当需要满足等保合规要求、排查系统配置风险或检测弱口令时,可使用基线风险检查功能对服务器操作系统、数据库、中间件和容器的配置进行安全检测。本文介绍该功能的基本信息、使用方法和常见风险项的修复方案。
版本和计费说明
云安全中心付费版支持使用基线风险检查功能。
|
版本 |
使用说明 |
计费说明 |
|
防病毒版和仅采购增值服务 |
若想使用基线风险检查的全部功能,需要开通付费版云安全态势管理功能,使用检查项需要消耗云安全态势管理的授权数。 |
若开通付费版云安全态势管理,计费详情,请参见云安全态势管理付费使用说明。 |
|
高级版和企业版 |
|
无需额外付费。 |
|
旗舰版 |
支持基线风险检查功能的全部检查项。 |
无需额外付费。 |
功能优势
-
等保合规
支持等保二级、等保三级和国际通用安全最佳实践基线,满足多种合规监管需求。
-
检测全面
支持弱口令、未授权访问、已知不安全配置和配置红线巡检,覆盖 30 多种系统版本、20 多种数据库及中间件。
-
灵活配置
支持自定义安全策略、检测周期和检测范围,满足不同业务的安全配置需求。
-
详细修复方案
检查项提供修复建议,支持一键修复,以快速完成基线加固并满足等保要求。
使用流程
-
开通功能:购买企业版或旗舰版,或开通付费版云安全态势管理功能,即可使用全部检查项。详见开通基线风险检查功能。
-
安装客户端:在服务器上安装云安全中心客户端,控制台将每分钟自动同步资产信息。安装步骤参见安装客户端。如需检查非阿里云服务器,需先将资产接入云安全中心,方法参见多云资产接入。
-
配置检查策略:默认策略仅包含部分基线类型,可根据业务需求配置更多检查项和策略。详见设置检查策略。
-
执行检查:选择策略并手动执行,或等待系统按策略周期自动扫描。详见执行基线检查策略。
-
查看结果:在控制台查看扫描出的风险检查项、风险资产和修复建议。详见查看基线检查结果及风险加固建议。
-
修复验证:根据修复建议修复风险并完成验证,确认检查项结果为已通过。详见处理未通过的基线风险检查项。
功能说明
基线检查功能通过配置不同的检查策略,对服务器进行批量扫描,发现系统、账号权限、数据库、弱口令、等保合规配置等风险点,并提供修复建议和一键修复功能。检查内容详情参见基线检查内容。
基本概念
|
名词 |
说明 |
|
基线 |
基线指操作系统、数据库及中间件的安全实践及合规检查的配置红线,包括弱口令、账号权限、身份鉴别、密码策略、访问控制、安全审计和入侵防范等安全配置检查。 |
|
弱口令 |
弱口令指容易被猜测或爆破的口令,通常包括:长度小于 8 位或者字符类型少于 3 类的简单口令,以及网上公开的或者恶意软件中的黑客字典。弱口令容易被破解,如果被攻击者获取,可用来直接登录系统,读取甚至修改网站代码,使用弱口令将使得系统及服务面临极大的风险。 |
基线策略
策略是基线检查规则的集合,是执行基线检测的基本单位。云安全中心提供三种策略类型:默认策略、标准策略和自定义策略。
|
策略类型 |
支持的基线检查项类型 |
应用场景 |
|
默认策略 |
支持以下基线类型:
|
系统默认执行的基线检查策略,仅支持编辑检查时间和生效服务器。购买高级版、企业版或旗舰版后,系统会每隔一天在 00:00~06:00(或您修改后的时间)检查一次您阿里云账号下的所有资产。 |
|
标准策略 |
支持以下基线类型:
|
相比默认策略,增加了等保合规、国际通用安全最佳实践等检查类型,且支持编辑所有策略配置项。 可根据业务场景自行配置基线检查策略。 |
|
自定义策略 |
支持以下操作系统自定义基线类型:
|
用于检查资产在操作系统自定义基线配置上是否存在风险。 可自定义配置检查项并修改部分基线参数,使检查策略更贴合业务场景。 |
支持的服务器
云安全中心支持对已安装客户端且状态正常的服务器进行基线检查。可在设置策略时,通过服务器分组选择生效范围。服务器接入方法参见安装客户端和管理服务器。
风险等级
云安全中心根据风险类型的危害程度和应用场景进行分级。
|
风险等级 |
基线分类 |
说明 |
修复 |
|
高危 |
|
该基线风险类型存在入侵风险,属于高危风险。 |
需紧急修复。避免弱口令暴露在公网上导致系统被入侵或发生数据泄露事件。 |
|
虽然不存在入侵风险,但属于配置红线巡检,归属高风险等级。 |
重要安全加固项,建议及时修复。基于最佳安全实践的加固标准,降低配置弱点被攻击和配置变更风险。 |
|
|
自定义基线 |
属于客户自身安全事件,属于配置红线巡检,归属高风险等级。 |
用户自定义的安全加固项,建议修复。基于最佳安全实践的加固标准,降低配置弱点被攻击和配置变更风险。 |
|
|
中危 |
|
合规风险依据是否有合规需要进行检查和修复,不存在入侵风险,也不属于配置红线巡检,归属为中风险等级。 |
基于业务是否有合规需要进行修复。 |
修复方式
云安全中心为存在风险的检查项提供修复建议,用于加固系统安全。
-
手动修复:登录存在风险的服务器,修改对应配置后,在云安全中心单击验证。
-
一键修复:云安全中心支持一键修复部分基线检查项。通过检查项对应风险项面板是否显示修复按钮判断是否支持。详见修复风险项。
基线检查内容
基线分类说明
|
基线分类 |
检查标准及检查内容 |
覆盖的系统和服务 |
修复紧急度说明 |
|
弱口令 |
使用非登录爆破方式检测是否存在弱口令。避免登录爆破方式锁定账户影响业务的正常运行。 说明
弱口令检测通过读取 HASH 值与弱口令字典计算的 HASH 值进行对比来检查是否存在弱口令。如需避免读取 HASH 值,可从基线检查策略中移除弱口令基线。 |
|
需紧急修复。避免弱口令暴露在公网上导致系统被入侵或发生数据泄露事件。 |
|
未授权访问 |
未授权访问基线。检测服务是否存在未授权访问风险,防止被入侵或数据泄露。 |
Memcached、Elasticsearch、Docker、CouchDB、Zookeeper、Jenkins、Hadoop、Tomcat、Redis、Jboss、ActiveMQ、RabbitMQ、openLDAP、rsync、Mongodb Postgresql |
|
|
最佳安全实践 |
阿里云标准 基于阿里云最佳安全实践标准,检测是否存在账号权限、身份鉴别、密码策略、访问控制、安全审计和入侵防范等安全配置风险。 |
|
重要安全加固项,建议修复。基于最佳安全实践的加固标准,降低配置弱点被攻击和配置变更风险。 |
|
容器安全 |
阿里云标准 基于阿里云容器最佳安全实践,检查 Kubernetes Master 和 Node 节点配置风险。 |
|
|
|
等保合规 |
等保二级、三级合规 基于服务器安全等保基线,对标权威测评机构安全计算环境测评标准和要求。 |
|
基于业务是否有合规需要进行修复。 |
|
国际通用安全最佳实践 |
基于国际通用安全最佳实践的操作系统安全基线检查。 |
|
基于业务是否有合规需要进行修复。 |
|
自定义基线 |
支持 CentOS Linux 7 自定义基线,可对基线检查策略中的检查项进行编辑,自定义安全加固项。 |
CentOS 7、CentOS 6、Windows Server 2022R2、2012R2、2016、2019、2008R2 |
用户自定义的安全加固项,建议修复。基于最佳安全实践的加固标准,降低配置弱点被攻击和配置变更风险。 |
基线检查项目
下表列出云安全中心提供的基线检查项目。
密码安全最佳实践
基线检查功能可检测弱口令风险,发现弱口令后,可参考以下最佳实践配置密码复杂度策略,以提升服务器安全水位。
密码复杂度要求
安全的密码应满足以下要求:
-
长度至少为8位字符,建议12位以上。
-
包含至少三种字符类型:大写字母(A-Z)、小写字母(a-z)、数字(0-9)和特殊字符(如!@#$%^&*)。
-
避免使用用户名、生日、手机号等个人信息作为密码,避免使用常见字典密码(如admin123、password等)。
-
不同系统和服务使用不同的密码,避免多处复用同一密码。
Linux 系统密码策略配置
在Linux系统中,可以通过修改PAM(Pluggable Authentication Modules)配置来设置密码复杂度策略:
-
编辑PAM密码配置。以CentOS/RedHat为例,编辑
/etc/security/pwquality.conf文件,或使用authconfig命令:authconfig --passminlen=8 --passminclass=3 --update -
配置密码过期策略,编辑
/etc/login.defs文件,设置以下参数:-
PASS_MAX_DAYS:密码最长使用天数,建议90天。 -
PASS_MIN_DAYS:密码修改最小间隔天数,建议0天。 -
PASS_WARN_AGE:密码过期前警告天数,建议7天。
-
-
修改密码可使用
passwd命令:passwd 用户名
不同Linux发行版的PAM配置方式可能有所不同,请根据实际情况调整。修改密码策略前请确认不会影响现有业务的正常运行。
Windows 系统密码策略配置
在Windows系统中,可以通过本地安全策略或组策略配置密码复杂度:
-
打开
本地安全策略(运行secpol.msc)。 -
导航至
账户策略>密码策略。 -
配置以下策略项:
-
密码必须符合复杂性要求:设置为
已启用。 -
密码长度最小值:建议设置为8个字符或更多。
-
密码最长使用期限:建议设置为90天。
-
密码最短使用期限:建议设置为0天。
-
强制密码历史:建议设置为5个或更多,防止用户重复使用旧密码。
-
如果服务器已加入域,则密码策略由域控制器统一管理,需在域控制器上配置组策略(GPO)。
通用安全建议
-
定期修改服务器密码和各类服务密码,降低密码泄露带来的风险。
-
对于SSH远程登录,建议优先使用密钥认证替代密码认证。
-
利用云安全中心基线检查功能定期扫描弱口令,及时发现并修复密码安全风险。
-
如检测到弱口令告警,请尽快修改为符合复杂度要求的强密码,并检查是否存在异常登录行为。