云平台配置错误可能会导致安全漏洞、性能瓶颈、数据泄露、黑客攻击等风险,严重影响云平台的可靠性。建议您配置自动检查策略定期扫描云平台的安全配置,以便及时发现和修复云产品的配置风险。
背景信息
前提条件
更新检查项
云安全中心已预定义云产品配置风险检查项。执行云产品配置风险检查的扫描前,您可以根据实际业务需要修改预定义检查项的检查规则,也可以添加自定义检查项,使检查结果更加准确并符合您的需求。
添加自定义检查项
对于阿里云和腾讯云产品,如果您有自己的云产品配置安全运维需求,您可以基于云安全中心预定义的AI配置管理(AI-SPM)、Kubernetes配置管理(KSPM)、身份权限管理(CIEM)、安全风险和合规风险5个场景,添加自定义检查项来配置满足运维需求的检查规则。
自定义检查项的配置和使用流程
流程图如下:
配置和发布自定义检查项
具体操作如下:
登录云安全中心控制台。在控制台左上角,选择需防护资产所在的区域:中国或全球(不含中国)。
在左侧导航栏,选择。
在页签,单击新增自定义检查项。
配置以下基本信息后,单击下一步。
输入便于识别的检查项名称。
在检查项分类设置下,设置检查项的归属目录:归属场景/归属标准/归属条例/归属章节。
选择归属场景:AI配置管理、Kubernetes配置管理(KSPM)、身份权限管理(CIEM)、安全风险或合规风险。
根据归属场景依次选择归属标准/归属条例/归属章节。
您可以直接选择对应归属场景下预定义的归属项,也可以单击新增归属标准、新增归属条例或新增归属章节,设置对应的归属项名称后,选择新增的自定义归属项。
归属场景下预定义检查项类目说明,请参见检查规则。
重要如果某个层级使用自定义归属项,后续所有层级也必须使用自定义的归属项。
您可以单击添加,参考以上操作,设置多条归属目录。在多个归属目录下都会添加当前自定义检查项。
输入检查项说明、处置方案和帮助资源,帮助用户了解该检查项的具体检查内容,以及如何修复云产品风险项配置。
设置当前检查项归属的风险等级(高危、中危或低危),便于用户判断风险影响程度,并及时进行修复。
风险等级评定说明,请参见评定风险等级。
后续完成发布自定义检查项后,可在云产品配置风险页签的全部检查项列表,根据归属目录查看自定义检查项。
如左图所示配置,可在安全风险/阿里云最佳安全实践/安全/访问控制下查看已发布的自定义安全检查项,单击检查项名称可查看检查项说明、处置方案和帮助资源。
配置检查项规则内容。
选择检查项支持检查的服务商,然后选择对应的具体检查实例对象。
说明具体可选的检查实例对象以控制台显示为准。
如果需要结合其他资产对象配置检查规则,可单击新增关联资产,依次选择以下可关联的参数信息。
说明具体可选的参数以控制台显示为准。如果可关联属性下拉列表为空,表示当前的检查实例对象不支持关联资产及参数的设置。
可关联属性:检查实例对象中可进行关联的参数。
被关联资产:可以与可关联属性关联的资产类型。
被关联资产属性:被关联资产中可以与可关联属性进行关联的参数。
您可以单击新增关联资产,关联多个资产及其参数。
配置完成后,可在检查项内容设置中设置条件时,选择被关联资产的相关参数配置检查规则。
如下图所示配置,关联磁盘(存储)后,检查项内容设置的条件中支持设置磁盘相关的参数。
单击添加条件,设置检查规则的条件。
参数:可选检查实例对象和被关联资产相关的参数。具体可选的参数以控制台显示为准。
您可单击参数右侧的
图标,查看参数的数据类型、示例和描述信息。选择参数时,必须选择到最后级别的参数。否则,无法设置操作符和预期值。
操作符说明:
In:检查一个值是否存在于一个集合。如果指定的值在集合内,则条件为真。
Equals(等于):比较两个值是否相等。如果两个值相同,则条件为真。
NotEquals(不等于):与Equals相反,检查两个值是否不相等。如果两个值不同,则条件为真。
NotIn:与In相对,检查一个值是否不存在于一个集合中。如果指定的值不在该集合内,则条件为真。
您可以单击添加条件或添加组,配置多个条件或条件组。多个条件的关系可选为AND(且)或OR(或)。添加的条件组是上一层条件组的子集。
重要每个检查项最多包含5个条件组,每个条件组下最多包含10个条件。
单击测试,在右侧测试区域,选择测试数据(云安全中心会按照选择的检查实例对象,提供当前账号下对应的资产数据),然后单击测试。
云安全中心会对已选择测试数据(例如实例)的实际配置执行一次该检查项的检测,您可根据检查结果:检查项无法通过(命中检查规则)或检查项已通过(未命中检查规则),确认检查项的检查结果是否符合预期。
如果测试结果不符合预期检查结果,请确认检查条件设置正确,然后重新测试。
测试符合检查项预期检查结果后,单击保存或发布。
保存:已保存而未发布的检查项,支持编辑、发布和删除。
发布:只有已发布的检查项,才能在检查项列表展示和使用。发布后的检查项不支持修改。
已添加的自定义检查项会在自定义检查项管理页面展示,您可以查看、编辑、发布、下线或删除检查项。您也可以在云安全态势管理页面,单击右上角的自定义检查项管理,管理已添加的全部自定义检查项信息。
对于已发布的检查项,如果需要修改,需要先执行下线操作。检查项被下线后,将会清空原有检查项规则及历史扫描结果。
检查项被删除后,历史检查数据及告警信息也会随之清除。
修改预定义检查项的规则
云安全中心支持修改部分检查项的检查规则,例如OSS-Bucket防盗链配置、闲置用户清理、密码有效期等检查项。
登录云安全中心控制台。在控制台左上角,选择需防护资产所在的区域:中国或全球(不含中国)。
在左侧导航栏,选择。
在云产品配置风险页签,搜索是否支持自定义参数为是的检查项,单击目标检查项名称,例如闲置用户清理。
在检查项详情面板,单击参数配置。
说明检查项详情面板有参数配置按钮,表示该检查项的配置支持修改。如果没有该按钮,表示该检查项的配置不支持修改。
在参数配置面板的可修改参数列,单击+新增可修改参数,在下拉列表中选择需要修改的参数并设置编辑参数,单击确定。
修改的检查规则会立即生效,在下一次执行云产品配置风险的检查后,即可查看检查结果。
设置检查策略
更新检查项后,如果您需要指定云产品配置检查项、检查周期和检查时间,以及加白的检查项、云产品实例等,可以配置云产品配置风险的自动检查策略和加白策略。
配置自动检测策略
如果您需要获取部分指定的云产品配置是否存在风险,或需要周期性执行云产品配置风险检查,可以开启并配置云安全态势管理自动检测功能。
在页面右上角,单击策略管理。
在策略管理面板的云产品扫描策略页签,开启云自动检测
图标,设置检查周期、检查时间以及选择要检查的检查项(可选预定义检查项或已发布的自定义检查项)。选择检查项后,列表上方会显示通过扫描策略扫描一次预计消耗的扫描授权数。由于实际检查过程中可能有新增或释放的实例,该预估值仅供参考。
完成检查策略配置后,云安全中心执行按策略扫描时,将按照您设定的云产品扫描策略,扫描云产品配置。
配置加白策略
如果您需要将指定云产品实例的某些检查项加入白名单不进行检查,您可以在执行检查策略前,配置需要加入白名单的云产品实例和检查项。配置完成后,加白策略在全量扫描和按策略扫描中立即生效。
在页面右上角,单击策略管理。
在页签,单击新增加白策略。
在右侧面板,选择云厂商、云产品、加白的检查项和策略应用范围,然后单击确定。
策略应用范围选择全部实例时,从检查项维度进行加白,后续新增的云产品实例也默认加白,不扫描加白的检查项,也不在风险列表展示。
策略应用范围选择部分实例时,从实例维度添加白名单检查项,后续新增的实例不会加白该检查项,仍然会执行扫描检查。
已添加的白名单规则,会展示在云产品检查项加白列表中。
对于已处理加白的检查项也会自动同步到云产品检查项加白列表。具体内容,请参见处理未通过检查项的云产品配置。
您可以在云产品检查项加白列表编辑(修改策略应用范围)或删除(取消加白)加白的检查项。
执行云产品配置风险检查
云安全中心功能支持周期性自动检查和即时手动检查。以下是两种检测方式的说明:
周期性自动检查:云安全中心根据您设置的云产品扫描策略的检查周期、检查时间和检查项,定时自动执行云产品配置风险检查。
即时手动检查:如果您想立即了解全量或扫描策略中指定检查项的云产品配置是否存在安全风险,您可以选择全量扫描或按策略扫描,立即执行云产品配置风险检查,实时查看云产品是否存在对应配置风险。
完成上文所述检查项和检查策略的配置后,如果您需要立即执行云产品配置风险检查,可以在页面,参考以下步骤进行操作。
在风险概览页签的扫描检查项数量区域,单击立即扫描,然后选择全量扫描或按策略扫描。
说明云安全态势管理的全量扫描会持续一段时间,请耐心等待。
在云产品配置风险页签的操作区域,单击立即扫描,然后选择全量扫描或按策略扫描。
后续操作
完成云产品配置风险检查后,您可在云产品配置风险页签,查看未通过的检查项及检查详情,及时修复风险检查项。具体操作,请参见查看并处理未通过检查项。