云安全中心提供的云平台配置检查功能,可帮助您检查您云产品的安全配置是否存在安全隐患。本文介绍了云平台配置检查功能的版本限制信息和支持的检查项。

版本限制说明

云安全中心高级版企业版旗舰版的云平台配置检查功能支持检测所有检查项。免费版防病毒版用户需要升级至高级版企业版旗舰版,才能使用云平台配置检查的所有检查项服务。各版本支持的检查项详情,请参见云平台配置检查项列表

云平台配置检查项列表

下表罗列了云安全中心各版本对云平台配置的检查项的支持情况。
说明 下表中使用的标识说明如下:
  • ×:表示不包含在服务范围中。
  • √:表示包含在服务范围中。

下表中的风险等级为阿里云云安全中心定义的风险等级。

最佳安全实践的类型 检查项名称 检查项所在章节 风险等级 说明 免费版防病毒版 高级版企业版旗舰版
阿里云RAM最佳安全实践 RAM-云产品管理员授权 权限管理 中危 云产品权限授权应精细到具体操作,Action和Resourc不应该都为*。为RAM用户、用户组、角色授权时,应遵循最小授权原则,不要过度授权。 错 对
RAM-超级管理员授权 权限管理 高危 检查超级管理员是否被授权引用,AdministratorAccess策略有管理所有云资源的权限,属于超级管理员,不应该被授权引用。为RAM用户、用户组、角色授权时,应遵循最小授权原则,不要过度授权。 错 对
RAM-子账号双因素认证 RAM安全设置 高危 检查开启了控制台登录的RAM用户是否启用多因素认证(Multi-Factor Authentication,简称:MFA)。
注意 开启控制台登录的RAM用户,需要启用MFA,且在控制台登录管理启用必须开启多因素认证。
对 对
主账号安全-AK使用 主账号安全 高危 由于主账号对名下资源有完全控制权限,为了避免因访问密钥泄露所带来的损失,不建议您为主账号创建访问密钥并使用该密钥进行日常工作。
注意 该检测项存在天延时,禁用AK之后再次验证,不会立刻通过,而是第二天后台数据更新之后才会通过,这点与其他检测项不同。
错 对
主账号安全-双因素认证 主账号安全 高危 检查用户登录阿里云控制台的主账号,是否启用了双因素认证(Multi-Factor Authentication,简称:MFA)。 对 对
阿里云OSS最佳安全实践 OSS-Bucket版本控制 容灾备份 中危 版本控制是针对存储空间(Bucket)级别的数据保护功能。开启版本控制后,针对数据的覆盖和删除操作将会以历史版本的形式保存下来。您在错误覆盖或者删除对象(Object)后,能够将Bucket中存储的Object恢复至任意时刻的历史版本。 错 对
OSS-授权策略 访问控制 高危 OSS有三种权限控制方式:ACL、RAM Policy、Bucket Policy,其中在配置Bucket Policy的时候,不建议对匿名账号授予读写或完全控制权限。 错 对
OSS-Bucket防盗链配置 访问控制 低危 OSS防盗链功能通过检查Referer,进行白名单限制,可以用于防止他人盗用OSS数据,建议您开启。 错 对
OSS-Bucket服务端加密 数据安全 低危 OSS提供服务器端加密功能,对持久化在OSS上的数据进行加密保护,建议您对敏感类型数据开启。 错 对
OSS-跨区域复制配置 容灾备份 低危 跨区域复制(Bucket Cross-Region Replication)是跨不同OSS数据中心(地域)的Bucket自动、异步复制Object,它会将Object的创建、更新和删除等操作从源存储空间复制到不同区域的目标存储空间。该功能能够很好的提供Bucket跨区域容灾或满足用户数据复制的需求。目标Bucket中的对象是源Bucket中对象的精确副本,它们具有相同的对象名、元数据以及内容,例如创建时间、拥有者、用户定义的元数据、Object ACL、对象内容等。 对 对
OSS-日志记录配置 日志审计 中危 用户在访问OSS的过程中,会产生大量的访问日志。日志存储功能,可将OSS的访问日志,以小时为单位,按照固定的命名规则,生成一个Object写入您指定的Bucket(目标 Bucket,Target Bucket)。您可以使用阿里云DataLakeAnalytics或搭建Spark集群等方式对这些日志文件进行分析。同时,您可以配置目标Bucket的生命周期管理规则,将这些日志文件转成归档存储,长期归档保存。 对 对
OSS-Bucket权限设置 访问控制 高危 检查OSS所有Bucket是否允许公共读写或公共读,如果是则不合规。 对 对
阿里云SLB最佳安全实践 SLB-证书过期 监控告警 中危 检查SLB的可用证书是否过期,影响业务正常使用。 对 对
SLB-白名单配置检查 访问控制 高危 检查SLB负载均衡实例访问控制配置,建议非HTTP或HTTPS服务启用访问控制,并且不能开放0.0.0.0/0。 对 对
SLB-健康状态 监控告警 低危 检测负载均衡SLB服务的后端服务器(ECS实例)业务可用性。 对 对
SLB-高危端口暴露 访问控制 高危 应依据最小服务原则设定SLB转发策略,只转发必要的公共服务端口(如:80、443等)至公网,其他端口不应进行转发,如被SLB发布到公网会增加系统遭受外部黑客攻击的风险。 对 对
阿里云PostgreSQL最佳安全实践 分析型数据库PostgreSQL版-白名单配置 访问控制 高危 检查分析型数据库PostgreSQL版的访问控制策略是否有0.0.0.0/0(任意IP)的配置,不建议数据库类服务直接对公网开放,需要限定访问范围为指定IP访问。 对 对
阿里云Redis最佳安全实践 Redis-SSL开启 数据安全 中危 Redis 2.8标准版、集群版实例和Redis 4.0集群版实例支持SSL加密。启用SSL(Secure Socket Layer)加密,可以提高您的Redis数据传输的安全性。 错 对
Redis-备份设置 容灾备份 中危 建议Redis数据库实例开启数据备份功能,数据备份应当每天备份一次。 错 对
Redis-白名单配置 访问控制 高危 0.0.0.0/0和空代表不设IP访问的限制,您的Redis数据库将会面临爆破等安全风险。建议根据您的服务使用情况仅开放对应的外网IP或IP段。 对 对
阿里云RDS最佳安全实践 RDS-跨地域备份 容灾备份 低危 RDS提供跨地域备份功能,可以自动将本地备份文件复制到另一个地域的OSS上,跨地域的数据备份能够有效的实现异地容灾。 错 对
RDS-开启数据库备份 容灾备份 中危 建议RDS数据库实例开启数据备份功能,数据备份应当每天备份一次。 对 对
RDS-白名单配置 访问控制 高危 数据库服务(RDS)端口不应直接对公网所有地址开放,应设定严格的访问控制策略,只允许特定的IP(如Web应用服务器)可以访问数据库服务。 对 对
RDS-数据库安全策略 数据安全 中危 检查RDS的各个实例是否启用数据加密传输(SSL)、数据加密存储(TED)和SQL审计服务。 对 对
阿里云PolarDB最佳安全实践 PolarDB-SQL洞察 日志审计 中危 云数据库PolarDB提供SQL洞察功能,可以为您的数据库提供安全审计、性能诊断等增值服务,建议开启。 错 对
PolarDB-备份设置 数据安全 中危 数据库定期备份有利于提升数据库安全,在出现数据库异常时可以根据历史备份信息进行恢复。云数据库PolarDB提供了自动备份策略,建议您保持开启,确保每天备份一次。 错 对
PolarDB-白名单配置 访问控制 高危 检查云数据库PolarDB的访问控制策略是否开放公网访问且有0.0.0.0/0(任意IP)的配置,不建议数据库类服务直接对公网开放,需要限定访问范围为指定IP访问。 对 对
阿里云最佳安全实践 云效-Codeup代码安全 数据安全 高危 云效Codeup代码安全提供了数据安全评分和安全风险事件提醒功能,及时检测企业代码资产的安全状态,实现安全预防、风险检测、主动防御的全方位保护。 对 对
云盾-WAF回源配置 数据安全 高危 检查使用WAF服务后,需要隐藏后端服务器真实IP地址,避免攻击者直接访问真实IP绕过WAF。通过设置白名单的方式可以实现,当真实IP为弹性计算服务(ECS)IP时,在弹性计算服务(ECS)安全组进行设置,当真实IP为负载均衡服务(SLB)IP时,在负载均衡服务(SLB)上设置白名单访问控制策略,设置内容为:仅允许WAF回源IP地址访问。 对 对
操作审计-日志配置 数据安全 中危 云安全体系要求云平台开启操作审计功能,操作日志需保存在对象存储服务(OSS)或者日志服务(SLS)中,并合理设置日志的访问权限,以实现高危操作可追溯。
  • 未开通操作审计时系统对管理员在云平台的操作行为不进行记录,当发生恶意操作时将无审计数据可查,难以定责。
  • 未开通操作审计会不满足合规要求,例如:等级保护、ISO/IEC27001、PCI-DSS。
对 对
云盾-高防回源配置 数据安全 高危 使用DDoS高防服务或Web应用防火墙(WAF)后,需要将后端服务器真实IP地址进行隐藏,避免攻击者绕过高防或WAF直接攻击云主机。未使用负载均衡服务(SLB)情况下,在云主机(ECS)安全组中设置白名单访问控制策略实现地址隐藏;已使用负载均衡服务(SLB)的情况下,在负载均衡服务(SLB)上设置白名单访问控制策略实现地址隐藏;白名单设置内容为:仅允许DDoS、WAF回源IP地址访问真实IP。 对 对
容器镜像服务-仓库权限设置 数据安全 高危 容器镜像服务的仓库分为公有仓库和私有仓库,公有仓库允许所有互联网用户匿名下载,设置为公有仓库会造成镜像内部敏感信息泄漏。 错 对
SSL证书-有效期检查 数据安全 高危 检查SSL证书是否15天内将超出有效期或已过期,证书到期前需及时续费,否则您将无法继续使用SSL证书服务。 对 对
CDN-实时日志推送 数据安全 中危 阿里云CDN提供将采集到的实时日志实时推送至日志服务SLS,并进行日志分析。通过日志的实时分析,您可以快速发现和定位问题。 错 对
阿里云ECS最佳安全实践 ECS-安全组策略 访问控制 高危 建议安全组最小粒度开放访问策略,仅对必须全网开放的服务才开启0.0.0.0/0,例如网站的80、443端口。 错 对
ECS-自动快照策略 数据安全 中危 检查ECS磁盘是否开启自动快照功能。自动快照可以增加ECS主机的数据安全水位,实现容灾备份。创建快照将产生一定的费用,费用由快照产品收取,收费模式请见官网价格页。 对 对
ECS-存储加密 数据安全 低危 检查ECS主机磁盘是否开启加密,开启云盘加密,可以满足您的业务更高的安全需求或法规合规要求。 对 对
云监控-主机插件状态 监控告警 中危 云监控可以针对阿里云资源和互联网应用进行监控,为了监控ECS主机运行状态,并在出现主机异常指标时可以告警通知,建议在ECS主机安装云监控主机插件。 错 对
ECS-密钥对登录 身份认证 高危 检测ECS产品的Linux主机是否绑定了阿里云SSH密钥对,SSH密钥登录与SSH密码登录方式相比,更加安全便捷,推荐使用阿里云SSH密钥对方式。 对 对
云盾-主机安全防护 安全防护 高危 检查ECS主机的安骑士是否持续在线,云安全防御体系中,部署客户端提供主机漏洞、基线检测能力,主机入侵检测及防御的能力。 对 对
阿里云MongoDB最佳安全实践 MongoDB-SSL开启 数据安全 中危 为提高MongoDB数据库数据链路的安全性,建议您启用SSL加密。 错 对
MongoDB-日志审计 日志审计 中危 云数据库MongoDB审计日志记录了您对数据库执行的所有操作。通过审计日志记录,您可以对数据库进行故障分析、行为分析、安全审计等操作,有效帮助您获取数据的执行情况。建议您开启MongoDB数据库审计日志功能。 错 对
MongoDB-备份设置 数据安全 中危 数据库定期备份有利于提升数据库安全,在出现数据库异常时可以根据历史备份信息进行恢复。云数据库MongoDB提供了自动备份策略,建议您保持开启,确保每天备份一次。 错 对
MongoDB-白名单配置 访问控制 高危 检查云数据库Mongodb实例是否开启白名单限制,白名单不允许拥有(0.0.0.0/0)的设置。 对 对