當需要滿足等保合規要求、排查系統配置風險或檢測弱口令時,可使用基準風險檢查功能對伺服器作業系統、資料庫、中介軟體和容器的配置進行安全檢測。本文介紹該功能的基本資料、使用方法和常見風險項的修複方案。
版本和計費說明
Security Center付費版支援使用基準風險檢查功能。
|
版本 |
使用說明 |
計費說明 |
|
防病毒版和僅採購增值服務 |
若想使用基準風險檢查的全部功能,需要開通付費版雲安全態勢管理功能,使用檢查項需要消耗雲安全態勢管理的授權數。 |
若開通付費版雲安全態勢管理,計費詳情,請參見雲安全態勢管理付費使用說明。 |
|
進階版和企業版 |
|
無需額外付費。 |
|
旗艦版 |
支援基準風險檢查功能的全部檢查項。 |
無需額外付費。 |
功能優勢
-
等保合規
支援等保二級、等保三級和國際通用安全最佳實務基準,滿足多種合規監管需求。
-
檢測全面
支援弱口令、未授權訪問、已知不安全配置和配置紅線巡檢,覆蓋 30 多種系統版本、20 多種資料庫及中介軟體。
-
靈活配置
支援自訂安全性原則、檢測周期和檢測範圍,滿足不同業務的安全配置需求。
-
詳細修複方案
檢查項提供修複建議,支援一鍵修複,以快速完成基準加固並滿足等保要求。
使用流程
-
開通功能:購買企業版或旗艦版,或開通付費版雲安全態勢管理功能,即可使用全部檢查項。詳見開通基準風險檢查功能。
-
安裝用戶端:在伺服器上安裝Security Center用戶端,控制台將每分鐘自動同步資產資訊。安裝步驟參見安裝用戶端。如需檢查非阿里雲伺服器,需先將資產接入Security Center,方法參見多雲資產接入。
-
配置檢查策略:預設策略僅包含部分基準類型,可根據業務需求配置更多檢查項和策略。詳見設定檢查策略。
-
執行檢查:選擇策略並手動執行,或等待系統按策略周期自動掃描。詳見執行基準檢查策略。
-
查看結果:在控制台查看掃描出的風險檢查項、風險資產和修複建議。詳見查看基準檢查結果及風險加固建議。
-
修複驗證:根據修複建議修複風險並完成驗證,確認檢查項結果為已通過。詳見處理未通過的基準風險檢查項。
功能說明
基準檢查功能通過配置不同的檢查策略,對伺服器進行批量掃描,發現系統、帳號許可權、資料庫、弱口令、等保合規配置等風險點,並提供修複建議和一鍵修複功能。檢查內容詳情參見基準檢查內容。
基本概念
|
名詞 |
說明 |
|
基準 |
基準指作業系統、資料庫及中介軟體的安全實踐及合規檢查的配置紅線,包括弱口令、帳號許可權、身份鑒別、密碼原則、存取控制、安全審計和入侵防範等安全配置檢查。 |
|
弱口令 |
弱口令指容易被猜測或爆破的口令,通常包括:長度小於 8 位或者字元類型少於 3 類的簡單口令,以及網上公開的或者惡意軟體中的駭客字典。弱口令容易被破解,如果被攻擊者擷取,可用來直接登入系統,讀取甚至修改網站代碼,使用弱口令將使得系統及服務面臨極大的風險。 |
基準策略
策略是基準檢查規則的集合,是執行基準檢測的基本單位。Security Center提供三種策略類型:預設策略、標準策略和自訂策略。
|
策略類型 |
支援的基準檢查項類型 |
應用情境 |
|
預設策略 |
支援以下基準類型:
|
系統預設執行的基準檢查策略,僅支援編輯檢查時間和生效伺服器。購買進階版、企業版或旗艦版後,系統會每隔一天在 00:00~06:00(或您修改後的時間)檢查一次您阿里雲帳號下的所有資產。 |
|
標準策略 |
支援以下基準類型:
|
相比預設策略,增加了等保合規、國際通用安全最佳實務等檢查類型,且支援編輯所有策略配置項。 可根據業務情境自行設定基準檢查策略。 |
|
自訂策略 |
支援以下作業系統自訂基準類型:
|
用於檢查資產在作業系統自訂基準配置上是否存在風險。 可自訂配置檢查項並修改部分基準參數,使檢查策略更貼合業務情境。 |
支援的伺服器
Security Center支援對已安裝用戶端且狀態正常的伺服器進行基準檢查。可在設定策略時,通過伺服器分組選擇生效範圍。伺服器接入方法參見安裝用戶端和管理伺服器。
風險等級
Security Center根據風險類型的危害程度和應用情境進行分級。
|
風險等級 |
基準分類 |
說明 |
修複 |
|
高危 |
|
該基準風險類型存在入侵風險,屬於高危風險。 |
需緊急修複。避免弱口令暴露在公網上導致系統被入侵或發生資料泄露事件。 |
|
雖然不存在入侵風險,但屬於配置紅線巡檢,歸屬高風險等級。 |
重要安全強化項,建議及時修複。基於最佳安全實踐的加固標準,降低配置弱點被攻擊和配置變更風險。 |
|
|
自訂基準 |
屬於客戶自身安全事件,屬於配置紅線巡檢,歸屬高風險等級。 |
使用者自訂的安全強化項,建議修複。基於最佳安全實踐的加固標準,降低配置弱點被攻擊和配置變更風險。 |
|
|
中危 |
|
合規風險依據是否有合規需要進行檢查和修複,不存在入侵風險,也不屬於配置紅線巡檢,歸屬為中風險等級。 |
基於業務是否有合規需要進行修複。 |
修複方式
Security Center為存在風險的檢查項提供修複建議,用於加固系統安全。
-
手動修複:登入存在風險的伺服器,修改對應配置後,在Security Center單擊驗證。
-
一鍵修複:Security Center支援一鍵修複部分基準檢查項。通過檢查項對應風險項面板是否顯示修複按鈕判斷是否支援。詳見查看並處理基準風險項。
基準檢查內容
基準分類說明
|
基準分類 |
檢查標準及檢查內容 |
覆蓋的系統和服務 |
修複緊急度說明 |
|
弱口令 |
使用非登入爆破方式檢測是否存在弱口令。避免登入爆破方式鎖定賬戶影響業務的正常運行。 說明
弱口令檢測通過讀取 HASH 值與弱口令字典計算的 HASH 值進行對比來檢查是否存在弱口令。如需避免讀取 HASH 值,可從基準檢查策略中移除弱口令基準。 |
|
需緊急修複。避免弱口令暴露在公網上導致系統被入侵或發生資料泄露事件。 |
|
未授權訪問 |
未授權訪問基準。檢測服務是否存在未授權訪問風險,防止被入侵或資料泄露。 |
Memcached、Elasticsearch、Docker、CouchDB、Zookeeper、Jenkins、Hadoop、Tomcat、Redis、Jboss、ActiveMQ、RabbitMQ、openLDAP、rsync、Mongodb Postgresql |
|
|
最佳安全實踐 |
阿里雲標準 基於阿里雲最佳安全實踐標準,檢測是否存在帳號許可權、身份鑒別、密碼原則、存取控制、安全審計和入侵防範等安全配置風險。 |
|
重要安全強化項,建議修複。基於最佳安全實踐的加固標準,降低配置弱點被攻擊和配置變更風險。 |
|
容器安全 |
阿里雲標準 基於阿里雲容器最佳安全實踐,檢查 Kubernetes Master 和 Node 節點配置風險。 |
|
|
|
等保合規 |
等保二級、三級合規 基於伺服器安全等保基準,對標權威測評機構安全計算環境測評標準和要求。 |
|
基於業務是否有合規需要進行修複。 |
|
國際通用安全最佳實務 |
基於國際通用安全最佳實務的作業系統安全基準檢查。 |
|
基於業務是否有合規需要進行修複。 |
|
自訂基準 |
支援 CentOS Linux 7 自訂基準,可對基準檢查策略中的檢查項進行編輯,自訂安全強化項。 |
CentOS 7、CentOS 6、Windows Server 2022R2、2012R2、2016、2019、2008R2 |
使用者自訂的安全強化項,建議修複。基於最佳安全實踐的加固標準,降低配置弱點被攻擊和配置變更風險。 |
基準檢查專案
下表列出Security Center提供的基準檢查專案。
密碼安全最佳實務
基準檢查功能可檢測弱口令風險,發現弱口令後,可參考以下最佳實務配置密碼複雜度策略,以提升伺服器安全水位。
密碼複雜度要求
安全的密碼應滿足以下要求:
-
長度至少為8位字元,建議12位以上。
-
包含至少三種字元類型:大寫字母(A-Z)、小寫字母(a-z)、數字(0-9)和特殊字元(如!@#$%^&*)。
-
避免使用使用者名稱、生日、手機號等個人資訊作為密碼,避免使用常見字典密碼(如admin123、password等)。
-
不同系統和服務使用不同的密碼,避免多處複用同一密碼。
Linux 系統密碼原則配置
在Linux系統中,可以通過修改PAM(Pluggable Authentication Modules)配置來設定密碼複雜度策略:
-
編輯PAM密碼配置。以CentOS/RedHat為例,編輯
/etc/security/pwquality.conf檔案,或使用authconfig命令:authconfig --passminlen=8 --passminclass=3 --update -
配置密碼到期策略,編輯
/etc/login.defs檔案,設定以下參數:-
PASS_MAX_DAYS:密碼最長使用天數,建議90天。 -
PASS_MIN_DAYS:密碼修改最小間隔天數,建議0天。 -
PASS_WARN_AGE:密碼到期前警告天數,建議7天。
-
-
修改密碼可使用
passwd命令:passwd 使用者名稱
不同Linux發行版的PAM配置方式可能有所不同,請根據實際情況調整。修改密碼原則前請確認不會影響現有業務的正常運行。
Windows 系統密碼原則配置
在Windows系統中,可以通過本地安全性原則或組策略配置密碼複雜度:
-
開啟
本地安全性原則(運行secpol.msc)。 -
導航至
賬戶策略>密碼原則。 -
配置以下策略項:
-
密碼必須符合複雜性要求:設定為
已啟用。 -
密碼長度最小值:建議設定為8個字元或更多。
-
密碼最長使用到期日:建議設定為90天。
-
密碼最短使用到期日:建議設定為0天。
-
強制密碼歷史:建議設定為5個或更多,防止使用者重複使用舊密碼。
-
如果伺服器已加入域,則密碼原則由網域控制站統一管理,需在網域控制站上配置組策略(GPO)。
通用安全建議
-
定期修改伺服器密碼和各類服務密碼,降低密碼泄露帶來的風險。
-
對於SSH遠程登入,建議優先使用密鑰認證替代密碼認證。
-
利用Security Center基準檢查功能定期掃描弱口令,及時發現並修複密碼安全風險。
-
如檢測到弱口令警示,請儘快修改為符合複雜度要求的強密碼,並檢查是否存在異常登入行為。