雲平台配置錯誤可能會導致安全性漏洞、效能瓶頸、資料泄露、駭客攻擊等風險,嚴重影響雲平台的可靠性。建議您定期掃描雲平台的安全配置,並及時修複配置中的風險項,以提升雲平台的安全性、效能和可靠性,確保業務的正常運行和資料的安全性。
前提條件
(可選)步驟一:修改檢查項配置
Security Center支援修改部分檢查項的檢測規則,例如OSS-Bucket防盜鏈配置、閑置使用者清理、密碼有效期間等檢查項。您可以根據實際業務需要修改檢測規則,使檢測結果更加準確並符合您的需求。
登入Security Center控制台。在控制台左上方,選擇需防護資產所在的地區:中國或全球(不含中國)。
在左側導覽列,選擇。
單擊配置檢查頁簽,然後單擊檢查項名稱。
在檢查項詳情面板,單擊參數配置。
重要檢查項詳情面板有參數配置按鈕,表示該檢查項的配置支援修改。如果沒有該按鈕,表示該檢查項的配置不支援修改。
在參數配置面板,從可修改参数列的在下拉式清單中選擇需要修改的參數並設定编辑参数,單擊確定。
您可單擊+新增可修改参数,選擇當前檢查項支援修改的參數,進行修改。
修改的檢測規則會立即生效,在下一次執行雲安全態勢管理的檢查後,即可查看檢查結果。
步驟二:執行雲安全態勢管理的檢查
雲安全態勢管理支援全量掃描和按策略掃描。
全量掃描
如果您想立即瞭解全量的雲產品配置是否存在安全風險,可以立即執行全量掃描。
在左側導覽列,選擇。
單擊配置檢查頁簽,在頁面上方的操作地區單擊立即掃描,然後選擇全量掃描。
雲安全態勢管理的全量掃描會持續一段時間,請耐心等待。
按策略掃描
如果您需要擷取部分指定的雲產品配置是否存在風險,需要周期性執行雲安全態勢管理的檢查,或需要將指定雲產品執行個體的某些檢查項加入白名單不進行檢測,需要先配置檢測策略。
在左側導覽列,選擇。
在雲安全態勢管理頁面右上方,單擊檢查原則設定。
在策略管理面板,您可以配置掃描策略和加白策略。
掃描策略
指定需要檢測的雲安全態勢管理的檢查項和檢查周期等。
在扫描策略頁簽,開啟雲安全態勢管理的自動檢測。
配置雲安全態勢管理的檢查周期、檢查時間以及選擇要檢測的安全風險檢查項,然後單擊確定。
選擇檢查項後,列表上方會顯示通過掃描策略掃描一次預計消耗的掃描授權數。由於實際檢測過程中可能有新增或釋放的資料,該預估值僅供參考。
加白策略
從執行個體維度或檢查項維度,指定不需要檢測的雲安全態勢管理的檢查項。您可以在執行檢查策略前,配置需要加白的雲產品執行個體和檢查項。配置完成後,立即生效。
在加白策略頁簽,單擊新增加白策略。
在右側面板,選擇雲廠商、雲產品、加白的檢查項和策略應用範圍,然後單擊確定。
策略應用範圍選擇全部執行個體時,從檢查項維度進行加白,後續新增的雲產品執行個體也預設加白,不掃描加白的檢查項,也不在風險列表展示。
策略應用範圍選擇部分執行個體時,從執行個體維度添加白名單檢查項,後續新增的執行個體不會加白該檢查項,仍然會執行掃描檢查。
說明對於已處理加白的檢查項也會自動同步到加白策略列表。您可以在加白策略列表編輯(修改策略應用範圍)或刪除(取消加白)加白的檢查項。
設定雲安全態勢管理的檢查策略後,Security Center會按照掃描策略在您設定的時間內執行雲安全態勢管理的檢查。您也可以手動選擇立即按策略掃描雲產品。
在雲安全態勢管理頁面,單擊配置檢查頁簽。
在頁面上方的操作地區單擊立即掃描,然後選擇按策略掃描。
Security Center將立即按照您設定的策略,掃描雲產品配置。
步驟三:查看雲安全態勢管理的檢查結果
在配置檢查頁簽,查看雲安全態勢管理的檢查項結果。
查看總覽
在雲安全態勢管理頁面上方的總覽地區,您可以查看CIEM、安全風險和合規風險檢查項的通過率。將滑鼠移至上方在通過率線段上,可查看雲安全態勢管理中存在的高危(紅色)、中危(橙色)、低危(灰色)以及通過的檢查項數量。
重要高危風險項對您的資產的危害較大,建議您儘快處理。
查看目標風險項
在左側全部檢查項列表,單擊目標檢查項的類型,然後在右側的風險項列表,查看與該檢查項相關的風險項列表。
通過列表上方提供的風險項篩選組件,可以根據風險項的等級、狀態、檢查項名稱等維度,篩選出您想要查看的目標風險項。
在檢查項列表上方選擇是否支援修複的是,查看支援在Security Center一鍵修複的風險項。
您也可以在頁面的風險概覽頁簽,單擊檢查項通過率地區的立即修複,跳轉到配置檢查頁簽,查看支援在Security Center一鍵修複的風險項。
在目標風險項的操作列,單擊詳情,在檢查項的詳情面板,查看該檢查項的檢查項說明、處置方案、參考以及風險。
步驟四:處理雲安全態勢管理的檢查結果
在檢查項的詳情面板的風險地區的操作列,您可以根據需要選擇以下操作,處理檢查出的風險項。
操作
說明
修複風險項
根據風險項詳情面板上提供的處置方案及參考資訊,修複該雲產品配置中存在的安全風險。
重要Security Center提供100+條檢查項的一鍵修複功能,可在Security Center控制台手動設定修複參數,直接修複對應雲產品執行個體的檢查項配置。
風險地區未通過狀態的執行個體對應操作列有修複按鈕,表示該檢查項支援一鍵修複。如果沒有該按鈕,表示該檢查項不支援一鍵修複。
您可以參考步驟三:查看雲安全態勢管理的檢查結果中步驟,篩選查看支援在Security Center一鍵修複的風險項。
在Security Center一鍵修複
單擊目標雲產品執行個體對應操作列的修複,在一鍵修複面板中,可以查看風險執行個體資訊、掃描時間和修複參數,單擊立即處理。如果配置項參數支援修改,可以在一鍵修複面板中單擊檢查參數配置,在參數配置面板中設定編輯參數,單擊確定,修複參數設定。
您也可以先選中多個執行個體風險項後,單擊風險列表下方的修複,進行多執行個體的一鍵修複。
說明如果當前帳號未被授權編輯該帳號下的雲產品配置,則無法執行修複操作。您需在彈出對話方塊中,單擊授權。
如果修改雲產品配置參數時沒有提示不支援復原,後續可以執行復原操作,恢複修複前的雲產品配置。
如果檢查項修改需要重啟雲產品執行個體,請根據頁面提示手動重啟對應雲產品執行個體。
在雲產品側修複
單擊存在風險的雲產品執行個體ID(或帳號ID、策略名稱稱等),跳轉至對應的雲產品執行個體管理主控台進行修複。
加白名單
重要將風險項加入白名單後,後續雲安全態勢管理中,將不會再上報與該風險項對應的檢查項相關的風險。請您在確認風險項無安全風險後,再將檢查項加入白名單。
如果您判斷檢查出的某個風險項沒有安全風險,可執行加白名單操作,將對應雲產品執行個體的風險項加入白名單。加白後的風險項將不會包含在風險項總數中。您可以在檢查原則設定的加白策略列表中,查看已加白的檢查項資訊。
對於加入白名單的風險項,可執行取消加白操作,將其移出白名單。
驗證修複結果。
如果您已按照風險項詳情面板上提供的修複建議,修複了雲產品的配置。您可以在目標風險項的操作列單擊驗證,驗證新的配置是否有安全風險。
您也可以選擇多個風險項後,在列表下方單擊驗證,進行批量驗證。
修改後的雲產品執行個體配置在經過驗證且通過檢查後,該執行個體會從風險地區的受影響執行個體列表中移除,該風險項下所有雲產品執行個體配置都驗證通過後,該風險項的狀態會變為已通過。
(可選)對於通過Security Center一鍵修複的風險項後,可返回雲安全態勢管理頁面,單擊右上方的修複管理,查看一鍵修複的記錄。
您可以查看修複任務ID、檢查項、狀態等資訊,單擊操作列的
,然後單擊詳情,可查看該檢查項的檢查項說明、處置方案、參考以及修複時間軸。您也可以在修複管理面板,執行復原和驗證等操作。
查看風險報表
您可以通過雲平台檢查配置的風險概覽報表,全面瞭解雲資產的配置風險,協助您及時發現和解決雲平台配置中存在的問題。
在左側導覽列,選擇。
在風險概覽頁簽,選擇需要查看的雲資產所屬的雲廠商(未選擇表示查看所有),查看雲資產風險報表資料。
風險概覽報表共分為以下幾個模組:
模組
說明
扫描检查项数量
從不同的維度,展示不同雲廠商已掃描過的檢查項數量和當前所有可掃描的檢查項總數對比。
风险云产品统计
展示存在安全配置風險的雲產品資料。
雲產品總數:已接入的雲產品總數,包括阿里雲產品和第三方雲產品。
风险云产品总数:存在安全配置風險的雲產品數量,包括阿里雲產品和第三方雲產品。
剩餘授權數:剩餘可執行雲平台配置掃描的授權規格數。單擊擴容,可購買更多授權規格。
TOP5风险云产品名称:掃描出的風險雲產品中,風險項數量最多的Top5產品。單擊雲產品名稱,可跳轉到雲產品詳情頁查看明細。
检查项通过率
展示檢查項的通過率和風險檢查項的數量分布。
综合通过率=未通過的檢查項/掃描的檢查項總數。
扫描检查项数量:已掃描的檢查項數量,並依次展示掃描結果為高危、中危、低危的雲產品數量分布。
未通过检查项数量:已掃描的檢查項中,未通過的檢查項數量,並依次展示掃描結果為高危、中危、低危的檢查項數量分布。
檢查項數量:以柱狀圖形式展示CIEM、安全風險、合規風險中通過及未通過檢查項的數量。
檢查項通過率變化趨勢
以折線圖形式,展示指定時間段內檢查項通過率的變化趨勢。
資產通過率變化趨勢
以折線圖形式,展示指定時間段內資產掃描通過率的變化趨勢。
资产通过率=掃描結果有風險的資產(執行個體)/掃描的所有執行個體。
被過度授權的TOP5對象
展示當前選擇範圍內,被過度授權的Top5使用者或角色。