更新时间:2024-11-27 GMT+08:00
分享

约束与限制

主机防护限制

HSS支持对华为云主机、第三方云主机和线下数据中心(IDC)进行防护,具体支持防护的主机类型包括:

  • 华为云
    • 华为云弹性云服务器(Elastic Cloud Server,ECS)
    • 华为云裸金属服务器(Bare Metal Server,BMS)
    • 华为云云耀云服务器(Hyper Elastic Cloud Server,HECS)
    • 华为云云桌面(Workspace)
  • 第三方
    • 第三方云主机
    • 线下IDC

容器防护限制

HSS支持对华为云集群容器、第三方云集群容器以及线下IDC自建集群容器进行防护。具体支持防护的容器类型如表 容器防护限制所示。

表1 容器防护限制

类别

支持防护的容器类型

约束与限制

华为云

  • CCE集群容器
  • 非集群纳管的容器
  • 容器运行时限制:Docker、Containerd。
  • 集群类型限制:CCE标准版、CCE Turbo版。
  • 节点资源剩余要求:内存必须50MiB及以上,CPU必须200毫核(m)及以上。
  • 资源占用限制:在集群上安装Agent时,HSS会在集群上创建HSS的命名空间。

第三方

  • 阿里云集群容器
  • 腾讯云集群容器
  • 微软云集群容器
  • 自建集群容器
  • IDC自建集群容器
  • 非集群纳管的容器
  • 集群编排平台限制:1.19及以上Kubernetes。
  • 节点操作系统限制:Linux系统。
  • 节点规格要求:CPU必须2核及以上,内存必须4GiB及以上,系统盘必须40GiB及以上,数据盘必须100GiB及以上。
  • 不支持防护Galera 3.34和MySQL 5.6.51或更早版本的集群。

防护配额限制

企业主机安全中,防护配额是分配给主机或容器节点的防护资源,每台主机或容器节点开启防护都需要绑定一个防护配额。

以下是防护配额的一些使用限制:

  • 防护配额不能跨区域使用。
    购买防护配额时,请正确选择区域信息。不同类型主机,选择区域请参考表 防护配额区域限制
    表2 防护配额区域限制

    类别

    主机类型

    防护配额区域说明

    华为云

    • 华为云弹性云服务器ECS
    • 华为云裸金属服务器BMS
    • 华为云云耀云服务器HECS
    • 华为云云桌面Workspace

    请选择ECS/BMS/HECS/Workspace所在区域购买主机防护配额。

    HSS不支持跨区域使用,如果主机与防护配额不在同一区域,请退订配额后,重新购买主机所在区域的配额。

    第三方

    • 第三方云主机
    • 线下IDC

    第三方主机购买配额时选择的区域因接入HSS的方式而不同:

    • 公网接入:即主机能够访问公网,通过公网将主机接入HSS。目前仅部分区域支持主机通过公网接入HSS,具体区域请参见哪些区域支持接入非华为云主机?,请结合主机所在区域综合考虑就近选择购买配额的区域。
    • 专线代理接入:即主机不能访问公网,需要通过“专线+代理”的方式接入HSS,该方式对区域没有限制。您想将主机接入哪个区域,即选择哪个区域。
  • 一个防护配额只能绑定一个主机或一个容器节点。
  • 一个区域最多支持购买50000个防护配额。
  • 防护配额购买完成后,您的主机或容器还未被防护,请前往HSS控制台参考界面提示为主机或容器安装Agent并开启防护。

操作系统限制

企业主机安全的Agent、系统漏洞扫描功能对操作系统有一定限制,部分操作系统暂不支持。

HSS对操作系统的限制请参见:

  • CentOS 6.x版本由于Linux官网已停止更新维护,企业主机安全也不再支持CentOS 6.x及以下的系统版本,谢谢您的理解!
  • 本文表格中使用的标识含义如下:
    • √表示支持
    • ×表示不支持
表3 HSS对Windows操作系统的限制(x86架构)

操作系统版本

Agent支持情况

系统漏洞扫描支持情况

Windows 10(64位)

说明:

仅支持华为云云桌面使用该操作系统。

×

Windows 11(64位)

说明:

仅支持华为云云桌面使用该操作系统。

×

Windows Server 2012 R2 标准版 64位英文(40GB)

Windows Server 2012 R2 标准版 64位简体中文(40GB)

Windows Server 2012 R2 数据中心版 64位英文(40GB)

Windows Server 2012 R2 数据中心版 64位简体中文(40GB)

Windows Server 2016 标准版 64位英文(40GB)

Windows Server 2016 标准版 64位简体中文(40GB)

Windows Server 2016 数据中心版 64位英文(40GB)

Windows Server 2016 数据中心版 64位简体中文(40GB)

Windows Server 2019 数据中心版 64位英文(40GB)

Windows Server 2019 数据中心版 64位简体中文(40GB)

Windows Server 2022 数据中心版 64位英文(40GB)

×

Windows Server 2022 数据中心版 64位简体中文(40GB)

×

表4 HSS对Linux操作系统的限制(x86架构)

操作系统版本

Agent支持情况

系统漏洞扫描支持情况

CentOS 7.4(64位)

CentOS 7.5(64位)

CentOS 7.6(64位)

CentOS 7.7(64位)

CentOS 7.8(64位)

CentOS 7.9(64位)

CentOS 8.1(64位)

×

CentOS 8.2(64位)

×

CentOS 8(64位)

×

CentOS 9(64位)

×

Debian 9(64位)

Debian 10(64位)

Debian 11.0.0(64位)

Debian 11.1.0(64位)

Debian 12.0.0(64位)

×

EulerOS 2.2(64位)

EulerOS 2.3(64位)

EulerOS 2.5(64位)

EulerOS 2.7(64位)

×

EulerOS 2.9(64位)

EulerOS 2.10(64位)

×

EulerOS 2.12(64位)

×

Fedora 28(64位)

×

Fedora 31(64位)

×

Fedora 32(64位)

×

Fedora 33(64位)

×

Fedora 34(64位)

×

Ubuntu 16.04(64位)

Ubuntu 18.04(64位)

Ubuntu 20.04(64位)

Ubuntu 22.04(64位)

Ubuntu 24.04(64位)

说明:

暂不支持暴力破解检测。

×

Red Hat 7.4(64位)

×

Red Hat 7.6(64位)

×

Red Hat 8.0(64位)

×

Red Hat 8.7(64位)

×

OpenEuler 20.03 LTS(64位)

OpenEuler 20.03 LTS SP4(64位)

×

OpenEuler 22.03 LTS SP3(64位)

×

OpenEuler 22.03 LTS(64位)

×

OpenEuler 22.03 LTS SP4(64位)

×

AlmaLinux 8.4(64位)

AlmaLinux 9.0(64位)

×

RockyLinux 8.4(64位)

×

RockyLinux 8.5(64位)

×

RockyLinux 9.0(64位)

×

HCE 1.1(64位)

HCE 2.0(64位)

SUSE 12 SP5(64位)

SUSE 15(64位)

×

SUSE 15 SP1(64位)

SUSE 15 SP2(64位)

SUSE 15 SP3(64位)

×

SUSE 15.5(64位)

×

SUSE 15 SP6(64位)

说明:

暂不支持暴力破解检测。

×

Kylin V10(64位)

Kylin V10 SP3(64位)

×

统信UOS 1050u2e

说明:

暂不支持文件逃逸检测。

表5 HSS对Linux操作系统的限制(Arm架构)

操作系统版本

Agent支持情况

系统漏洞扫描支持情况

CentOS 7.4(64位)

CentOS 7.5(64位)

CentOS 7.6(64位)

CentOS 7.7(64位)

CentOS 7.8(64位)

CentOS 7.9(64位)

CentOS 8.0(64位)

×

CentOS 8.1(64位)

×

CentOS 8.2(64位)

×

CentOS 9(64位)

×

EulerOS 2.8(64位)

EulerOS 2.9(64位)

Fedora 29(64位)

×

Ubuntu 18.04(64位)

×

Ubuntu 20.04(64位)

Ubuntu 22.04(64位)

Ubuntu 24.04(64位)

说明:

暂不支持暴力破解检测。

×

Kylin V7(64位)

×

Kylin V10(64位)

Kylin V10 SP3(64位)

×

HCE 2.0(64位)

统信UOS V20(64位)

说明:

仅统信UOS V20服务器E版、D版支持系统漏洞扫描。

统信UOS V20 1050e(64位)

统信UOS V20 1060e(64位)

OpenEuler 22.03 LTS(64位)

×

Agent限制

  • 如果服务器安装了360安全卫士、腾讯管家、McAfee软件等第三方安全防护软件,请先卸载再安装主机安全Agent;第三方安全软件与主机安全Agent存在不兼容的情况,会影响主机安全的防护功能。
  • 主机或容器节点安装Agent后,Agent可能修改如下系统文件或配置:
    • Linux系统文件:
      • /etc/hosts.deny
      • /etc/hosts.allow
      • /etc/rc.local
      • /etc/ssh/sshd_config
      • /etc/pam.d/sshd
      • /etc/docker/daemon.json
      • /etc/sysctl.conf
      • /sys/fs/cgroup/cpu/(在该目录下新建HSS进程的子目录)
      • /sys/kernel/debug/tracing/instances(在该目录下新建CSA实例)
    • Linux系统配置:iptables规则
    • Windows系统配置:
      • 防火墙规则
      • 系统登录事件审核策略及登录安全层和认证方式配置
      • Windows Remote Management信任主机列表

暴力破解防护限制

为Windows主机开启防护时,需要授权开启Windows防火墙,且使用企业主机安全期间请勿关闭Windows防火墙。

如果关闭Windows防火墙,HSS无法拦截账户暴力破解的攻击源IP;即使手动关闭后开启Windows防火墙,也可能导致HSS不能拦截账户暴力破解的攻击源IP。

相关文档