Manipulação de vulnerabilidades
- Vulnerabilidades do Linux ou Windows
Você pode selecionar servidores e clicar em Handle para corrigir as vulnerabilidades ou corrigi-las manualmente com base nas sugestões fornecidas.
Em seguida, você pode usar a função de verificação para verificar rapidamente se a vulnerabilidade foi corrigida.
Para corrigir vulnerabilidades do Windows, você precisa se conectar à Internet.
- Vulnerabilidades de Web-CMS
Corrigi-las manualmente com base nas sugestões fornecidas na página.
- Vulnerabilidades de aplicações
Corrigi-las manualmente com base nas sugestões fornecidas na página.
Restrições
- Os servidores que não são protegidos ou protegidos pela edição básica não suportam esta função.
- O Server Status está Running, Agent Status está Online e Protection Status está Protected.
Precauções
- As operações de correção de vulnerabilidades não podem ser revertidas. Se uma vulnerabilidade não for corrigida, os serviços provavelmente serão interrompidos e problemas de incompatibilidade provavelmente ocorrerão em middleware ou aplicações de camada superior. Para evitar consequências inesperadas, é recomendável usar o CSBS para fazer backup de ECSs. Para obter detalhes, consulte Criação de um backup do CSBS. Em seguida, use servidores ociosos para simular o ambiente de produção e testar a correção da vulnerabilidade. Se a correção de teste for bem-sucedida, corrija a vulnerabilidade em servidores em execução no ambiente de produção.
- Os servidores precisam acessar a Internet e usar fontes externas de imagem para corrigir vulnerabilidades. Se seus servidores não puderem acessar a Internet ou as fontes externas de imagem não puderem fornecer serviços estáveis, você poderá usar a fonte de imagem fornecida pela HUAWEI CLOUD para corrigir vulnerabilidades.
Antes de corrigir vulnerabilidades on-line, configure as fontes de imagem da Huawei Cloud que correspondem aos seus SOs de servidor. Para obter detalhes, consulte Gerenciamento da fonte de imagens.
Prioridade de correção de vulnerabilidades
O sistema de verificação de vulnerabilidades do HSS classifica as prioridades de correção de vulnerabilidades em quatro níveis: crítico, alto, médio e baixo. Você pode consultar as prioridades para corrigir as vulnerabilidades que têm impacto significativo no seu servidor primeiro.
- Critical: essa vulnerabilidade deve ser corrigida imediatamente. Os atacantes podem explorar esta vulnerabilidade para causar grandes danos ao servidor.
- High: essa vulnerabilidade deve ser corrigida o mais rápido possível. Os atacantes podem explorar esta vulnerabilidade para danificar o servidor.
- Medium: é aconselhável corrigir a vulnerabilidade para melhorar a segurança do seu servidor.
- Low: esta vulnerabilidade tem uma pequena ameaça à segurança do servidor. Você pode optar por corrigi-la ou ignorá-la.
Exibição de vulnerabilidades
As vulnerabilidades detectadas serão exibidas na lista de vulnerabilidades por sete dias, independentemente de você ter lidado com elas.
Correção automática de vulnerabilidades (visualização de vulnerabilidades)
Você só pode corrigir vulnerabilidades do Linux e do Windows com um clique no console.
Um máximo de 1.000 vulnerabilidades de servidor podem ser corrigidas por vez. Se houver mais de 1.000 vulnerabilidades, corrija-as em lotes.
- Faça logon no console de gerenciamento.
- No canto superior esquerdo da página, selecione uma região, clique em e escolha
.Figura 1 Acessar o HSS
- No painel de navegação, escolha Prediction > Vulnerabilities.
- Na página Vulnerabilities exibida, localize as vulnerabilidades que você deseja corrigir e corrija os servidores com as vulnerabilidades.
- Correção de todos os servidores afetados por uma vulnerabilidade
Localize a linha que contém uma vulnerabilidade de destino e clique em Fix na coluna Operation. Como alternativa, você pode selecionar todas as vulnerabilidades de destino e clicar em Fix no canto superior esquerdo da lista de vulnerabilidades para corrigir vulnerabilidades em lotes.
- Corrigir um ou mais servidores afetados por uma vulnerabilidade
- Clique em um nome de vulnerabilidade.
- No painel deslizante de detalhes da vulnerabilidade exibido, clique na guia Affected, localize a linha que contém o servidor de destino e clique em Fix na coluna Operation.
Você também pode selecionar todos os servidores de destino e clicar em Fix acima da lista de servidores para corrigir vulnerabilidades para os servidores em lotes.
- Correção de todos os servidores afetados por uma vulnerabilidade
- Na caixa de diálogo Fix exibida, selecione I am aware that if I have not backed up my ECSs before fixing vulnerabilities, services may be interrupted and fail to be rolled back during maintenance. e clique em Auto Fix.
Para corrigir todas as vulnerabilidades do Linux ou do Windows, selecione Select all Linux vulnerabilities ou Select all Windows vulnerabilities na caixa de diálogo Fix.
- Clique em um nome de vulnerabilidade.
- Clique na guia Handling History para exibir o status de correção da vulnerabilidade de destino na coluna Status. Tabela 1 descreve os status de correção de vulnerabilidade.
Tabela 1 Status de correção de vulnerabilidade Status
Descrição
Unhandled
A vulnerabilidade não é corrigida.
Ignored
A vulnerabilidade não afeta seus serviços. Você ignorou a vulnerabilidade.
Verifying
O HSS está verificando se uma vulnerabilidade corrigida foi corrigida com sucesso.
Fixing
O HSS está corrigindo a vulnerabilidade.
Fixed
A vulnerabilidade foi corrigida com sucesso.
Restart required
A vulnerabilidade foi corrigida com sucesso. Você precisa reiniciar o servidor o mais rápido possível.
Failed
A vulnerabilidade não pode ser corrigida. A possível causa é que a vulnerabilidade não existe ou foi alterada.
Restart the server and try again
Esse status é exibido apenas para vulnerabilidades que existem em servidores do Windows.
A vulnerabilidade não foi corrigida no servidor do Windows por um longo tempo. Como resultado, o patch mais recente não pode ser instalado. Você precisa instalar um patch anterior, reiniciar o servidor e, em seguida, instalar o patch mais recente.
Correção automática de vulnerabilidades (visualização do servidor)
Você só pode corrigir vulnerabilidades do Linux e do Windows com um clique no console.
- Faça logon no console de gerenciamento.
- No canto superior esquerdo da página, selecione uma região, clique em e escolha
.Figura 2 Acessar o HSS
- No painel de navegação, escolha Prediction > Vulnerabilities.
- Corrija a vulnerabilidade de um servidor de destino.
- Corrigir todas as vulnerabilidades em um servidor
- Localize a linha que contém um servidor de destino e clique em Fix na coluna Operation.
- Na caixa de diálogo Fix exibida, selecione o tipo de vulnerabilidade a ser corrigida, selecione I am aware that if I have not backed up my ECSs before fixing vulnerabilities, services may be interrupted and fail to be rolled back during maintenance. e clique em OK.
Somente as vulnerabilidades do Linux e do Windows podem ser corrigidas automaticamente com um clique. As vulnerabilidades de Web-CMS e aplicação precisam ser corrigidas manualmente fazendo logon no servidor.
- Clique no nome do servidor. No painel deslizante de detalhes do servidor exibido, visualize o status da correção de vulnerabilidade. Tabela 2 descreve os status de correção de vulnerabilidade.
- Corrigir uma ou mais vulnerabilidades em um servidor
- Clique no nome de um servidor de destino. O painel deslizante de detalhes do servidor é exibido.
- Localize a linha que contém uma vulnerabilidade de destino e clique em Fix na coluna Operation.
Como alternativa, você pode selecionar todas as vulnerabilidades de destino e clicar em Fix acima da lista de vulnerabilidades para corrigir vulnerabilidades em lotes.
- Na caixa de diálogo Fix exibida, selecione I am aware that if I have not backed up my ECSs before fixing vulnerabilities, services may be interrupted and fail to be rolled back during maintenance. e clique em Auto Fix.
- Na coluna Status da vulnerabilidade de destino, exiba o status de correção da vulnerabilidade. Tabela 2 descreve os status de correção de vulnerabilidade.
Tabela 2 Status de correção de vulnerabilidade Status
Descrição
Unhandled
A vulnerabilidade não é corrigida.
Ignored
A vulnerabilidade não afeta seus serviços. Você ignorou a vulnerabilidade.
Verifying
O HSS está verificando se uma vulnerabilidade corrigida foi corrigida com sucesso.
Fixing
O HSS está corrigindo a vulnerabilidade.
Fixed
A vulnerabilidade foi corrigida com sucesso.
Restart required
A vulnerabilidade foi corrigida com sucesso. Você precisa reiniciar o servidor o mais rápido possível.
Failed
A vulnerabilidade não pode ser corrigida. A possível causa é que a vulnerabilidade não existe ou foi alterada.
Restart the server and try again
Esse status é exibido apenas para vulnerabilidades que existem em servidores do Windows.
A vulnerabilidade não foi corrigida no servidor do Windows por um longo tempo. Como resultado, o patch mais recente não pode ser instalado. Você precisa instalar um patch anterior, reiniciar o servidor e, em seguida, instalar o patch mais recente.
- Corrigir todas as vulnerabilidades em um servidor
Corrigir manualmente as vulnerabilidades
O HSS não corrige automaticamente as vulnerabilidades de Web-CMS ou aplicação com um clique. Você pode fazer logon no servidor para corrigi-las manualmente consultando as sugestões de correção no painel deslizante de detalhes da vulnerabilidade.
Visualização de sugestões de correção de vulnerabilidade
- Faça logon no console de gerenciamento.
- No canto superior esquerdo da página, selecione uma região, clique em e escolha
.Figura 3 Acessar o HSS
- No painel de navegação, escolha Prediction > Vulnerabilities.
- Clique no nome de uma vulnerabilidade de destino para acessar o painel deslizante de detalhes da vulnerabilidade e visualizar as sugestões de correção.
Corrigir vulnerabilidades referindo-se a sugestões de correção de vulnerabilidades
A correção de vulnerabilidade pode afetar a estabilidade do serviço. Você é aconselhado a usar um dos seguintes métodos para evitar esse impacto:
- Método 1: criar uma nova VM para corrigir a vulnerabilidade.
- Crie uma imagem para que o ECS seja corrigido. Para obter detalhes, consulte Criação de uma imagem de ECS completa usando um ECS.
- Use a imagem para criar um ECS. Para obter detalhes, consulte Criação de ECSs usando uma imagem.
- Corrija a vulnerabilidade no novo ECS e verifique o resultado.
- Mude os serviços para o novo ECS e verifique se eles estão funcionando de forma estável.
- Libere o ECS original. Se ocorrer uma falha após a alternância de serviço e não puder ser corrigida, você poderá alternar os serviços de volta para o ECS original.
- Método 2: corrigir a vulnerabilidade no servidor de destino.
- Crie um backup para o ECS cujas vulnerabilidades precisam ser corrigidas. Para obter detalhes, consulte Criação de um backup do CSBS.
- Corrija vulnerabilidades no servidor atual.
- Se os serviços ficarem indisponíveis depois que a vulnerabilidade for corrigida e não puder ser recuperada em tempo hábil, use o backup para restaurar o servidor. Para obter detalhes, consulte Uso de backups para restaurar servidores.
- Use o método 1 se você estiver corrigindo uma vulnerabilidade pela primeira vez e não puder estimar o impacto nos serviços. É aconselhável escolher o modo de cobrança de pagamento por uso para o ECS recém-criado. Após a mudança de serviço, você pode alterar o modo de cobrança para anual/mensal. Dessa forma, você pode liberar o ECS a qualquer momento para economizar custos se a vulnerabilidade não for corrigida.
- Use o método 2 se você já tiver corrigido a vulnerabilidade em servidores semelhantes anteriormente.
Ignorar vulnerabilidades
Algumas vulnerabilidades são arriscadas apenas em condições específicas. Por exemplo, se uma vulnerabilidade puder ser explorada apenas por meio de uma porta aberta, mas o servidor de destino não abrir nenhuma porta, a vulnerabilidade não prejudicará o servidor. Tais vulnerabilidades podem ser ignoradas.
Alarmes não serão gerados pelo HSS para vulnerabilidades ignoradas.
- Faça logon no console de gerenciamento.
- No canto superior esquerdo da página, selecione uma região, clique em e escolha
.Figura 4 Acessar o HSS
- No painel de navegação, escolha Prediction > Vulnerabilities.
- Localize a linha que contém uma vulnerabilidade de destino e clique em Ignore na coluna Operation.
- Na caixa de diálogo exibida, clique em OK.
Colocar vulnerabilidades na lista branca
Se você avaliar que algumas vulnerabilidades não afetam seus serviços e não deseja visualizar as vulnerabilidades na lista de vulnerabilidades, poderá colocar as vulnerabilidades na lista branca. Depois que forem colocadas na lista branca, as vulnerabilidades serão ignoradas na lista de vulnerabilidades e nenhum alarme será relatado. As vulnerabilidades não serão verificadas e as informações de vulnerabilidade não serão exibidas quando a próxima tarefa de verificação de vulnerabilidade for executada.
- Faça logon no console de gerenciamento.
- No canto superior esquerdo da página, selecione uma região, clique em e escolha
.Figura 5 Acessar o HSS
- No painel de navegação, escolha Prediction > Vulnerabilities.
- Colocar na lista branca todos os servidores afetados por uma vulnerabilidade
O HSS ignorará a vulnerabilidade ao fazer a verificação de vulnerabilidades em todos os servidores.
- Na coluna Operation da linha que contém a vulnerabilidade de destino, clique em More e selecione Add to Whitelist.
Você também pode selecionar várias vulnerabilidades e clicar em Add to Whitelist acima da lista de vulnerabilidades.
Figura 6 Colocar na lista branca todos os servidores afetados por uma vulnerabilidade
- Na caixa de diálogo exibida, clique em OK.
- Na coluna Operation da linha que contém a vulnerabilidade de destino, clique em More e selecione Add to Whitelist.
- Colocar na lista branca um ou mais servidores afetados por uma vulnerabilidade
O HSS ignorará a vulnerabilidade ao fazer a verificação de vulnerabilidades nesses servidores.
- Clique em um nome de vulnerabilidade de destino.
- No painel deslizante exibido, clique na guia Affected.
- Na coluna Operation da linha que contém o servidor de destino, clique em More e selecione Add to Whitelist.
Você também pode selecionar vários servidores e clicar em Add to Whitelist acima da lista de servidores.
Figura 7 Colocar na lista branca um único servidor afetado por uma vulnerabilidade
- Na caixa de diálogo exibida, clique em OK.
- Colocar vulnerabilidades na lista branca usando regras de lista branca
- No canto superior direito da página Vulnerabilities, clique em Configure Policy. O painel deslizante Configure Policy é exibido.
- Na área Vulnerability Whitelist, clique em Add Rule.
- Configure uma regra de lista branca de acordo com Tabela 3.
Figura 8 Configuração de uma regra de lista branca
Tabela 3 Parâmetros de regra de lista branca de vulnerabilidade Parâmetro
Descrição
Type
Selecione o tipo de vulnerabilidades a serem colocadas na lista branca. Os valores possíveis são os seguintes:
- Linux Vulnerabilities
- Windows Vulnerabilities
- Web-CMS Vulnerabilities
- Application Vulnerabilities
Vulnerability
Selecione uma ou mais vulnerabilidades a serem incluídas na lista branca.
Rule Scope
Selecione os servidores afetados pelas vulnerabilidades. Os valores possíveis são os seguintes:
- All servers
O HSS ignorará a vulnerabilidade ao fazer a verificação de vulnerabilidades em todos os servidores.
- Selected servers
Selecione um ou mais servidores de destino. O HSS ignorará as vulnerabilidades ao fazer a verificação de vulnerabilidades nesses servidores.
Você pode procurar um servidor de destino por nome de servidor, ID, EIP ou endereço IP privado.
Remarks (Optional)
Digite as observações.
- Clique em OK.
- Colocar na lista branca todos os servidores afetados por uma vulnerabilidade
Verificar a correção de vulnerabilidade
Depois que uma vulnerabilidade é corrigida, é aconselhável verificá-la imediatamente.
Verificação manual
- Clique em Verify na página de detalhes da vulnerabilidade.
- Certifique-se de que o software foi atualizado para a versão mais recente. A tabela a seguir fornece os comandos para verificar o resultado da atualização do software.
Tabela 4 Comandos de verificação SO
Comando de verificação
CentOS/Fedora/EulerOS/Red Hat/Oracle
rpm -qa | grep Software_name
Debian/Ubuntu
dpkg -l | grep Software_name
Gentoo
emerge --search Software_name
- Verifique manualmente se há vulnerabilidades e visualize os resultados da correção de vulnerabilidades.
Verificação automática
O HSS realiza uma verificação completa todas as manhãs. Se você não realizar uma verificação manual, poderá visualizar o resultado da verificação do sistema no dia seguinte após corrigir a vulnerabilidade.