云安全中心的云平台配置检查功能可帮助您检查云产品的安全配置是否存在安全隐患。本文介绍如何使用云平台配置检查功能。

版本限制说明

仅云安全中心的高级版、企业版、旗舰版支持该功能,其他版本不支持。购买和升级云安全中心服务的具体操作,请参见购买云安全中心升级与降配

执行云平台配置检查

云平台配置检查功能支持手动检查和自动检查。云安全中心各版本支持的检查项详情,请参见云平台配置检查项列表

  1. 登录云安全中心控制台在左侧导航栏,选择风险管理 > 云平台配置检查
  2. 云平台配置检查页面,进行云平台配置检查。
    • 手动检查

      如果您想立即了解您的云产品配置是否存在安全风险,您可以在云平台配置检查页面,单击立即扫描,对云产品配置进行全量检查。

    • 自动检查

      您也可以设置自动检查,云安全中心会在您设置的时间执行云平台配置检查。

      1. 云平台配置检查页面右上角,单击检查设置
      2. 检查设置面板,配置云平台配置检查的检查周期检查时间以及选择要检查的安全风险检测项,单击确定
    说明
    • 默认检查周期为周一到周日随机的某一天,您可以按业务需要自行设置检查周期。
    • 对云产品配置进行全量检查需要一段时间,请耐心等待。

查看云平台配置检查结果

  1. 登录云安全中心控制台在左侧导航栏,选择风险管理 > 云平台配置检查
  2. 云平台配置检查页面,查看云平台配置检查项结果。
    • 查看总览
      云平台配置检查页面上方的总览区域,您可以查看云平台配置检查的通过率。将鼠标悬停在通过率的线段,可查看云产品配置检查结果存在的高危、中危、低危以及通过的检查项数量。
      说明 不同的风险等级使用不同颜色的线段表示。
      • 高危:红色。表示该风险项对您资产的危害较大,建议您尽快处理。
      • 中危:橙色。表示该风险项对您资产的危害一般,您可以延后处理。
      • 低危:灰色。表示该风险项对您资产的影响较小,您可以延后处理。
    • 查看目标风险项
      • 您可以在左侧全部检查项列表单击目标最佳实践检查项菜单,然后在右侧的风险项列表,查看与该检查项相关的风险项列表。
      • 您还可以通过列表上方提供的风险项的筛选组件,通过风险项的等级、状态等维度,筛选出您想要查看的目标风险项。
    • 查看目标风险项的详情

      单击目标风险项的检查项名称或风险项操作列的详情,展开检查项的详情面板,查看该检查项的检查项说明处置方案帮助资源以及威胁影响

处理云平台配置检查结果

  1. 登录云安全中心控制台在左侧导航栏,选择风险管理 > 云平台配置检查
  2. 云平台配置检查页面,处理检查出的风险项。
    您可以根据需要进行以下操作:
    • 修复风险项

      单击目标风险项的检查项名称或风险项操作列的详情,在风险项详情面板的威胁影响区域,单击存在风险的云产品的实例ID(或账号ID、策略名称等),跳转至对应的云产品实例管理控制台。然后根据风险项详情面板上提供的处置方案帮助资源信息,修复该云产品配置中存在的安全风险。

    • 验证修复结果
      • 如果您已按照风险项详情面板上提供的修复建议,修改了威胁影响区域的受影响实例列表中云产品实例的配置,可单击该实例操作列的验证,检验新的配置是否存在安全风险。
      • 修改后的云产品实例配置在经过验证且通过检查后,该实例会从威胁影响区域的受影响实例列表中移除。该风险的状态会变为已通过
      • 如果您需要同时验证多个风险项,可以选中这些风险项并单击列表下方的验证,在确认对话框单击确定
    • 加白名单
      注意 将风险项加入白名单后,后续云平台配置检查中,将不会再上报与该风险项对应的检查项相关的风险。请您谨慎操作。

      如果您判断检查出的某个风险项不存在安全风险,可在云平台配置检查页面的检查结果列表,定位到该风险项,单击其操作列的加白名单,将该风险项状态调整为已加白已加白的风险项将不会包含在风险项总数中。

      您也可以在云平台配置检查页面的检查结果列表,对已加白的风险项进行取消加白的操作。

云平台配置检查项列表

下表罗列了云安全中心各版本对云平台配置的检查项的支持情况。
说明 下表中使用的标识说明如下:
  • 错:表示不包含在服务范围中。
  • 对:表示包含在服务范围中。

下表中的风险等级为阿里云云安全中心定义的风险等级。

最佳安全实践的类型 检查项名称 检查项所在章节 风险等级 免费版防病毒版 高级版企业版旗舰版
阿里云RAM最佳安全实践 RAM-云产品管理员授权 权限管理 中危 错 对
RAM-超级管理员授权 权限管理 高危 错 对
RAM-子账号双因素认证 RAM安全设置 高危 对 对
主账号安全-AK使用 主账号安全 高危 错 对
主账号安全-双因素认证 主账号安全 高危 对 对
阿里云OSS最佳安全实践 OSS-Bucket版本控制 容灾备份 中危 错 对
OSS-授权策略 访问控制 高危 错 对
OSS-Bucket防盗链配置 访问控制 低危 错 对
OSS-Bucket服务端加密 数据安全 低危 错 对
OSS-跨区域复制配置 容灾备份 低危 对 对
OSS-日志记录配置 日志审计 中危 对 对
OSS-Bucket权限设置 访问控制 高危 对 对
阿里云SLB最佳安全实践 SLB-证书过期 监控告警 中危 对 对
SLB-白名单配置检查 访问控制 高危 对 对
SLB-健康状态 监控告警 低危 对 对
SLB-高危端口暴露 访问控制 高危 对 对
阿里云PostgreSQL最佳安全实践 分析型数据库PostgreSQL版-白名单配置 访问控制 高危 对 对
阿里云Redis最佳安全实践 Redis-SSL开启 数据安全 中危 错 对
Redis-备份设置 容灾备份 中危 错 对
Redis-白名单配置 访问控制 高危 对 对
阿里云RDS最佳安全实践 RDS-跨地域备份 容灾备份 低危 错 对
RDS-开启数据库备份 容灾备份 中危 对 对
RDS-白名单配置 访问控制 高危 对 对
RDS-数据库安全策略 数据安全 中危 对 对
阿里云PolarDB最佳安全实践 PolarDB-SQL洞察 日志审计 中危 错 对
PolarDB-备份设置 数据安全 中危 错 对
PolarDB-白名单配置 访问控制 高危 对 对
阿里云最佳安全实践 云效-Codeup代码安全 数据安全 高危 对 对
云盾-WAF回源配置 数据安全 高危 对 对
操作审计-日志配置 数据安全 中危 对 对
云盾-高防回源配置 数据安全 高危 对 对
容器镜像服务-仓库权限设置 数据安全 高危 错 对
SSL证书-有效期检查 数据安全 高危 对 对
CDN-实时日志推送 数据安全 中危 错 对
阿里云ECS最佳安全实践 ECS-安全组策略 访问控制 高危 错 对
ECS-自动快照策略 数据安全 中危 对 对
ECS-存储加密 数据安全 低危 对 对
云监控-主机插件状态 监控告警 中危 错 对
ECS-密钥对登录 身份认证 高危 对 对
云盾-主机安全防护 安全防护 高危 对 对
阿里云MongoDB最佳安全实践 MongoDB-SSL开启 数据安全 中危 错 对
MongoDB-日志审计 日志审计 中危 错 对
MongoDB-备份设置 数据安全 中危 错 对
MongoDB-白名单配置 访问控制 高危 对 对