Saat perlu memenuhi persyaratan kepatuhan perlindungan terklasifikasi, menangani risiko konfigurasi sistem, atau mendeteksi kata sandi lemah, Anda dapat menggunakan fitur pemeriksaan risiko dasar untuk melakukan pemeriksaan keamanan pada konfigurasi sistem operasi server, database, middleware, dan kontainer. Topik ini menjelaskan informasi dasar, penggunaan, serta rencana remediasi umum untuk item risiko terkait fitur ini.
Edisi dan penagihan
Edisi berbayar Security Center mendukung fitur pemeriksaan risiko dasar.
Edition | Description | Billing |
Edisi Anti-Virus dan Layanan Nilai Tambah | Untuk menggunakan semua fitur pemeriksaan risiko dasar, Anda harus mengaktifkan fitur cloud security posture management (CSPM) berbayar. Penggunaan item pemeriksaan akan mengonsumsi kuota CSPM. | Jika Anda mengaktifkan fitur CSPM berbayar, lihat Penggunaan CSPM berbayar untuk detail penagihan. |
Edisi Advanced dan Edisi Enterprise |
| Tidak diperlukan biaya tambahan. |
Ultimate edition | Mendukung semua item pemeriksaan risiko dasar. | Tidak diperlukan biaya tambahan. |
Manfaat
Kepatuhan perlindungan terklasifikasi
Mendukung baseline MLPS Level 2, MLPS Level 3, dan baseline praktik keamanan terbaik yang diakui secara internasional untuk memenuhi berbagai persyaratan kepatuhan dan regulasi.
Deteksi komprehensif
Mendukung deteksi kata sandi lemah, deteksi akses tidak sah, deteksi konfigurasi tidak aman yang diketahui, serta inspeksi garis merah konfigurasi, mencakup lebih dari 30 versi sistem dan lebih dari 20 jenis database dan middleware.
Konfigurasi fleksibel
Mendukung kebijakan keamanan kustom, siklus pemeriksaan, dan cakupan pemeriksaan untuk memenuhi kebutuhan konfigurasi keamanan berbagai bisnis.
Rencana remediasi terperinci
Item pemeriksaan menyediakan saran remediasi dan mendukung perbaikan satu klik untuk memperkuat baseline secara cepat dan memenuhi persyaratan perlindungan terklasifikasi.
Alur kerja
Aktifkan fitur: Beli edisi Enterprise atau Ultimate, atau aktifkan fitur cloud security posture management (CSPM) berbayar, untuk menggunakan semua item pemeriksaan. Lihat Aktifkan fitur pemeriksaan risiko dasar.
Instal agen: Instal agen Security Center pada server Anda. Konsol secara otomatis menyinkronkan informasi aset setiap menit. Untuk langkah instalasi, lihat Instal agen. Untuk memeriksa server non-Alibaba Cloud, terlebih dahulu hubungkan aset ke Security Center. Lihat Tambahkan aset multi-cloud.
Konfigurasikan kebijakan pemeriksaan: Kebijakan default hanya mencakup beberapa jenis baseline. Anda dapat mengonfigurasi lebih banyak item dan kebijakan pemeriksaan sesuai kebutuhan bisnis Anda. Lihat Konfigurasikan kebijakan pemeriksaan.
Jalankan pemeriksaan: Pilih kebijakan dan jalankan secara manual, atau tunggu sistem melakukan pemindaian otomatis berdasarkan jadwal kebijakan. Lihat Jalankan kebijakan pemeriksaan baseline.
Lihat hasil: Lihat item pemeriksaan berisiko, aset terdampak, dan saran remediasi di konsol. Lihat Lihat hasil dan saran pemeriksaan baseline.
Remediasi dan verifikasi: Remediasi risiko berdasarkan saran dan selesaikan verifikasi untuk memastikan item pemeriksaan menunjukkan status Passed. Lihat Tangani item risiko baseline yang gagal.
Deskripsi fitur
Fitur pemeriksaan baseline menggunakan kebijakan pemeriksaan berbeda untuk melakukan pemindaian batch pada server dan mengidentifikasi risiko dalam sistem, izin akun, database, kata sandi lemah, serta konfigurasi kepatuhan perlindungan terklasifikasi. Fitur ini menyediakan saran remediasi dan perbaikan satu klik. Untuk detail konten pemeriksaan, lihat Konten pemeriksaan baseline.
Konsep utama
Term | Description |
Baseline | Baseline mengacu pada standar garis merah konfigurasi keamanan untuk sistem operasi, database, dan middleware berdasarkan praktik terbaik dan persyaratan kepatuhan. Pemeriksaan mencakup kata sandi lemah, izin akun, otentikasi identitas, kebijakan kata sandi, kontrol akses, audit keamanan, dan pencegahan intrusi. |
Weak password | Kata sandi lemah adalah kata sandi yang mudah ditebak atau diserang brute-force. Biasanya mencakup kata sandi sederhana dengan panjang kurang dari 8 karakter atau menggunakan kurang dari 3 jenis karakter, serta kata sandi dari kamus peretas yang tersedia publik atau berbasis malware. Kata sandi lemah mudah dipecahkan. Jika diperoleh oleh penyerang, dapat digunakan untuk langsung login ke sistem, membaca, bahkan memodifikasi kode website. Menggunakan kata sandi lemah membuat sistem dan layanan rentan terhadap risiko signifikan. |
Kebijakan baseline
Kebijakan adalah kumpulan aturan pemeriksaan baseline dan merupakan unit dasar untuk menjalankan pemeriksaan baseline. Security Center menyediakan tiga jenis kebijakan: kebijakan default, kebijakan standar, dan kebijakan kustom.
Policy type | Supported baseline check item types | Application scenarios |
Default policy | Mendukung jenis baseline berikut:
| Kebijakan pemeriksaan baseline default sistem. Anda hanya dapat mengedit waktu pemeriksaan dan server target. Setelah membeli edisi Advanced, Enterprise, atau Ultimate, sistem akan memeriksa semua aset di bawah Akun Alibaba Cloud Anda setiap dua hari sekali antara pukul 00.00–06.00 (atau waktu yang Anda tentukan). |
Standard policy | Mendukung jenis baseline berikut:
| Dibandingkan kebijakan default, menambahkan jenis pemeriksaan kepatuhan MLPS dan praktik keamanan terbaik yang diakui secara internasional, serta memungkinkan pengeditan semua item konfigurasi kebijakan. Anda dapat mengonfigurasi kebijakan pemeriksaan baseline sesuai skenario bisnis Anda. |
Custom policy | Mendukung jenis baseline OS kustom berikut:
| Memeriksa risiko dalam konfigurasi aset terhadap baseline OS kustom. Anda dapat menyesuaikan item pemeriksaan dan memodifikasi beberapa parameter baseline agar lebih sesuai dengan skenario bisnis Anda. |
Server yang didukung
Security Center mendukung pemeriksaan baseline untuk server yang telah menginstal agen dan berstatus normal. Saat menyiapkan kebijakan, Anda dapat memilih cakupan melalui kelompok server. Lihat Instal agen dan Kelola server untuk metode onboarding server.
Tingkat risiko
Security Center mengklasifikasikan risiko berdasarkan tingkat keparahan dan skenario penerapan jenis risiko tersebut.
Risk level | Baseline category | Description | Remediation |
High |
| Jenis risiko baseline ini menimbulkan risiko intrusi dan diklasifikasikan sebagai High. | Memerlukan remediasi segera. Cegah kata sandi lemah terpapar ke Internet, yang dapat menyebabkan intrusi sistem atau kebocoran data. |
| Meskipun tidak ada risiko intrusi, ini merupakan inspeksi garis merah konfigurasi dan diklasifikasikan sebagai risiko High. | Item penguatan keamanan penting. Remediasi segera. Penguatan berdasarkan praktik keamanan terbaik mengurangi risiko kelemahan konfigurasi dieksploitasi dan risiko perubahan konfigurasi. | |
Custom baseline | Berkaitan dengan kejadian keamanan spesifik pelanggan. Ini merupakan inspeksi garis merah konfigurasi dan diklasifikasikan sebagai risiko High. | Item penguatan keamanan yang ditentukan pengguna. Remediasi direkomendasikan. Penguatan berdasarkan praktik keamanan terbaik mengurangi risiko kelemahan konfigurasi dieksploitasi dan risiko perubahan konfigurasi. | |
Medium |
| Risiko kepatuhan diperiksa dan diremediasi berdasarkan apakah kepatuhan diperlukan. Tidak ada risiko intrusi dan ini bukan inspeksi garis merah konfigurasi, sehingga diklasifikasikan sebagai risiko Medium. | Remediasi berdasarkan apakah bisnis Anda memiliki persyaratan kepatuhan. |
Metode remediasi
Security Center menyediakan saran remediasi untuk item pemeriksaan berisiko guna memperkuat keamanan sistem.
Remediasi manual: Login ke server yang terdampak, modifikasi konfigurasi terkait, lalu klik Verify di Security Center.
Remediasi satu klik: Security Center mendukung perbaikan satu klik untuk beberapa item pemeriksaan baseline. Apakah suatu item pemeriksaan mendukung fitur ini ditentukan oleh apakah panel item risiko menampilkan tombol Fix. Lihat Lihat dan tangani item risiko baseline.
Konten pemeriksaan baseline
Kategori baseline
Baseline category | Check standards and content | Covered systems and services | Remediation urgency |
Weak password | Menggunakan metode non-brute-force untuk mendeteksi kata sandi lemah. Menghindari penguncian akun akibat serangan brute-force yang dapat mengganggu operasi bisnis normal. Catatan Deteksi kata sandi lemah membandingkan nilai hash yang dibaca dari sistem dengan hash yang dihitung dari kamus kata sandi lemah. Untuk menghindari pembacaan nilai hash, hapus baseline kata sandi lemah dari kebijakan pemeriksaan baseline Anda. |
| Memerlukan remediasi segera. Cegah kata sandi lemah terpapar ke Internet, yang dapat menyebabkan intrusi sistem atau kebocoran data. |
Unauthorized access | Baseline akses tidak sah. Mendeteksi apakah layanan memiliki risiko akses tidak sah untuk mencegah intrusi atau kebocoran data. | Memcached, Elasticsearch, Docker, CouchDB, ZooKeeper, Jenkins, Hadoop, Tomcat, Redis, Jboss, ActiveMQ, RabbitMQ, OpenLDAP, rsync, MongoDB, PostgreSQL | |
Best security practices | Standar Alibaba Cloud Berdasarkan standar praktik keamanan terbaik Alibaba Cloud, mendeteksi risiko konfigurasi keamanan dalam izin akun, otentikasi identitas, kebijakan kata sandi, kontrol akses, audit keamanan, dan pencegahan intrusi. |
| Item penguatan keamanan penting. Remediasi direkomendasikan. Penguatan berdasarkan praktik keamanan terbaik mengurangi risiko kelemahan konfigurasi dieksploitasi dan risiko perubahan konfigurasi. |
Container security | Standar Alibaba Cloud Berdasarkan praktik keamanan kontainer terbaik Alibaba Cloud, memeriksa risiko konfigurasi node master dan node Kubernetes. |
| |
MLPS compliance | Kepatuhan MLPS Level 2 dan Level 3 Berdasarkan baseline MLPS keamanan server, selaras dengan standar dan persyaratan evaluasi lingkungan komputasi keamanan dari organisasi evaluasi otoritatif. |
| Remediasi berdasarkan apakah bisnis Anda memiliki persyaratan kepatuhan. |
Internationally recognized security best practices | Pemeriksaan baseline keamanan sistem operasi berdasarkan praktik keamanan terbaik yang diakui secara internasional. |
| Remediasi berdasarkan apakah bisnis Anda memiliki persyaratan kepatuhan. |
Custom baseline | Mendukung baseline kustom CentOS Linux 7. Anda dapat mengedit item pemeriksaan dalam kebijakan pemeriksaan baseline untuk menentukan item penguatan keamanan kustom. | CentOS 7, CentOS 6, Windows Server 2022, 2012 R2, 2016, 2019, 2008 R2 | Item penguatan keamanan yang ditentukan pengguna. Remediasi direkomendasikan. Penguatan berdasarkan praktik keamanan terbaik mengurangi risiko kelemahan konfigurasi dieksploitasi dan risiko perubahan konfigurasi. |
Item pemeriksaan baseline
Tabel berikut mencantumkan item pemeriksaan baseline yang disediakan oleh Security Center.
Praktik terbaik keamanan kata sandi
Fitur pemeriksaan baseline dapat mendeteksi risiko kata sandi lemah. Setelah menemukan kata sandi lemah, Anda dapat merujuk praktik terbaik berikut untuk mengonfigurasi kebijakan kompleksitas kata sandi dan meningkatkan keamanan server.
Persyaratan kompleksitas kata sandi
Kata sandi aman harus memenuhi persyaratan berikut:
Panjang minimal 8 karakter. Disarankan 12 karakter atau lebih.
Berisi minimal tiga jenis karakter: huruf kapital (A-Z), huruf kecil (a-z), angka (0-9), dan karakter khusus (seperti !@#$%^&*).
Hindari penggunaan informasi pribadi seperti username, tanggal lahir, atau nomor telepon sebagai kata sandi. Hindari kata sandi umum dari kamus (seperti admin123, password, dll.).
Gunakan kata sandi berbeda untuk sistem dan layanan yang berbeda. Hindari penggunaan ulang kata sandi yang sama di berbagai tempat.
Konfigurasi kebijakan kata sandi sistem Linux
Pada sistem Linux, Anda dapat mengonfigurasi kebijakan kompleksitas kata sandi dengan memodifikasi konfigurasi PAM (Pluggable Authentication Modules):
Edit konfigurasi kata sandi PAM. Untuk CentOS/Red Hat, edit file
/etc/security/pwquality.conf, atau gunakan perintahauthconfig:authconfig --passminlen=8 --passminclass=3 --updateKonfigurasikan kebijakan masa berlaku kata sandi dengan mengedit file
/etc/login.defsdan atur parameter berikut:PASS_MAX_DAYS: Masa maksimum penggunaan kata sandi. Disarankan 90 hari.PASS_MIN_DAYS: Masa minimum antara perubahan kata sandi. Disarankan 0 hari.PASS_WARN_AGE: Jumlah hari peringatan sebelum masa berlaku kata sandi habis. Disarankan 7 hari.
Untuk mengganti kata sandi, gunakan perintah
passwd:passwd username
Metode konfigurasi PAM dapat berbeda antar distribusi Linux. Sesuaikan berdasarkan lingkungan aktual Anda. Sebelum memodifikasi kebijakan kata sandi, pastikan operasi bisnis yang ada tidak terganggu.
Konfigurasi kebijakan kata sandi sistem Windows
Pada sistem Windows, Anda dapat mengonfigurasi kompleksitas kata sandi melalui Local Security Policy atau Group Policy:
Buka
Local Security Policy(jalankansecpol.msc).Navigasi ke
Account Policies>Password Policy.Konfigurasikan item kebijakan berikut:
Password must meet complexity requirements: Atur ke
Enabled.Minimum password length: Atur minimal 8 karakter.
Maximum password age: Atur 90 hari.
Minimum password age: Atur 0 hari.
Enforce password history: Atur minimal 5 untuk mencegah pengguna menggunakan kembali kata sandi lama.
Jika server bergabung dalam domain, kebijakan kata sandi dikelola secara terpusat oleh domain controller. Konfigurasikan Group Policy Objects (GPO) pada domain controller.
Rekomendasi keamanan umum
Ubah secara berkala kata sandi server dan layanan untuk mengurangi risiko kebocoran kata sandi.
Untuk login remote SSH, disarankan menggunakan autentikasi berbasis kunci daripada autentikasi berbasis kata sandi.
Gunakan fitur pemeriksaan baseline Security Center untuk memindai secara berkala kata sandi lemah dan segera mengidentifikasi serta memperbaiki risiko keamanan kata sandi.
Jika terdeteksi peringatan kata sandi lemah, segera ganti dengan kata sandi kuat yang memenuhi persyaratan kompleksitas dan periksa aktivitas login mencurigakan.