本文档介绍了云平台配置检查功能可检测的项目和相关操作。

背景信息

云安全中心云平台配置检查从身份认证及权限、网络访问控制、数据安全、日志审计、监控告警、基础安全防护六个维度为您提供云产品安全配置的检测,帮助您及时发现您的云产品配置风险并提供相应的修复方案。

说明 云安全中心基础版的云平台配置检查功能不支持检测所有检查项,高级版和企业版支持检测所有检查项。基础版用户需要升级至高级版或企业版,才能使用云平台配置检查的所有检查项服务。
您可以在云安全中心控制台的云平台配置检查页面,查看已启用检查项数。
已启用检查项

云平台配置检查项列表

下表罗列了云平台配置检查项,高级版和企业版支持检测所有检查项,基础版存在差异,其中用到的标识:
  • X:表示不包含在服务范围中。
  • √:表示包含在服务范围中。
支持的检查项 检查类型 说明 基础版 高级版/企业版
云平台-操作审计配置检查 日志审计 检测是否有开启云平台操作审计功能。未开启操作审计,将无法对管理员在云平台的操作行为进行记录、也不符合合规要求。 X
ECS-安全组策略 网络访问控制 检测ECS访问策略。建议安全组最小粒度开放访问策略,仅对必须全网开放的服务才开启0.0.0.0/0,例如80、443、22、3389端口。 X
OSS-Bucket服务端加密 数据安全 检测OSS Bucket是否开启数据加密功能。OSS提供服务器端加密功能,对持久化在OSS上的数据进行加密保护,建议您对敏感类型数据开启。 X
OSS-Bucket防盗链配置 网络访问控制 检测OSS-Bucket是否开启防盗链功能。OSS防盗链功能通过检查Referer,进行白名单限制,可以用于防止他人盗用OSS数据,建议您开启。 X
OSS敏感文件泄露 数据安全 检测OSS敏感文件是否有设置访问权限。 X
RDS-跨地域备份 数据安全 检测RDS数据实例是否开启跨地域备份功能。RDS为MySQL提供跨地域备份功能,可以自动将本地备份文件复制到另一个地域的OSS上,跨地域的数据备份能够有效的实现异地容灾。建议您开启跨地域备份。 X
Redis-备份设置 数据安全 检测Redis数据库实例是否开启了数据备份功能。 X
MongoDB-日志审计 日志审计 检测MongoDB数据库是否开启审计日志功能。云数据库MongoDB审计日志记录了您对数据库执行的所有操作。通过审计日志记录,您可以对数据库进行故障分析、行为分析、安全审计等操作,有效帮助您获取数据的执行情况。建议您开启MongoDB数据库审计日志功能。 X
MongoDB-SSL开启 数据安全 检测MongoDB数据库是否开启SSl加密。为提高MongoDB数据库数据链路的安全性,建议您启用SSL加密。 X
MongoDB-备份设置 数据安全 检测云数据库MongoDB是否开启自动备份功能。数据库定期备份有利于提升数据库安全,在出现数据库异常时可以根据历史备份信息进行恢复。云数据库MongoDB提供了自动备份策略,建议您保持开启,确保每天备份一次。 X
云监控-主机插件状态 监控告警 检测ECS主机运行状态。云监控可以针对阿里云资源和互联网应用进行监控,为了监控ECS主机运行状态,并在出现主机异常指标时可以告警通知,建议在ECS主机安装云监控主机插件。 X
VPC-DNAT管理端口开放 网络访问控制 检测端口是否映射到公网。建议VPC NAT网关创建DNAT规则时不要将内部管理端口映射在公网,例如所有端口都映射,或者22、3389、1433、3306等重要端口。 X
云平台-主账号双因素认证 主账号身份认证及权限 检查是否开启主账号双因素认证配置。在只使用单一密码认证的情况下,黑客可能通过暴力破解等手段获取您的云平台管理密码。建议对云平台管理员账号开启密码加手机短信双重身份认证,防止密码泄露带来的安全隐患。
RAM-子账号多因素认证 子账号身份认证及权限 检查子账号是否启用了多因素认证(Multi-Factor Authentication,简称MFA)。
云盾-主机安全防护状态检查 基础安全防护 检测安骑士Agent插件安装情况。云安全防御体系中,需要部署安骑士解决主机安全防护问题。未部署安骑士将导致云主机缺乏入侵检测及防御的能力,系统无法及时发现各种黑客入侵行为,例如:上传的Webshell、木马等恶意文件、异地登录、账号暴力破解攻击等。
云盾-高防回源配置检查 网络访问控制 检测DDoS高防服务是否有配置仅允许WAF回源IP地址访问。使用DDoS高防服务或Web应用防火墙后,需要对后端服务器真实IP地址进行隐藏,避免攻击者绕过高防或WAF直接攻击云主机。
云盾-WAF回源配置 网络访问控制 检测WAF(Web应用防火墙)服务是否配置仅允许WAF回源IP地址访问。使用DDoS高防服务或Web应用防火墙后,需要对后端服务器真实IP地址进行隐藏,避免攻击者绕过高防或WAF直接攻击云主机。
云盾-AK&账密泄露检测配置 监控告警 检测是否已开启云安全中心AK&账密泄露检测功能。
ECS-密钥对登录 身份认证及权限 检测ECS中的Linux主机是否绑定了阿里云SSH密钥对。SSH密钥登录与SSH密码登录方式相比,更加安全便捷。推荐使用阿里云SSH密钥对方式。
ECS-存储加密 数据安全 检测ECS主机磁盘是否开启了加密功能。
ECS-自动镜像 数据安全 检测ECS磁盘是否开启自动快照功能。自动快照可以提升ECS主机的数据安全,实现容灾备份。
SLB-白名单配置 网络访问控制 检测SLB负载均衡实例访问控制配置,http/https服务是否启用了访问控制,并且是否有开放0.0.0.0/0。
SLB-高危端口暴露 网络访问控制 检测SLB是否开转发非必要的公共服务端口。
SLB-健康状态 监控告警 检测SLB后端服务器是否可用。
SLB-证书过期检 监控告警 检测SLB的可用证书是否已过期。
OSS-Bucket权限设置 数据安全 检测OSS Bucket权限是否设置成了私有
OSS-日志记录配置 数据安全 检测OSS是否有开启日志记录功能。
OSS-跨区域复制配置 数据安全 检测OSS是否有开启跨区域复制功能。
RDS-白名单配置 网络访问控制 检测RDS的访问控制策略是否有0.0.0.0/0(任意IP)或为空的配置。不建议数据库类服务直接对公网开放,需要限定访问范围为指定IP访问。
RDS-数据库安全策略 数据安全 检测RDS数据库是否开启了SQL审计功能、SSL加密传输功能和透明数据库加密功能。
RDS-开启数据库备份 数据安全 检测RDS数据库实例是否开启了数据备份功能。
Redis-白名单配置 网络访问控制 检测Redis的访问控制策略是否有0.0.0.0/0(任意IP)或为空的配置。不建议数据库类服务直接对公网开放,需要限定访问范围为指定IP访问。
分析型数据库 PostgreSQL版-白名单配置 网络访问控制 检测PostgreSQL的访问控制策略是否有0.0.0.0/0(任意IP)或为空的配置。不建议数据库类服务直接对公网开放,需要限定访问范围为指定IP访问。
SSL证书-有效期检查 数据安全 检测SSL证书是否超出有效期。如果证书过期,您将无法继续使用SSL证书服务。
POLARDB-白名单配置 网络访问控制 检测云数据库POLARDB的访问控制策略是否开放公网访问且有0.0.0.0/.0(任意IP)的配置,不建议数据库类服务直接对公网开放,需要限定访问范围为指定IP访问。
操作审计-日志配置 日志审计 检测对象存储服务(OSS)或者(日志服务)SLS中的操作日志。

云安全体系要求云平台开启操作审计功能,操作日志需保存在对象存储服务(OSS)或者(日志服务)SLS中,并合理设置日志的访问权限,以实现高危操作可追溯。

MongoDB-白名单配置 网络访问控制 检测MongoDB的访问控制策略是否有0.0.0.0/.0(任意IP)或为空的配置。不建议数据库类服务直接对公网开放,需要限定访问范围为指定IP访问。

操作步骤

  1. 登录云安全中心控制台
  2. 在左侧导航栏,单击安全防范 > 云平台配置检查

云平台配置检查
  1. 您可在云平台配置检查页面,查看检测结果统计、执行检测或设置检测任务周期。
    • 检测设置
      1. 单击云平台配置检查页面右上角的检测设置,进入检测设置页面。
        检测设置
      2. 设置云产品配置项的检测周期检测时间
        配置项

        检测周期可选周一至周日,支持多选。

        检测时间可选4个时间段中的任一时间段。在选定时间段内,云安全中心会对所有检测项自动执行一次检测。默认每隔1天的00:00:00-06:00:00执行自动检测。

      3. 单击确定
    • 立即检测
      单击云平台配置检查页面右侧的立即检测,对云产品配置进行全量检测,确定是否存在风险项以及影响的资产数量。检测项列表中按检测结果的严重等级由高危到低危进行排序。
      立即检测
      说明 全量检测需全部完成后才可进行其他操作,请耐心等待。
    • 验证
      如果您对部分配置项进行了修改,可单击验证检验新的配置是否存在安全风险。
      验证
    • 忽略

      如果您判断检测出的某个风险项不存在安全风险,可单击忽略将该检测项状态调整为已忽略已忽略的检测项将不会包含在风险项总数中。

      在检测项列表中,您也可对已忽略的检测项取消忽略
      取消忽略
      说明 忽略只对本次检测结果进行忽略,后续如果再次检测该出该风险,云安全中心仍会展示该检测结果的告警。
    • 查看检测详情
      • 单击基线检测项名称,可跳转到详情页面,查看对应的检测详情描述、可能产生的影响和处理建议。
        查看检测详情
      • 如果检测到威胁影响中有受影响的资产信息,您可以单击实例ID或实例名,跳转至对应的云产品实例页面,对风险配置项进行配置修改。
        威胁影响
    • 导出检测结果

      导出检测结果Excel文件到本地。

      说明 云平台配置检查的检测结果导出功能需为企业版功能,基础版和高级版不支持。基础版和高级版用户需先升级到企业版,才可使用此导出功能。

      导出检测结果