鑒別、密碼原則、存取控制、安全審計和入侵防範等安全配置檢查。 |
弱口令 | 弱口令指容易被猜測或爆破的口令,通常包括:長度小於8位或者字元類型少於3類的簡單口令,以及網上公開的或者惡意軟體中的駭客字典。弱口令容易被破解,如果被攻擊者擷取,可用來直接登入系統,讀取甚至修改網站代碼,使用弱口令將使得系統及服務面臨極大的風險。 |
策略說明
策略是Security Center基準檢查規則的集合,是執行基準檢測的基本單位。Security Center提供三種類型的策略:預設策略、標準策略和自訂策略。
策略類型 | 支援的版本 | 支援的基準檢查類型 | 應用情境 |
預設策略 |
| 該類型策略包含70+基準檢查項,支援以下基準類型:
重要
| 預設策略為Security Center預設執行的基準檢查策略,僅支援編輯策略的開始時間和生效的伺服器。 您購買Security Center進階版、企業版或旗艦版後,Security Center會使用預設策略每隔一天檢查一次您阿里雲帳號下的所有資產,每次在00:00~06:00或您修改後的時間進行檢查。 |
標準策略 |
| 該類型策略包含120+基準檢查項,支援以下基準類型:
重要 企業版不支援容器安全檢查。 | 標準策略相比預設策略增加了等保合規、國際通用安全最佳實務等基準檢查類型,其他基準類型也增加了更多的基準檢查項,且支援編輯策略的配置項。 您可以為資產自行配置符合業務情境需要的基準檢查策略。 |
自訂策略 |
| 該類型策略包含50+基準檢查項,支援以下作業系統自訂基準類型:
| 自訂策略用於檢查您的資產在作業系統自訂基準的配置上是否存在風險。 您可為資產自行設定基準檢查策略的檢查項,並可按照業務需求修改部分基準的參數,使得基準檢查策略更加符合您的業務情境。 |
功能優勢
等保合規
合規基準支援等保二級、等保三級和國際通用安全最佳實務,滿足多種合規監管需求,可以協助企業建設符合等保要求的安全系統。
檢測全面覆蓋範圍廣
支援弱口令、未授權訪問、歷史漏洞和配置紅線巡檢,覆蓋常用30多種系統版本,20多種資料庫及中介軟體。
靈活配置策略
支援自訂選配安全性原則、檢測周期、檢測範圍,滿足不同業務的個人化安全配置需求。
提供詳細修複方案
檢查項提供詳細修複加固方式,協助您快速提升安全水位,一鍵修複能力輕鬆完成系統基準加固並滿足等保要求。
步驟一:開通基準檢查服務
購買Security Center進階版、企業版或旗艦版才能使用基準檢查服務,操作步驟如下:
如果您未開通Security Center服務,前往Security Center購買頁,購買進階版、企業版或旗艦版服務。具體操作,請參見購買Security Center。
如果您使用的是Security Center免費版或防病毒版:
登入Security Center控制台。在控制台左上方,選擇需防護資產所在的地區:中國或全球(不含中國)。
在左側導覽列,選擇。
單擊立即升級,購買Security Center進階版、企業版或旗艦版。
在需要進行基準檢查的伺服器中安裝Security Center用戶端。具體操作,請參見安裝用戶端。
說明執行預設策略時,預設檢查已安裝Security Center用戶端且狀態為正常的伺服器,您可以在設定預設策略、標準策略、自訂策略時,通過伺服器分組選擇生效伺服器。
(可選)步驟二:設定基準檢查策略
Security Center預設執行的基準檢查策略,僅包含70+基準檢查項和部分基準類型檢查,您可以根據業務需求,配置更多的檢查項和檢查策略。
登入Security Center控制台。在控制台左上方,選擇需防護資產所在的地區:中國或全球(不含中國)。
在左側導覽列,選擇。
在基準檢查頁面右上方,單擊策略管理。
在策略管理面板的掃描策略頁簽,按需求設定基準檢查策略。
配置掃描策略
在掃描策略頁簽,按需求添加標準策略和自訂策略,或更新已有策略的配置。
添加標準策略
您可通過添加標準策略,進一步完善對您資產基準配置的檢查。Security Center將按照建立的策略對您資產的基準配置進行檢查。
單擊添加標準策略。
在基準檢查策略面板,輸入用於識別的策略名稱稱,選擇檢測周期和檢測開始時間,選擇需要檢查的基準分類和基準名稱。
基準檢查項的詳情,請參見基準檢查內容。
說明部分自訂基準的參數支援自訂配置,您可以根據業務需要進行配置。
選擇生效伺服器,然後單擊確認。
配置項
說明
掃描方式
選擇生效伺服器的掃描方式。可選項:
分組:以資產分組為單位掃描,僅支援全選一個或多個分組下的伺服器。
ECS:以ECS為單位掃描,支援選擇不同分組的部分或全部伺服器。
生效伺服器
選擇需要應用該策略的伺服器。
說明新購買的資產預設歸屬在中,如需對新購資產自動應用該策略,請選擇未分組。如果您需要添加新的分組或修改已有的分組,請參見管理伺服器。
添加自訂策略
您可通過添加自訂策略,檢查您的資產在作業系統自訂基準的配置上是否存在風險。
單擊添加自訂策略。
在基準檢查策略面板,輸入用於識別的策略名稱稱,選擇檢測周期和檢測開始時間,選擇需要檢查的基準名稱。
基準檢查項的詳情,請參見基準檢查內容。
選擇生效伺服器,然後單擊確認,完成自訂策略的添加。
配置項
說明
掃描方式
選擇生效伺服器的掃描方式。可選項:
分組:以資產分組為單位掃描,僅支援全選一個或多個分組下的伺服器。
ECS:以ECS為單位掃描,支援選擇不同分組的部分或全部伺服器。
生效伺服器
選擇需要應用該策略的伺服器。
說明一個資產分組僅可設定一個自訂策略。已存在自訂策略的資產分組,在建立自訂策略時,選擇生效資產的資產分組會置灰,不支援選擇。
新購買的資產預設歸屬在中,如需對新購資產自動應用該策略,請選擇未分組。如果您需要添加新的分組或修改已有分組,請參見管理伺服器的分組、重要性及標籤。
更新策略
根據業務情境,單擊策略操作列的編輯或刪除,修改或刪除該策略。
說明策略被刪除後不可恢複。
對於預設策略,不支援刪除,也不支援修改基準檢查項,僅支援修改開始檢測時間和應用預設策略的生效伺服器。
設定基準檢查的等級
在策略管理頁面下方,您可以設定基準檢查的等級範圍(高、中、低)。該配置對所有檢查策略生效。
配置自訂弱口令
Security Center已為您預設內建弱口令規則。您可以基於業務需求,在策略管理面板單擊自訂弱口令頁簽,通過上傳檔案或自訂字典來添加或產生新的自訂弱口令規則。
基準掃描策略配置弱口令檢查項後,Security Center會按照您自訂的弱口令規則來檢查您的資產是否存在弱口令風險。
上傳檔案限制如下:
檔案大小不能超過40 KB。
檔案中弱口令之間必須換行區分,每行中不可以有多個弱口令,否則將無法準確檢查弱口令。
檔案中最多支援3,000條弱口令。
上傳檔案會直接全量覆蓋自訂弱口令規則,產生新的自訂弱口令規則。
自訂字典工具支援全量覆蓋和添加兩種方式,產生自訂弱口令規則。
通過上傳檔案產生新的自訂弱口令規則
Security Center將按照您上傳的弱口令規則來檢查您資產的口令是否存在風險。
在上傳檔案頁簽,單擊下載模板。
在下載的模板中完成自訂弱口令設定。
單擊拖拽上傳檔案地區,上傳弱口令模板,完成弱口令配置。
通過自訂字典全量覆蓋或添加自訂弱口令規則
在自訂字典頁簽,單擊重建。
配置自訂字典。
配置項
說明
網域名稱
填寫您的資產的網域名稱。
公司名稱
填寫您公司的名稱。
關鍵字
填寫您要加入到弱口令字典中的口令。
單擊產生弱口令字典。
您可以在弱口令字典地區查看產生的所有弱口令資訊,支援手動新增、修改和刪除弱口令。
選擇以下方式,完成弱口令字典配置。
單擊添加,然後單擊確定,將產生的弱口令字典添加到當前已有的弱口令規則中。
單擊覆蓋,然後單擊確定,全量覆蓋當前已有的弱口令規則。
設定基準白名單
如果您確認某些基準檢查項對於全部主機或部分主機不構成安全風險,可以通過基準白名單功能提前添加基準白名單規則,對指定檢查類型、檢查項的對應主機進行加白。後續基準檢查時,Security Center會忽略基準白名單中主機對應檢查項的風險問題。
在基準白名單頁簽,單擊新增規則。
在建立基準白名單規則面板,選擇待加白的檢查項類型以及對應檢查項。
選擇規則應用範圍:全部主機或部分主機。
單擊儲存。
可選:您可以在基準白名單頁簽的規則列表中找到目標規則:
單擊操作列的編輯,修改規則應用範圍,刪除或新增加白的主機。
單擊操作列的刪除,直接刪除規則,恢複對主機的基準檢查。
步驟三:執行基準檢查策略
Security Center基準檢查功能支援周期性自動檢查和即時手動檢查。以下是兩種檢測方式的說明:
周期性自動檢查:Security Center根據您設定的基準檢查預設策略、標準策略或自訂的基準檢查策略,定時自動執行基準檢查。預設策略每隔一天在00:00~06:00或您設定的檢測開始時間進行一次全面的自動檢測。
即時手動檢查:如果您新增或修改了自訂的基準檢查策略,您可以在基準檢查頁面選擇該基準檢查策略,立即執行基準檢查,即時查看伺服器中是否存在對應的基準風險。
需要立即執行基準檢查時,您可以參考以下步驟進行操作。
在基準檢查頁面的基準檢查策略頁簽,單擊全部策略右側的
表徵圖,展開基準檢查策略菜單,選中需要執行即時手動檢查的基準策略。單擊立即檢查。
執行立即檢查操作後,將滑鼠移動至立即檢查處,單擊彈框中的進度詳情,查看檢查進度詳情。
步驟四:查看基準檢查結果及風險加固建議
基準檢查完成後,Security Center從基準和檢查項維度展示基準檢查結果,您可以查看存在風險的檢查項的加固建議。
在基準檢查頁面上方總覽地區,從安全風險、合規和自訂基準三個方面展示了您資產基準配置中存在風險的總體資料。
在基準檢查策略頁簽:
查看全部或單個基準檢查策略的檢測結果
在基準檢查策略頁簽的策略總覽地區,預設展示策略為預設策略,單擊展開
表徵圖,展開基準檢查策略菜單,可以單擊全部策略或已執行的單個策略,查看對應基準檢查策略的檢查伺服器數、基準數量、高危弱口令風險、最新檢查通過率(最近一次執行基準檢查的基準合格率)。單擊高危弱口令風險下的數字,可以查看高危弱口令風險項的列表。
重要高危弱口令風險為風險等級較高的基準風險問題,建議您優先處理。提升口令安全和常見系統口令修改方式,請參見弱口令安全最佳實務。
對於最新檢查通過率字型顏色:
綠色:表示掃描的資產中基準配置合格率較高。
紅色:表示檢查的資產中不合格的基準配置較多,可能存在安全隱患,建議前往基準檢查詳情頁面查看並修複。
查看基準維度基準檢查結果清單及加固建議
在基準檢查結果清單中,單擊基準名稱,在基準詳情面板上,查看受該基準影響的資產及資產基準檢查的通過項、風險項等資訊。
在基準詳情面板上,單擊某個受影響的資產的操作列的查看,在風險項面板上,可查看該資產上存在的所有基準風險問題。
說明如果檢查項顯示已通過,說明伺服器對應配置不存在風險加固項。
例如,對於Redis未授權訪問檢查,如果Redis沒有配置密碼,可以直接存取,但配置綁定了127.0.0.1(僅允許本機內網訪問),則基準檢查結果是已通過,表示當前未授權訪問是安全的,不存在安全風險加固項。此時,使用者可以根據自身需求選擇是否配置授權訪問。
在風險項面板上,單擊某個資產操作列的詳情,可查看Security Center提供的關於該風險項的描述、檢查提示和加固建議等資訊。
可選:返回基準詳情面板,在基準檢查結果清單右上方,單擊下載
表徵圖,在基準匯出任務選項對話方塊中選擇匯出方式,可以匯出基準檢查結果。針對基準中包含的弱口令資訊的匯出,Security Center提供了以下匯出方式:
弱口令明文匯出:直接明文匯出基準檢查結果中的弱口令資訊。
弱口令脫敏匯出:對基準檢查結果中的弱口令資訊脫敏後再匯出。
在風險情況頁簽,從檢查項維度查看風險項的加固建議。
您可以使用列表上方的搜尋組件搜尋,按照檢查項的風險等級、狀態和類型篩選目標檢查項,也可以在搜尋方塊中輸入檢查項名稱搜尋目標檢查項。
單擊目標檢查項操作列的詳情,在詳情面板可以查看檢查項的描述、加固建議、相關基準以及受影響的資產列表。
步驟五:處理基準風險
根據加固建議,在基準檢查頁面處理基準風險問題。
按照基準維度處理基準風險
在基準檢查策略頁簽下的基準檢查結果清單中,單擊待處理的基準檢查結果的基準名稱,在右側面板上,單擊伺服器操作列的查看,在風險項面板上,處理該伺服器上存在的基準風險問題。
按照檢查項維度處理基準風險
在風險情況頁簽下的基準檢查結果清單中,單擊待處理檢查項操作列的詳情,在風險項詳情面板處理基準風險問題。
以下為按照基準維度處理基準風險的介紹。
修複
Security Center僅支援修複部分基準檢查項風險問題,可以通過檢查項對應風險項面板是否顯示修複按鈕判斷。
如果不顯示修複按鈕,表示該風險項不支援在Security Center修複,則需要您登入存在該基準風險問題的伺服器,在伺服器上修改基準問題對應的伺服器的配置,修改完成後,在Security Center進行驗證。
在風險項面板上,單擊目標檢查項操作列的詳情,可查看Security Center提供的關於該檢查項的描述、檢查提示和加固建議等資訊。
如果顯示修複按鈕,表示該風險項支援在Security Center修複,您可以在Security Center直接修複基準風險問題。
在風險項面板上,單擊目標檢查項操作列的修複。
在修複風險資產對話方塊,進行如下配置。
配置項說明如下:
配置項
說明
修複方式
設定基準風險問題的修複方式。
說明不同類型的風險項對應的修複方式不同,請根據實際情境配置修複方式。
批量處理
選擇是否要批量處理存在相同基準風險問題的其他資產。
風險保障
選擇是否通過建立快照的方式備份系統資料。
警告Security Center在修複基準風險問題時,可能存在修複失敗的風險,影響到您的業務正常運行。建議您在修複前對系統進行備份,以便在修複失敗影響您業務正常運行時,可快速恢複到執行修複操作前的狀態,使業務能正常運轉。
自動建立快照並修複:您需要設定快照名稱、快照儲存時間,然後單擊立即修複。
說明建立快照將產生費用。您可以單擊頁面上的快照計費文檔,瞭解具體的快照計費資訊。
不建立快照備份直接修複:如果您確定不建立快照直接修複基準問題,單擊立即修複即可。
單擊立即修複。
加白名單
如果您確認檢查未通過的基準檢查項無需處理,可通過加白名單功能對目標伺服器上存在的基準風險產生的警示進行加白。
加入白名單是將指定伺服器加入基準檢查策略的白名單。加入白名單後,後續基準檢查時會忽略對應伺服器上存在的該風險問題。
例如,基準檢查風險問題是使用非Root帳號登入執行個體,如果實際業務情境,需要使用Root帳號登入執行個體,可以加白名單處理。
對單個目標資產的指定檢查項進行加白
在目標資產的風險項面板上,單擊待處理檢查項操作列的加白名單,在檢查項忽略原因對話方塊中填寫加白原因,然後單擊確定,將檢查項加入白名單中。
如果需要將多個檢查項加入白名單,您需要先選擇狀態為未通過並需要加入白名單的檢查項,再單擊檢查項列表下方的加白名單。
對所有資產(包括後續新增資產)的指定檢查項進行加白
在風險情況頁簽的檢查項列表中,單擊待處理檢查項操作列的加白名單,或選中多個檢查項後,單擊列表下方的加白名單。
對單個檢查項的部分資產進行加白
在風險情況頁簽下的基準檢查結果清單中,單擊待處理檢查項操作列的詳情,在風險項詳情面板的伺服器列表中,選中要加入白名單的伺服器,單擊列表下方的加入白名單。
驗證
驗證基準風險問題處理結果:
在資產的風險項面板,單擊目標檢查項操作列的驗證,對已處理風險項的資產進行驗證。如果驗證通過,表示風險問題已修複,資產的風險項數值會相應地減少,同時該風險項狀態會更新為已通過。
如果您未進行手動驗證,Security Center將根據您在掃描策略中設定的檢測周期執行自動驗證。
復原
如果您在修複阿里雲ECS伺服器上存在的基準風險問題前,對該伺服器使用快照進行了備份,在伺服器上的基準風險問題修複失敗導致業務中斷時,您可在基準詳情面板上,單擊該伺服器操作列的復原,在復原對話方塊中,選中基準修複前備份的快照,單擊下方確定。執行復原操作後,該伺服器的配置可恢複到基準風險問題修複前建立的快照的配置。
取消加白
如果需要Security Center對已忽略的基準檢查配置項再次觸發警示,可對已忽略的檢查項或伺服器執行取消加白。取消加白後,該基準檢查配置項會再次觸發警示。
在風險項面板上,定位到需要取消白名單的檢查項,單擊其操作列取消加白,在取消加白操作對話方塊中,單擊確定,可將該檢查項移出白名單。您也可以選中多個需要取消白名單的檢查項,單擊下方取消加白,將多個檢查項大量移除白名單。
基準檢查內容
基準分類說明
基準分類 | 檢查標準及檢查內容 | 覆蓋的系統和服務 | 修複緊急度說明 |
弱口令 | 使用非登入爆破方式檢測是否存在弱口令。避免登入爆破方式鎖定賬戶影響業務的正常運行。 說明 弱口令檢測是通過讀取HASH值與弱口令字典計算的HASH值進行對比來檢查是否存在弱口令。如果不想讀取HASH值,您可以從基準檢查策略中移除弱口令基準。 |
| 需緊急修複。避免弱口令暴露在公網上導致系統被入侵或發生資料泄露事件。 |
未授權訪問 | 未授權訪問基準。檢測服務是否存在未授權訪問風險,避免被入侵或者資料泄露。 | Memcached、Elasticsearch、Docker、CouchDB、Zookeeper、Jenkins、Hadoop、Tomcat、Redis、Jboss、ActiveMQ、RabbitMQ、openLDAP、rsync、Mongodb Postgresql | |
最佳安全實踐 | 阿里雲標準 基於阿里雲最佳安全實踐標準檢測是否存在帳號許可權、身份鑒別、密碼原則、存取控制、安全審計和入侵防範等安全配置風險。 |
| 重要安全強化項,建議修複。基於最佳安全實踐的加固標準,降低配置弱點被攻擊和配置變更風險。 |
容器安全 | 阿里雲標準 基於阿里雲容器最佳安全實踐的Kubernetes Master和Node節點配置風險檢查。 |
| |
等保合規 | 等保二級、三級合規 基於伺服器安全等保基準檢查。對標權威測評機構安全計算環境測評標準和要求。 |
| 基於業務是否有合規需要進行修複。 |
國際通用安全最佳實務 | 基於國際通用安全最佳實務的作業系統安全基準檢查。 |
| 基於業務是否有合規需要進行修複。 |
自訂基準 | 支援CentOS Linux 7自訂基準,可對基準檢查策略中的檢查項進行編輯,自訂安全強化項。 | CentOS 7、CentOS6、Windows Server 2022R2、2012R2、2016、2019、2008R2 | 使用者自訂的安全強化項,建議修複。基於最佳安全實踐的加固標準,降低配置弱點被攻擊和配置變更風險。 |
基準檢查專案
以下表格描述了Security Center提供的預設基準檢查專案。
Windows基準
Linux基準
常見問題
使用基準檢查功能,需要購買Security Center哪個版本?
基準檢查驗證失敗如何處理?
基準和漏洞有什麼區別?