云安全中心支持配置基线检查策略,通过执行基线检查策略来检查您资产的基线配置是否存在风险。本文介绍了如何配置、管理及执行基线检查策略。

背景信息

开通 基线 检查服务后,云安全中心将使用默认策略对您阿里云账号下的所有资产每隔一天检查一次,每次在00:00~06:00进行检查。您可以单击默认策略右侧的编辑,进入基线检查策略面板,在基线名称列表中查看默认策略中包含的基线。

如果默认策略不能满足您的业务场景对基线检查的需求,您也可以通过添加标准策略添加自定义策略,补充默认策略无法检查的基线项目。
说明 仅企业版、旗舰版支持添加标准策略添加自定义策略,高级版不支持。高级版仅可使用默认策略执行基线检查。
下表为您介绍默认策略、标准策略、自定义策略支持的基线检查类型、包含的基线数量以及它们支持的版本和使用场景。
策略类型 支持的版本 支持的基线类型 包含的基线数量 是否支持编辑 使用场景
默认策略 高级版、企业版、旗舰版
  • 未授权访问
  • 容器安全
  • 最佳安全实践
  • 弱口令
说明 高级版仅支持弱口令检查。
70以上 不支持 默认策略为云安全中心默认执行的基线检查策略,用于检查您的资产在未授权访问、容器安全、最佳安全实践以及弱口令这四类基线配置上是否存在风险。
标准策略 企业版、旗舰版
  • 未授权访问
  • 容器安全
  • 等保合规
  • 最佳安全实践
  • 弱口令
120以上 支持编辑策略配置项 标准策略相比默认策略增加了等保合规基线检查类型,其他基线类型也增加了更多的基线,且支持编辑策略的配置项。您可为资产自行配置符合业务场景需要的基线检查策略。
自定义策略 企业版、旗舰版 操作系统自定义基线 50以上 支持编辑策略配置项,且支持编辑部分基线的参数 自定义策略用于检查您的资产在操作系统自定义基线的配置上否存在风险。您可为资产自行配置基线检查策略,并可按照业务需求修改基线的参数,使得基线检查策略更加符合您的业务场景。

云安全中心基于阿里云威胁情报,为您提供了默认的内置 弱口令 检查规则。您也可以基于业务需要,自定义基线弱口令规则。

设置策略

  1. 登录云安全中心控制台在左侧导航栏,选择风险管理 > 基线检查
  2. 基线检查页面右上角,单击策略管理,在策略管理面板上按需求配置基线检查策略。
    • 添加标准策略

      标准策略相比默认策略增加了等保合规基线检查类型,标准策略中的其他基线类型也增加了更多的基线检测项,并且标准策略支持编辑策略的配置项。您可通过添加标准策略,进一步完善对您资产基线配置的检查。

      1. 策略管理面板上,单击添加标准策略
      2. 基线检查策略面板配置策略,然后单击确认
        配置项 说明
        策略名称 输入用于识别该策略的名称。
        检查周期 选择检查周期。
        检查开始时间 选择检查开始时间。
        基线名称 选择需要检查的基线。基线详情,请参见基线检查内容
        生效资产 选择需要应用该策略的资产分组。
        说明 新购买的资产默认归属在所有分组 > 未分组中,如需对新购资产自动应用该策略,请选择未分组。如果您需要添加新的分组或修改已有分组,具体查找,请参见管理服务器

      云安全中心将按照创建的策略对您资产的基线配置进行检查。

    • 自定义弱口令规则

      您可在云安全中心默认提供的弱口令规则的基础上,根据您的业务场景,自定义更符合您需求的弱口令规则,进一步完善对弱口令的检查。

      策略管理面板的自定义弱口令规则区域,配置弱口令规则。

      支持通过弱口令模板上传弱口令规则和自定义弱口令字典两种方式自定义弱口令规则。

      • 通过弱口令模板上传弱口令规则
        1. 单击下载模板
        2. 在下载的模板中完成自定义弱口令设置。
        3. 单击导入文件,上传弱口令模板,完成弱口令配置。
          云安全中心将按照您上传的弱口令规则来检查您资产的口令是否存在风险。
          说明 上传的弱口令文件有以下限制:
          • 文件大小不能超过5 KB。
          • 文件中弱口令之间必须换行区分,每行中不可以有多个弱口令,否则将无法准确检查弱口令。
          • 文件中仅支持2,000条弱口令。
      • 自定义弱口令字典
        1. 单击自定义弱口令字典
        2. 自定义弱口令字典面板上进行如下配置。
          配置项 说明
          域名 填写您的资产的域名。
          公司名称 填写您公司的名称。
          关键字 填写您要加入到弱口令字典当中的口令。
          弱口令字典 无需配置。此为云安全中心基于阿里云威胁情报,默认内置弱口令规则字典。
        3. 单击下方生成字典并导入,完成弱口令字典配置。

          云安全中心将按照您自定义的弱口令字典来检查您资产的口令是否存在风险。

    • 添加自定义策略

      您可通过添加自定义策略,检查您的资产在操作系统自定义基线的配置上否存在风险。

      1. 策略管理面板上,单击添加自定义策略
      2. 基线检查策略面板上,配置自定义策略,然后单击确认,完成自定义策略的添加。
        配置项 说明
        策略名称 输入用于识别该策略的名称。
        检查周期 选择检查周期。
        检查开始时间 选择检查开始时间。
        基线名称 选择需要检查的基线。基线详情,请参见基线检查内容
        说明 部分自定义基线的参数支持自定义配置,您可根据业务需要进行配置。
        生效资产 选择需要应用该策略的资产分组。
        说明
        • 一个资产分组仅可设置一个自定义策略。已存在自定义策略的资产分组,在新建自定义策略选择生效资产的资产分组时为置灰状态不支持选择。
        • 新购买的资产默认归属在所有分组 > 未分组中,如需对新购资产自动应用该策略,请选择未分组。如果您需要添加新的分组或修改已有分组,详细操作步骤,请参见管理服务器的分组、重要性及标签

管理策略

策略创建后,您可以根据业务场景需要设置基线检查等级编辑或者删除某个策略。
  • 策略管理页面下方,您可以设置基线检查的等级范围()。
  • 单击目标策略模板操作列的编辑删除,对已有策略进行修改或删除。
    说明 策略删除后不可恢复。
  • 单击策略模板列表中默认策略右侧操作栏的编辑,调整应用默认策略的资产分组。
    说明 默认策略不支持删除,基线也不支持更改,仅支持修改应用默认策略的生效资产。

执行策略

云安全中心基线检查功能支持周期性自动检查和即时手动检查。

执行策略的方式 场景说明
周期性自动检查 根据云安全中心为您提供的基线检查默认策略或您自定义的基线检查策略,定时自动执行基线检查。默认策略每隔一天在00:00~06:00进行一次全面的自动检测。
即时手动检查 如果您新增或修改了自定义的基线检查策略,您可以在基线检查页面选择该基线检查策略,立即执行基线检查,实时查看服务器中是否存在对应的基线风险。
  1. 登录云安全中心控制台在左侧导航栏,选择风险管理 > 基线检查
  2. 基线检查策略页签下单击三角图标,展开基线检查策略菜单,选中需要执行即时手动检查的基线策略,然后单击立即检查
    策略菜单