云安全中心为您提供告警通知、病毒查杀、网站后门查杀、客户端自保护、镜像安全扫描等安全能力,全方位保护您的云上资产和本地服务器安全。本文介绍云安全中心常用功能配置方法,帮助您简化产品使用流程。

设置云安全中心通知

完成通知设置后,云安全中心会在检测到您资产存在异常情况时,根据您在通知设置中的关注等级,在您设置的通知时间点,通过短信、邮件、站内信和钉钉机器人这些丰富的通知方式,为您及时发送告警通知,帮助您第一时间获取资产的安全情况。更多信息,请参见通知

  1. 登录云安全中心控制台
  2. 设置页面的通知页签中,针对默认提供的通知项目,选择您需要的通知发送时间和通知发送方式,分别选中需要进行告警的安全事件等级。

    通知项目是指云安全中心检测到您资产中发生的威胁事件和存在的安全隐患。云安全中心支持的通知项目包括:漏洞基线检查安全告警AccessKey泄露情报云平台配置检查应急漏洞情报网页防篡改

设置主动防御开关、网站后门查杀和客户端自保护

设置功能提供自定义配置病毒查杀、网站后门查杀和客户端自保护等服务,您需要在设置模块中开启对应的服务,并选择需要防护的服务器。
说明 如果您未开启主动防御开关,云安全中心仅检测这类威胁,但不会对主流病毒和恶意网络行为进行自动处理。
  1. 登录云安全中心控制台
  2. 设置页面,设置主动防御开关。
    单击防病毒防勒索(诱饵捕获)网站后门连接防御恶意网络行为防御右侧的管理,添加需要检测的服务器,并打开检测开关。
    开启主动防御后,云安全中心将对检测出的主流病毒类型或异常连接进行自动隔离,您可在安全告警处理页面精准防御类型告警列表中,查看被主动防御功能自动隔离掉的病毒。精准防御
  3. 设置网站后门查杀。
    网站后门查杀区域,单击管理,并添加需要开启网站后门查杀的服务器。
  4. 为服务器开启客户端自保护。
    客户端自保护区域,打开防御模式开关,单击管理,设置需要防护的服务器。

执行镜像安全扫描

镜像安全扫描功能为云安全中心增值服务,您需要预先购买足够的容器镜像安全扫描次数,才能使用该功能。具体操作,请参见镜像安全扫描开通服务

  1. 登录云安全中心控制台
  2. 在左侧导航栏,选择安全防范 > 镜像安全扫描
  3. 可选:单击立即授权
    首次使用镜像安全扫描功能需进行授权。
  4. 镜像安全扫描页面,单击立即扫描
    扫描预计需要1分钟时间,扫描完成后您需要手动刷新当前页面查看最新数据。
  5. 镜像系统漏洞镜像应用漏洞镜像恶意样本页签下查看扫描出的镜像漏洞或恶意样本。
    根据需要您可以执行以下操作:
    • 搜索指定漏洞或恶意样本

      在搜索框选择漏洞修复紧急度(高、中、低)或恶意样本严重程度(紧急、可疑、提醒),输入实例ID、仓库名称、命名空间或摘要等,搜索指定漏洞或恶意样本。

    • 查看漏洞或恶意样本详情

      单击漏洞或恶意样本名称,查看漏洞或恶意样本详情。在漏洞或恶意样本详情页面,您可以查看漏洞详情(包括漏洞编号、影响分、漏洞公告)或恶意样本详情(包括处理紧急程度、恶意样本MD5、最新扫描时间和首次扫描时间),以及受影响镜像的列表信息。

    • 查看受影响镜像详情

      单击漏洞或恶意样本名称,进入漏洞或恶意样本详情页面后,单击需查看的镜像操作列下的详情。查看该镜像扫描出的漏洞或恶意样本的详细信息。

执行云平台配置检查

云平台配置检查功能为您检查云产品安全配置中的安全风险。云安全中心支持手动立即检查和周期性自动检查云平台配置是否存在风险。

手动检查

  1. 登录云安全中心控制台
  2. 云平台配置检查页面,单击立即扫描,对云产品配置进行全量检查,确定是否存在风险项以及影响的资产数量。
    说明 对云产品配置进行全量检查需要一段时间,请耐心等待。

自动检查

  1. 登录云安全中心控制台
  2. 云平台配置检查页面右上角,单击检查设置
  3. 检查设置面板,配置云平台配置检查的检查周期、时间以及选择要检查的安全风险检测项。
  4. 单击确定

检查完成后,建议您及时关注并处理检测出的安全风险。具体操作,请参见云平台配置检查

执行安全组配置检查

安全组配置检查功能为您检查ECS服务器安全组中存在高危风险的规则,并提供修复建议,为您的网络提供更强的安全防护。

  1. 登录云安全中心控制台
  2. 在左侧导航栏,选择应用市场 > 安全组检查
  3. 安全组检查页面,单击获取最新检查结果
    安全组检查预计需要1~5分钟,请您耐心等待。立即检查安全组
    说明 此处获取的最新检查结果只是针对安全规则的静态分析得出,可能无法覆盖全部的端口风险情况。您可以在云防火墙互联网访问活动页面查看端口相关的全部检查结果,了解端口的实际暴露情况。
  4. 定位到指定检查项,单击其操作列下的修复详情,参考安全组修复详情页面的修复建议,对您关注的安全组规则(例如:高危安全组规则)进行修复。
  5. 修复高危安全组规则。
    1. 定位到指定检查项,单击其操作列下的修复详情
      您也可以单击指定检查项风险安全组数/服务器数下的数字跳转至安全组修复详情页面。
    2. 安全组修复详情页面,定位到需要修复的安全组,单击其操作列下的去安全组修复安全组修复详情页面
      安全组规则设置不当可能会引起严重的安全事故。安全组修复详情页面针对风险安全组提供了修复建议,您需要根据修复建议尽快修改存在风险的安全组规则。
      • 如果您是云防火墙高级版及以上版本用户,您将跳转到安全组列表页面。您需要根据修复建议手动修复高危安全组规则。更多信息,请参见修改安全组规则
      • 如果您是云防火墙免费版用户,您需要执行子步骤Ⅲ中的内容。
    3. 可选:推荐使用云防火墙智能修复对话框,单击立即升级去安全组手动修复
      可选择的修复方式说明如下:
      • 立即升级:购买云防火墙高级版本,使用云防火墙提供的安全组配置检查功能修复安全组高危规则。云防火墙可统一管理安全组和公网IP访问控制策略,及时缩小安全风险暴露面,提高安全管理效率。推荐您使用该方式。
      • 去安全组手动修复:跳转到安全组列表页面,手动修复高危安全组规则。更多信息,请参见修改安全组规则

配置防暴力破解规则

云安全中心提供防暴力破解功能,支持配置自定义暴力破解防御规则。配置防暴力破解规则后,登录服务器时,在某个时间范围内登录服务器的失败次数超过限定次数将被禁止登录一段时间。防暴力破解功能,可有效防止您服务器账号的密码被暴力破解。

  1. 登录云安全中心控制台
  2. 在左侧导航栏,选择威胁检测 > 安全告警处理
  3. 安全告警处理页面,单击右上角安全告警设置,并单击防暴力破解页签。
  4. 如果您是首次使用防暴力破解功能,您需要进行防暴力破解授权操作。
    1. 将鼠标悬停在防暴力破解区域右侧的置灰管理上,在弹出的提示框中单击去授权
    2. 单击同意授权
  5. 单击防暴力破解区域右侧的管理
    云安全中心的免费版、防病毒版用户需要升级到高级版以上的版本才能使用此功能。
  6. 防暴力破解面板,配置防暴力破解规则。
    云安全中心提供默认防暴力破解规则:同一服务器10分钟内登录失败次数超过80次,禁止登录6小时。您可以选择对应服务器,直接使用该默认防御规则。您也可以参考以下表格中的配置说明自定义防御规则。
    配置项 说明
    防御规则名称 设置防暴力破解自定义规则名称。
    防御规则 设置防暴力破解的规则。即登录服务器时,在某个时间范围内登录服务器的失败次数超过限定次数将被禁止登录一段时间。例如:1分钟内登录失败次数超过3次,禁止登录30分钟。
    设置为默认策略 设置该防御规则是否为默认策略。设置为默认策略后,未添加防御规则的服务器将默认应用该规则。
    说明 选中设置为默认策略后,无论您是否在请选择对应的服务器中选择了服务器,当前策略都会对所有未添加防御规则的服务器生效。
    请选择对应的服务器 设置防御规则生效的服务器。支持直接选择云安全中心防护的服务器,或根据服务器名称和IP筛选指定服务器。
  7. 单击确定
    注意 每台服务器仅支持配置一个防暴力破解规则。
    • 如果该规则中设置生效的服务器未配置其他任何防御规则,该防暴力破解规则添加成功。
    • 如果该规则中设置生效的服务器已配置了其他防暴力破解规则,且您确定要更换为当前配置的规则,请在确认防御规则变更页面,单击确认
    • 如果原防暴力破解规则的生效服务器配置了新防御规则,则原防暴力破解规则的生效服务器数量会相应减少。

    您在安全告警设置面板的防暴力破解页签添加了防御规则后,该规则触发了IP拦截,就会自动生成IP拦截策略。IP拦截策略的更多信息,请参见设置IP拦截策略

配置网页防篡改

网页防篡改功能可实时监控网站目录并通过备份恢复被篡改的文件或目录,保障重要系统的网站信息不被恶意篡改。使用网页防篡改功能需要您预先购买防篡改授权数。相关内容,请参见网页防篡改开通服务

  1. 登录云安全中心控制台
  2. 在左侧导航栏,选择主动防御 > 网页防篡改
  3. 网页防篡改页面,单击防护管理页签。
  4. 防护管理页签单击为服务器添加防护,将需要保护的服务器添加到网页防篡改防护列表中。 为服务器添加防护
  5. 创建网页防篡改对话框中选择目标服务器。创建网页防篡改
    注意 可使用的授权配额为0时,您将无法添加新的防护服务器。
  6. 单击下一步,进入添加防护目录页签。
  7. 添加防护目录页签中,完成以下配置。添加防护目录
    选择防护模式。可选白名单模式黑名单模式。白名单模式下,会对添加的防护目录和文件类型进行保护;黑名单模式下,会防护目录下所有未排除的子目录、文件类型和指定文件。默认开启白名单模式。
    • 白名单模式配置:
      配置项 描述
      防护目录 手动输入该服务器下需要开启防篡改保护的目录路径。
      说明 Linux服务器和Windows服务器防护目录路径的格式不同,请根据页面提示输入正确的格式。
      防护文件类型 单击下拉列表,选择该目录中需要防护的文件类型,例如:JSHTMLXMLJPG等。

      您也可以在此处手动输入下拉列表中未列出的文件类型。
      本地备份目录 展示防护目录的默认备份存储路径。

      云安全中心为您指定的默认备份目录为/usr/local/aegis/bak(Linux服务器)和C:\Program Files (x86)\Alibaba\Aegis\bak(Windows服务器),您可手动修改默认的备份路径。

    • 黑名单防护模式:
      配置项 描述
      防护目录 手动输入该服务器下需要开启防篡改保护的目录路径。
      排除子目录 手动输入无需开启网页防篡改的子目录路径。

      单击添加子目录,支持添加多个子目录。

      添加排除子目录后,云安全中心将不会对该子目录中的文件进行防护。
      排除文件类型 选择无需进行网页防篡改检测的文件格式。

      可选值包含logtxtldb。您也可以手动输入这3类文件格式以外的其他文件类型。

      选择排除文件类型后,云安全中心将不会对该防护目录下该类型的文件进行防护。
      排除指定文件 手动输入无需开启网页防篡改的文件目录路径。

      单击添加文件,支持添加多个文件。

      输入指定文件后,云安全中心将不会对该指定文件进行防护。
      本地备份目录 展示防护目录的默认备份存储路径。

      云安全中心为您指定的默认备份目录为/usr/local/aegis/bak(Linux服务器)和C:\Program Files (x86)\Alibaba\Aegis\bak(Windows服务器),您可手动修改默认的备份路径。

  8. 单击开启防护,完成添加服务器和目录的操作。
    添加服务器完成后,该服务器将显示在网页防篡改页面的防护服务器列表中。
    说明 添加服务器后,服务器的网页防篡改防护是默认关闭状态的。您需要在网页防篡改页面,开启目标服务器的防护状态。
  9. 在防篡改防护列表中,单击目标服务器防护状态开关,为该服务器开启防护服务。防护状态
    说明 添加服务器后,服务器的网页防篡改防护是默认关闭状态的。您需要在网页防篡改列表中开启目标服务器的防护状态。
    首次开启防护时,目标主机的服务状态将会显示为启动中,并显示启动进度条。请耐心等待数秒,启动成功后服务状态将会显示为正在运行启动中
    当防护服务状态为异常时,在目标服务器服务状态栏单击异常,显示异常状态的详细原因并单击重试异常

配置防勒索

云安全中心针对勒索病毒提供防御、告警和数据备份的能力,可预防勒索病毒入侵您的核心服务器。使用防勒索功能需要您预先购买防勒索容量。具体操作,请参见防勒索开通服务

  1. 登录云安全中心控制台
  2. 在左侧导航栏,选择主动防御 > 防勒索
  3. 防勒索页面,单击服务器防勒索页签。
  4. 服务器防勒索页签下,单击创建防护策略
  5. 创建防护策略面板,配置防护策略相关参数。
    您可以参考以下表格中的参数说明配置防护策略。
    配置项 说明
    策略名称 设置防护策略的名称。
    是否为阿里云服务器 选择防护策略生效的服务器是否为阿里云服务器。
    选择资产 支持选中单台资产、跨组选中多台资产或者选中资产分组。执行以下操作选择需要防护的资产:
    • 资产分组区域选择某一资产分组,系统将自动选择该分组下的所有资产。您可在右侧资产模块下,取消选中不需要的防护的资产。
    • 资产模块下输入资产名称(支持模糊查询),单击搜索框的搜索按钮后会为您展示相关资产,您可选中需要防护的资产。
    说明
    • 选择资产时,阿里云服务器支持单个策略内配置多个地域的服务器,非阿里云服务器仅支持单个策略中配置同一地域的服务器。
    • 为保证您的防护容量得到合理和有效地利用,每台服务器只支持添加到一条防护策略中。
    防护策略 支持选择以下策略:
    • 推荐策略
      选择推荐策略后,默认选择以下配置:
      • 防护目录:全部目录(排除系统目录)
      • 是否排除系统目录:排除
      • 排除指定目录:显示排除目录的列表
      • 防护文件类型:全部文件类型
      • 数据备份开始时间:00:00~03:00的任意时刻
      • 备份策略执行间隔:1天
      • 备份数据保留时间:7天
      • 备份网络带宽限制:0 MByte/s
        说明 0 MByte/s代表不限制备份网络带宽。
      • VSS(Windows):是
        说明 该功能仅为Windows系统开启,开启后会有效降低因进程占用导致的个别文件备份失败的问题,建议开启。启用VSS后,将不支持exFAT和FAT32磁盘格式的文件备份。
    • 自定义策略

      选择自定义策略后,您需要自定义防护策略的防护目录、防护文件类型、数据备份开始时间、备份策略执行间隔、备份数据保留时间、备份网络带宽限制(MByte/s)等参数。

    防护目录 选择需要进行备份的目录,支持选择以下类型:
    • 指定目录:即备份已选中资产的指定目录。您需要在防护目录地址文本框中输入需要备份的目录地址。防护目录地址最多可添加20条。
    • 全部目录:即备份已选中资产的全部目录。您需要在是否排除系统目录处选择不排除系统目录。
      说明 为防止出现系统冲突,选择全部目录后,建议您在设置是否排除系统目录时选择不排除
    是否排除系统目录 选择备份或不备份的系统目录。当您排除下方的排除指定目录时,右侧文本框中会显示云安全中心默认支持不备份的所有系统目录,您可根据自己的业务需求进行删减。
    说明 Windows系统和Linux系统默认支持不备份的系统目录在持续更新中,具体以控制台排除指定目录右侧文本框中显示的系统目录为准。
    防护文件类型 选择需要进行防护的文件类型,支持选择以下类型:
    • 全部文件类型:即针对所有类型的文件进行备份防护。
    • 指定文件类型:即针对指定文件进行备份防护。支持选择以下文件类型:
      • 文档类
      • 压缩包类
      • 数据库类
      • 音频视频类
      • 脚本代码类
      注意
      • 仅在防护文件类型选择指定文件类型时需要配置该参数。
      • 支持同时选中多个文件类型。云安全中心仅防护您资产中此处选中类型的文件。
    数据备份开始时间 设置数据备份开始时间。
    注意 防护策略创建后,初次进行数据备份时由于要全量备份防护目录下的数据,会消耗一定量的CPU和内存资源。为避免对您的业务造成影响,建议您选择业务量较小的时段进行数据备份。
    备份策略执行间隔 设置备份策略执行间隔,默认为1天。支持选择以下时间:
    • 0.5天
    • 1天
    • 3天
    • 7天
    备份数据保留时间 设置备份数据保留时间,默认为7天。
    注意 超过备份数据保留时间后,备份数据会自动清理,建议您根据业务需求合理设置备份数据保留时间。
    支持选择以下保存方式:
    • 永久保存
    • 自定义
      说明 自定义保存天数,最小可设置1天,最大支持设置65535天。
    备份网络带宽限制(MByte/s) 受防勒索保护的备份数据占用的带宽流量阈值。可以设置的范围:1 MByte/s~不限流量。
    注意 ECS服务器仅占用内网带宽,不影响外网带宽。建议您根据服务器的带宽,设置合理的流量阈值,避免备份占用过多带宽对您业务产生影响。
  6. 单击确定
    创建防护策略后,策略状态默认为开启状态。云安全中心将自动在您的服务器上安装防勒索客户端,并根据防护策略中设置的备份条件对生效服务器的防护目录进行数据备份。