安全体检说明
概述
安全体检是阿里云为用户提供的免费安全检测工具。安全体检服务调用云安全中心、配置审计中免费的安全检测能力,并汇总检测结果,涵盖病毒攻击、风险配置、服务器漏洞三方面。定期使用安全体检工具,可以帮助您及时发现风险问题,助您提升云上安全水平。
功能说明
开启安全体检
您可以在安全管控控制台的概览页 - 安全体检板块,点击「开启体检」,检测时间预计 30min,具体根据您的云上资产数量而定。
查看安全体检结果
首次体检结束后,您可以在安全体检板块内,查看到风险基本情况,包括待处理攻击告警和风险漏洞。您也可以点击右上角「安全体检详情」,查看体检详细结果。
体检摘要
看板呈现当前待处理状态下的各类攻击告警、系统漏洞以及风险配置。
|
检查项 |
检查子类 |
备注 |
|
攻击告警 |
云安全中心告警 |
攻击告警是疑似的黑客入侵或木马病毒,需要您重点关注。 |
|
AK泄露告警 |
通过实时检测GitHub平台公开源代码中存在的阿里云账号或RAM用户的访问密钥AccessKey信息,识别出AK是否泄露,建议您及时查看并处理外泄的AK事件。 |
|
|
云服务器漏洞 |
应急漏洞 |
云服务器漏洞包含操作系统漏洞以及高危应用漏洞(应急漏洞),可被黑客用于攻击入侵。 |
|
Linux系统漏洞 |
||
|
Windows系统漏洞 |
||
|
云产品风险配置 |
账号安全 |
基于阿里云平台安全治理经验,覆盖了云平台基础的关键安全配置检查项,涉及账号安全、云资源安全、网络安全、数据安全、备份恢复5个检查维度。 |
|
云资源安全 |
||
|
网络安全 |
||
|
数据安全 |
||
|
备份恢复 |
攻击告警
云安全中心告警
在服务器中安装云安全中心插件后,即可支持检测服务器中的攻击告警事件,覆盖网站后门、异常登录、恶意软件等攻击告警类型,详情请查看云安全中心功能特性 - 免费版。
安全告警页面包含云安全中心告警和AK泄漏告警两个Tab页签。在云安全中心告警页签下,可通过紧急程度(如可疑)和状态(如待处理)筛选告警,告警列表展示紧急程度、告警名称、受影响资产、最新发生时间、状态和操作列。
您可以在操作列,点击去处理,即可前往「云安全中心-安全告警处理」页面查看资产中检测出的攻击告警事件。
AK泄露告警
支持实时检测GitHub平台公开源代码中是否含有AK信息,在发现AK泄露时向您发送通知,帮助您及时发现数据外泄的风险。
在安全告警页面单击AK泄漏告警页签,可按紧急程度和处理状态筛选告警。告警列表包含AccessKey ID、账号类型、平台、受影响账户、泄漏类型、状态和操作列。
收到AK泄露告警通知后,表示您阿里云账号或RAM用户的AK信息已外泄。请第一时间处理AK泄露事件。您可以点击去处理,即可前往「云安全中心-AK泄露检测」页面查看AK泄露的详情并进行处置。
云产品风险配置
云产品风险配置检查能力通过配置审计提供,在您开启体检后,会在配置审计中新建名为「阿里云平台安全最佳实践」的合规包,检查规则覆盖云平台关键安全配置,涉及账号安全、云资源安全、网络安全、数据安全、备份恢复等五类检查维度,共计30项检查项。
检查完成后,云产品风险配置页面顶部汇总未通过数量与总数,下方表格列出各检查规则的名称、规则分类、通过状态及风险等级(高风险、中风险、低风险)。
您可以点击查看详情,查看具体不通过的原因,以及不通过的资源列表。
查看详情面板中展示规则的风险等级、改进建议(含文档链接)、触发机制(如每24小时周期执行)及描述信息,并在检测结果区域列出未通过的实例ID与资源类型。
也可以前往配置审计-合规包,查看规则详情。
云服务器漏洞
云服务器漏洞检测能力通过云安全中心提供,详情请查看漏洞管理概述。在您开启体检后,Linux软件漏洞和Windows系统漏洞会持续进行检测,应急漏洞会完成一次初始检测,但不会周期运行,您可以按需手动触发检测。
漏洞列表页面提供需要优先修复的漏洞开关用于筛选高优先级漏洞,表格中展示漏洞名称、检测方式、披露时间、最新扫描时间及风险等级等信息。
对于已发现的Linux软件漏洞、Windows系统漏洞,可以通过点击去修复,前往「云安全中心-漏洞管理」页面进行修复,您可以同时点击右上角「领取漏洞修复资源包」,获取每年100次免费修复额度。
对于已发现的应急漏洞,暂不支持自动修复,需要您先点击「去查看」,前往「云安全中心-应急漏洞详情」页查看修复方式,待完成修复后。再点击重新检测,完成修复验证。您也可以点击右上角的重新检测,勾选全部漏洞类型进行批量检测。
关闭安全体检开关
您可以在安全体检板块内,右上角「安全体检设置」中,关闭安全体检开关
关闭体检开关后,不再进行持续安全检测,历史已检测数据会保留在体检详情中。
云产品配置检查规则明细
|
云产品风险配置 |
检查具体规则 |
风险等级 |
|
账号安全 |
阿里云主账号开启MFA |
高风险 |
|
RAM用户开启MFA |
高风险 |
|
|
不为RAM用户赋予超级管理员权限 |
高风险 |
|
|
不使用主账号AccessKey |
高风险 |
|
|
RAM用户不存在闲置AccessKey |
低风险 |
|
|
云资源安全 |
运行中的ECS实例开启云安全中心防护 |
高风险 |
|
使用专有网络类型的ECS实例 |
中风险 |
|
|
使用密钥对登录Linux主机 |
中风险 |
|
|
网络安全 |
OSS存储空间ACL不开启公共读写 |
高风险 |
|
OSS存储空间ACL不开启公共读 |
高风险 |
|
|
OSS公开存储空间设置权限策略且不为匿名账号授予任何权限 |
高风险 |
|
|
SLB实例监听不包含风险端口 |
高风险 |
|
|
SLB访问控制列表不配置所有地址段 |
高风险 |
|
|
专有网络ACL未开放风险端口 |
高风险 |
|
|
RDS实例不配置公网地址 |
高风险 |
|
|
Redis实例不开启公网或安全白名单不设置为允许任意来源访问 |
高风险 |
|
|
PolarDB实例不开启公网或IP白名单不设置为全网段 |
高风险 |
|
|
MongoDB实例不开启公网或安全白名单不设置为允许任意来源访问 |
高风险 |
|
|
安全组未开放风险端口 |
高风险 |
|
|
SLB开启HTTPS监听 |
高风险 |
|
|
CDN域名开启HTTPS加密 |
高风险 |
|
|
API网关中开启公网访问的API请求方式为HTTPS |
高风险 |
|
|
数据安全 |
RDS实例开启SSL并使用指定的TLS版本 |
中风险 |
|
PolarDB集群设置SSL加密 |
中风险 |
|
|
Redis实例设置TLS或SSL加密 |
中风险 |
|
|
备份恢复 |
RDS实例开启日志备份 |
高风险 |
|
MongoDB实例打开日志备份 |
低风险 |
|
|
PolarDB集群日志备份保留周期大于30天 |
中风险 |
|
|
Redis实例开启增量备份 |
低风险 |
|
|
ECS磁盘设置自动快照策略 |
低风险 |
服务授权
安全体检功能需要授权安全管控服务访问云安全中心和配置审计的云服务资源,故需要通过服务关联角色功能获取访问权限,您参考RCSecuritySense服务关联角色进行服务角色授权。