开启防护时,您需为指定的主机/容器节点分配一个配额,关闭防护或删除主机/容器节点后,该配额可分配给其他的主机/容器节点使用。
前提条件
- 企业主机安全提供包年/包月和按需计费两种计费模式。如果您选择包年/包月的防护方案,请确保已购买充足的防护配额,购买配额操作请参见购买企业主机安全。按需计费模式采用先使用后付款的方式,无需提前购买配额。
- 请确保已为主机或容器节点安装Agent,且Agent状态为“在线”。安装Agent操作请参见为华为云主机安装Agent、为第三方主机安装Agent。
开启防护
根据您需要开启防护的版本,参考以下操作开启防护。
开启基础版/专业版/企业版/旗舰版防护
- 登录企业主机安全控制台。
- 在控制台左上角,单击
图标,选择区域或项目。
- 在左侧导航栏中,选择,进入“云服务器”界面。
云服务器列表仅显示以下主机的防护状态:
- 在所选区域购买的华为云主机
- 已接入所选区域的非华为云主机
- 找到主机Agent状态为“在线”的目标主机。
- 在目标主机所在行的“操作”列,单击“开启防护”,弹出开启防护对话框。
- 确认服务器信息并选择开启方式。
您可以根据自己的实际场景选择
“包年/包月”或者
“按需计费”,开启主机防护。
- 包年/包月
- 计费模式:选择“包年/包月”。
- 版本选择:选择所需的防护版本。
- 选择配额:选择配额分配方式。
- 随机分配:下拉框选择“随机选择配额”,系统优先为主机分发服务剩余时间较长的配额。
- 指定分配:下拉框选择具体配额ID,您可以为主机分配指定的配额。
- 按需计费
- 计费模式:选择“按需计费”。
- 版本选择:选择所需的防护版本。
- 标签:如果您需要使用同一标签识别多种云资源,可配置标签。
如果Linux主机安装的Agent版本为3.2.10及以上版本或Windows主机安装的Agent版本为4.0.22及以上版本,开启旗舰版防护时,系统会自动为主机开启勒索病毒防护,在主机上部署诱饵文件,并对可疑加密进程执行自动隔离(极小概率存在误隔离);此外,建议您同时开启勒索备份,提升勒索防护的事后恢复能力,最小化降低业务受损程度。详细操作请参见开启勒索备份。
- 阅读并勾选《主机安全免责声明》。
- 单击“确定”,开启防护。目标主机的“防护状态”为“防护中”,则表示基础版/专业版/企业版/旗舰版防护已开启。
- 您也可以通过在页面的“操作”列中,单击“绑定主机”,为主机绑定防护配额,HSS自动为主机开启防护。
- 一个配额只能绑定一个主机,且只能绑定Agent在线的主机。
- 开启主机防护后,HSS将根据您开启的服务版本,自动对您的主机执行服务版本对应的安全检测。
各版本之间的差异请参见产品功能。
- (可选)配置告警通知、防护策略、主机登录保护以及开启恶意程序隔离查杀。
- 配置告警通知
企业主机安全防护开启成功后,默认将检测到的风险告警信息呈现在控制台,如需及时了解主机、容器或网页存在的安全风险,您可以开启告警通知,开启后,一旦企业主机安全检测到风险,将通过短信或邮件等方式通知您。具体操作请参见告警配置。
- 配置防护策略
每个企业主机安全版本都对应一组防护策略,这些策略默认预置了防护规则。您可以根据自身业务需求,开启或关闭防护策略、调整防护规则。具体操作请参见策略管理。
- 配置登录保护
您可以通过双因子认证、配置常用登录地、配置常用登录IP以及配置SSH登录IP白名单,来增强主机登录安全性。
- 开启恶意程序隔离查杀
开启恶意程序隔离查杀功能后,企业主机安全将自动隔离识别到的后门、木马、蠕虫等恶意程序,帮助您自动处理系统存在的安全风险。具体操作请参见开启恶意程序隔离查杀。
开启网页防篡改版防护
网页防篡改支持单台或批量开启防护,在批量开启防护时,防护目录等配置无法对应到服务器进行设置,因此如果这些服务器的防护目录等内容一致,则您可以顺利开启防护;如果这些服务器的防护目录等内容存在差异,可在开启防护操作完成后,单独对防护目录等防护配置进行修改,操作详情请参考修改网页防篡改配置。
- 登录企业主机安全控制台。
- 在控制台左上角,单击
图标,选择区域或项目。
- 在左侧导航树中,选择,进入“网页防篡改”界面。
图1 网页防篡改
- 在“防护配置”页签,单击“添加防护服务器”,系统弹出“添加防护服务器”页面。
- 在“添加防护服务器”页面,选择防护服务器,并单击“下一步”。相关参数说明请参见表1。
图2 选择防护服务器
表1 选择防护服务器参数说明
参数名称 |
参数说明 |
取值样例 |
操作系统 |
选择要开启网页防篡改防护的服务器操作系统类型。
|
Linux |
选择服务器 |
勾选目标服务器。
可通过软件类型和其他属性筛选出目标服务器。 |
- |
选择配额 |
企业主机安全网页防篡改版支持“包年/包月”和“按需计费”两种计费模式,以满足不同场景下的用户需求。
- 包年/包月:一种预付费模式,即先付费再使用,按照订单的购买周期进行结算。购买周期越长,享受的折扣越大。
- 按需计费:一种后付费模式,即先使用再付费,按照企业主机安全实际使用时长计费,秒级计费,按小时结算。按需计费模式允许您根据实际业务需求灵活地调整资源使用,无需提前预置资源,从而降低预置过多或不足的风险。
选择包年/包月计费模式时,可以选择需要使用的目标配额,也可以保持默认“随机选择配额”。 |
包年/包月 |
协议许可 |
在开启网页防篡改防护前,请确保您已充分阅读《主机安全免责声明》。
在阅读完成后,请勾选我已阅读并同意《主机安全免责声明》。 |
勾选 |
- 在“添加防护服务器”页面,配置策略。相关参数说明请参见表2。
图3 配置策略
表2 配置策略参数说明
参数名称 |
参数说明 |
取值样例 |
防护目录 |
网页防篡改支持静态、动态网页防护,其中静态网页防护是对指定的目录进行防护,通过驱动级锁定Web文件目录下的文件,禁止攻击者修改。因此,在开启网页防篡改时,需要设置防护的指定目录。
将目录添加为防护目录后,目录内的文件和文件夹将被设置为只读模式,禁止任何修改操作。
防护目录添加规则如下:
- Linux系统:
- 目录名不能包含英文分号字符,不能以空格开头,不能以/结尾,防护目录长度不得超过256个字符。
- 每台服务器最多可添加50个防护目录。
- 每个防护目录下的文件夹层级不超过100。
- 所有防护目录下的文件夹个数不超过900000。
- Windows系统:
- 目录名不能包含;/*?"<>|,不能以空格开头,不能以\结尾,防护目录长度不得超过256个字符。
- 每台服务器最多可添加50个防护目录。
请勿将网络目录添加为防护目录,主要原因如下:
|
- Linux:/etc/lesuo
- Windows:d:\web
|
排除子目录(可选) |
如果防护目录内存在无需防护的子目录,可排除该子目录。
子目录添加规则如下:
- 可以直接输入子目录名称,或输入相对于防护目录的目录路径。当输入子目录名称时,所有与之匹配的子目录都会被排除,无论位于防护目录下的哪一层。
- 子目录的名称或路径不能以/开头或结尾,最大长度不能超过256个字符。
- 最多可添加10个子目录,多个子目录用英文分号(;)隔开。
|
- Linux:data/cache或cache
- Windows:web\test或test
|
排除文件路径列表(可选) |
仅Linux服务器可设置此项。
如果防护目录内存在无需防护的文件,可排除该文件。
排除文件路径添加规则如下:
- 可以直接输入文件名称,或输入相对于防护目录的文件路径。当输入文件名称时,所有与之匹配的文件都会被排除,无论位于防护目录下的哪一层。
- 文件名称或路径不能以/开头或结尾,最大长度不能超过256个字符;
- 最多可添加50个文件,多个文件用英文分号(;)隔开。
|
data/ma.txt或ma.txt |
本地备份路径 |
仅Linux服务器可设置此项。
设置防护目录的本地备份路径,开启网页防篡改防护后,防护目录内的文件会自动备份到本地备份路径下,一旦检测到防护目录内的文件被篡改,系统会立即使用本地备份自动恢复被非法篡改的文件。
本地备份路径添加规则如下:
- 本地备份路径不能包含英文分号字符,不能以空格开头,不能以/结尾,本地备份路径长度不得超过256个字符。
- 由于系统关键目录更容易成为恶意攻击的目标,因此不允许将系统关键目录作为备份路径,包括但不限于“/etc/”、“/bin/”、 “/usr/bin/”、“/var/spool/”、“/usr/sbin/”、“/sbin/”、“/usr/lib/”、“/lib/”、“/lib64/”、“/usr/lib64/”及其子目录。
本地备份规则说明:
- 本地备份路径须为合法路径,且本地备份路径不能与防护目录路径重叠。
- 被排除的子目录和文件类型不会进行备份。
- 防护目录内的文件大小不同,则备份时间不同,一般约10分钟完成备份。
|
/backup |
排除文件类型 |
如果防护目录内存在无需防护的文件类型,可排除该文件类型(无文件类型限制),例如log类型的文件。
为了实时记录主机中的运行情况,必须排除防护目录内的log类型文件,您可以为日志文件添加等级较高的读写权限,防止攻击者恶意查看或篡改日志文件。 |
log |
防护模式 |
监控到文件被篡改时的防护方式。
- 告警模式:仅发送告警通知。
- 拦截模式:发送告警通知,同时将文件还原至被篡改前的状态。
|
拦截 |
定时开关设置(可选) |
定时开关用于定时关闭静态网页防篡改,适用于用户定时修改/更新/发布网页内容的场景。
单击 开启定时开关,同时需要设置以下参数:
|
,10:05-15:35,周三
|
动态网页防篡改(可选) |
动态网页防篡改主要用于保护Linux系统上的Tomcat应用,它能够在应用运行期间实时检测并阻止针对数据库等动态数据的篡改行为。
动态网页防篡改当前支持JDK 8、JDK 11和JDK 17的Tomcat应用。
单击 开启动态网页防篡改,开启动态网页防篡改时,需要填写完整的Tomcat bin目录路径,例如“/usr/workspace/apache-tomcat-8.5.15/bin”,系统会将setenv.sh脚本预置在bin目录中,用于设置防篡改程序的启动参数。 |
,/usr/workspace/apache-tomcat-8.5.15/bin
|
特权进程设置(可选) |
特权进程是指被授权可以修改防护目录的进程。
开启网页防篡改后,防护目录内的所有文件将被设置为只读模式,禁止任何修改操作;即使尝试更改内容,系统也会自动将相应的文件或网站恢复到修改前的状态,修改不会生效。
如果您需要修改防护目录内的文件或更新网站,可添加特权进程进行修改。特权进程被授权访问防护目录,需确保特权进程安全可靠。
此功能兼容Linux和Windows操作系统,但Linux仅支持内核版本不低于5.10的系统。
单击 开启特权进程,同时需要设置以下参数:
|
- Linux:/Path/Software.type
- Windows:C:\Path\Software.type
|
- 配置策略完成后,单击“确定”,开启网页防篡改版防护。
- 在防护设置页签中,查看目标服务器的静态防篡改状态、动态防篡改状态。
静态防篡改状态、动态防篡改状态为“防护中”,表示静态、动态网页防篡改开启成功。动态网页防篡改开启后,需要重启Tomcat才能生效。
- (可选)配置告警通知、防护策略、主机登录保护以及开启恶意程序隔离查杀。
- 配置告警通知
企业主机安全防护开启成功后,默认将检测到的风险告警信息呈现在控制台,如需及时了解主机、容器或网页存在的安全风险,您可以开启告警通知,开启后,一旦企业主机安全检测到风险,将通过短信或邮件等方式通知您。具体操作请参见告警配置。
- 配置防护策略
每个企业主机安全版本都对应一组防护策略,这些策略默认预置了防护规则。您可以根据自身业务需求,开启或关闭防护策略、调整防护规则。具体操作请参见策略管理。
- 配置登录保护
您可以通过双因子认证、配置常用登录地、配置常用登录IP以及配置SSH登录IP白名单,来增强主机登录安全性。
- 开启恶意程序隔离查杀
开启恶意程序隔离查杀功能后,企业主机安全将自动隔离识别到的后门、木马、蠕虫等恶意程序,帮助您自动处理系统存在的安全风险。具体操作请参见开启恶意程序隔离查杀。
开启容器版防护
- 登录企业主机安全控制台。
- 在控制台左上角,单击
图标,选择区域或项目。
- 在左侧导航树中,选择,进入“容器节点管理”页面。
- 在目标服务器所在行的“操作”列,单击“开启防护”,弹出“您确认要对以下容器节点开启防护吗?”对话框。
- 确认节点信息并选择开启方式。
您可以根据自己的实际场景选择“包年/包月”或者“按需计费”,开启节点防护。
- 包年/包月
- 计费模式:选择“包年/包月”
- 选择配额:选择配额分配方式。
- 随机分配:下拉框选择“随机选择配额”,系统优先为主机分发服务剩余时间较长的配额。
- 指定分配:下拉框选择具体配额ID,您可以为主机分配指定的配额。
- 按需计费
- 计费模式:选择“按需计费”。
- 标签:如果您需要使用同一标签标识多种云资源,可以配置标签。
- 一个容器安全配额防护一个集群节点。
- 如果Linux主机安装的Agent版本为3.2.10及以上版本或Windows主机安装的Agent版本为4.0.22及以上版本,开启容器版防护时,系统会自动为主机开启勒索病毒防护,在主机上部署诱饵文件,并对可疑加密进程执行自动隔离(极小概率存在误隔离);此外,建议您同时开启勒索备份,提升勒索防护的事后恢复能力,最小化降低业务受损程度。详细操作请参见开启勒索备份。
- 阅读并勾选《容器安全服务免责声明》。
- 单击“确定”,开启节点防护,目标节点的“容器防护状态”变更为“防护中”,说明该节点已开启防护。
- (可选)配置告警通知、防护策略、主机登录保护以及开启恶意程序隔离查杀。
- 配置告警通知
企业主机安全防护开启成功后,默认将检测到的风险告警信息呈现在控制台,如需及时了解主机、容器或网页存在的安全风险,您可以开启告警通知,开启后,一旦企业主机安全检测到风险,将通过短信或邮件等方式通知您。具体操作请参见告警配置。
- 配置防护策略
每个企业主机安全版本都对应一组防护策略,这些策略默认预置了防护规则。您可以根据自身业务需求,开启或关闭防护策略、调整防护规则。具体操作请参见策略管理。
- 配置登录保护
您可以通过双因子认证、配置常用登录地、配置常用登录IP以及配置SSH登录IP白名单,来增强主机登录安全性。
- 开启恶意程序隔离查杀
开启恶意程序隔离查杀功能后,企业主机安全将自动隔离识别到的后门、木马、蠕虫等恶意程序,帮助您自动处理系统存在的安全风险。具体操作请参见开启恶意程序隔离查杀。
查看检测详情
开启防护后,企业主机安全将立即对主机执行全面的检测,检测时间可能较长,请您耐心等待。待检测完成后,您可以参考如下方式查看检测详情:
- 在页面中,找到目标服务器。
- 在目标服务器所在行的“风险状态”列,查看服务器风险检测状态。
表3 风险状态说明
状态 |
说明 |
未检测 |
服务器未开启防护,未检测风险。 |
无风险 |
已对服务器进行了全面的安全检查,未发现风险,或者开启防护不久,还未检测到风险。 |
有风险 |
服务器存在安全风险。 |
- 鼠标悬停在风险状态上方,可查看风险分布。
单击风险数值,可进入详情页面,查看具体内容。
高级防御功能
企业主机安全提供了系列高级防御功能,您可以结合业务实际情况选择开启或使用,以增强主机和容器的安全防护水平。具体请参见表4。
表4 高级防御功能
功能 |
说明 |
版本限制 |
容器镜像安全 |
容器镜像安全旨在保障镜像在开发、部署及运行的整个生命周期中的安全性,通过扫描系统漏洞、应用漏洞、恶意文件、软件信息、文件信息、基线配置、弱口令、敏感信息、软件合规和基础镜像信息,帮助用户识别并修复潜在的风险问题,确保所有部署到生产环境的镜像都已通过严格的安全检查,从而保障系统和应用安全稳定的运行。 |
容器版 |
集群环境安全 |
集群环境安全功能支持对Kubernetes集群管理面和数据面资源进行全面扫描,识别基础设施即代码风险、漏洞、配置风险、配置合规性、敏感信息以及权限管理问题,并提供相应的修复方案,助力用户构建全方位的集群安全防护体系。 |
容器版 |
应用防护 |
应用防护功能旨在为运行时的应用提供安全防御。您无需修改应用程序文件,只需将探针注入到应用程序,即可为应用提供强大的安全防护能力。 |
旗舰版、网页防篡改版、容器版 |
勒索病毒防护 |
勒索病毒防护功能能够实现对勒索病毒的检测和防御;同时,还提供数据备份功能,支持定时自动备份和勒索即刻备份,帮助您抵御勒索病毒,降低业务受损风险。
开启容器版防护会自动为您开启勒索病毒防护,在您的主机上部署诱饵文件,并对可疑加密程序执行自动隔离。您可以修改勒索病毒防护策略,同时建议您开启勒索备份以提升勒索事后恢复能力。 |
旗舰版、网页防篡改版、容器版 |
应用进程控制 |
应用进程控制是一种用于保障服务器上运行的应用程序和进程安全的功能。它能够自动识别并分析应用进程,将其划分为可信、可疑及恶意三类,同时允许可信进程运行,针对可疑、恶意进程运行进行告警,可以帮助用户构建安全的应用进程运行环境,避免服务器遭受不受信或恶意应用进程的破坏。 |
旗舰版、网页防篡改版、容器版 |
病毒查杀 |
病毒查杀功能采用云端与本地相结合的病毒防护机制,能够全面扫描主机中的病毒文件,扫描文件类型覆盖可执行文件、压缩文件、脚本文件、文档、图片、音视频文件;用户可以根据实际需求,自主对服务器执行“快速查杀”、“全盘查杀”、“自定义查杀”任务,及时发现并清理病毒文件,增强业务系统的病毒防御能力。 |
专业版、旗舰版、网页防篡改版、容器版 |
动态端口蜜罐 |
动态端口蜜罐功能是一种主动防御措施,通过利用真实端口作为诱饵端口诱导攻击者访问;在内网横向渗透场景下,可有效地检测到攻击者的扫描行为,识别失陷主机,延缓攻击者攻击真正目标,从而保护用户的真实资源。 |
旗舰版、网页防篡改版、容器版 |
容器防火墙 |
容器防火墙能够实现Pod、工作负载以及节点粒度的网络隔离,可有效抵御横向渗透攻击,确保业务权限最小化,从而保障用户业务的安全性和稳定性。 |
容器版 |
容器集群防护 |
容器集群防护功能支持在容器镜像启动时检测其中存在的不合规基线、漏洞和恶意文件,并可根据检测结果告警和阻断未授权或含高危安全风险的容器镜像运行。 |
容器版 |