云安全中心的云平台配置检查功能可帮助您检查云产品的安全配置是否存在安全隐患。本文介绍如何使用云平台配置检查功能。
执行云平台配置检查
云平台配置检查功能支持手动检查和自动检查。云安全中心各版本支持的检查项详情,请参见云平台配置检查项列表。
查看云平台配置检查结果
处理云平台配置检查结果
云平台配置检查项列表
以下表格罗列了云安全中心各版本对云平台配置的检查项的支持情况。
说明 以下表格中使用的标识说明如下:
:表示不包含在服务范围中。
:表示包含在服务范围中。
下表中的风险等级为阿里云云安全中心定义的风险等级。
身份权限管理(CIEM)
最佳安全实践的类型 | 检查项名称 | 检查项所在章节 | 风险等级 | 免费版、防病毒版 | 高级版 | 企业版、旗舰版 |
---|---|---|---|---|---|---|
IDAAS | IDAAS密码复杂度 | 密码策略 | 高危 | ![]() |
![]() |
![]() |
IDAAS历史密码检测 | 密码策略 | 高危 | ![]() |
![]() |
![]() |
|
IDAAS开启二次认证 | 认证管理 | 高危 | ![]() |
![]() |
![]() |
|
IDAAS定期改密 | 密码策略 | 中危 | ![]() |
![]() |
![]() |
|
IDAAS忘记密码 | 密码策略 | 中危 | ![]() |
![]() |
![]() |
|
IDAAS登录有效期 | 认证管理 | 中危 | ![]() |
![]() |
![]() |
|
RAM身份认证 | 主账号AK禁用 | AK安全管理 | 高危 | ![]() |
![]() |
![]() |
子账号启用MFA | 认证管理 | 高危 | ![]() |
![]() |
![]() |
|
主账号启用MFA | 认证管理 | 高危 | ![]() |
![]() |
![]() |
|
人员和程序用户分离 | 身份管理 | 中危 | ![]() |
![]() |
![]() |
|
密码有效期 | 密码策略 | 中危 | ![]() |
![]() |
![]() |
|
RAM限制IP访问 | 访问控制 | 低危 | ![]() |
![]() |
![]() |
|
AK泄露检测 | AK安全管理 | 高危 | ![]() |
![]() |
![]() |
|
密码复杂度 | 密码策略 | 高危 | ![]() |
![]() |
![]() |
|
会话安全设置 | 认证管理 | 高危 | ![]() |
![]() |
![]() |
|
启用RAM用户 | 身份管理 | 高危 | ![]() |
![]() |
![]() |
|
只创建一个AK | AK安全管理 | 高危 | ![]() |
![]() |
![]() |
|
AK定期轮换 | AK安全管理 | 中危 | ![]() |
![]() |
![]() |
|
密码重用限制 | 密码策略 | 中危 | ![]() |
![]() |
![]() |
|
闲置子AK清理 | AK安全管理 | 低危 | ![]() |
![]() |
![]() |
|
闲置用户清理 | 身份管理 | 低危 | ![]() |
![]() |
![]() |
|
RAM权限管理 | RAM-超级管理员授权 | 授权管理 | 高危 | ![]() |
![]() |
![]() |
RAM-云产品管理员授权 | 授权管理 | 中危 | ![]() |
![]() |
![]() |
|
用户的RAM权限存在过度授权 | 授权管理 | 高危 | ![]() |
![]() |
![]() |
|
角色的RAM权限存在过度授权 | 授权管理 | 高危 | ![]() |
![]() |
![]() |
|
用户的ECS权限存在过度授权 | 授权管理 | 高危 | ![]() |
![]() |
![]() |
|
角色的ECS权限存在过度授权 | 授权管理 | 高危 | ![]() |
![]() |
![]() |
|
角色的OSS权限存在过度授权 | 授权管理 | 高危 | ![]() |
![]() |
![]() |
|
角色的RDS权限存在过度授权 | 授权管理 | 高危 | ![]() |
![]() |
![]() |
|
用户的RDS权限存在过度授权 | 授权管理 | 高危 | ![]() |
![]() |
![]() |
|
用户的OSS权限存在过度授权 | 授权管理 | 高危 | ![]() |
![]() |
![]() |
云产品配置管理(安全风险)
最佳安全实践的类型 | 检查项名称 | 检查项所在章节 | 风险等级 | 免费版、防病毒版 | 高级版 | 企业版、旗舰版 |
---|---|---|---|---|---|---|
阿里云MSE最佳安全实践 | MSE-公网权限认证 | 访问控制 | 低危 | ![]() |
![]() |
![]() |
阿里云NAS最佳安全实践 | NAS-开启日志管理 | 日志审计 | 低危 | ![]() |
![]() |
![]() |
NAS-经典网络配置 | 访问控制 | 低危 | ![]() |
![]() |
![]() |
|
NAS-备份设置 | 访问控制 | 低危 | ![]() |
![]() |
![]() |
|
阿里云OSS最佳安全实践 | OSS-Bucket版本控制 | 容灾备份 | 中危 | ![]() |
![]() |
![]() |
OSS-授权策略 | 访问控制 | 高危 | ![]() |
![]() |
![]() |
|
OSS-Bucket防盗链配置 | 访问控制 | 低危 | ![]() |
![]() |
![]() |
|
OSS-Bucket服务端加密 | 数据安全 | 低危 | ![]() |
![]() |
![]() |
|
OSS-跨区域复制配置 | 容灾备份 | 低危 | ![]() |
![]() |
![]() |
|
OSS-日志记录配置 | 日志审计 | 中危 | ![]() |
![]() |
![]() |
|
OSS-Bucket权限设置 | 访问控制 | 高危 | ![]() |
![]() |
![]() |
|
OSS敏感文件泄露 | 数据安全 | 低危 | ![]() |
![]() |
![]() |
|
OSS-公共权限下对清单文件加密 | 日志审计 | 低危 | ![]() |
![]() |
![]() |
|
OSS-公共权限下禁用日志 | 访问控制 | 低危 | ![]() |
![]() |
![]() |
|
阿里云SLB最佳安全实践 | ALB-高危端口暴露 | 访问控制 | 高危 | ![]() |
![]() |
![]() |
CLB-白名单配置检查 | 访问控制 | 高危 | ![]() |
![]() |
![]() |
|
CLB-证书过期 | 监控告警 | 中危 | ![]() |
![]() |
![]() |
|
CLB-健康状态 | 监控告警 | 低危 | ![]() |
![]() |
![]() |
|
ALB-白名单配置检查 | 访问控制 | 高危 | ![]() |
![]() |
![]() |
|
CLB-高危端口暴露 | 访问控制 | 高危 | ![]() |
![]() |
![]() |
|
ALB-证书过期 | 监控告警 | 中危 | ![]() |
![]() |
![]() |
|
ALB-健康状态 | 监控告警 | 低危 | ![]() |
![]() |
![]() |
|
阿里云PostgreSQL最佳安全实践 | PostgreSQL-备份设置 | 容灾备份 | 中危 | ![]() |
![]() |
![]() |
PostgreSQL-云盘加密 | 数据安全 | 中危 | ![]() |
![]() |
![]() |
|
PostgreSQL-SSL证书 | 数据安全 | 中危 | ![]() |
![]() |
![]() |
|
分析型数据库PostgreSQL版-白名单配置 | 访问控制 | 高危 | ![]() |
![]() |
![]() |
|
阿里云Redis最佳安全实践 | Redis-审计日志配置 | 日志审计 | 低危 | ![]() |
![]() |
![]() |
Redis-接入高防DDos | 访问控制 | 中危 | ![]() |
![]() |
![]() |
|
Redis-白名单配置 | 访问控制 | 高危 | ![]() |
![]() |
![]() |
|
Redis-开启TDE加密 | 数据安全 | 中危 | ![]() |
![]() |
![]() |
|
Redis-使用普通用户 | 身份认证 | 中危 | ![]() |
![]() |
![]() |
|
Redis-禁用高风险命令 | 访问控制 | 中危 | ![]() |
![]() |
![]() |
|
Redis-VPC免密模式应用白名单 | 访问控制 | 中危 | ![]() |
![]() |
![]() |
|
Redis-设置客户端连接的超时时间 | 访问控制 | 中危 | ![]() |
![]() |
![]() |
|
Redis-SSL开启 | 数据安全 | 中危 | ![]() |
![]() |
![]() |
|
Redis-备份设置 | 容灾备份 | 中危 | ![]() |
![]() |
![]() |
|
Redis-关闭专有网络免密访问 | 身份认证 | 低危 | ![]() |
![]() |
![]() |
|
阿里云ACK最佳安全实践 | ACK-禁止绑定EIP | 网络配置 | 低危 | ![]() |
![]() |
![]() |
ACK-网络插件配置 | 网络配置 | 低危 | ![]() |
![]() |
![]() |
|
ACK-网络策略配置 | 网络配置 | 低危 | ![]() |
![]() |
![]() |
|
阿里云RDS最佳安全实践 | RDS-普通用户登录 | 身份认证 | 中危 | ![]() |
![]() |
![]() |
RDS-开启数据库备份 | 容灾备份 | 中危 | ![]() |
![]() |
![]() |
|
RDS-TDE配置 | 数据安全 | 低危 | ![]() |
![]() |
![]() |
|
RDS-SSL配置 | 数据安全 | 低危 | ![]() |
![]() |
![]() |
|
RDS-SQL审计 | 数据安全 | 低危 | ![]() |
![]() |
![]() |
|
RDS-跨地域备份 | 容灾备份 | 低危 | ![]() |
![]() |
![]() |
|
RDS-白名单配置 | 访问控制 | 高危 | ![]() |
![]() |
![]() |
|
RDS-端口配置 | 服务配置 | 低危 | ![]() |
![]() |
![]() |
|
RDS-实例释放保护配置 | 服务配置 | 低危 | ![]() |
![]() |
![]() |
|
RDS-云盘加密 | 数据安全 | 低危 | ![]() |
![]() |
![]() |
|
阿里云PolarDB最佳安全实践 | PolarDB-SQL洞察 | 日志审计 | 中危 | ![]() |
![]() |
![]() |
PolarDB-备份设置 | 数据安全 | 中危 | ![]() |
![]() |
![]() |
|
PolarDB-白名单配置 | 访问控制 | 高危 | ![]() |
![]() |
![]() |
|
阿里云最佳安全实践 | 云效-Codeup代码安全 | 安全防护 | 高危 | ![]() |
![]() |
![]() |
云盾-WAF回源配置 | 安全防护 | 高危 | ![]() |
![]() |
![]() |
|
操作审计-日志配置 | 日志审计 | 中危 | ![]() |
![]() |
![]() |
|
云盾-高防回源配置 | 安全防护 | 高危 | ![]() |
![]() |
![]() |
|
容器镜像服务-仓库权限设置 | 数据安全 | 高危 | ![]() |
![]() |
![]() |
|
SSL证书-有效期检查 | 数据安全 | 高危 | ![]() |
![]() |
![]() |
|
CDN-实时日志推送 | 日志审计 | 中危 | ![]() |
![]() |
![]() |
|
阿里云ECS最佳安全实践 | ECS-安全组策略 | 访问控制 | 高危 | ![]() |
![]() |
![]() |
ECS-自动快照策略 | 数据安全 | 中危 | ![]() |
![]() |
![]() |
|
ECS-存储加密 | 数据安全 | 低危 | ![]() |
![]() |
![]() |
|
云监控-主机插件状态 | 监控告警 | 中危 | ![]() |
![]() |
![]() |
|
ECS-密钥对登录 | 身份认证 | 高危 | ![]() |
![]() |
![]() |
|
云盾-主机安全防护 | 安全防护 | 高危 | ![]() |
![]() |
![]() |
|
阿里云MongoDB最佳安全实践 | MongoDB-SSL开启 | 数据安全 | 中危 | ![]() |
![]() |
![]() |
MongoDB-开启TDE加密 | 数据安全 | 中危 | ![]() |
![]() |
![]() |
|
MongoDB-关闭免密访问 | 身份认证 | 低危 | ![]() |
![]() |
![]() |
|
MongoDB-日志审计 | 日志审计 | 中危 | ![]() |
![]() |
![]() |
|
MongoDB-备份设置 | 数据安全 | 中危 | ![]() |
![]() |
![]() |
|
MongoDB-白名单配置 | 访问控制 | 高危 | ![]() |
![]() |
![]() |
合规(合规风险)
最佳安全实践的类型 | 检查项名称 | 检查项所在章节 | 风险等级 | 免费版、防病毒版、高级版 | 企业版、旗舰版 |
---|---|---|---|---|---|
CIS 阿里云平台基线 | 3389端口禁止任意IP访问 | 虚拟机 | 高危 | ![]() |
![]() |
密码包含特殊字符 | 身份和访问管理 | 高危 | ![]() |
![]() |
|
22端口禁止任意IP访问 | 虚拟机 | 高危 | ![]() |
![]() |
|
策略仅授权组或角色 | 身份和访问管理 | 中危 | ![]() |
![]() |
|
密码长度 | 身份和访问管理 | 高危 | ![]() |
![]() |
|
密码使用期限 | 身份和访问管理 | 高危 | ![]() |
![]() |
|
错误密码重试次数 | 身份和访问管理 | 高危 | ![]() |
![]() |
|
密码重复使用次数 | 身份和访问管理 | 高危 | ![]() |
![]() |
|
密码包含大写字母 | 身份和访问管理 | 高危 | ![]() |
![]() |
|
密码包含小写字母 | 身份和访问管理 | 高危 | ![]() |
![]() |
|
密码包含数字 | 身份和访问管理 | 高危 | ![]() |
![]() |
|
不使用经典网络 | 网络 | 中危 | ![]() |
![]() |
|
集群上启用云监控 | Kubernetes引擎 | 低危 | ![]() |
![]() |
|
高风险项目启用通知 | 安全中心 | 低危 | ![]() |
![]() |
|
审计保留期大于6个月 | 关系数据库服务 | 低危 | ![]() |
![]() |
|
未挂载磁盘加密 | 虚拟机 | 低危 | ![]() |
![]() |