云安全中心支持检测服务器的系统可信状态。购买可信ECS实例后,您可以在云安全中心控制台的资产中心页查看ECS服务器的可信信息,并对系统可信告警进行处理。

前提条件

为了正常显示告警处理和查看资产状态,您需要为c6t等可信ECS实例配置一个ECS RAM角色并赋予足够权限。例如,您可以创建一个RAM角色,将云服务器设置为授信主体,并精确赋予它系统可信服务的访问权限。更多信息,请参见云服务器ECS实例RAM角色概述。访问系统可信服务的策略定义如下:
{
    "Statement": [
        {
            "Action": [
                "yundun-systrust:GenerateNonce",
                "yundun-systrust:GenerateAikcert",
                "yundun-systrust:RegisterMessage",
                "yundun-systrust:PutMessage"
            ],
            "Resource": "*",
            "Effect": "Allow"
        }
    ],
    "Version": "1"
}
注意 由于RAM用户的权限分配直接影响您的数字资产的安全性,强烈建议您阅读RAM帮助文档,并根据您的实际需要分配权限,不要给予RAM角色过多权限。

背景信息

云安全中心遵循国际标准,采用PCR(Platform Configuration Register)值来记录和识别服务器系统启动过程中各环节的状态。PCR是可信安全设备的存储单元,能够可靠地保护系统启动过程中收集的状态信息。PCR中存储的实际度量值与预期的标准值一致,即表示系统启动过程中特定环节符合系统可信的标准。

系统可信仅针对ECS可信实例生效。ECS实例规格以英文字母t(例如:c6t)结尾表示该实例为可信实例。详细介绍,请参见实例规格族

查看ECS服务器启动状态

默认情况下,云安全中心以您ECS服务器第一次上报的系统启动状态作为标准值,来判断ECS后续的启动情况。即如果某次ECS启动状态与第一次相同,则该次启动会被判定为正常。

  1. 登录云安全中心控制台
  2. 在左侧导航栏,单击资产中心
  3. 资产中心页面单击服务器页签。
  4. 服务器中定位到目标ECS实例,并单击该实例的名称。
    单击实例名称可以跳转到该实例的安全详情页面。
  5. 在该实例的安全详情页面单击可信信息

    您可以在可信信息页签中查看资产启动概况资产启动概况即为ECS服务器系统的启动链状态,由10个圆圈组成。圆圈分别代表ECS实例服务器启动过程中的一个特定环节,每个环节对应于资产中组件可信状态模块中的PCR0至PCR9中的一行。

    正常情况下所有圆圈均为绿色,表示ECS启动过程正常。此时ECS系统启动中的各个环节组件的状态都符合预期,具体表现为资产中组件可信状态中每一行组件的标准值和实际度量值(即系统可信功能收集到的服务器系统实际状态)都一致。

    如果启动过程中某环节出现问题,则对应环节的圆圈颜色将变为红色,同时后续环节对应的圆圈颜色将变为灰色(表示这些环节的状态信息已经无意义)。您可以通过查看安全告警了解问题环节的详细情况和进行相应的处理。

查看可信异常告警

如果ECS启动过程中发生异常,系统可信功能将在该ECS的安全告警处理页签下展示可信异常类型的告警。可信异常产生的原因可能是您的ECS检测到了安全问题(例如:遭受了BootKit、RootKit攻击),也可能是您的系统进行了某些修改和维护(例如:您或您系统管理员修改了操作系统启动参数)。

云安全中心会对相同的安全告警周期性重复上报。为避免产生过多干扰信息,重复上报的告警不会显示为多条告警信息,仅展示最近一次检测到的告警信息(通过更新最近发生时间来实现)。告警最近更新时间

您可以单击告警事件的详情,查看告警的具体情况,并根据实际情况对告警进行处理。