数据安全中心通过动态检测数据资产配置的方式,以数据为落脚点检测阿里云上数据库资产是否存在配置风险,例如身份验证、访问控制、加密、备份和恢复等方面的配置是否安全,这些检查策略和检查项统称为安全基线检查。安全基线检查功能可以帮助您持续监控阿里云数据库资产是否存在配置风险。本文介绍关于安全基线检查功能您需要了解的信息,以及如何使用该功能。
前提条件
已开通数据安全中心免费版实例或购买数据安全中心付费版实例。数据安全中心免费版实例支持基线检查的部分检查项检测,基础版和企业版实例支持基线检查全部功能。具体内容,请参见数据安全中心免费版服务和购买数据安全中心。
已完成数据资产授权。具体操作,请参见资产授权。
了解安全基线检查
数据安全中心以GB/T 37988-2019《信息安全技术数据安全能力成熟度模型》为依据,提供个保法安全基线和阿里云数据安全最佳实践基线的检查,针对云上复杂的数据库应用环境和不同类型的数据(结构化数据和非结构化数据),制定了7类基线检查策略以及对应的检查项(具体的检查项以数据安全中心
页面的策略管理页签显示为准),并提供不同类型、不同等级风险的概览图和详细列表,针对检测出的配置风险提供了对应的处置建议。建议您根据处置建议及时处理配置风险,强化数据资产基础安全配置功能,以免为黑客提供被利用的弱点。安全基线说明
个保法安全基线:基于个人信息保护相关法规,提供覆盖含有个人信息数据资产的全生命周期的安全风险检测能力。
对经过数据识别任务扫描出包含个人信息或个人敏感信息的数据库实例和OSS Bucket进行基线检查。
阿里云数据安全最佳实践基线:基于阿里云数据安全最佳实践形成的检测基线,提供覆盖数据资产全生命周期的安全风险检测能力。
对已授权连接的数据库实例和OSS Bucket均进行基线检查。
支持的风险检查策略
策略名称 | 说明 |
日志监控审计 | 数据处理的全生命周期应具备记录和监控能力,确保数据处理过程可审计、可追溯。资产应开启日志审计或日志存储等功能。 该策略检测数据库是否开启了安全日志审计、日志存储等功能。 |
身份权限管理 | 数据的访问和使用应基于最小权限原则,明确相关人员的访问权限,防止非授权访问。 该策略检查数据库权限管理是否合理,例如是否配置了普通账号来进行日常的数据库登录等操作。 |
敏感数据保护 | 存储有敏感数据的资产应建立严格的访问控制机制,避免数据泄露。 该策略可检查数据库是否存在公共读写等数据泄露风险,或对敏感数据所在项目是否开启了访问控制。 说明 该策略仅对经过数据识别任务扫描出包含个人信息或个人敏感信息的数据库实例和OSS Bucket生效。 如果数据库实例和OSS Bucket没有进行数据识别扫描,或扫描结果不包含个人信息或个人敏感信息,该策略检查项的检查结果默认为通过。 |
访问控制管理 | 数据的访问和使用应根据业务需要限制访问来源,避免数据资产公开暴露。 该策略检查数据库是否存在公开暴露的情况。 |
数据备份恢复 | 应建立定期的数据备份与恢复机制,实现对存储数据的冗余管理,保护数据的可用性。 该策略检查数据库是否开启了备份功能。 |
数据存储安全 | 数据存储应采取加密等安全措施,保障数据的保密性和完整性。 该策略检查数据库是否开启加密功能。 |
数据传输加密 | 数据传输活动应采取加密等安全措施,保障数据传输过程的安全性。 该策略检查数据库在传输过程中是否开启了加密传输。 |
支持的数据类型
安全基线检查仅支持检测已接入数据安全中心的阿里云数据库的配置风险,具体支持的产品包括:
类别 | 数据库类型 |
关系型数据库 | RDS MySQL |
RDS SQL Server | |
RDS PostgreSQL | |
RDS MariaDB | |
OceanBase MySQL模式 | |
OceanBase Oracle模式 | |
PolarDB-X 1.0 | |
PolarDB MySQL引擎 | |
PolarDB PostgreSQL引擎 | |
PolarDB O引擎 | |
非关系型数据库 | MongoDB |
Redis | |
大数据 | TableStore |
MaxCompute | |
AnalyticDB MySQL版 | |
AnalyticDB PostgreSQL版 | |
非结构化数据库 | OSS |
设置检查策略的检查项状态
数据安全中心 DSC(Data Security Center)默认开启检查策略的所有检查项进行风险检测,您可以根据实际业务需求,选择关闭或开启指定检查项的检测状态。
- 登录数据安全中心控制台。
在左侧导航栏,选择
。在策略管理页签的阿里云数据安全最佳实践基线或个保法安全基线页签,查看基线检查策略。
在策略列表,打开或关闭检查项状态列的开关,来控制是否开启指定检查项。
您也可以直接开启或关闭指定的检查策略,批量关闭检查项的检测。
执行安全基线检查
查看最新检查时间
您可以在策略管理页签,单击阿里云数据安全最佳实践基线或个保法安全基线页签,查看对应的最近检测时间。
自动检查
数据安全中心 DSC(Data Security Center)每天凌晨1点左右会默认为已接入的数据库资产执行一次安全基线检查。
手动检查
如果有新接入的资产或者数据库配置有变更,需要对所有资产进行检测时,您可以通过一键重新检测功能,立即执行检测。重新检测一般需要10分钟左右。
在左侧导航栏,选择
。在风险趋势页面,单击策略告警页签,在目标策略的操作列单击详情。
在风险态势或资产清单页签,单击一键重新检测,从检查项或资产实例维度,重新检测资产风险。
查看业务资产风险趋势
数据安全中心结合安全基线检查、敏感数据识别结果,提供了数据资产分级安全态势、个人隐私数据安全态势、风险治理进度和敏感数据识别结果等统计图表,方便您查看资产的安全态势。
在左侧导航栏,选择
。在风险趋势页签,单击右侧下拉框选择安全基线类型。
在资产风险页签,查看以下信息,帮助您了解业务资产的风险态势。
数据资产分级安全态势
展示检测范围内不同敏感等级资产中存在的高危、中危和低危风险的资产数量柱状图。
个人隐私数据安全态势
展示检测范围内存在个人敏感信息、个人信息和通用信息的资产中存在高危、中危和低危风险的资产数量柱状图。
风险治理进度
治理进度列下的数字,表示该资产已通过的检查项数量和全部检查项的数量。例如2/3表示该资产共涉及3个检查项,其中已通过2个检查项。治理进度列下有治理完成字样时,表示该资产已通过所有相关检查项的检测。
风险级别表示该资产下未通过的检查项的风险级别。如果一个未通过的检查项存在多个风险级别,数据安全中心将只显示最高的风险级别。
处理资产配置风险
数据安全中心 DSC(Data Security Center)提供了从不同角度查看和处理配置风险的入口。不同页面和不同方式查看到的风险数据是一致的,您可以根据实际需要选择合适的方式。
建议您及时处置检测出的配置风险,避免不当配置造成数据泄露或其他不安全事件。
从资产角度
您需要查看资产的检测结果时,可以在
页面的风险趋势页签下的资产风险页签,查看支持检测的数据库资产列表,以及检测结果的详细列表和处置操作入口。在左侧导航栏,选择
。在风险趋势页签单击资产风险页签,处理配置风险。
处置风险
数据安全中心仅提供处置风险的操作指引,您需要自行处置相应风险。单击目标数据资产实例操作列的处置,查看未通过的检查项及处置方案。
在风险详情区域,您可以单击处置,前往对应页面处理风险。
为整个资产加白名单
如果安全工程师评估无需对某个数据库资产进行安全基线检查,您可以单击目标数据库实例操作列的加入白名单,将该资产下所有检测项都加入白名单。加入白名单后,该资产的治理进度会更新为治理完成。
为某个数据资产实例的指定检查项加白名单
如果安全工程师评估指定资产需要排除某一个检查项,您可以单击目标数据库实例操作列的处置,在风险处置面板,单击目标检查项右侧的加入白名单。加入白名单后,该检查项状态将变更为已加白。
从策略角度
您需要查看不同策略的检查结果时,可以在
页面的风险趋势页签下的策略告警页签,查看不同策略的列表,在指定策略的详情页面,查看该策略下支持的检查项列表及关联的资产清单。在左侧导航栏,选择
。在风险趋势页签,单击策略告警页签,查看策略列表。
告警数量表示存在未通过检查项的资产数量。
关联资产表示检查项检查的资产总数。每个检查项对应一个资产算作一项。
单击目标策略操作列的详情。
在详情页面查看风险态势和资产清单。
风险态势页签展示了该策略下所有的检查项及其详细信息,包括检查项内存在风险的资产数量、检查关联的资产数量和检查项状态。如需重新检测该检查项,您可以单击操作列的检测。
资产清单页签展示了该策略下所有检查项涉及的资产。您可以为相关资产针对指定的检查项重新检测、加白或取消加白,也可单击处置,前往对应控制台处置当前风险项。
从检查项角度
您需要查看指定检查项检测出的风险时,可以在
页面的策略管理页签,执行以下操作查看检查项的详细信息。在策略列表中,单击目标策略名称前的展开图标,查看该策略下支持的检查项。
单击目标检查项操作列的详情或白名单配置,前往详情页面,查看该检查项关联的资产并进行相应的处置。
支持进行以下操作:
如果确认对于当前资产该检查项的检查结果可以忽略,您可以单击目标资产操作列的加入白名单,将该资产加入该检查项的白名单。
单击目标资产操作列的处置,前往对应控制台处置当前风险项。
处置完成后,您可以单击目标资产操作列的验证,验证处置是否已成功。