文档首页 > > 用户指南> 基线检查> 云服务基线

云服务基线

分享
更新时间: 2020/03/31 GMT+08:00

背景信息

您需要先进行扫描才能查看数据,可单击扫描时间右侧的“去设置”设置云服务器基线扫描时间,进行周期性扫描;也可单击“立即扫描”实时扫描。并可在“立即扫描”的右侧查看最近扫描完成时间。

前提条件

  • 已获取管理控制台的登录账号与密码。IAM用户已配置Tenant Administrator权限,拥有SA操作权限。配置IAM用户权限,请参见IAM创建用户并授权
    • 默认情况下,管理员创建的IAM用户没有任何权限,需要授权Tenant AdministratorTenant Guest后,IAM用户才能基于被授予的权限操作查看SA信息。更多权限说明请参见系统权限
    • 获取权限的IAM用户,可使用同账号下已购买的专业版SA。
  • 已购买态势感知专业版,且在有效使用期内。

操作步骤

  1. 登录管理控制台。
  2. 图1示例,进入“云服务基线”页面。

    图1 查看云服务基线信息

  3. 查看“身份认证”“访问控制”“日志审计”“数据安全”“基础防护”五种风险项和风险数目,五种风险项的具体检查项目和检查内容说明参考表1

    表1 风险项检查项目

    风险项

    检查项目

    检查内容

    身份认证

    检查是否启用IAM用户

    检查用户列表,是否至少有两个已启用的用户,且其中一个用户所属的用户组不是admin用户组。

    启用IAM用户,是指通过IAM服务启用除企业管理员以外的其他用户,且该用户不属于admin组。

    访问控制

    网络ACL规则检查

    检查所有网络ACL的规则是否存在不安全规则,即是否存在开放过大的访问控制策略。不安全规则,即方向为入方向,动作为允许,协议为任一类别协议,源地址为0.0.0.0/0(所有地址),源端口范围为1~65535或0,目的地址为0.0.0.0/0(所有地址),目的端口范围为1~65535、0或者特定的业务端口,如22。

    安全组规则检查

    检查所有安全组的规则是否存在不安全规则,即是否存在开放过大的访问控制策略。不安全规则,即方向为入方向,协议为任一类别协议,源地址为0.0.0.0/0(所有地址),端口为1~65535或者特定的业务端口,如22。

    日志审计

    检查是否启用云审计服务

    检查用户是否已经开通云审计服务,并且至少有一个追踪器的状态是正常的。

    云审计服务,可以提供云账户下资源的操作记录,通过操作记录,用户可以实现安全分析、资源变更、合规审计、问题定位等常见应用场景。

    检查是否启用OBS桶日志记录

    检查用户所有OBS桶是否开启日志记录功能。

    OBS桶日志记录,是指用户开启一个桶的日志记录功能后,OBS会自动对这个桶的访问请求记录日志,并生成日志文件写入用户指定的桶(即目标桶)中。

    数据安全

    OBS桶的ACL权限检查

    检查所有OBS桶,是否给匿名用户赋予桶访问权限或者ACL访问权限。

    桶ACL是基于账号或用户组的桶级访问控制,桶的拥有者可以通过桶ACL授予指定账号或用户组特定的访问权限。为安全起见,不建议通过桶ACL为匿名用户赋予桶的相关权限。如果匿名用户被授予了访问桶的权限,则表示所有人都可以访问对应的桶,并且不需要经过任何身份认证。

    RDS实例安全组规则检查

    检查所有RDS实例关联的安全组的规则是否存在不安全规则,即是否存在开放过大的访问控制策略。不安全规则,即方向为入方向,协议为任一类别协议,源地址为0.0.0.0/0(所有地址),端口为1~65535或者数据库业务端口,如3306。

    基础防护

    检查是否启用Anti-DDoS流量清洗

    检查用户的弹性云服务器、弹性负载均衡资源是否启用了Anti-DDoS流量清洗。

    启用Anti-DDoS流量清洗,是指为华为云内资源(弹性云服务器、弹性负载均衡),开启流量清洗防护,抵御DDoS攻击。

    检查ECS实例是否启用企业主机安全

    检查有的弹性云服务器是否安装主机安全客户端,且防护状态是否开启。

    启用企业主机安全,是指为云主机安装主机安全客户端并开启防护。从而提升主机整体安全性,帮助企业降低主机安全风险。

  4. 单击关注的风险项,查看风险子项的检查结果。

    1. 单击区域左侧的子项查看详细信息。
      • 如果子项的图标呈绿色,说明该项无风险;
      • 如果子项的图标呈红色,说明该项存在风险。

      “日志审计”风险项为例,单击“日志审计”,可看到“检查是否启用云审计服务”的图标呈绿色,则表示状态正常,没有风险;“检查是否启用OBS桶日志记录”的图标呈红色,则表示该存在一定风险。

      图2 查看风险子项
    2. 单击存在风险的子项,查看此项风险的详细信息。并根据提示信息,修复风险点。
      此处单击 “检查是否启用OBS桶日志记录”
      图3 OBS桶日志记录检查
      表2 风险项详细信息

      参数

      参数说明

      基线描述

      介绍该检查项的具体检查内容。

      检查机制

      介绍该检查项的合格标准。

      检查结果

      检查结果中通常会列出不符合要求的项目。通常在“操作”列中会给出链接地址,方便管理员直接跳转至相应操作界面进行安全风险修复。

      最佳实践

      针对该检查项,给出最能够符合安全要求的操作建议。

      在条件允许的范围内,建议管理员尽可能参考最佳实践中给出的方案进行配置。

      帮助指导

      提供修复“检查结果”及配置“最佳实践”的帮助指导。单击“查看详情”可直接跳转至具体指导信息所在页面。

  5. 参考4修复所有存在风险的检查项。
  6. 修复完成后,可单击“立即扫描”重新执行扫描。扫描结束后查看风险项是否已修复。
分享:

    相关文档

    相关产品

文档是否有解决您的问题?

提交成功!

非常感谢您的反馈,我们会继续努力做到更好!

反馈提交失败,请稍后再试!

*必选

请至少选择或填写一项反馈信息

字符长度不能超过200

提交反馈 取消

如您有其它疑问,您也可以通过华为云社区问答频道来与我们联系探讨

跳转到云社区