基线检查功能针对服务器操作系统、数据库、软件和容器的配置进行安全检测,并提供检测结果说明和加固建议。基线检查功能可以帮您进行系统安全加固,降低入侵风险并满足安全合规要求。
什么是基线
基线指操作系统、数据库及中间件的安全实践及合规检查的配置红线,包括弱口令、账号权限、身份鉴别、密码策略、访问控制、安全审计和入侵防范等安全配置检查。云安全中心的安全基线支持弱口令、未授权访问、历史漏洞和配置红线的立体巡检,合规基线支持等保合规和CIS标准。安全基线与合规基线均已覆盖常用的30多个系统版本和10多个数据库及中间件,可以满足企业多种合规需求。
应用场景
功能介绍
云安全中心的基线检查功能支持检测操作系统和服务(数据库、服务器软件、容器等)的弱口令、账号权限、身份鉴别、密码策略、访问控制、安全审计和入侵防范等安全配置,并提供检测结果,针对存在的风险配置给出加固建议。具体检测内容,请参见基线检查内容。
基线检查默认策略每隔一天在00:00~06:00进行一次全面的自动检测。策略管理支持自定义策略、自定义弱口令字典和设置基线检查等级(高、中、低)。更多信息,请参见设置基线检查策略。
限制说明
基线检查功能为云安全中心的增值服务,仅高级版、企业版和旗舰版用户可开通和使用该服务。免费版、防病毒版用户都需先升级到高级版、企业版或旗舰版才可使用基线检查功能。有关升级的更多信息,请参见升级与降配。
| 基线检查项类型 | 免费版 | 防病毒版 | 高级版 | 企业版 | 旗舰版 |
|---|---|---|---|---|---|
| 弱口令 |  |
|
 |
|
|
| 未授权访问 | |
||||
| 最佳安全实践 | |||||
| 容器安全 | |||||
| 等保合规 | |||||
| 自定义基线 |
- 高级版用户仅支持使用默认策略执行基线检查,不支持创建标准策略和自定义策略。关于基线检查策略的介绍,请参见基线检查策略。
- 企业版、旗舰版用户可以使用基线检查的所有功能,支持添加标准策略、自定义策略以及对基线策略进行编辑、删除(默认策略不能删除)。另外,企业版、旗舰版中Linux系统的阿里云标准和等保标准基线相关检查项还支持自动修复。
基线检查内容
| 基线分类 | 检查标准及检查内容 | 覆盖的系统和服务 | 修复紧急度说明 |
|---|---|---|---|
| 弱口令 | 使用非登录爆破方式检测是否存在弱口令。避免登录爆破方式锁定账户影响业务的正常运行。
说明 弱口令检测是通过读取HASH值与弱口令字典计算的HASH值进行对比来检查是否存在弱口令。如果您不想读取HASH值,您可以从基线检查策略中移除弱口令基线。
|
|
需紧急修复。避免弱口令暴露在公网上导致系统被入侵或发生数据泄露事件。 |
| 未授权访问 | 未授权访问基线。检测服务是否存在未授权访问风险,避免被入侵或者数据泄露。 | Memcached、Elasticsearch、Docker、CouchDB、Zookeeper、Jenkins、Hadoop、Tomcat、Redis、Jboss、ActiveMQ、RabbitMQ、openLDAP、rsync、Mongodb Postgresql | |
| 最佳安全实践 | 阿里云标准
基于阿里云最佳安全实践标准检测是否存在账号权限、身份鉴别、密码策略、访问控制、安全审计和入侵防范等安全配置风险。 |
|
重要安全加固项,建议修复。基于最佳安全实践的加固标准,降低配置弱点被攻击和配置变更风险。 |
| 容器安全 | 阿里云标准
基于阿里云容器最佳安全实践的Kubernetes Master和Node节点配置风险检查。 |
|
|
| 等保合规 | 等保二级、三级合规
基于服务器安全等保基线检查。对标权威测评机构安全计算环境测评标准和要求。 |
|
基于业务是否有合规需要进行修复。 |
| CIS合规 | 基于CIS标准的操作系统安全基线检查。 |
|
基于业务是否有合规需要进行修复。 |
| 自定义基线 | 支持CentOS Linux 7自定义基线,可对基线检查策略中的检查项进行编辑,自定义安全加固项。 | CentOS 7、CentOS6、Windows 2008R2、2012R2、2016、2019 | 用户自定义的安全加固项,建议修复。基于最佳安全实践的加固标准,降低配置弱点被攻击和配置变更风险。 |