文档首页 > > 用户指南> 基线检查> 云服务基线> 云服务基线简介

云服务基线简介

分享
更新时间:2020/10/22 GMT+08:00

用户可通过云服务基线查看各项风险的详细信息和指导建议。

背景信息

态势感知支持检测云服务关键配置项,通过执行扫描任务,检查云服务基线配置风险状态,分类呈现云服务配置检测结果,告警提示存在安全隐患的配置,并提供相应配置加固建议和帮助指导。

目前SA专业版支持检测6类云服务基线配置,共涉及14个云服务,共包括26项子检查项目。

针对华为云服务关键配置项,您可以从“身份认证”“访问控制”“日志审计”“数据安全”“基础防护”和“监控告警”6类风险项,了解云服务风险配置的所在范围和风险配置数目。

SA基础版暂不支持云服务基线检测功能。为及时了解云服务配置状态,以及确保云服务的配置的合理性,建议您购买专业版

身份认证

表1 身份认证风险项检查项目

检查项目

检查内容

IAM用户启用检查

启用统一身份认证(Identity and Access Management,IAM)服务后,系统默认用户组admin中的IAM用户,可以使用华为云所有服务。

检查所有IAM用户列表,是否已启用至少两个IAM用户,以及IAM用户所属的用户组是否都为admin用户组。

IAM用户多因素认证检查

开启多因素认证后,IAM用户在登录账户时,除了需提供用户名和密码验证外,还需提供验证码进行二次身份验证,加固账户登录安全。

检查IAM用户是否开启多因素认证。

管理员账户AK/SK启用检查

由于管理员具有IAM用户管理权限,且具有大范围的操作权限。为了避免因AK/SK泄露带来的安全隐患,建议管理员账户不启用AK/SK身份凭证。

检查管理员账户是否启用访问密钥。

ECS密钥对登录检查

弹性云服务器(Elastic Cloud Server,ECS)远程登录,常用密码和密钥对两种身份认证方式。相较于普通密码登录方式,密钥对登录方式更安全更便捷。

检查所有ECS是否启用密钥对登录。

访问控制

表2 访问控制风险项检查项目

检查项目

检查内容

网络ACL规则检查

检查网络ACL规则是否存在不安全规则,即检查ACL规则的允许范围是否超过使用范围。当地址为0.0.0.0/0或空代表未设置IP访问的限制,资源将会有高安全风险。

不安全规则示例:方向为入方向,动作为允许,协议为任一类别协议,源地址为0.0.0.0/0(所有地址),源端口范围为1~65535或0,目的地址为0.0.0.0/0(所有地址),目的端口范围为1~65535、0或者特定的业务端口,如22。

安全组规则检查

检查安全组规则是否存在不安全规则,即检查安全组规则的允许范围是否超过使用范围。当源地址为0.0.0.0/0或空代表未设置IP访问的限制,资源将会有高安全风险。

不安全规则示例:方向为入方向,协议为任一类别协议,源地址为0.0.0.0/0(所有地址),端口为1~65535或者特定的业务端口,如22。

RDS实例安全组规则检查

检查关系型数据库(Relational Database Service,RDS)实例所关联的安全组规则是否存在不安全规则,即检查安全组规则的允许范围是否超过使用范围。当源地址为0.0.0.0/0或空时,代表未设置IP访问的限制,数据库将会有高安全风险。

不安全规则示例:方向为入方向,协议为任一类别协议,源地址为0.0.0.0/0(所有地址),端口为1~65535或者数据库业务端口,如3306。

ECS实例安全组规则检查

当ECS关联安全组后,即受到安全组内访问规则的保护。建议仅对全网开放的端口才设置源地址为0.0.0.0/0,例如80、443、22、3389端口。

检查ECS实例关联安全组是否存在不安全规则,即检查安全组规则的允许访问范围是否超过使用范围。

DDS实例安全组规则检查

检查文档数据库服务(Document Database Service,DDS)实例所关联的安全组规则是否存在不安全规则,即检查安全组规则的允许范围是否超过使用范围。当源地址为0.0.0.0/0或空时,代表未设置IP访问的限制,数据库将会有高安全风险。

不安全规则示例:方向为入方向,协议为任一类别协议,源地址为0.0.0.0/0(所有地址),端口为1~65535或者数据库业务端口,如8635。

DCS实例安全组规则检查

检查分布式缓存服务(Distributed Cache Service,DCS)实例所关联的安全组规则是否存在不安全规则,即检查安全组规则的允许范围是否超过使用范围。当源地址为0.0.0.0/0或空时,代表未设置IP访问的限制,数据库将会有高安全风险。

不安全规则示例:方向为入方向,协议为任一类别协议,源地址为0.0.0.0/0(所有地址),端口为1~65535或者数据库业务端口,如6379。

ELB实例访问控制启用检查

检查弹性负载均衡(Elastic Load Balance,ELB)实例,是否开启访问控制策略。

WAF回源配置检查

使用Web应用防火墙(Web Application Firewall, WAF)服务后,需配置源站服务器只允许来自WAF的访问请求访问源站,既可保障访问不受影响,又能防止源站IP暴露。

  • 未使用弹性负载均衡(Elastic Load Balance,ELB)情况下,检查在ECS关联的安全组源地址中,是否添加WAF回源IP;
  • 已使用ELB情况下,检查在ELB访问控制策略白名单中,是否添加WAF回源IP。

日志审计

表3 日志审计风险项检查项目

检查项目

检查内容

CTS启用检查

云审计服务(Cloud Trace Service,CTS)可以将当前账户下所有的操作记录在追踪器中,通过查询和审计操作记录,实现安全分析、资源变更、合规审计、问题定位等。

检查是否已经开通CTS,以及检查是否有一个追踪器的状态为正常。

OBS桶日志记录启用检查

对象存储服务(Object Storage Service,OBS)的桶日志记录,指用户开启一个桶的日志记录功能后,OBS会自动对这个桶的访问请求记录日志,并生成日志文件写入用户指定的桶(即目标桶)中。通过访问日志记录,桶的拥有者可以深入分析访问该桶的用户请求性质、类型或趋势。

检查所有OBS桶,是否开启日志记录功能。

数据安全

表4 数据安全风险项检查项目

检查项目

检查内容

OBS桶的ACL权限检查

OBS桶ACL是基于账号或用户组的桶级访问控制,桶的拥有者可以通过桶ACL授予指定账号或用户组特定的访问权限。

匿名用户指未注册华为云的普通访客。如果OBS桶的ACL赋予了匿名用户桶的访问权限或ACL访问权限,表示所有人无需经过任何身份验证即可访问OBS桶。

检查所有OBS桶,是否给匿名用户赋予桶访问权限或者ACL访问权限。

EVS加密检查

云硬盘(Elastic Volume Service,EVS)可以为云服务器提供高块存储服务。挂载EVS到云服务器上后,可将数据永久的保存到EVS上。开启云硬盘加密后,可以确保数据安全,以及满足法规合规要求。

检查所有EVS是否开启加密存储。

RDS数据库备份检查

关系型数据库(Relational Database Service,RDS)支持数据库实例的备份和恢复,以保证数据可靠性。RDS数据库实例默认开启数据自动备份策略,备份周期默认每天备份数据一次。

检查所有RDS实例,是否开启自动备份功能,以及检查备份周期是否为每一天。

DDS数据库备份检查

文档数据库服务(Document Database Service,DDS)支持数据库实例的备份和恢复,以保证数据可靠性。DDS数据库实例开启数据自动备份策略后,备份周期默认每天备份数据一次。

检查所有DDS实例是否开启自动备份功能,以及检测备份周期是否为每一天。

DCS数据库备份检查

分布式缓存服务(Distributed Cache Service,DCS)支持数据库实例的备份和恢复,以保证数据可靠性。DCS数据库实例开启数据自动备份策略后,默认备份周期默认每天备份数据一次。

检查所有DCS实例是否开启自动备份功能,以及检查备份周期是否为每一天。

说明:

只有“主备”“集群”Redis实例支持数据备份与恢复功能,“单机”Redis实例暂不支持。

SSL证书有效性检查

SSL证书管理(SSL Certificate Manager,SCM)是一个SSL(Secure Socket Layer)证书管理平台。SSL证书部署到服务器后,服务器端的访问将启用HTTPS协议。SSL证书超出有效期,将无法正常使用SSL证书。

检查所有SSL证书状态是否在有效期内。

OBS桶跨区域复制检查

OBS跨区域复制能够提供跨区域数据容灾的能力,通过创建跨区域复制规则,在同一个账号下,将一个桶(源桶)中的数据自动、异步地复制到不同区域的另外一个桶(目标桶)中,满足用户数据复制到异地进行备份的需求。

检查所有OBS桶是否开启跨区域复制。

OBS桶服务端加密检查

OBS服务端加密是在上传对象到桶时,将数据在服务端加密成密文后存储。再次下载加密对象时,存储的密文会先在服务端解密为明文,再反馈给用户。将数据加密后存储到OBS桶中,提高数据的安全性。

检查所有OBS桶是否开启服务端加密。

基础防护

表5 基础防护风险项检查项目

检查项目

检查内容

Anti-DDoS防护启用检查

Anti-DDoS流量清洗服务(Anti-DDoS)提供网络层和应用层的DDoS攻击防护和攻击实时告警通知,并可提升用户带宽利用率,确保用户业务稳定运行。默认为用户购买的公网IP开启Anti-DDoS防护,抵御DDoS攻击。

检查所有公网IP是否启用了Anti-DDoS防护。

ECS实例启用HSS检查

企业主机安全服务(Host Security Service,HSS)是保障华为云主机整体安全性的服务。启用HSS,为云主机安装Agent并开启防护。

检查所有ECS是否安装Agent,以及检查HSS防护状态是否为开启。

监控告警

表6 监控告警风险项检查项目

检查项目

检查内容

ELB证书有效性检查

弹性负载均衡(Elastic Load Balance,ELB)支持两种类型的证书,服务器证书和CA证书。配置HTTPS监听器时,需要为监听器绑定服务器证书,如果开启双向认证功能,还需要绑定CA证书。

检查所有ELB证书是否有效可用。

ELB健康状态检查

ELB定期向后端服务器发送请求健康检查,通过健康检查来判断后端服务器是否可用。如果判断出后端服务器健康检查异常,ELB会将异常后端服务器的流量分发到正常后端服务器。当异常后端服务器恢复正常运行后,ELB会自动恢复其承载业务流量能力。

检查所有ELB实例是否开启健康检查功能,以及检查后端服务器状态是否正常。

分享:

    相关文档

    相关产品

文档是否有解决您的问题?

提交成功!非常感谢您的反馈,我们会继续努力做到更好!
反馈提交失败,请稍后再试!

*必选

请至少选择或填写一项反馈信息

字符长度不能超过200

提交反馈 取消

如您有其它疑问,您也可以通过华为云社区问答频道来与我们联系探讨

智能客服提问云社区提问