云安全中心的云平台配置检查功能可帮助您检查云产品的安全配置是否存在安全隐患。本文介绍如何使用云平台配置检查功能。

执行云平台配置检查

云平台配置检查功能支持手动检查和自动检查。云安全中心各版本支持的检查项详情,请参见云平台配置检查项列表

  1. 登录云安全中心控制台在左侧导航栏,选择风险管理 > 云平台配置检查
  2. 云平台配置检查页面,进行云平台配置检查。
    • 手动检查

      如果您想立即了解云产品配置是否存在安全风险,您可以在云平台配置检查页面,单击立即扫描,对云产品配置进行全量检查。

    • 自动检查

      您也可以设置自动检查,云安全中心会在您设置的时间执行云平台配置检查。

      1. 云平台配置检查页面右上角,单击检查设置
      2. 检查设置面板,配置云平台配置检查的检查周期检查时间以及选中要检查的风险检测项,单击确定
    说明
    • 默认检查周期为周一到周日随机的某一天,您可以按业务需要自行设置检查周期。
    • 对云产品配置进行全量检查需要一段时间,请耐心等待。

查看云平台配置检查结果

  1. 登录云安全中心控制台在左侧导航栏,选择风险管理 > 云平台配置检查
  2. 云平台配置检查页面,查看云平台配置检查项结果。
    • 查看总览
      云平台配置检查页面上方的总览区域,您可以查看CIEM安全风险合规风险检查项的通过率。将鼠标悬停在通过率线段上,可查看云产品配置检查结果存在的高危、中危、低危以及通过的检查项数量。
      说明 不同的风险等级使用不同颜色的线段表示。
      • 高危:红色。表示该风险项对您资产的危害较大,建议您尽快处理。
      • 中危:橙色。表示该风险项对您资产的危害一般,您可以延后处理。
      • 低危:灰色。表示该风险项对您资产的影响较小,您可以延后处理。
    • 查看目标风险项
      • 您可以在左侧全部检查项列表单击目标检查项的类型,然后在右侧的风险项列表,查看与该检查项相关的风险项列表。
      • 您还可以通过列表上方提供的风险项的筛选组件,通过风险项的等级、状态等维度,筛选出您想要查看的目标风险项。
    • 查看目标风险项的详情

      单击目标风险项的检查项名称或风险项操作列的详情,展开检查项的详情面板,查看该检查项的检查项说明处置方案帮助资源以及威胁影响

处理云平台配置检查结果

  1. 登录云安全中心控制台在左侧导航栏,选择风险管理 > 云平台配置检查
  2. 云平台配置检查页面,处理检查出的风险项。
    您可以根据需要进行以下操作:
    • 修复风险项

      单击目标风险项的检查项名称或风险项操作列的详情,在风险项详情面板的威胁影响区域,单击存在风险的云产品的实例ID(或账号ID、策略名称等),跳转至对应的云产品实例管理控制台。然后根据风险项详情面板上提供的处置方案帮助资源信息,修复该云产品配置中存在的安全风险。

    • 验证修复结果
      • 如果您已按照风险项详情面板上提供的修复建议,修改了威胁影响区域的受影响实例列表中云产品实例的配置,可单击该实例操作列的验证,检验新的配置是否存在安全风险。
      • 修改后的云产品实例配置在经过验证且通过检查后,该实例会从威胁影响区域的受影响实例列表中移除。该风险的状态会变为已通过
      • 如果您需要同时验证多个风险项,可以选中这些风险项并单击列表下方的验证,在确认对话框单击确定
    • 加白名单
      重要 将风险项加入白名单后,后续云平台配置检查中,将不会再上报与该风险项对应的检查项相关的风险。请您在确认风险项无安全风险后,再将检查项加入白名单。

      如果您判断检查出的某个风险项不存在安全风险,可在云平台配置检查页面的检查结果列表,定位到该风险项,单击其操作列的加白名单,将该风险项状态调整为已加白已加白的风险项将不会包含在风险项总数中。

      您也可以在云平台配置检查页面的检查结果列表,对已加白的风险项进行取消加白的操作。

云平台配置检查项列表

以下表格罗列了云安全中心各版本对云平台配置的检查项的支持情况。
说明 以下表格中使用的标识说明如下:
  • 错:表示不包含在服务范围中。
  • 对:表示包含在服务范围中。

下表中的风险等级为阿里云云安全中心定义的风险等级。

身份权限管理(CIEM)

最佳安全实践的类型 检查项名称 检查项所在章节 风险等级 免费版防病毒版 高级版 企业版旗舰版
IDAAS IDAAS密码复杂度 密码策略 高危 错 错 对
IDAAS历史密码检测 密码策略 高危 错 错 对
IDAAS开启二次认证 认证管理 高危 错 错 对
IDAAS定期改密 密码策略 中危 错 错 对
IDAAS忘记密码 密码策略 中危 错 错 对
IDAAS登录有效期 认证管理 中危 错 错 对
RAM身份认证 主账号AK禁用 AK安全管理 高危 错 对 对
子账号启用MFA 认证管理 高危 对 对 对
主账号启用MFA 认证管理 高危 对 对 对
人员和程序用户分离 身份管理 中危 错 错 对
密码有效期 密码策略 中危 错 错 对
RAM限制IP访问 访问控制 低危 错 错 对
AK泄露检测 AK安全管理 高危 错 错 对
密码复杂度 密码策略 高危 错 错 对
会话安全设置 认证管理 高危 错 错 对
启用RAM用户 身份管理 高危 错 错 对
只创建一个AK AK安全管理 高危 错 错 对
AK定期轮换 AK安全管理 中危 错 错 对
密码重用限制 密码策略 中危 错 错 对
闲置子AK清理 AK安全管理 低危 错 错 对
闲置用户清理 身份管理 低危 错 错 对
RAM权限管理 RAM-超级管理员授权 授权管理 高危 错 对 对
RAM-云产品管理员授权 授权管理 中危 错 对 对
用户的RAM权限存在过度授权 授权管理 高危 错 错 对
角色的RAM权限存在过度授权 授权管理 高危 错 错 对
用户的ECS权限存在过度授权 授权管理 高危 错 错 对
角色的ECS权限存在过度授权 授权管理 高危 错 错 对
角色的OSS权限存在过度授权 授权管理 高危 错 错 对
角色的RDS权限存在过度授权 授权管理 高危 错 错 对
用户的RDS权限存在过度授权 授权管理 高危 错 错 对
用户的OSS权限存在过度授权 授权管理 高危 错 错 对

云产品配置管理(安全风险)

最佳安全实践的类型 检查项名称 检查项所在章节 风险等级 免费版防病毒版 高级版 企业版旗舰版
阿里云MSE最佳安全实践 MSE-公网权限认证 访问控制 低危 错 错 对
阿里云NAS最佳安全实践 NAS-开启日志管理 日志审计 低危 错 错 对
NAS-经典网络配置 访问控制 低危 错 错 对
NAS-备份设置 访问控制 低危 错 错 对
阿里云OSS最佳安全实践 OSS-Bucket版本控制 容灾备份 中危 错 对 对
OSS-授权策略 访问控制 高危 错 对 对
OSS-Bucket防盗链配置 访问控制 低危 错 对 对
OSS-Bucket服务端加密 数据安全 低危 错 对 对
OSS-跨区域复制配置 容灾备份 低危 对 对 对
OSS-日志记录配置 日志审计 中危 对 对 对
OSS-Bucket权限设置 访问控制 高危 对 对 对
OSS敏感文件泄露 数据安全 低危 错 错 对
OSS-公共权限下对清单文件加密 日志审计 低危 错 错 对
OSS-公共权限下禁用日志 访问控制 低危 错 错 对
阿里云SLB最佳安全实践 ALB-高危端口暴露 访问控制 高危 对 对 对
CLB-白名单配置检查 访问控制 高危 对 对 对
CLB-证书过期 监控告警 中危 对 对 对
CLB-健康状态 监控告警 低危 对 对 对
ALB-白名单配置检查 访问控制 高危 对 对 对
CLB-高危端口暴露 访问控制 高危 对 对 对
ALB-证书过期 监控告警 中危 对 对 对
ALB-健康状态 监控告警 低危 对 对 对
阿里云PostgreSQL最佳安全实践 PostgreSQL-备份设置 容灾备份 中危 错 错 对
PostgreSQL-云盘加密 数据安全 中危 错 错 对
PostgreSQL-SSL证书 数据安全 中危 错 错 对
分析型数据库PostgreSQL版-白名单配置 访问控制 高危 对 对 对
阿里云Redis最佳安全实践 Redis-审计日志配置 日志审计 低危 错 错 对
Redis-接入高防DDos 访问控制 中危 错 错 对
Redis-白名单配置 访问控制 高危 对 对 对
Redis-开启TDE加密 数据安全 中危 错 错 对
Redis-使用普通用户 身份认证 中危 错 错 对
Redis-禁用高风险命令 访问控制 中危 错 错 对
Redis-VPC免密模式应用白名单 访问控制 中危 错 错 对
Redis-设置客户端连接的超时时间 访问控制 中危 错 错 对
Redis-SSL开启 数据安全 中危 错 对 对
Redis-备份设置 容灾备份 中危 错 对 对
Redis-关闭专有网络免密访问 身份认证 低危 错 错 对
阿里云ACK最佳安全实践 ACK-禁止绑定EIP 网络配置 低危 错 错 对
ACK-网络插件配置 网络配置 低危 错 错 对
ACK-网络策略配置 网络配置 低危 错 错 对
阿里云RDS最佳安全实践 RDS-普通用户登录 身份认证 中危 错 错 对
RDS-开启数据库备份 容灾备份 中危 对 对 对
RDS-TDE配置 数据安全 低危 错 错 对
RDS-SSL配置 数据安全 低危 错 错 对
RDS-SQL审计 数据安全 低危 错 错 对
RDS-跨地域备份 容灾备份 低危 错 对 对
RDS-白名单配置 访问控制 高危 对 对 对
RDS-端口配置 服务配置 低危 对 对 对
RDS-实例释放保护配置 服务配置 低危 错 错 对
RDS-云盘加密 数据安全 低危 错 错 对
阿里云PolarDB最佳安全实践 PolarDB-SQL洞察 日志审计 中危 错 对 对
PolarDB-备份设置 数据安全 中危 错 对 对
PolarDB-白名单配置 访问控制 高危 对 对 对
阿里云最佳安全实践 云效-Codeup代码安全 安全防护 高危 对 对 对
云盾-WAF回源配置 安全防护 高危 对 对 对
操作审计-日志配置 日志审计 中危 对 对 对
云盾-高防回源配置 安全防护 高危 对 对 对
容器镜像服务-仓库权限设置 数据安全 高危 错 对 对
SSL证书-有效期检查 数据安全 高危 对 对 对
CDN-实时日志推送 日志审计 中危 错 对 对
阿里云ECS最佳安全实践 ECS-安全组策略 访问控制 高危 错 对 对
ECS-自动快照策略 数据安全 中危 对 对 对
ECS-存储加密 数据安全 低危 对 对 对
云监控-主机插件状态 监控告警 中危 错 对 对
ECS-密钥对登录 身份认证 高危 对 对 对
云盾-主机安全防护 安全防护 高危 对 对 对
阿里云MongoDB最佳安全实践 MongoDB-SSL开启 数据安全 中危 错 对 对
MongoDB-开启TDE加密 数据安全 中危 错 错 对
MongoDB-关闭免密访问 身份认证 低危 错 错 对
MongoDB-日志审计 日志审计 中危 错 对 对
MongoDB-备份设置 数据安全 中危 错 对 对
MongoDB-白名单配置 访问控制 高危 对 对 对

合规(合规风险)

最佳安全实践的类型 检查项名称 检查项所在章节 风险等级 免费版防病毒版高级版 企业版旗舰版
CIS 阿里云平台基线 3389端口禁止任意IP访问 虚拟机 高危 错 对
密码包含特殊字符 身份和访问管理 高危 错 对
22端口禁止任意IP访问 虚拟机 高危 错 对
策略仅授权组或角色 身份和访问管理 中危 错 对
密码长度 身份和访问管理 高危 错 对
密码使用期限 身份和访问管理 高危 错 对
错误密码重试次数 身份和访问管理 高危 错 对
密码重复使用次数 身份和访问管理 高危 错 对
密码包含大写字母 身份和访问管理 高危 错 对
密码包含小写字母 身份和访问管理 高危 错 对
密码包含数字 身份和访问管理 高危 错 对
不使用经典网络 网络 中危 错 对
集群上启用云监控 Kubernetes引擎 低危 错 对
高风险项目启用通知 安全中心 低危 错 对
审计保留期大于6个月 关系数据库服务 低危 错 对
未挂载磁盘加密 虚拟机 低危 错 对