云安全中心为您提供告警通知、病毒查杀、网站后门查杀、客户端自保护、镜像安全扫描等安全能力,全方位保护您的云上资产和本地服务器安全。本文介绍云安全中心常用功能配置方法,帮助您简化产品使用流程。
设置云安全中心通知
完成通知设置后,云安全中心在检测到您资产存在异常情况时,会根据您在通知设置中的关注等级,在您设置的通知时间点,通过短信、邮件、站内信和钉钉机器人这些丰富的通知方式,为您及时发送告警通知,帮助您快速获取资产的安全情况。
登录云安全中心控制台。在控制台左上角,选择需防护资产所在的区域:中国或全球(不含中国)。
在左侧导航栏,选择。
在通知设置页面,针对默认提供的通知项目,选择您需要的通知发送时间和通知发送方式,分别选中需要进行告警的安全事件等级。
通知项目是指云安全中心检测到您资产中发生的威胁事件和存在的安全隐患。云安全中心支持的通知项目,请参见通知设置。
设置主动防御开关、网站后门查杀和客户端自保护
设置功能提供自定义配置恶意主机行为防御、网站后门查杀和客户端自保护等服务,您需要在设置模块中开启对应的服务,并选择需要防护的服务器。
如果您未开启主动防御开关,云安全中心仅检测这类威胁,但不会对主流病毒和恶意网络行为进行自动拦截。
登录云安全中心控制台。在控制台左上角,选择需防护资产所在的区域:中国或全球(不含中国)。
在左侧导航栏,选择。
设置主动防御开关、网站后门查杀和客户端自保护。
设置主动防御开关
进入页签。
在主动防御区域,分别单击恶意主机行为防御、防勒索(诱饵捕获)、网站后门连接防御、恶意网络行为防御右侧的管理。
添加需要检测的服务器,并打开检测开关。
开启主动防御后,云安全中心将对检测出的主流病毒类型或异常连接进行自动隔离,您可在安全告警处理页面精准防御类型告警列表中,查看主动防御功能自动拦截的病毒。
设置网站后门查杀
进入页签。
在网站后门查杀区域,单击管理,并添加需要开启网站后门查杀的服务器。
开启客户端自保护
进入页签。
在客户端自保护区域,打开防御模式开关,单击管理,设置需要防护的服务器。
更多功能配置,请参见功能设置。
执行镜像安全扫描
镜像安全扫描功能为云安全中心增值服务,您需要预先购买足够的容器镜像安全扫描次数,才能使用该功能。具体操作,请参见镜像安全扫描开通服务。
登录云安全中心控制台。在控制台左上角,选择需防护资产所在的区域:中国或全球(不含中国)。
在左侧导航栏,选择。
说明首次使用镜像安全扫描功能时,请根据页面提示完成授权。
在镜像安全扫描页面,单击立即扫描。
扫描预计需要1分钟时间,扫描完成后您需要手动刷新当前页面查看最新数据。
在镜像漏洞风险、镜像基线检查、镜像恶意样本或镜像敏感文件页签下查看扫描出的镜像漏洞或恶意样本。
具体操作,请参见查看扫描出的镜像风险及修复说明。
执行云安全态势管理的检查
云安全态势管理功能是云安全中心的增值服务,您需要购买足够的授权数(扫描次数+验证次数+修复成功的次数),云安全中心才能为您检查云产品安全配置中的安全风险,执行验证和一键修复操作。云安全中心支持手动立即检查和周期性自动检查云平台配置是否存在风险。
登录云安全中心控制台。在控制台左上角,选择需防护资产所在的区域:中国或全球(不含中国)。
在左侧导航栏,选择。
单击配置检查页签,进行云安全态势管理的检查。
全量扫描
如果您想立即了解全量的云产品配置是否存在安全风险,可以立即执行全量扫描。
在左侧导航栏,选择。
单击配置检查页签,在页面上方的操作区域单击立即扫描,然后选择全量扫描。
云安全态势管理的全量扫描会持续一段时间,请耐心等待。
按策略扫描
如果您需要获取部分指定的云产品配置是否存在风险,需要周期性执行云安全态势管理的检查,或需要将指定云产品实例的某些检查项加入白名单不进行检测,需要先配置检测策略。
在左侧导航栏,选择。
在云安全态势管理页面右上角,单击检查策略设置。
在策略管理面板,您可以配置扫描策略和加白策略。
扫描策略
指定需要检测的云安全态势管理的检查项和检查周期等。
在扫描策略页签,开启云安全态势管理的自动检测。
配置云安全态势管理的检查周期、检查时间以及选择要检测的安全风险检查项,然后单击确定。
选择检查项后,列表上方会显示通过扫描策略扫描一次预计消耗的扫描授权数。由于实际检测过程中可能有新增或释放的数据,该预估值仅供参考。
加白策略
从实例维度或检查项维度,指定不需要检测的云安全态势管理的检查项。您可以在执行检查策略前,配置需要加白的云产品实例和检查项。配置完成后,立即生效。
在加白策略页签,单击新增加白策略。
在右侧面板,选择云厂商、云产品、加白的检查项和策略应用范围,然后单击确定。
策略应用范围选择全部实例时,从检查项维度进行加白,后续新增的云产品实例也默认加白,不扫描加白的检查项,也不在风险列表展示。
策略应用范围选择部分实例时,从实例维度添加白名单检查项,后续新增的实例不会加白该检查项,仍然会执行扫描检查。
说明对于已处理加白的检查项也会自动同步到加白策略列表。您可以在加白策略列表编辑(修改策略应用范围)或删除(取消加白)加白的检查项。
设置云安全态势管理的检查策略后,云安全中心会按照扫描策略在您设置的时间内执行云安全态势管理的检查。您也可以手动选择立即按策略扫描云产品。
在云安全态势管理页面,单击配置检查页签。
在页面上方的操作区域单击立即扫描,然后选择按策略扫描。
云安全中心将立即按照您设定的策略,扫描云产品配置。
检查完成后,建议您及时关注并处理检测出的安全风险。具体操作,请参见使用云安全态势管理。
配置防暴力破解规则
云安全中心提供防暴力破解功能,支持配置自定义暴力破解防御规则。配置防暴力破解规则后,登录服务器时,在某个时间范围内登录服务器的失败次数超过限定次数将被禁止登录一段时间。防暴力破解功能,可有效防止您服务器账号的密码被暴力破解。
登录云安全中心控制台。在控制台左上角,选择需防护资产所在的区域:中国或全球(不含中国)。
在左侧导航栏,选择。
在主机规则管理页面,单击防暴力破解页签。
如果您未进行过云资源访问授权,您需要单击立即授权,授权云安全中心访问您的云资源。
关于授权的更多信息,请参见云安全中心服务关联角色。
单击新建策略,在新建策略面板,配置防暴力破解策略。
云安全中心提供默认防暴力破解策略:同一服务器10分钟内登录失败次数超过80次,禁止登录6小时。您可以选择对应服务器,直接使用默认防御策略。您也可以参考以下表格中的配置说明自定义防御策略。
配置项
说明
策略名称
设置防暴力破解策略名称。
防御规则:
设置防暴力破解策略的具体规则。即登录服务器时,在某个时间范围内登录服务器的失败次数超过限定次数将被禁止登录一段时间。例如:1分钟内登录失败次数超过3次,禁止登录30分钟。
设置为默认策略
设置该防御策略是否为默认策略。设置为默认策略后,未添加防御规则的服务器将默认应用该策略。
说明选中设置为默认策略后,无论您是否在请选择对应的服务器:中选择了服务器,当前策略都会对所有未添加防御规则的服务器生效。
请选择对应的服务器:
设置防御策略生效的服务器。支持直接选择云安全中心防护的服务器,或根据服务器名称和IP筛选指定服务器。
单击确定。
重要每台服务器仅支持配置一个防暴力破解策略。
如果该策略中设置生效的服务器未配置其他防暴力破解策略,该防暴力破解策略添加成功。
如果该策略中设置生效的服务器已配置了其他防暴力破解策略,且您确定要更换为当前配置的策略,请在确认防御规则变更页面,单击确认。
如果原防暴力破解策略的生效服务器配置了新防暴力破解策略,则原防暴力破解策略的生效服务器数量会相应减少。
配置网页防篡改
网页防篡改功能可实时监控网站目录并通过备份恢复被篡改的文件或目录,保障重要系统的网站信息不被恶意篡改。使用网页防篡改功能需要您预先购买防篡改授权数。相关内容,请参见步骤一:购买防篡改授权数。
在网页防篡改页面,首次使用网页防篡改功能时,单击创建网页防篡改。
如果非首次使用,在网页防篡改页面的防护管理页签,单击为服务器添加防护。
在创建网页防篡改面板的服务器列表中,选中要开启网页防篡改防护的服务器,单击下一步。
配置网页防篡改防护规则,单击开启防护。
默认采用白名单模式,设置需要防护的目录和文件类型。您也可以单击黑名单模式,设置需要防护的目录下不需要防护的子目录、文件类型和指定文件。
白名单模式
防护目录下已添加到防护规则中的防护文件被修改时,云安全中心会拦截或告警。
配置项
说明
防护目录
填写您要防御的服务器的目录。指定防御目录后,修改防御目录下的文件名称、内容或者文件属性时,云安全中心将根据进程白名单、防护模式,决定是否拦截。
填写格式为:/目录名称/,例如:
/tmp/。防护文件类型
选择或输入您要防护的文件类型。
您可以在下拉列表选择要防护的文件类型,也可以在此处手动输入下拉列表中未列出的文件类型。
说明目前防护文件类型不受限制,所有文件类型都支持网页防篡改防护。
防护模式
拦截模式:云安全中心会主动拦截异常进程、异常文件变动,确保您服务器中网站和文件的安全。
告警模式:云安全中心会对识别到的异常进程、异常文件变动进行告警。
重要如果服务器操作系统和内核版本不在白名单功能支持的操作系统和内核版本范围内,告警模式将不生效,防护模式选择告警模式,云安全中心依然会拦截异常进程。
本地备份目录
设置防护目录的备份存储路径。
安全中心为您指定的默认备份目录为
/usr/local/aegis/bak(Linux服务器)和C:\Program Files (x86)\Alibaba\Aegis\bak(Windows服务器),您可以手动修改默认的备份路径。重要如果服务器操作系统和内核版本在白名单功能支持的操作系统和内核版本范围内,不会使用本地备份目录,可忽略该设置。
配置示例
例如:防护目录填写
/tmp/、防护文件类型选择XML、防护模式选择拦截模式,则表示当tmp目录下XML格式的文件被修改时,云安全中心将会拦截该操作。黑名单模式
防护目录下已添加到防护规则的子目录、文件类型、指定文件被修改时,不会被告警或拦截;未添加到防护规则的子目录、文件类型、指定文件被修改时,会被告警或拦截。
防护目录、防护模式和本地备份目录的配置说明,参见上文的白名单模式。
配置项
说明
排除子目录
输入不需要防护的子目录的路径。
填写格式为:子目录名称/,例如:
dir1/dir0/。排除文件类型
选择或填写不需要防护的文件类型。
排除指定文件
输入不需要防护的文件。
填写格式为:子目录名称/文件,例如:
dir2/file3。重要排除子目录、排除文件类型和排除指定文件之间为或的关系。
配置示例
例如:防护目录填写
/tmp/、排除子目录填写dir1/dir0/、排除文件类型选择txt、排除指定文件填写dir2/file3、防护模式选择拦截模式,则表示只有tmp目录下的dir1子目录下dir0子目录下的文件、txt(扩展名)类型的文件、或者dir2子目录下的file3文件可以被修改,tmp目录下的其他任何文件或者目录都无法被修改(修改操作将被云安全中心拦截)。
(可选)在网页防篡改页面的防护管理页签下的服务器列表中,定位到已创建网页防篡改防护的服务器,单击操作列的添加防护目录,可添加更多的防护目录。
您可单击服务器名称前的展开
图标,查看该服务器下已添加的防护目录列表,单击防护目录对应的编辑,修改防护规则。在网页防篡改页面的防护管理页签下的服务器列表中,定位到已创建网页防篡改防护的服务器,单击防护状态列的
图标,为该服务器开启网页防篡改保护。首次开启防护时,目标主机的服务状态列将会显示为启动中,并显示启动进度条。请耐心等待,启动成功后服务状态将会显示为正在运行。
以下为服务状态的说明:
服务状态
说明
建议
启动中
网页防篡改防护服务正在开启。
首次开启防护时,目标主机的服务状态将会显示为启动中。请耐心等待。
正在运行
防护状态已成功开启,服务正常运行中。
无。
异常
防护开启异常。
将鼠标移动到目标服务器的服务状态上,查看发生异常的原因并单击重试。
未启动
防护状态为未开启。
需将防护状态设置为开启。
配置防勒索
云安全中心针对勒索病毒提供防御、告警和数据备份的能力,可预防勒索病毒入侵您的核心服务器。使用防勒索功能需要您预先购买防勒索容量。具体操作,请参见防勒索开通并购买服务。
配置服务器防勒索策略
购买防勒索容量并完成授权。具体操作,请参见开通并购买服务。
登录云安全中心控制台。在控制台左上角,选择需防护资产所在的区域:中国或全球(不含中国)。
在左侧导航栏,选择。
在防勒索页面的服务器防勒索页签下,单击创建防护策略。
在创建防护策略面板,输入策略名称,选择服务器类型和资产。
配置项
说明
策略名称
设置防护策略的名称。
服务器类型
选择防护策略生效的服务器类型。
备份路线
仅服务器类型选择非阿里云服务器时,需要配置备份数据使用的通信方式。可选项:
公网:选择公网进行数据备份传输,可能会产生一定的公网带宽费用。
私网:选择私网进行数据备份传输时,您需要使用阿里云专有网络VPC、物理专线、云企业网CEN等方式,连通非阿里云服务器与所选地域下的防勒索网络接入点之间的通信。
地域
仅服务器类型选择非阿里云服务器时,需要选择服务器所在的地域或和防勒索网络接入点网络畅通的地域。这里选择的地域用来指定接入防勒索服务的网络接入点。为了成功备份数据,您需要确保服务器和所选择地域下的防勒索网络接入点网络互通。更多信息,请参见防勒索网络接入点。
选择资产:
支持选中单台资产、跨组选中多台资产或者选中资产分组。执行以下操作选择需要防护的资产:
在资产分组区域选择某一资产分组,系统将自动选择该分组下的所有资产。您可在右侧资产模块下,取消选中不需要的防护的资产。
在资产模块下输入资产名称(支持模糊查询),单击搜索框的搜索按钮后会为您展示相关资产,您可选中需要防护的资产。
说明选择资产时,阿里云服务器支持单个策略内配置多个地域的服务器,非阿里云服务器仅支持单个策略中配置同一地域的服务器。
为保证您的防护容量得到合理和有效地利用,每台服务器只支持添加到一条防护策略中。
在创建防护策略面板,设置数据备份的具体策略,并单击确定。
支持选择推荐策略或自定义策略。
推荐策略:推荐策略为云安全中心内置的防护策略,不支持修改,配置简单。具体规则如下:
防护目录:全部目录(排除系统目录)
排除指定目录:显示排除目录的列表
非本地挂载路径:排除非本地挂载路径(即排除OSS、NAS等非本地挂载路径)
防护文件类型:全部文件类型
数据备份开始时间:00:00~03:00的任意时刻
备份策略执行间隔:1天
备份数据保留时间:7天
备份网络带宽限制:
阿里云服务器:0 MByte/s
说明0 MByte/s代表不限制备份网络带宽。
非阿里云服务器:5 MByte/s
自定义策略:用户自行定义策略的具体规则,灵活性较高。支持指定防护目录、排除指定目录、防护文件类型、数据备份开始时间、备份策略执行间隔、备份数据保留时间和备份网络带宽限制(MByte/s)。以下是参数配置说明。
配置项
说明
防护目录:
选择需要进行备份的目录,支持选择以下类型:
指定目录:即备份已选中资产的指定目录。您需要在防护目录地址中新增需要备份的目录地址。配置示例:
Windows:
C:\Program Files (x86)\Linux:
/usr/bin/
最多可添加20条防护目录地址。云安全中心会串行执行各个防护目录地址的备份任务。如果一个防护目录地址下的文件较多,可能会消耗较多的服务器资源(CPU和内存)。您可以将一个目录拆分为多个防护目录地址,通过串行执行备份任务,有效地降低备份占用的服务器资源。
全部目录:即备份已选中资产的全部目录。
排除指定目录:
指定不需要备份的目录。云安全中心提供了默认的不需要备份的目录,您可以在此基础上修改这些目录。
非本地挂载路径
选择是否排除非本地挂载路径。非本地挂载路径是指OSS、NAS等挂载路径。
防护文件类型:
选择需要进行防护的文件类型,支持选择以下类型:
全部文件类型:即针对所有类型的文件进行备份防护。
指定文件类型:即针对指定文件进行备份防护。支持选择文档类、图片类等。
重要支持同时选中多个文件类型。云安全中心仅备份您资产中此处选中的文件类型。
数据备份开始时间:
设置数据备份开始时间。
重要防护策略创建后,初次进行数据备份时由于要全量备份防护目录下的数据,会消耗一定量的CPU和内存资源。为避免对您的业务造成影响,建议您选择业务量较小的时段进行数据备份。
备份策略执行间隔:
设置备份策略执行间隔,默认为1天。
备份数据保留时间:
设置备份数据保留时间,默认为7天。
重要超过备份数据保留时间后,备份数据会被自动清理,建议您根据业务需求合理设置备份数据保留时间。
支持选择以下保存方式:
永久:备份数据将一直保留,直到云安全中心服务到期或您删除防护策略或防护策略下的服务器。
自定义:自定义保存天数,最小可设置1天,最大支持设置65535天。
备份网络带宽限制:
设置备份数据可占用的网络带宽阈值。取值范围:0 MByte/s~不限流量。
阿里云服务器备份数据时仅占用私网带宽,不影响公网带宽。非阿里云服务器在备份数据时需要占用公网或私网带宽。您可以在此处设置备份可占用的网络带宽阈值,避免备份占用过多带宽对您业务产生影响。
阿里云服务器默认为0 MByte/s。
说明0 MByte/s代表不限制备份网络带宽。
非阿里云服务器默认为5 MByte/s。
配置数据库防勒索策略
登录云安全中心控制台。在控制台左上角,选择需防护资产所在的区域:中国或全球(不含中国)。
在左侧导航栏,选择。
在防勒索页面的数据库防勒索页签,单击创建防护策略。
在数据库防护策略面板,为数据库创建防护策略。
配置您要防护的数据库的信息,然后单击下一步。
配置项
说明
策略名称
设置防护策略的名称。
类型
自动识别数据库
系统会自动识别出您服务器上已安装的数据库。建议您使用此功能快速选择您要防护的数据库。
手动录入数据库
如果使用自动识别数据库功能未能找到您要防护的数据库,您可以选择该选项手动录入要防护的数据库。
数据库
选择您要防护的数据库或者数据库所在的服务器实例。
数据库类型
选择添加的数据库的类型。仅选择手动录入数据库时需要设置此项。取值:
MYSQL
ORACLE
MSSQL
账号
输入待添加的数据库账号,该账号必须有该数据库的备份权限。Oracle数据库无需输入账号和密码。
重要请输入已选择的数据库的账号和密码,而非服务器的账号和密码。
密码
输入数据库账号的密码。
配置数据库防护策略的信息,然后单击完成。
配置项
说明
防护策略
您可单击使用推荐策略,直接使用云安全中心提供的推荐策略。如果推荐策略不符合您的业务需求,您可对推荐策略稍作修改,使其更符合您业务需求。
全量备份策略
配置全量备份的间隔周期、周中执行日期和备份开始时间。
全量备份指对某一时间点上数据库中的所有数据进行备份。全量备份所需的防勒索容量较多、备份的时间较长。建议您设置为一周一次。
说明全量备份策略和增量备份策略互不影响,会同时生效。
增量备份策略
配置增量备份的间隔周期和备份开始时间。
增量备份是指在一次全备份或上一次增量备份后,备份与前一次相比增加或者有变化的数据。增量备份没有重复的备份数据,因此备份所需的防勒索容量较少,备份的时间较短。建议您设置为每天一次。
备份数据保留时间
选择备份保留的时间。
备份网络带宽限制
设置备份时的网络带宽。设置为0表示不限制带宽。
数据库的勒索防护策略创建后,云安全中心将自动在您的服务器上安装防勒索客户端,此时该防护策略进入初始化中状态。客户端安装完成后,云安全中心将根据防护策略中设置的备份策略对数据库进行数据备份。
开启病毒查杀检查
登录云安全中心控制台。在控制台左上角,选择需防护资产所在的区域:中国或全球(不含中国)。
在左侧导航栏,选择。
如果未授权创建过服务关联角色AliyunServiceRoleForSas,您需要单击立即授权,根据页面提示完成授权操作。
授权成功后,云安全中心自动创建服务关联角色AliyunServiceRoleForSas。关于AliyunServiceRoleForSas的更多信息,请参见云安全中心服务关联角色。
在病毒查杀页面,立即扫描病毒或者设置周期性扫描病毒。
立即扫描
在病毒查杀页面,单击立即扫描或重新扫描。
在扫描设置面板,设置扫描模式和扫描范围。
配置项
说明
扫描模式
选择病毒扫描模式。
快速扫描:该模式下,云安全中心会自动检测活动进程、启动项、敏感目录文件等安全风险。
自定义目录扫描:该模式下,您可以自定义需要扫描的文件目录。
输入需要扫描的文件目录,如果有多个文件目录需要换行输入。单次最大支持扫描30,000个文件,如果文件目录中的文件超过30,000个,超出部分的文件将无法扫描。
扫描范围
选择资产扫描的资产范围。您可以按照以下类型选择待扫描资产:
全部资产:扫描全部资产。
按资产:选择待扫描的主机资产。
按分组:选择资产分组,云安全中心将扫描该资产分组下的所有资产。如果选中的资产分组新增了资产,新增资产将自动加入扫描范围。
按VPC:选择VPC,云安全中心将扫描该VPC下的所有资产。如果选中的VPC新增了资产,新增资产将自动加入扫描范围。
单击确定。
云安全中心按照设定的扫描模式和扫描范围进行病毒扫描。扫描预计需要2~5分钟完成,请您耐心等待。
设置周期性扫描
在病毒查杀页面右上角,单击扫描设置。
在扫描设置面板,设置扫描病毒的周期、扫描模式和扫描范围。
配置项
说明
扫描周期
设置自动扫描的时间间隔和扫描时间段。
扫描模式
选择病毒扫描模式。
快速扫描:该模式下,云安全中心会自动检测活动进程、启动项、敏感目录文件等安全风险。
自定义目录扫描:该模式下,您可以自定义需要扫描的文件目录。
输入需要扫描的文件目录,如果有多个文件目录需要换行输入。单次最大支持扫描30,000个文件,如果文件目录中的文件超过30,000个,超出部分的文件将无法扫描。
扫描范围
选择资产扫描的资产范围。您可以按照以下类型选择待扫描资产:
全部资产:扫描全部资产。
按资产:选择待扫描的主机资产。
按分组:选择资产分组,云安全中心将扫描该资产分组下的所有资产。如果选中的资产分组新增了资产,新增资产将自动加入扫描范围。
按VPC:选择VPC,云安全中心将扫描该VPC下的所有资产。如果选中的VPC新增了资产,新增资产将自动加入扫描范围。
单击下一步。
云安全中心会按照您的设置规则对要扫描的资产执行自动扫描病毒。
(可选)在病毒查杀页面右上角,单击任务管理,查看扫描任务状态和进展。