云安全中心提供的云平台配置检查功能,可帮助您检查您云产品的安全配置是否存在安全隐患。本文介绍了云平台配置检查功能的版本限制信息和支持的检查项。
版本限制说明
云安全中心高级版、企业版和旗舰版的云平台配置检查功能支持检测所有检查项。免费版和防病毒版用户需要升级至高级版、企业版或旗舰版,才能使用云平台配置检查的所有检查项服务。各版本支持的检查项详情,请参见云平台配置检查项列表。
云平台配置检查项列表
下表罗列了云安全中心各版本对云平台配置的检查项的支持情况。
说明 下表中使用的标识说明如下:
- ×:表示不包含在服务范围中。
- √:表示包含在服务范围中。
| 最佳安全实践的类型 | 检查项名称 | 检查项所在章节 | 说明 | 免费版、防病毒版 | 高级版、企业版、旗舰版 |
|---|---|---|---|---|---|
| 阿里云Iam最佳安全实践 | RAM-管理权限授权 | RAM安全设置 | 当您需要为RAM用户、用户组、角色授权时,请授予刚好满足工作所需的权限,不要过度授权。该检测项检查:
|
× | √ |
| RAM-子账号双因素认证 | RAM安全设置 | 检查开启了控制台登录的RAM用户是否启用多因素认证(Multi-Factor Authentication,简称:MFA)。
注意 开启控制台登录的RAM用户,需要启用MFA,且在控制台登录管理启用必须开启多因素认证。
|
√ | √ | |
| 主账号安全-AK使用 | 主账号安全 | 由于主账号对名下资源有完全控制权限,为了避免因访问密钥泄露所带来的损失,不建议您为主账号创建访问密钥并使用该密钥进行日常工作。
注意 该检测项存在天延时,禁用AK之后再次验证,不会立刻通过,而是第二天后台数据更新之后才会通过,这点与其他检测项不同。
|
× | √ | |
| 主账号安全-双因素认证 | 主账号安全 | 检查用户登录阿里云控制台的主账号,是否启用了双因素认证(Multi-Factor Authentication,简称:MFA)。 | √ | √ | |
| 阿里云OSS最佳安全实践 | OSS-Bucket版本控制 | 容灾备份 | 版本控制是针对存储空间(Bucket)级别的数据保护功能。开启版本控制后,针对数据的覆盖和删除操作将会以历史版本的形式保存下来。您在错误覆盖或者删除对象(Object)后,能够将Bucket中存储的Object恢复至任意时刻的历史版本。 | × | √ |
| OSS-授权策略 | 访问控制 | OSS有三种权限控制方式:ACL、RAM Policy、Bucket Policy,其中在配置Bucket Policy的时候,不建议对匿名账号授予读写或完全控制权限。 | × | √ | |
| OSS-Bucket防盗链配置 | 访问控制 | OSS防盗链功能通过检查Referer,进行白名单限制,可以用于防止他人盗用OSS数据,建议您开启。 | × | √ | |
| OSS-Bucket服务端加密 | 数据安全 | OSS提供服务器端加密功能,对持久化在OSS上的数据进行加密保护,建议您对敏感类型数据开启。 | × | √ | |
| OSS-跨区域复制配置 | 容灾备份 | 跨区域复制(Bucket Cross-Region Replication)是跨不同OSS数据中心(地域)的Bucket自动、异步复制Object,它会将Object的创建、更新和删除等操作从源存储空间复制到不同区域的目标存储空间。该功能能够很好的提供Bucket跨区域容灾或满足用户数据复制的需求。目标Bucket中的对象是源Bucket中对象的精确副本,它们具有相同的对象名、元数据以及内容,例如创建时间、拥有者、用户定义的元数据、Object ACL、对象内容等。 | √ | √ | |
| OSS-日志记录配置 | 日志审计 | 用户在访问OSS的过程中,会产生大量的访问日志。日志存储功能,可将OSS的访问日志,以小时为单位,按照固定的命名规则,生成一个Object写入您指定的Bucket(目标 Bucket,Target Bucket)。您可以使用阿里云DataLakeAnalytics或搭建Spark集群等方式对这些日志文件进行分析。同时,您可以配置目标Bucket的生命周期管理规则,将这些日志文件转成归档存储,长期归档保存。 | √ | √ | |
| OSS-Bucket权限设置 | 访问控制 | 检查OSS所有Bucket是否允许公共读写或公共读,如果是则不合规。 | √ | √ | |
| 阿里云SLB最佳安全实践 | SLB-证书过期 | 监控告警 | 检查SLB的可用证书是否过期,影响业务正常使用。 | √ | √ |
| SLB-白名单配置检查 | 访问控制 | 检查SLB负载均衡实例访问控制配置,建议非http或https服务启用访问控制,并且不能开放0.0.0.0/0。 | √ | √ | |
| SLB-健康状态 | 监控告警 | 检测负载均衡SLB服务的后端服务器(ECS实例)业务可用性。 | √ | √ | |
| SLB-高危端口暴露 | 访问控制 | 应依据最小服务原则设定SLB转发策略,只转发必要的公共服务端口(如:80、443等)至公网,其他端口不应进行转发,如被SLB发布到公网会增加系统遭受外部黑客攻击的风险。 | √ | √ | |
| 阿里云PostgreSQL最佳安全实践 | 分析型数据库PostgreSQL版-白名单配置 | 访问控制 | 检查分析型数据库PostgreSQL版的访问控制策略是否有0.0.0.0/0(任意IP)的配置,不建议数据库类服务直接对公网开放,需要限定访问范围为指定IP访问。 | √ | √ |
| 阿里云Redis最佳安全实践 | Redis-SSL开启 | 数据安全 | Redis 2.8标准版、集群版实例和Redis 4.0集群版实例支持SSL加密。启用SSL(Secure Socket Layer)加密,可以提高您的Redis数据传输的安全性。 | × | √ |
| Redis-备份设置 | 容灾备份 | 建议Redis数据库实例开启数据备份功能,数据备份应当每天备份一次。 | × | √ | |
| Redis-白名单配置 | 访问控制 | 0.0.0.0/0和空代表不设IP访问的限制,您的Redis数据库将会面临爆破等安全风险。建议根据您的服务使用情况仅开放对应的外网IP或IP段。 | √ | √ | |
| 阿里云RDS最佳安全实践 | RDS-跨地域备份 | 容灾备份 | RDS提供跨地域备份功能,可以自动将本地备份文件复制到另一个地域的OSS上,跨地域的数据备份能够有效的实现异地容灾。 | × | √ |
| RDS-开启数据库备份 | 容灾备份 | 建议RDS数据库实例开启数据备份功能,数据备份应当每天备份一次。 | √ | √ | |
| RDS-白名单配置 | 访问控制 | 数据库服务(RDS)端口不应直接对公网所有地址开放,应设定严格的访问控制策略,只允许特定的IP(如WEB应用服务器)可以访问数据库服务。 | √ | √ | |
| RDS-数据库安全策略 | 数据安全 | 检查RDS的各个实例是否启用数据加密传输(SSL)、数据加密存储(TED)和SQL审计服务。 | √ | √ | |
| 阿里云Polardb最佳安全实践 | POLARDB-SQL洞察 | 日志审计 | 云数据库POLARDB提供SQL洞察功能,可以为您的数据库提供安全审计、性能诊断等增值服务,建议开启。 | × | √ |
| POLARDB-备份设置 | 数据安全 | 数据库定期备份有利于提升数据库安全,在出现数据库异常时可以根据历史备份信息进行恢复。云数据库POLARDB提供了自动备份策略,建议您保持开启,确保每天备份一次。 | × | √ | |
| POLARDB-白名单配置 | 访问控制 | 检查云数据库POLARDB的访问控制策略是否开放公网访问且有0.0.0.0/0(任意IP)的配置,不建议数据库类服务直接对公网开放,需要限定访问范围为指定IP访问。 | √ | √ | |
| 阿里云最佳安全实践 | 云效-Codeup代码安全 | 数据安全 | 云效Codeup代码安全提供了数据安全评分和安全风险事件提醒功能,及时检测企业代码资产的安全状态,实现安全预防、风险检测、主动防御的全方位保护。 | √ | √ |
| 云盾-WAF回源配置 | 数据安全 | 检查使用WAF服务后,需要隐藏后端服务器真实IP地址,避免攻击者直接访问真实IP绕过WAF。通过设置白名单的方式可以实现,当真实IP为弹性计算服务(ECS) IP时,在弹性计算服务(ECS)安全组进行设置,当真实IP为负载均衡服务(SLB) IP时,在负载均衡服务(SLB)上设置白名单访问控制策略,设置内容为:仅允许WAF回源IP地址访问。 | √ | √ | |
| 操作审计-日志配置 | 数据安全 | 云安全体系要求云平台开启操作审计功能,操作日志需保存在对象存储服务(OSS)或者日志服务(SLS)中,并合理设置日志的访问权限,以实现高危操作可追溯。
|
√ | √ | |
| 云盾-高防回源配置 | 数据安全 | 使用DDoS高防服务或Web应用防火墙(WAF)后,需要将后端服务器真实IP地址进行隐藏,避免攻击者绕过高防或WAF直接攻击云主机。未使用负载均衡服务(SLB)情况下,在云主机(ECS)安全组中设置白名单访问控制策略实现地址隐藏;已使用负载均衡服务(SLB)的情况下,在负载均衡服务(SLB)上设置白名单访问控制策略实现地址隐藏;白名单设置内容为:仅允许DDOS、WAF回源IP地址访问真实IP。 | √ | √ | |
| 容器镜像服务-仓库权限设置 | 数据安全 | 容器镜像服务的仓库分为公有仓库和私有仓库,公有仓库允许所有互联网用户匿名下载,设置为公有仓库会造成镜像内部敏感信息泄漏。 | × | √ | |
| SSL证书-有效期检查 | 数据安全 | 检查SSL证书是否15天内将超出有效期或已过期,证书到期前需及时续费,否则您将无法继续使用SSL证书服务。 | √ | √ | |
| CDN-实时日志推送 | 数据安全 | 阿里云CDN提供将采集到的实时日志实时推送至日志服务SLS,并进行日志分析。通过日志的实时分析,您可以快速发现和定位问题。 | × | √ | |
| 阿里云ECS最佳安全实践 | ECS-安全组策略 | 访问控制 | 建议安全组最小粒度开放访问策略,仅对必须全网开放的服务才开启0.0.0.0/0,例如网站的80、443端口。 | × | √ |
| ECS-自动快照策略 | 数据安全 | 检查ECS磁盘是否开启自动快照功能。自动快照可以增加ECS主机的数据安全水位,实现容灾备份。创建快照将产生一定的费用,费用由快照产品收取,收费模式请见官网价格页。 | √ | √ | |
| ECS-存储加密 | 数据安全 | 检查ECS主机磁盘是否开启加密,开启云盘加密,可以满足您的业务更高的安全需求或法规合规要求。 | √ | √ | |
| 云监控-主机插件状态 | 监控告警 | 云监控可以针对阿里云资源和互联网应用进行监控,为了监控ECS主机运行状态,并在出现主机异常指标时可以告警通知,建议在ECS主机安装云监控主机插件。 | × | √ | |
| ECS-密钥对登录 | 身份认证 | 检测ECS产品的Linux主机是否绑定了阿里云SSH密钥对,SSH密钥登录与SSH密码登陆方式相比,更加安全便捷,推荐使用阿里云SSH密钥对方式。 | √ | √ | |
| 云盾-主机安全防护 | 安全防护 | 检查ECS主机的安骑士是否持续在线,云安全防御体系中,部署客户端提供主机漏洞、基线检测能力,主机入侵检测及防御的能力。 | √ | √ | |
| 阿里云Mongodb最佳安全实践 | MongoDB-SSL开启 | 数据安全 | 为提高MongoDB数据库数据链路的安全性,建议您启用SSL加密。 | × | √ |
| MongoDB-日志审计 | 日志审计 | 云数据库MongoDB审计日志记录了您对数据库执行的所有操作。通过审计日志记录,您可以对数据库进行故障分析、行为分析、安全审计等操作,有效帮助您获取数据的执行情况。建议您开启MongoDB数据库审计日志功能。 | × | √ | |
| MongoDB-备份设置 | 数据安全 | 数据库定期备份有利于提升数据库安全,在出现数据库异常时可以根据历史备份信息进行恢复。云数据库MongoDB提供了自动备份策略,建议您保持开启,确保每天备份一次。 | × | √ | |
| MongoDB-白名单配置 | 访问控制 | 检查云数据库Mongodb实例是否开启白名单限制,白名单不允许拥有(0.0.0.0/0)的设置。 | √ | √ |