安装云安全中心客户端后,为了防止客户端被恶意卸载,您可以为服务器开启客户端自保护。如需限制客户端占用服务器的内存或CPU资源,您可以开启本地文件检测或配置客户端资源管理。本文介绍客户端能力配置支持的功能及如何配置相应功能。
客户端自保护
客户端自保护为云安全中心客户端提供防护,可以主动拦截恶意卸载云安全中心客户端或关闭相关进程的行为,保障云安全中心防御机制稳定运行;该功能不提供服务器安全防护能力。
功能说明
开启客户端自保护后,未通过云安全中心控制台卸载客户端的行为将被云安全中心主动拦截,与此同时云安全中心会对您服务器客户端目录下的进程文件提供默认保护,防止攻击者入侵服务器后卸载云安全中心客户端或您服务器中的其他进程误关闭客户端,避免发生云安全中心对您服务器防护失效的情况。建议您为所有服务器开启客户端自保护。
为服务器开启客户端自保护功能后,您只能通过以下两种方式卸载云安全中心客户端。
关闭服务器的客户端自保护状态后,在服务器上卸载客户端。
在云安全中心控制台上卸载客户端。具体操作,请参见卸载客户端。
如果服务器操作系统和内核版本不在客户端自保护支持的操作系统和内核版本范围内,服务器开启了客户端自保护功能后,会提示“防护失效内核版本不适配”,无法使用客户端自保护功能。
版本限制
云安全中心的免费用户与付费版本用户均可使用该功能。
开启服务器的客户端自保护
客户端自保护防御模式开启后,已安装客户端并属于客户端自保护功能保护范围内的服务器会自动开启客户端自保护。
登录云安全中心控制台。在控制台左上角,选择需防护资产所在的区域:中国或全球(不含中国)。
在左侧导航栏,选择 。
选择
页签,在客户端自保护区域打开防御模式开关。在保护范围右侧,单击管理。
在客户端自保护面板,选择需要开启客户端自保护的服务器,然后单击确定。
说明服务器开启客户端自保护后,自保护机制会立即生效。服务器关闭客户端自保护5分钟后,自保护机制才会关闭。
查看客户端自保护状态
您可以通过以下方式,查看服务器的客户端自保护是否开启。
登录云安全中心控制台。在控制台左上角,选择需防护资产所在的区域:中国或全球(不含中国)。
在左侧导航栏,选择 。
在主机资产列表中找到目标服务器,单击服务器名称或者在操作列单击查看。
在服务器详情页面,选择
页签,在防御状态区域,查看客户端自保护状态。
本地文件检测引擎
本地文件检测引擎为阿里云云安全中心自主研发的本地文件威胁检测引擎。该引擎可以减少数据上传、云查杀数据交互等性能损耗,具备较高的检测效率。
当服务器开启了本地文件检测功能后,服务器上的文件将启用本地+云端双引擎的检测模式。优先使用本地文件检测引擎进行检测,检测无安全威胁之后才会将文件上传到云端进行二次检测。
版本限制
包年包月版:开通步骤请参见购买包年包月实例,其中版本选择为企业版或旗舰版。
按量付费版:开通步骤请参见开通按量付费功能,其中主机及容器安全选择是。开通后请至少为一台服务器完成企业版或旗舰版授权,具体操作请参见绑定服务器防护版本(按量付费版)。
开启本地文件检测
登录云安全中心控制台。在控制台左上角,选择需防护资产所在的区域:中国或全球(不含中国)。
在左侧导航栏,选择 。
选择
页签,在本地文件检测引擎区域打开文件检测开关。在安装范围右侧,单击管理。
在本地文件检测引擎面板,选择需要开启本地文件检测的服务器,并单击确定。
客户端资源管理
云安全中心客户端在服务器上工作时,会占用少量服务器资源。云安全中心向用户提供了三种不同的资源管理模式,您可以调整客户端的资源管理模式来管理客户端对服务器资源的占用。为服务器选择适合的防护模式,可以获得更好的安全防护效果。
资源管理模式说明
选择任一资源管理模式时,当客户端占用资源超过设定的最高内存或CPU占用时,客户端将会暂停工作,直至CPU使用率或内存占用下降到合理范围内,客户端会自动重启。
防护模式 | 最高内存或CPU占用 | 支持的版本 | 应用场景 |
低消耗模式 |
| 所有版本 | 低消耗模式适用于安全要求较低的业务场景。 该模式下,客户端会自动降配资源消耗较大的功能项,可能出现威胁检测不及时的情况,建议您启用流畅模式。 说明 新接入云安全中心的主机资产默认开启低消耗模式。 |
流畅模式 |
| 防病毒版、高级版、企业版、旗舰版 | 流畅模式适用于关键业务的安全防护场景。 该模式下,客户端会占用更多资源以采集数据,保障风险检测更及时。 |
自定义模式 |
| 企业版、旗舰版 | 自定义模式适用于重大活动的安全保障。 该模式下,您可以灵活控制内存和CPU占用。 重要 如果客户端资源限制阈值过低,可能会导致部分检测能力失效,请谨慎配置。 |
设置防护模式
登录云安全中心控制台。在控制台左上角,选择需防护资产所在的区域:中国或全球(不含中国)。
在左侧导航栏,选择 。
选择
页签,在客户端资源管理区域单击流畅模式或自定义模式右侧的管理。在流畅模式或自定义模式面板,选中需要配置调整客户端资源管理模式的服务器,单击确定。
每台服务器客户端的资源管理模式只能选择流畅模式或自定义模式中的一种。例如某服务器当前是流畅模式,如果您将该服务器设置为自定义模式,该服务器的防护模式会变为自定义模式。
说明自定义模式下告警检测类型多并且检测引擎的敏感度更高,会检测出更多的告警,可能会导致误报率增加。建议您及时关注并处理告警。
(可选)为服务器设置了自定义模式时,您可以修改内存占用阈值和CPU占用阈值。
内存占用和CPU占用的阈值越高,防护越精准,建议您合理设置阈值。