資料資訊安全中心通過動態檢測資料資產配置的方式,以資料為落腳點檢測阿里雲上資料庫資產是否存在配置風險,例如身分識別驗證、存取控制、加密、備份和恢複等方面的配置是否安全,這些檢查策略和檢查項統稱為安全基準檢查。安全基準檢查功能可以協助您持續監控阿里雲資料庫資產是否存在配置風險。本文介紹關於安全基準檢查功能您需要瞭解的資訊,以及如何使用該功能。
前提條件
已開通資料資訊安全中心免費版執行個體或購買資料資訊安全中心付費版執行個體。
資料資訊安全中心免費版執行個體支援基準檢查的部分檢查項檢測,付費版執行個體支援基準檢查全部功能。具體內容,請參見資料資訊安全中心免費版服務和購買資料資訊安全中心。
已完成資料資產授權。具體操作,請參見資產授權。
瞭解安全基準檢查
資料資訊安全中心以GB/T 37988-2019《資訊安全技術資料安全能力成熟度等級模型》為依據,提供個保法安全基準和阿里雲資料安全最佳實務基準的檢查,針對雲上複雜的資料庫應用環境和不同類型的資料(結構化資料和非結構化資料),制定了7類基準檢查策略以及對應的檢查項(具體的檢查項以資料資訊安全中心頁面的策略管理頁簽顯示為準),並提供不同類型、不同等級風險的概覽圖和詳細列表,針對檢測出的配置風險提供了對應的處置建議。建議您根據處置建議及時處理配置風險,強化資料資產基礎安全配置功能,以免為駭客提供被利用的弱點。
安全基準說明
個保法安全基準:基於個人資訊保護相關法規,提供覆蓋含有個人資訊資料資產的全生命週期的安全風險檢測能力。
對經過資料識別任務掃描出包含個人資訊或個人敏感資訊的資料庫執行個體和OSS Bucket進行基準檢查。
阿里雲資料安全最佳實務基準:基於阿里雲資料安全最佳實務形成的檢測基準,提供覆蓋資料資產全生命週期的安全風險檢測能力。
對已授權串連的資料庫執行個體和OSS Bucket均進行基準檢查。
支援的風險檢查策略
策略名稱稱 | 說明 |
日誌監控審計 | 資料處理的全生命週期應具備記錄和監控能力,確保資料處理過程可審計、可追溯。資產應開啟日誌審計或日誌儲存等功能。 該策略檢測資料庫是否開啟了安全日誌審計、日誌儲存等功能。 |
身份許可權管理 | 資料的訪問和使用應基於最小許可權原則,明確相關人員的存取權限,防止非授權訪問。 該策略檢查資料庫許可權管理是否合理,例如是否配置了普通帳號來進行日常的資料庫登入等操作。 |
Sensitive Data Discovery and Protection | 儲存有敏感性資料的資產應建立嚴格的存取控制機制,避免資料泄露。 該策略可檢查資料庫是否存在公用讀寫等資料泄露風險,或對敏感性資料所在專案是否開啟了存取控制。 說明 該策略僅對經過資料識別任務掃描出包含個人資訊或個人敏感資訊的資料庫執行個體和OSS Bucket生效。 如果資料庫執行個體和OSS Bucket沒有進行資料識別掃描,或掃描結果不包含個人資訊或個人敏感資訊,該策略檢查項的檢查結果預設為通過。 |
存取控制管理 | 資料的訪問和使用應根據業務需要限制訪問來源,避免資料資產公開暴露。 該策略檢查資料庫是否存在公開暴露的情況。 |
資料備份恢複 | 應建立週期性資料備份與恢複機制,實現對儲存資料的冗餘管理,保護資料的可用性。 該策略檢查資料庫是否開啟了備份功能。 |
資料存放區安全 | 資料存放區應採取加密等安全措施,保障資料的保密性和完整性。 該策略檢查資料庫是否開啟加密功能。 |
資料轉送加密 | 資料轉送活動應採取加密等安全措施,保障資料轉送過程的安全性。 該策略檢查資料庫在傳輸過程中是否開啟了加密傳輸。 |
支援的資料類型
安全基準檢查僅支援檢測已接入資料資訊安全中心的阿里雲資料庫的配置風險,具體支援的產品包括:
類別 | 資料庫類型 |
關係型資料庫 | RDS MySQL |
RDS SQL Server | |
RDS PostgreSQL | |
RDS MariaDB | |
OceanBase MySQL模式 | |
OceanBase Oracle模式 | |
PolarDB-X 1.0 | |
PolarDB MySQL引擎 | |
PolarDB PostgreSQL引擎 | |
PolarDB O引擎 | |
非關係型資料庫 | MongoDB |
Redis | |
巨量資料 | TableStore |
MaxCompute | |
AnalyticDB MySQL版 | |
AnalyticDB PostgreSQL版 | |
非結構化資料庫 | OSS |
設定檢查策略的檢查項狀態
Data Security Center (DSC)預設開啟檢查策略的所有檢查項進行風險檢測,您可以根據實際業務需求,選擇關閉或開啟指定檢查項的檢測狀態。
- 登入資料資訊安全中心控制台。
在策略管理頁簽的阿里雲資料安全最佳實務基準或個保法安全基準頁簽,查看基準檢查策略。
在策略列表,開啟或關閉檢查項狀態列的開關,來控制是否開啟指定檢查項。
您也可以直接開啟或關閉指定的檢查策略,批量關閉檢查項的檢測。
執行安全基準檢查
查看最新檢查時間
您可以在策略管理頁簽,單擊阿里雲資料安全最佳實務基準或個保法安全基準頁簽,查看對應的最近檢測時間。
自動檢查
Data Security Center (DSC)每天淩晨1點左右會預設為已接入的資料庫資產執行一次安全基準檢查。
手動檢查
如果有新接入的資產或者資料庫配置有變更,需要對所有資產進行檢測時,您可以通過一鍵重新檢測功能,立即執行檢測。重新檢測一般需要10分鐘左右。
在風險趨勢頁面,單擊策略警示頁簽,在目標策略的操作列單擊詳情。
在風險態勢或資產清單頁簽,單擊一鍵重新檢測,從檢查項或資產執行個體維度,重新檢測資產風險。
查看業務資產風險趨勢
資料資訊安全中心結合安全基準檢查、敏感性資料識別結果,提供了資料資產分級安全態勢、個人隱私資料安全態勢、風險治理進度和敏感性資料識別結果等統計圖表,方便您查看資產的安全態勢。
在風險趨勢頁簽,單擊右側下拉框選擇安全基準類型。
在資產風險頁簽,查看以下資訊,協助您瞭解業務資產的風險態勢。
資料資產分級安全態勢
展示檢測範圍內不同敏感等級資產中存在的高危、中危和低危風險的資產數量柱狀圖。
個人隱私資料安全態勢
展示檢測範圍記憶體在個人敏感資訊、個人資訊和通用資訊的資產中高危、中危和低危風險的資產數量柱狀圖。
風險治理進度
治理進度列下的數字,表示該資產已通過的檢查項數量和全部檢查項的數量。例如2/3表示該資產共涉及3個檢查項,其中已通過2個檢查項。治理進度列下有治理完成字樣時,表示該資產已通過所有相關檢查項的檢測。
風險層級表示該資產下未通過的檢查項的風險層級。如果一個未通過的檢查項存在多個風險層級,資料資訊安全中心將只顯示最高的風險層級。
處理資產配置風險
Data Security Center (DSC)提供了從不同角度查看和處理配置風險的入口。不同頁面和不同方式查看到的風險資料是一致的,您可以根據實際需要選擇合適的方式。
建議您及時處置檢測出的配置風險,避免不當配置造成資料泄露或其他不安全事件。
從資產角度
您需要查看資產的檢測結果時,可以在頁面的風險趨勢頁簽下的資產風險頁簽,查看支援檢測的資料庫資產列表,以及檢測結果的詳細列表和處置操作入口。
在風險趨勢頁簽單擊資產風險頁簽,處理配置風險。
處置風險
資料資訊安全中心僅提供處置風險的操作指引,您需要自行處置相應風險。單擊目標資料資產執行個體操作列的處置,查看未通過的檢查項及處置方案。
在風險詳情地區,您可以單擊處置,前往對應頁面處理風險。
為整個資產加白名單
如果安全工程師評估無需對某個資料庫資產進行安全基準檢查,您可以單擊目標資料庫執行個體操作列的加入白名單,將該資產下所有檢測項都加入白名單。加入白名單後,該資產的治理進度會更新為治理完成。
為某個資料資產執行個體的指定檢查項加白名單
如果安全工程師評估指定資產需要排除某一個檢查項,您可以單擊目標資料庫執行個體操作列的處置,在風險處置面板,單擊目標檢查項右側的加入白名單。加入白名單後,該檢查項狀態將變更為已加白。
從策略角度
您需要查看不同策略的檢查結果時,可以在頁面的風險趨勢頁簽下的策略警示頁簽,查看不同策略的列表,在指定策略的詳情頁面,查看該策略下支援的檢查項列表及關聯的資產清單。
在風險趨勢頁簽,單擊策略警示頁簽,查看策略列表。
警示數量表示存在未通過檢查項的資產數量。
關聯資產表示檢查項檢查的資產總數。每個檢查項對應一個資產算作一項。
單擊目標策略操作列的詳情。
在詳情頁面查看風險態勢和資產清單。
風險態勢頁簽展示了該策略下所有的檢查項及其詳細資料,包括檢查項記憶體在風險的資產數量、檢查關聯的資產數量和檢查項狀態。如需重新檢測該檢查項,您可以單擊操作列的檢測。
資產清單頁簽展示了該策略下所有檢查項涉及的資產。您可以為相關資產針對指定的檢查項重新檢測、加白或取消加白,也可單擊處置,前往對應控制台處置當前風險項。
從檢查項角度
您需要查看指定檢查項檢測出的風險時,可以在頁面的策略管理頁簽,執行以下操作查看檢查項的詳細資料。
在策略列表中,單擊目標策略名稱稱前的展開
表徵圖,查看該策略下支援的檢查項。單擊目標檢查項操作列的詳情或白名單配置,前往詳情頁面,查看該檢查項關聯的資產並進行相應的處置。
支援進行以下操作:
如果確認對於當前資產該檢查項的檢查結果可以忽略,您可以單擊目標資產操作列的加入白名單,將該資產加入該檢查項的白名單。
單擊目標資產操作列的處置,前往對應控制台處置當前風險項。
處置完成後,您可以單擊目標資產操作列的驗證,驗證處置是否已成功。