病毒和黑客会利用服务器存在的安全配置缺陷入侵服务器,盗取数据或植入后门。基线检查功能针对服务器操作系统、数据库、软件和容器的配置进行安全检测,可以帮助您加固系统安全,降低入侵风险并满足安全合规要求。本文介绍基线检查功能的基本信息以及如何使用该功能。
版本限制
仅云安全中心高级版、企业版和旗舰版用户可开通和使用基线检查功能。
企业版、旗舰版:
旗舰版支持基线检查的所有功能,企业版不支持容器安全检查。
支持一键修复Linux系统的阿里云标准和等保标准基线相关检查项。
高级版:
仅可使用默认策略执行基线检查。
仅支持弱口令检查。
功能介绍
基线检查功能通过配置不同的基线检查策略,可以帮助您快速对服务器进行批量扫描,发现包括系统、账号权限、数据库、弱口令、等级保护合规配置等存在的风险点,并提供修复建议和一键修复功能。支持检测的内容详情,请参见基线检查内容。
基本概念
名词 | 说明 |
基线 | 基线指操作系统、数据库及中间件的安全实践及合规检查的配置红线,包括弱口令、账号权限、身份鉴别、密码策略、访问控制、安全审计和入侵防范等安全配置检查。 |
弱口令 | 弱口令指容易被猜测或爆破的口令,通常包括:长度小于8位或者字符类型少于3类的简单口令,以及网上公开的或者恶意软件中的黑客字典。弱口令容易被破解,如果被攻击者获取,可用来直接登录系统,读取甚至修改网站代码,使用弱口令将使得系统及服务面临极大的风险。 |
策略说明
策略是云安全中心基线检查规则的集合,是执行基线检测的基本单位。云安全中心提供三种类型的策略:默认策略、标准策略和自定义策略。
策略类型 | 支持的版本 | 支持的基线检查类型 | 应用场景 |
默认策略 |
| 该类型策略包含70+基线检查项,支持以下基线类型:
重要
| 默认策略为云安全中心默认执行的基线检查策略,仅支持编辑策略的开始时间和生效的服务器。 您购买云安全中心高级版、企业版或旗舰版后,云安全中心会使用默认策略每隔一天检查一次您阿里云账号下的所有资产,每次在00:00~06:00或您修改后的时间进行检查。 |
标准策略 |
| 该类型策略包含120+基线检查项,支持以下基线类型:
重要 企业版不支持容器安全检查。 | 标准策略相比默认策略增加了等保合规、国际通用安全最佳实践等基线检查类型,其他基线类型也增加了更多的基线检查项,且支持编辑策略的配置项。 您可以为资产自行配置符合业务场景需要的基线检查策略。 |
自定义策略 |
| 该类型策略包含50+基线检查项,支持以下操作系统自定义基线类型:
| 自定义策略用于检查您的资产在操作系统自定义基线的配置上是否存在风险。 您可为资产自行配置基线检查策略的检查项,并可按照业务需求修改部分基线的参数,使得基线检查策略更加符合您的业务场景。 |
功能优势
等保合规
合规基线支持等保二级、等保三级和国际通用安全最佳实践,满足多种合规监管需求,可以帮助企业建设符合等保要求的安全系统。
检测全面覆盖范围广
支持弱口令、未授权访问、历史漏洞和配置红线巡检,覆盖常用30多种系统版本,20多种数据库及中间件。
灵活配置策略
支持自定义选配安全策略、检测周期、检测范围,满足不同业务的个性化安全配置需求。
提供详细修复方案
检查项提供详细修复加固方式,帮助您快速提升安全水位,一键修复能力轻松完成系统基线加固并满足等保要求。
步骤一:开通基线检查服务
购买云安全中心高级版、企业版或旗舰版才能使用基线检查服务,操作步骤如下:
如果您使用的是云安全中心免费版或防病毒版:
登录云安全中心控制台。在控制台左上角,选择需防护资产所在的区域:中国或全球(不含中国)。
在左侧导航栏,选择 。
单击立即升级,购买云安全中心高级版、企业版或旗舰版。
在需要进行基线检查的服务器中安装云安全中心客户端。具体操作,请参见安装客户端。
说明执行默认策略时,默认检查已安装云安全中心客户端且状态为正常的服务器,您可以在设置默认策略、标准策略、自定义策略时,通过服务器分组选择生效服务器。
(可选)步骤二:设置基线检查策略
云安全中心默认执行的基线检查策略,仅包含70+基线检查项和部分基线类型检查,您可以根据业务需求,配置更多的检查项和检查策略。
登录云安全中心控制台。在控制台左上角,选择需防护资产所在的区域:中国或全球(不含中国)。
在左侧导航栏,选择 。
在基线检查页面右上角,单击策略管理。
在策略管理面板的扫描策略页签,按需求配置基线检查策略。
配置扫描策略
在扫描策略页签,按需求添加标准策略和自定义策略,或更新已有策略的配置。
添加标准策略
您可通过添加标准策略,进一步完善对您资产基线配置的检查。云安全中心将按照创建的策略对您资产的基线配置进行检查。
单击添加标准策略。
在基线检查策略面板,输入用于识别的策略名称,选择检测周期和检测开始时间,选择需要检查的基线分类和基线名称。
基线检查项的详情,请参见基线检查内容。
说明部分自定义基线的参数支持自定义配置,您可以根据业务需要进行配置。
选择生效服务器,然后单击确认。
配置项
说明
扫描方式
选择生效服务器的扫描方式。可选项:
分组:以资产分组为单位扫描,仅支持全选一个或多个分组下的服务器。
ECS:以ECS为单位扫描,支持选择不同分组的部分或全部服务器。
生效服务器
选择需要应用该策略的服务器。
说明新购买的资产默认归属在管理服务器。
中,如需对新购资产自动应用该策略,请选择未分组。如果您需要添加新的分组或修改已有的分组,请参见
添加自定义策略
您可通过添加自定义策略,检查您的资产在操作系统自定义基线的配置上是否存在风险。
单击添加自定义策略。
在基线检查策略面板,输入用于识别的策略名称,选择检测周期和检测开始时间,选择需要检查的基线名称。
基线检查项的详情,请参见基线检查内容。
选择生效服务器,然后单击确认,完成自定义策略的添加。
配置项
说明
扫描方式
选择生效服务器的扫描方式。可选项:
分组:以资产分组为单位扫描,仅支持全选一个或多个分组下的服务器。
ECS:以ECS为单位扫描,支持选择不同分组的部分或全部服务器。
生效服务器
选择需要应用该策略的服务器。
说明一个资产分组仅可设置一个自定义策略。已存在自定义策略的资产分组,在新建自定义策略时,选择生效资产的资产分组会置灰,不支持选择。
新购买的资产默认归属在管理服务器的分组、重要性及标签。
中,如需对新购资产自动应用该策略,请选择未分组。如果您需要添加新的分组或修改已有分组,请参见
更新策略
根据业务场景,单击策略操作列的编辑或删除,修改或删除该策略。
说明策略被删除后不可恢复。
对于默认策略,不支持删除,也不支持修改基线检查项,仅支持修改开始检测时间和应用默认策略的生效服务器。
设置基线检查的等级
在策略管理页面下方,您可以设置基线检查的等级范围(高、中、低)。该配置对所有检查策略生效。
配置自定义弱口令
云安全中心已为您默认内置弱口令规则。您可以基于业务需求,在策略管理面板单击自定义弱口令页签,通过上传文件或自定义字典来添加或生成新的自定义弱口令规则。
基线扫描策略配置弱口令检查项后,云安全中心会按照您自定义的弱口令规则来检查您的资产是否存在弱口令风险。
上传文件限制如下:
文件大小不能超过40 KB。
文件中弱口令之间必须换行区分,每行中不可以有多个弱口令,否则将无法准确检查弱口令。
文件中最多支持3,000条弱口令。
上传文件会直接全量覆盖自定义弱口令规则,生成新的自定义弱口令规则。
自定义字典工具支持全量覆盖和添加两种方式,生成自定义弱口令规则。
通过上传文件生成新的自定义弱口令规则
云安全中心将按照您上传的弱口令规则来检查您资产的口令是否存在风险。
在上传文件页签,单击下载模板。
在下载的模板中完成自定义弱口令设置。
单击拖拽上传文件区域,上传弱口令模板,完成弱口令配置。
通过自定义字典全量覆盖或添加自定义弱口令规则
在自定义字典页签,单击重新生成。
配置自定义字典。
配置项
说明
域名
填写您的资产的域名。
公司名称
填写您公司的名称。
关键字
填写您要加入到弱口令字典中的口令。
单击生成弱口令字典。
您可以在弱口令字典区域查看生成的所有弱口令信息,支持手动新增、修改和删除弱口令。
选择以下方式,完成弱口令字典配置。
单击添加,然后单击确定,将生成的弱口令字典添加到当前已有的弱口令规则中。
单击覆盖,然后单击确定,全量覆盖当前已有的弱口令规则。
配置基线白名单
如果您确认某些基线检查项对于全部主机或部分主机不构成安全风险,可以通过基线白名单功能提前添加基线白名单规则,对指定检查类型、检查项的对应主机进行加白。后续基线检查时,云安全中心会忽略基线白名单中主机对应检查项的风险问题。
在基线白名单页签,单击新增规则。
在新建基线白名单规则面板,选择待加白的检查项类型以及对应检查项。
选择规则应用范围:全部主机或部分主机。
单击保存。
可选:您可以在基线白名单页签的规则列表中找到目标规则:
单击操作列的编辑,修改规则应用范围,删除或新增加白的主机。
单击操作列的删除,直接删除规则,恢复对主机的基线检查。
步骤三:执行基线检查策略
云安全中心基线检查功能支持周期性自动检查和即时手动检查。以下是两种检测方式的说明:
周期性自动检查:云安全中心根据您设置的基线检查默认策略、标准策略或自定义的基线检查策略,定时自动执行基线检查。默认策略每隔一天在00:00~06:00或您设置的检测开始时间进行一次全面的自动检测。
即时手动检查:如果您新增或修改了自定义的基线检查策略,您可以在基线检查页面选择该基线检查策略,立即执行基线检查,实时查看服务器中是否存在对应的基线风险。
需要立即执行基线检查时,您可以参考以下步骤进行操作。
在基线检查页面的基线检查策略页签,单击全部策略右侧的图标,展开基线检查策略菜单,选中需要执行即时手动检查的基线策略。
单击立即检查。
执行立即检查操作后,将鼠标移动至立即检查处,单击弹框中的进度详情,查看检查进度详情。
步骤四:查看基线检查结果及风险加固建议
基线检查完成后,云安全中心从基线和检查项维度展示基线检查结果,您可以查看存在风险的检查项的加固建议。
在基线检查页面上方总览区域,从安全风险、合规和自定义基线三个方面展示了您资产基线配置中存在风险的总体数据。
在基线检查策略页签:
查看全部或单个基线检查策略的检测结果
在基线检查策略页签的策略总览区域,默认展示策略为默认策略,单击展开图标,展开基线检查策略菜单,可以单击全部策略或已执行的单个策略,查看对应基线检查策略的检查服务器数、基线数量、高危弱口令风险、最新检查通过率(最近一次执行基线检查的基线合格率)。
单击高危弱口令风险下的数字,可以查看高危弱口令风险项的列表。
重要高危弱口令风险为风险等级较高的基线风险问题,建议您优先处理。提升口令安全和常见系统口令修改方式,请参见弱口令安全最佳实践。
对于最新检查通过率字体颜色:
绿色:表示扫描的资产中基线配置合格率较高。
红色:表示检查的资产中不合格的基线配置较多,可能存在安全隐患,建议前往基线检查详情页面查看并修复。
查看基线维度的基线检查结果列表及加固建议
在基线检查结果列表中,单击基线名称,在基线详情面板上,查看受该基线影响的资产及资产基线检查的通过项、风险项等信息。
在基线详情面板上,单击某个受影响的资产的操作列的查看,在风险项面板上,可查看该资产上存在的所有基线风险问题。
说明如果检查项显示已通过,说明服务器对应配置不存在风险加固项。
例如,对于Redis未授权访问检查,如果Redis没有配置密码,可以直接访问,但配置绑定了127.0.0.1(仅允许本机内网访问),则基线检查结果是已通过,表示当前未授权访问是安全的,不存在安全风险加固项。此时,用户可以根据自身需求选择是否配置授权访问。
在风险项面板上,单击某个资产操作列的详情,可查看云安全中心提供的关于该风险项的描述、检查提示和加固建议等信息。
可选:返回基线详情面板,在基线检查结果列表右上方,单击下载图标,在基线导出任务选项对话框中选择导出方式,可以导出基线检查结果。
针对基线中包含的弱口令信息的导出,云安全中心提供了以下导出方式:
弱口令明文导出:直接明文导出基线检查结果中的弱口令信息。
弱口令脱敏导出:对基线检查结果中的弱口令信息脱敏后再导出。
在风险情况页签,从检查项维度查看风险项的加固建议。
您可以使用列表上方的搜索组件搜索,按照检查项的风险等级、状态和类型筛选目标检查项,也可以在搜索框中输入检查项名称搜索目标检查项。
单击目标检查项操作列的详情,在详情面板可以查看检查项的描述、加固建议、相关基线以及受影响的资产列表。
步骤五:处理基线风险
根据加固建议,在基线检查页面处理基线风险问题。
按照基线维度处理基线风险
在基线检查策略页签下的基线检查结果列表中,单击待处理的基线检查结果的基线名称,在右侧面板上,单击服务器操作列的查看,在风险项面板上,处理该服务器上存在的基线风险问题。
按照检查项维度处理基线风险
在风险情况页签下的基线检查结果列表中,单击待处理检查项操作列的详情,在风险项详情面板处理基线风险问题。
以下为按照基线维度处理基线风险的介绍。
修复
云安全中心仅支持修复部分基线检查项风险问题,可以通过检查项对应风险项面板是否显示修复按钮判断。
如果不显示修复按钮,表示该风险项不支持在云安全中心修复,则需要您登录存在该基线风险问题的服务器,在服务器上修改基线问题对应的服务器的配置,修改完成后,在云安全中心进行验证。
在风险项面板上,单击目标检查项操作列的详情,可查看云安全中心提供的关于该检查项的描述、检查提示和加固建议等信息。
如果显示修复按钮,表示该风险项支持在云安全中心修复,您可以在云安全中心直接修复基线风险问题。
在风险项面板上,单击目标检查项操作列的修复。
在修复风险资产对话框,进行如下配置。
配置项说明如下:
配置项
说明
修复方式
配置基线风险问题的修复方式。
说明不同类型的风险项对应的修复方式不同,请根据实际场景配置修复方式。
批量处理
选择是否要批量处理存在相同基线风险问题的其他资产。
风险保障
选择是否通过创建快照的方式备份系统数据。
警告云安全中心在修复基线风险问题时,可能存在修复失败的风险,影响到您的业务正常运行。建议您在修复前对系统进行备份,以便在修复失败影响您业务正常运行时,可快速恢复到执行修复操作前的状态,使业务能正常运转。
自动创建快照并修复:您需要设置快照名称、快照保存时间,然后单击立即修复。
说明创建快照将产生费用。您可以单击页面上的快照计费文档,了解具体的快照计费信息。
不建立快照备份直接修复:如果您确定不创建快照直接修复基线问题,单击立即修复即可。
单击立即修复。
加白名单
如果您确认检查未通过的基线检查项无需处理,可通过加白名单功能对目标服务器上存在的基线风险产生的告警进行加白。
加入白名单是将指定服务器加入基线检查策略的白名单。加入白名单后,后续基线检查时会忽略对应服务器上存在的该风险问题。
例如,基线检查风险问题是使用非Root账号登录实例,如果实际业务场景,需要使用Root账号登录实例,可以加白名单处理。
对单个目标资产的指定检查项进行加白
在目标资产的风险项面板上,单击待处理检查项操作列的加白名单,在检查项忽略原因对话框中填写加白原因,然后单击确定,将检查项加入白名单中。
如果需要将多个检查项加入白名单,您需要先选择状态为未通过并需要加入白名单的检查项,再单击检查项列表下方的加白名单。
对所有资产(包括后续新增资产)的指定检查项进行加白
在风险情况页签的检查项列表中,单击待处理检查项操作列的加白名单,或选中多个检查项后,单击列表下方的加白名单。
对单个检查项的部分资产进行加白
在风险情况页签下的基线检查结果列表中,单击待处理检查项操作列的详情,在风险项详情面板的服务器列表中,选中要加入白名单的服务器,单击列表下方的加入白名单。
验证
验证基线风险问题处理结果:
在资产的风险项面板,单击目标检查项操作列的验证,对已处理风险项的资产进行验证。如果验证通过,表示风险问题已修复,资产的风险项数值会相应地减少,同时该风险项状态会更新为已通过。
如果您未进行手动验证,云安全中心将根据您在扫描策略中设置的检测周期执行自动验证。
回滚
如果您在修复阿里云ECS服务器上存在的基线风险问题前,对该服务器使用快照进行了备份,在服务器上的基线风险问题修复失败导致业务中断时,您可在基线详情面板上,单击该服务器操作列的回滚,在回滚对话框中,选中基线修复前备份的快照,单击下方确定。执行回滚操作后,该服务器的配置可恢复到基线风险问题修复前创建的快照的配置。
取消加白
如果需要云安全中心对已忽略的基线检查配置项再次触发告警,可对已忽略的检查项或服务器执行取消加白。取消加白后,该基线检查配置项会再次触发告警。
在风险项面板上,定位到需要取消白名单的检查项,单击其操作列取消加白,在取消加白操作对话框中,单击确定,可将该检查项移出白名单。您也可以选中多个需要取消白名单的检查项,单击下方取消加白,将多个检查项批量移除白名单。
基线检查内容
基线分类说明
基线分类 | 检查标准及检查内容 | 覆盖的系统和服务 | 修复紧急度说明 |
弱口令 | 使用非登录爆破方式检测是否存在弱口令。避免登录爆破方式锁定账户影响业务的正常运行。 说明 弱口令检测是通过读取HASH值与弱口令字典计算的HASH值进行对比来检查是否存在弱口令。如果不想读取HASH值,您可以从基线检查策略中移除弱口令基线。 |
| 需紧急修复。避免弱口令暴露在公网上导致系统被入侵或发生数据泄露事件。 |
未授权访问 | 未授权访问基线。检测服务是否存在未授权访问风险,避免被入侵或者数据泄露。 | Memcached、Elasticsearch、Docker、CouchDB、Zookeeper、Jenkins、Hadoop、Tomcat、Redis、Jboss、ActiveMQ、RabbitMQ、openLDAP、rsync、Mongodb Postgresql | |
最佳安全实践 | 阿里云标准 基于阿里云最佳安全实践标准检测是否存在账号权限、身份鉴别、密码策略、访问控制、安全审计和入侵防范等安全配置风险。 |
| 重要安全加固项,建议修复。基于最佳安全实践的加固标准,降低配置弱点被攻击和配置变更风险。 |
容器安全 | 阿里云标准 基于阿里云容器最佳安全实践的Kubernetes Master和Node节点配置风险检查。 |
| |
等保合规 | 等保二级、三级合规 基于服务器安全等保基线检查。对标权威测评机构安全计算环境测评标准和要求。 |
| 基于业务是否有合规需要进行修复。 |
国际通用安全最佳实践 | 基于国际通用安全最佳实践的操作系统安全基线检查。 |
| 基于业务是否有合规需要进行修复。 |
自定义基线 | 支持CentOS Linux 7自定义基线,可对基线检查策略中的检查项进行编辑,自定义安全加固项。 | CentOS 7、CentOS6、Windows Server 2022R2、2012R2、2016、2019、2008R2 | 用户自定义的安全加固项,建议修复。基于最佳安全实践的加固标准,降低配置弱点被攻击和配置变更风险。 |
基线检查项目
以下表格描述了云安全中心提供的默认基线检查项目。
Windows基线
Linux基线
常见问题
使用基线检查功能,需要购买云安全中心哪个版本?
基线检查验证失败如何处理?
基线和漏洞有什么区别?